Hoppa till innehållet
Avanet

Konfigurera Sophos Firewall SSL VPN fjärråtkomst

Sophos Firewall

SSL VPN är fortfarande en viktig fjärråtkomstmetod på Sophos Firewall, särskilt när användare arbetar från hotell, gäst-WLAN, mobilnät eller restriktiva externa nätverk. Det avgörande är inte bara om tunneln upprättas. Det avgörande är om brandväggen begränsar åtkomsten korrekt, om DNS fungerar, om MFA används och om brandväggsreglerna kontrollerar och tillåter trafik från VPN-zonen.

Denna artikel beskriver brandväggskonfigurationen av SSL VPN fjärråtkomst på Sophos Firewall. För klientinstallation passar därefter Konfigurera Sophos SSL VPN med Sophos Connect på Windows, Konfigurera Sophos SSL VPN med Sophos Connect på macOS, Konfigurera Sophos SSL VPN på iPhone och iPad och Konfigurera Sophos SSL VPN på Android.

För det grundläggande valet mellan IPsec, SSL VPN, mobila klienter och ZTNA passar först Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar?.

Vilken SSL-VPN-artikel passar?

SSL VPN består av brandväggskonfiguration, portal, klient, autentisering och senare felsökning. Beroende på uppgift passar en annan startpunkt:

SituationBättre startpunkt
Konfigurera SSL VPN på brandväggenDenna artikel
Jämföra Sophos Connect eller SSL VPN i grundenSophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar?
Underhålla Sophos Connect klientversioner och profilerKontrollera och säkert uppdatera Sophos Connect klientversion
Konfigurera SSL-VPN-klient på WindowsKonfigurera Sophos SSL VPN med Sophos Connect på Windows
Konfigurera SSL VPN på macOS, iOS eller AndroidmacOS, iPhone/iPad eller Android
Använda Microsoft Entra ID SSO eller Entra-MFAKonfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal
VPN är anslutet, men trafiken fungerar inteTesta brandväggsregel med Log Viewer, Policy Test och Packet Capture
Stora överföringar hänger eller enskilda applikationer laddar inteKontrollera Sophos Firewall MTU och MSS vid VPN-problem

Denna uppdelning är viktig: Ett användarproblem i VPN Portal, en föråldrad .ovpn-profil, en saknad brandväggsregel och ett DNS-problem ser ofta likadana ut för användaren. För analysen måste dessa nivåer separeras.

Målbild

En korrekt SSL-VPN-uppbyggnad består av flera komponenter:

  1. Användare eller grupper är berättigade i rätt SSL-VPN-policy.
  2. De globala SSL-VPN-inställningarna definierar gateway, port, certifikat, lease-område, DNS och kryptografi.
  3. VPN Portal är endast tillgänglig så brett som nödvändigt och skyddad med MFA.
  4. Brandväggsregler tillåter trafik från VPN-zonen endast till de nödvändiga målen.
  5. Split Tunnel eller Full Tunnel är medvetet beslutat.
  6. Klienter importerar en aktuell .ovpn-profil.
  7. Loggar, Packet Capture och supportdata kan utvärderas vid fel.

Många SSL-VPN-problem uppstår eftersom endast klientnedladdningen dokumenteras. I praktiken måste man dock betrakta portal, autentisering, SSL-VPN-policy, brandväggsregel, DNS och NAT tillsammans.

⚠️ SSL VPN är en offentligt tillgänglig ingångspunkt. MFA och starka lösenord är viktiga, men ersätter inte begränsning via Device access, snäva användargrupper, aktuella profiler, loggning och regelbundna granskningar.

Förutsättningar

Innan konfigurationen bör dessa punkter klargöras:

  • Sophos Firewall med aktuell SFOS-version.
  • Offentlig tillgänglighet för brandväggen eller en förskjuten portvidarebefordran.
  • FQDN eller offentlig IP-adress för VPN-åtkomst.
  • Certifikat för VPN Portal och SSL VPN, helst matchande FQDN.
  • Användare eller grupper för fjärråtkomst.
  • Autentiseringsserver: lokal, Active Directory, RADIUS eller Microsoft Entra ID.
  • MFA/OTP-koncept för VPN Portal och fjärråtkomst.
  • Interna målsubnät, DNS-servrar och sökdomän.
  • Beslut för Split Tunnel eller Full Tunnel.
  • Brandväggsregler för trafik från VPN-zonen.
  • Process för klientuppdatering och omfördelning av .ovpn-filen.

Om Microsoft Entra ID SSO ska användas måste autentiseringen vara korrekt förberedd innan nedladdning av VPN-konfigurationen. Förloppet finns i Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal.

1. Förbered lokala objekt

Först bör målsubnäten existera som värdar eller nätverksobjekt:

Hosts and services > IP host

Typiska objekt:

ObjektExempelSyfte
LAN_Server10.10.10.0/24interna servrar
LAN_Client10.10.20.0/24klientnät, om nödvändigt
DNS_Internal10.10.10.10intern DNS eller domänkontrollant
SSLVPN_UsersanvändargruppPolicy-medlemmar

Man bör inte enkelt ge tillgång till kompletta interna nätområden om endast enskilda servrar eller subnät behövs. Ju snävare objekten är definierade, desto enklare blir senare brandväggsregeln.

2. Kontrollera globala SSL-VPN-inställningar

De globala inställningarna gäller för alla fjärråtkomst-SSL-VPN-policyer:

Remote access VPN > SSL VPN > SSL VPN global settings

Protokoll och port

SSL VPN kan beroende på konfiguration använda TCP eller UDP. UDP är ofta mer effektivt, TCP kan fungera bättre i restriktiva nätverk. Beslutet bör testas med de nätverk från vilka användare faktiskt arbetar.

Vid porten måste man undvika överlappningar:

  • SSL VPN standardport är ofta 8443.
  • VPN Portal använder i aktuella SFOS-versioner standardmässigt 443.
  • WAF-regler och SSL VPN får inte överlappa på samma WAN-IP med samma port och protokoll.
  • Om SSL VPN och VPN Portal använder samma port kan inloggningssäkerhetsfunktioner inte fungera som förväntat.

Om WAF, VPN Portal, User Portal och SSL VPN körs på samma WAN-IP bör port, protokoll och certifikat dokumenteras medvetet. För WAF-grunder passar Konfigurera Sophos Firewall WAF och undvik typiska fel.

Certifikat och Override Hostname

Under SSL server certificate bör ett certifikat användas som matchar den offentliga FQDN. Ett certifikatfel i VPN Portal eller i SSL-VPN-profilen leder senare till onödiga supportfall.

Under Override hostname anger man vilken värdnamn eller IP-adress klienter ska använda i .ovpn-profilen. Detta är särskilt viktigt vid:

  • flera WAN-IP-adresser,
  • förskjuten router,
  • NAT eller portvidarebefordran framför brandväggen,
  • dynamisk WAN-IP med DDNS,
  • separata FQDN för WebAdmin, VPN Portal och SSL VPN.

Om fältet lämnas tomt kan flera gränssnittsadresser hamna i profilen. Det kan fungera, men är ofta mindre tydligt i produktiva miljöer än en korrekt FQDN.

Lease-område

Sophos Firewall tilldelar SSL-VPN-klienter adresser från det konfigurerade lease-området. Detta område får inte kollidera med interna nät, statiska rutter, site-to-site-VPN eller typiska hemnätområden.

Man bör särskilt undvika vanliga subnät som:

  • 192.168.0.0/24
  • 192.168.1.0/24
  • 192.168.2.0/24
  • 10.0.0.0/24
  • 10.0.1.0/24

Om lease-området kolliderar med en användares hemnät, ansluter sig tunneln ibland framgångsrikt, men interna mål förblir oåtkomliga. Det verkar då som ett brandväggsregelproblem, men är ett routingproblem på endpointen.

För brandväggsregler bör man använda systemvärdarna ##ALL_SSLVPN_RW och vid IPv6 ##ALL_SSLVPN_RW6, inte manuellt återskapade värdar med gamla lease-områden.

Statiska SSL-VPN-IP-adresser och Key Lifetime

Statiska SSL-VPN-IP-adresser kan i vissa fall vara användbara, till exempel för administratörsåtkomst, strikt loggade specialåtkomster eller äldre applikationer med IP-baserad åtkomst. Som standard för alla användare är de dock inte lämpliga. Ju fler statiska tilldelningar som finns, desto svårare blir drift, felsökning och senare migrationer.

I listan över kända problem är ett specifikt specialfall dokumenterat: Vid SSL VPN med lokal autentisering och statiskt tilldelad SSL-VPN-IP kan den förnyade autentiseringen efter Key Lifetime misslyckas. Brandväggen kan behandla den redan tilldelade lease-adressen som en konflikt. Användare måste då manuellt återansluta, även om tunneln tidigare fungerade. Ett typiskt Key Lifetime-värde är 18000 sekunder.

Om en användare måste logga in igen efter flera timmar bör man därför inte bara kontrollera MFA, klientversion och brandväggsregel. Dessutom bör dessa punkter ingå i analysen:

  • Används lokal autentisering för SSL VPN?
  • Har användaren en statisk SSL-VPN-IP-adress?
  • Uppstår problemet ungefär efter Key Lifetime?
  • Fungerar samma användare stabilare med dynamisk IP-tilldelning?
  • Är en statisk IP verkligen nödvändig eller räcker en regel över användargrupp, SSL-VPN-systemvärd och loggning?

Som pragmatiska motåtgärder nämner Sophos två riktningar: Planera Key Lifetime så att den täcker den normala arbetsdagen, eller använd dynamisk IP-tilldelning. I många miljöer är dynamisk tilldelning renare, eftersom brandväggsregler ändå bör kontrolleras över VPN-zonen, användargrupp, målobjekt och SSL-VPN-systemvärdar.

DNS och Domain Name

För intern namnlösning sätts DNS-servrar och eventuellt ett Domain Name i de globala SSL-VPN-inställningarna. I Active Directory-miljöer är detta oftast en intern DNS-server eller domänkontrollant.

Dessutom måste DNS från VPN-zonen tillåtas under Administration > Device access om brandväggen själv används som DNS-resolver i VPN-designen.

Om DNS i tunneln inte fungerar bör man testa separat:

  • Är målet nåbart via IP-adress?
  • Tillåter brandväggsregeln den interna DNS-servern?
  • Får klienten rätt sökdomän?
  • Använder klienten verkligen den aktuella .ovpn-profilen?
  • Stör lokal DNS- eller DoH-konfiguration på endpointen?

3. Skapa SSL-VPN-policy

Policyn skapas under:

Remote access VPN > SSL VPN

Förfarande:

  1. Välj Add.
  2. Använd Configure manually.
  3. Ge ett namn, till exempel SSLVPN-Remote-Users.
  4. Under Policy members välj de berättigade användarna eller grupperna.
  5. Bestäm Split Tunnel eller Full Tunnel.
  6. Vid Split Tunnel välj Permitted network resources.
  7. Valfritt konfigurera Disconnect idle clients.
  8. Spara och testa sedan med en testanvändare.

Viktigt: Om användare eller grupper anges i en nyare SSL-VPN-policy som redan finns i en äldre SSL-VPN-policy, tar Sophos Firewall bort denna tilldelning från den tidigare policyn. Därför bör man undvika policy-överlappningar och tydligt definiera vilken policy som gäller per användargrupp.

4. Besluta om Split Tunnel eller Full Tunnel

Split Tunnel

Vid Split Tunnel går endast trafik till de tillåtna interna resurserna genom VPN-tunneln. Användarens internettrafik går vidare direkt via användarens lokala nätverk.

Split Tunnel passar ofta för:

  • Åtkomst till få interna applikationer,
  • lägre brandväggsbelastning,
  • bättre användarprestanda,
  • mindre externa platser och mobila användare.

Säkerheten beror då mer på endpointen, den lokala nätverksmiljön och de tillåtna interna resurserna.

Full Tunnel

Vid Full Tunnel leds all trafik från fjärranvändaren genom brandväggen. I Sophos Firewall motsvarar detta alternativet Use as default gateway.

Full Tunnel passar bättre när:

  • Internettrafik ska kontrolleras centralt,
  • Web Protection, DNS Protection eller loggning för VPN-användare ska gälla,
  • användare arbetar från osäkra nätverk,
  • efterlevnad kräver central utvärdering.

Vid Full Tunnel räcker inte SSL-VPN-policyn ensam. Man behöver dessutom brandväggsregler och NAT/SNAT för internettrafik från VPN-zonen. Dessutom bör man testa prestanda, bandbredd, webbfiltrering och loggning i förväg.

5. Skapa brandväggsregler för VPN-zon

Tunneln innebär inte att trafik är tillåten. För åtkomst till interna resurser behöver man en lämplig brandväggsregel:

Rules and policies > Firewall rules

Rekommenderad regel för Split Tunnel:

FältRekommendation
Rule nameVPN_SSLVPN_to_Internal_Servers
Source zoneVPN
Source networks and devices##ALL_SSLVPN_RW
Destination zonesinterna målzoner, till exempel LAN eller DMZ
Destination networksendast tillåtna servrar eller subnät
Servicesendast nödvändiga tjänster
Log firewall trafficaktivera

För Full Tunnel behövs dessutom en regel från VPN till WAN eller Any, beroende på design. Source Networks bör fortfarande vara SSL-VPN-systemvärdarna. Därefter måste man kontrollera om en lämplig SNAT-regel finns.

Om en anslutning är upprättad men ingen åtkomst fungerar bör man först kontrollera Log Viewer. För metodiken passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

6. Säkra VPN Portal och Device Access

Användare laddar vanligtvis ner Sophos Connect och .ovpn-filen via VPN Portal:

Administration > Admin and user settings
Administration > Device access
Authentication > Services
Authentication > Multi-factor Authentication

Minst kontrollera:

  • VPN Portal Port och certifikat.
  • VPN Portal Authentication Methods.
  • MFA för VPN Portal och fjärråtkomst.
  • Device Access för VPN Portal endast i nödvändiga zoner.
  • Device Access för SSL VPN på WAN-zonen endast om det behövs externt.
  • Inget permanent öppet User Portal på WAN om det inte behövs.

För att härda lokala brandväggstjänster passar Device Access och Local Service ACL på Sophos Firewall. För MFA-grunder passar Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och fjärråtkomst.

VPN Portal är endast meningsfull för användare om de eller deras grupper ingår i en lämplig fjärråtkomstpolicy. Om policy-tilldelningen saknas ser användaren inte de nödvändiga konfigurationsnedladdningarna.

Om VPN Portal eller SSL VPN måste tillåtas på WAN-zonen bör detta dokumenteras medvetet. I många miljöer räcker det inte att öppna tjänsten globalt och förlita sig på MFA. Där det är möjligt bör fasta källnät, landsbegränsning, Threat Feeds, loggkontroll eller en förskjuten fjärråtkomstdesign övervägas.

7. Distribuera klientprofil

Efter policy- och portal-konfiguration distribueras .ovpn-filen. Detta kan ske via VPN Portal eller kontrollerat genom adminprocessen.

Viktigt:

  • Efter ändringar av gateway, port, certifikat, DNS, lease-område, policy eller autentisering måste profilen laddas om.
  • En Sophos-Connect-uppdatering ersätter inte en gammal .ovpn-profil.
  • Profilnamn bör vara entydiga.
  • Gamla profiler bör tas bort vid platsbyte, gatewaybyte eller användarbyte.
  • Windows, macOS, iOS, Android och Linux använder delvis olika klientvägar.

För klientuppdateringar och versionsunderhåll passar Kontrollera och säkert uppdatera Sophos Connect klientversion.

Testa efter konfigurationen

Med en testanvändare bör man inte bara kontrollera om Sophos Connect visar Connected.

Testlista:

  • Användaren ser Sophos Connect-nedladdningen och SSL-VPN-konfigurationen i VPN Portal.
  • .ovpn-filen kan importeras.
  • MFA efterfrågas som förväntat.
  • Klienten får en adress från SSL-VPN-lease-området.
  • Rutt till de tillåtna interna näten visas på endpointen.
  • Interna DNS-namn löses upp.
  • Åtkomst till tillåtna servrar fungerar.
  • Ej tillåtna nät förblir blockerade.
  • Log Viewer visar rätt brandväggsregel.
  • Packet Capture visar trafik över ett tun-gränssnitt, om nödvändigt.
  • Vid Full Tunnel fungerar även internetåtkomst och SNAT.

Om testet endast görs med en administratörsanvändare missar man lätt grupp- och policyfel. Bättre är en normal pilotanvändare från målgruppen.

Godkänningstest efter scenario

Innan en bred utrullning bör man minst dokumentera dessa testfall noggrant:

ScenarioTestFörväntat resultat
Ny användareInloggning på VPN Portal och profilimportAnvändaren ser endast den lämpliga SSL-VPN-konfigurationen och kan importera profilen
MFA aktivInloggning med rätt och fel OTPRätt faktor tillåter åtkomst, fel faktor avvisas och loggas
Split TunnelÅtkomst till tillåtet och ej tillåtet internt målTillåtna mål fungerar, andra nät förblir blockerade
Full TunnelInternetåtkomst via VPNBrandväggsregel, SNAT, DNS och webb-/säkerhetspolicy fungerar som planerat
DNSÅtkomst via namn och IP-adressDNS-fel kan skiljas från routing- eller regelproblem
ProfiländringImportera ny .ovpn-profilÄndrad FQDN, port, DNS eller certifikat är synligt i klientprofilen
FelsituationKontrollera Log Viewer och Packet CaptureDen faktiskt matchande brandväggsregeln och paketflödet är spårbara

För produktiva miljöer bör varje test innehålla en tidpunkt, en användare, en klientplattform och ett konkret mål. Uttalanden som “VPN fungerar” eller “VPN fungerar inte” är för vaga för senare supportfall.

Samla loggar och bevis

Vid SSL-VPN-problem bör man först klargöra om felet ligger vid inloggningen, tunneluppbyggnaden eller åtkomsten till interna mål. Denna uppdelning sparar tid, eftersom annars autentisering, klientprofil, routing och brandväggsregler granskas i oordning.

För ett reproducerbart testfall bör dessa uppgifter noteras:

BevisVarför det är viktigt
Användarnamn och gruppvisar vilken SSL-VPN-policy och autentisering som bör gälla
Klientplattform och Sophos-Connect-versionskiljer klientfel från brandväggskonfiguration
Tidpunkt för testetgör Log Viewer, sslvpn.log och autentiseringsloggar jämförbara
Användarens källnäthjälper vid hotell-WLAN, mobilnät, CGNAT, restriktiva brandväggar eller portproblem
Målsystem och tjänstförhindrar för breda uttalanden som “VPN fungerar inte”
Resultat via IP-adress och DNS-namnskiljer routing- och DNS-problem

Därefter bör man genomföra kontrollen i denna ordning:

  1. Kontrollera autentisering: I Log Viewer och vid behov i autentiseringsloggar kontrollera om användare, MFA, grupp och autentiseringsserver är framgångsrika. Vid Microsoft Entra ID SSO är dessutom oauth_sso_vpn.log relevant.
  2. Kontrollera tunnelstatus: Kontrollera SSL-VPN-anslutning, lease-adress och OpenVPN-status. På brandväggssidan hjälper sslvpn.log och openvpn-status*.log.
  3. Kontrollera brandväggsregel: I Log Viewer sök efter trafik från VPN-zonen och kontrollera vilken regel som verkligen matchar. Regeln bör ha Log firewall traffic aktiverad.
  4. Kontrollera paketflöde: Om Log Viewer inte räcker, filtrera med Packet Capture på källa, mål och tjänst. Viktigt är om paket endast är Incoming eller också Forwarded.
  5. Kontrollera målsidan: Om trafik lämnar brandväggen men inget svar kommer tillbaka är återväg, serverbrandvägg, lokal värdbrandvägg eller en nätkonflikt mer sannolikt än SSL-VPN-policyn.

För tilldelning av de viktigaste loggfilerna passar Sophos Firewall Troubleshooting: Services och Logs. För regelanalys med Log Viewer, Policy Test och Packet Capture passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Felsökning

Användaren ser ingen SSL-VPN-konfiguration i VPN Portal

Oftast saknas policy-tilldelningen. Man kontrollerar om användaren eller hans grupp ingår i SSL-VPN-policyn under Policy members. Dessutom bör autentisering, MFA och VPN-portalens tillgänglighet kontrolleras.

Om inloggning och policy-tilldelning verkar korrekta, men nedladdningen av .ovpn-filen ändå saknas eller misslyckas, bör även Sophos Firewall User-ID-Limit kontrolleras. Detta är särskilt relevant när flera användare använder portalen, men endast enskilda nedladdningar oväntat misslyckas.

Tunneln ansluter, men interna system är inte tillgängliga

Först kontrollera om en rutt till det interna målsubnätet finns på endpointen. Sök sedan i Log Viewer efter trafik från VPN-zonen. Om ingen trafik är synlig når klienten inte brandväggen som förväntat eller profilen är föråldrad.

Om trafik är synlig men fel regel matchar måste regelordningen eller tjänst-/måldefinitionen korrigeras. Om ingen återkoppling kommer är routing, målbrandvägg, lokal serverbrandvägg eller en nätkonflikt sannolikt.

DNS fungerar inte

Man kontrollerar om åtkomst via IP-adress fungerar. Om ja, ligger felet troligen hos DNS. Kontrollera sedan DNS-servrar i de globala SSL-VPN-inställningarna, Domain Name, Device Access för DNS från VPN-zonen och endpointens DNS-beteende.

Åtkomst fungerar endast för vissa användare

Då är gruppmedlemskap, policy-tilldelning, statiska SSL-VPN-IP-adresser, MFA-status eller föråldrade profiler mer sannolika än ett globalt brandväggsfel. Även dubbla policy-tilldelningar bör kontrolleras.

Användaren måste återansluta efter flera timmar

Om SSL VPN initialt fungerar men efter flera timmar kräver en ny inloggning eller manuell återanslutning bör man först kontrollera tidsmönster, autentisering och lease-modell. Detta är särskilt relevant vid lokal autentisering med statiskt tilldelad SSL-VPN-IP.

Praktiskt förfarande:

  1. Notera tidpunkten för anslutning och avbrott.
  2. Jämför tidpunkten med den konfigurerade Key Lifetime.
  3. Kontrollera om användaren har en statisk SSL-VPN-IP-adress.
  4. Testa dynamisk IP-tilldelning för en pilotanvändare om möjligt.
  5. Sök i sslvpn.log, openvpn-status*.log och Log Viewer efter autentisering, lease-adress och ny inloggning.
  6. Om en längre Key Lifetime väljs, dokumentera ändringen och förstå den inte som ersättning för MFA eller korrekt sessionskontroll.

Om statiska IP-adresser endast används för att göra brandväggsregler enklare bör designen omarbetas. Oftast är grupper, tydligt namngivna målobjekt, snäva tjänster och loggning en bättre grund än enskilda användar-IP-adresser.

Full Tunnel har ingen internetåtkomst

Vid Use as default gateway behövs en brandväggsregel för trafik från VPN-zonen mot internet och en lämplig SNAT-regel. Dessutom måste webb-, DNS- och säkerhetspolicyer planeras så att de inte oväntat blockerar VPN-användare.

Anslutningen är upprättad, men stora överföringar hänger

Om inloggning, DNS och små åtkomster fungerar, men RDP, filöverföringar, webbapplikationer eller stora nedladdningar hänger, bör man kontrollera MTU och MSS. Felbilden passar ofta till fragmentering, PPPoE, tunnlade anslutningar eller en asymmetrisk väg, inte bara till SSL VPN själv.

För systematisk analys passar Kontrollera Sophos Firewall MTU och MSS vid VPN-problem.

WAF eller portal kolliderar med SSL VPN

Om WAF, VPN Portal, User Portal och SSL VPN körs på samma WAN-IP måste port och protokoll separeras korrekt. Särskilt kritiska är gemensamt använda kombinationer av WAN-IP, port och TCP. Vid oklara drops kontrollera Log Viewer och Packet Capture.

Profilen är föråldrad efter ändring

Efter ändringar av SSL-VPN-policy, gateway, DNS, certifikat, port eller autentisering bör .ovpn-filen laddas ner och importeras på nytt. Många till synes klientproblem är föråldrade profiler.

Driftchecklista

Innan produktiv utrullning

  • FQDN och certifikat för VPN Portal och SSL VPN kontrollerade.
  • SSL-VPN-lease-området kolliderar inte med interna eller typiska hemnät.
  • SSL-VPN-policyn innehåller rätt användare eller grupper.
  • Split Tunnel eller Full Tunnel är medvetet beslutat.
  • Tillåtna nätverksresurser är snävt definierade vid Split Tunnel.
  • DNS-servrar och Domain Name är korrekt inställda.
  • Brandväggsregel från VPN till interna mål existerar och loggar.
  • Vid Full Tunnel existerar internetregel och SNAT.
  • Device Access för SSL VPN och VPN Portal är medvetet inställda.
  • MFA är testad för fjärråtkomst.
  • Testanvändare kan ladda ner, importera och nå interna mål.

För löpande drift

  • Tvinga MFA för VPN Portal och fjärråtkomst.
  • Regelbundet granska VPN-grupper.
  • Håll brandväggsregler för VPN snäva och logga.
  • Kontrollera lease-området före nätverksändringar.
  • Använd statiska SSL-VPN-IP-adresser endast målinriktat och granska regelbundet.
  • Dokumentera DNS och sökdomän.
  • Förnya portal- och SSL-VPN-certifikat före utgång.
  • Följ Sophos Connect-versioner.
  • Planera profilomfördelning efter ändringar.
  • Utvärdera loggar långsiktigt via Syslog eller Sophos Central om spårbarhet är viktig.

För loggfiler och tjänster passar Sophos Firewall Troubleshooting: Services och Logs.

Regelbundet kontrollera specialfall

  • Statiska SSL-VPN-IP-adresser är motiverade och dokumenterade.
  • Key Lifetime passar driftsmodellen och har testats med återanslutning.
  • Gammal .ovpn-profil distribueras på nytt efter ändringar.
  • VPN Portal, User Portal, WAF och SSL VPN kolliderar inte på samma WAN-IP med port och protokoll.
  • Användare med specialrättigheter eller administratörsåtkomst granskas separat.

FAQ

Var konfigurerar man SSL VPN på Sophos Firewall?

Den centrala konfigurationen finns under Remote access VPN > SSL VPN. Där konfigureras policyer och globala SSL-VPN-inställningar. Portal, autentisering, MFA och Device Access finns i separata områden.

Måste man skapa en brandväggsregel för SSL VPN?

Ja. Tunneln tillåter ännu inte åtkomst till interna system. Trafik från VPN-zonen måste tillåtas via brandväggsregler till de nödvändiga målzonerna, målsubnäten och tjänsterna.

Vad är bättre: Split Tunnel eller Full Tunnel?

Split Tunnel är ofta mer prestandaeffektiv och enklare när endast få interna mål behövs. Full Tunnel leder all trafik genom brandväggen och kräver ytterligare regler, SNAT, säkerhetspolicyer och kapacitetsplanering.

Varför ser en användare ingen VPN-konfiguration i VPN Portal?

Oftast saknas användaren eller hans grupp i en fjärråtkomst-SSL-VPN-policy. Dessutom bör autentisering, MFA, VPN-portalens tillgänglighet och Device Access kontrolleras.

Varför ansluter SSL VPN, men interna system är inte tillgängliga?

Ofta saknas brandväggsregler, rutten har inte satts på endpointen, DNS fungerar inte, lease-området kolliderar med ett lokalt nät, eller .ovpn-profilen är föråldrad.

Varför måste en SSL-VPN-användare återansluta efter några timmar?

Om lokal autentisering och en statisk SSL-VPN-IP-adress används kan återautentiseringen efter Key Lifetime påverkas. Då bör man kontrollera statisk IP-tilldelning, Key Lifetime, sslvpn.log och en test med dynamisk IP-tilldelning.

Vilka loggar hjälper vid SSL-VPN-problem?

I WebAdmin hjälper Log Viewer och Packet Capture. På brandväggssidan är beroende på felbild sslvpn.log, openvpn-status*.log och brandväggsloggar relevanta. Vid längre lagring bör Syslog eller central loggutvärdering planeras.