Hoppa till innehållet
Avanet

Kontrollera Sophos Firewall User-ID-gräns och VPN-portalnedladdningar

Sophos Firewall

När användare i VPN Portal inte kan ladda ner .ovpn-konfigurationer eller enskilda portal- och autentiseringsfunktioner oväntat misslyckas, tänker man oftast först på SSL VPN, gruppmedlemskap, MFA eller ett certifikatproblem. Det är ofta korrekt. Men det finns en mindre uppenbar punkt: de interna användar-ID:erna i Sophos Firewall.

Sophos Firewall använder en gräns på 65 535 användar-ID:er, som delas mellan användare och grupper. Användare kan skapas utöver denna gräns, men användare med ett högre tilldelat ID kan få funktionella problem. Ett typiskt exempel är .ovpn-konfigurationsfiler som inte längre kan laddas ner från VPN-portalen.

Denna artikel hjälper till att sätta ämnet i perspektiv utan att förhastat radera användare eller omstrukturera VPN-konfigurationen.

När detta problem är misstänkt

Användar-ID-gränsen är inte ett standardfel i små miljöer. Det blir relevant främst när många användare, grupper eller externa katalogobjekt har skapats på brandväggen under flera år.

Typiska indikationer:

  • En användare kan logga in på VPN-portalen men inte ladda ner .ovpn-filen.
  • Endast vissa användare påverkas, andra användare med samma VPN-konfiguration påverkas inte.
  • SSL-VPN-policyn, gruppmedlemskap och MFA verkar korrekta.
  • I Authentication > Users finns det väldigt många användare.
  • AD-, LDAP-, RADIUS- eller Entra-ID-inloggningar har använts under lång tid.
  • Gamla användare eller grupper har aldrig rensats.
  • Ett problem uppstår efter migration, katalogomstrukturering eller många testanvändare.

Om VPN-tunneln upprättas men ingen trafik flödar efteråt, är det en annan felbild. Då är DNS, brandväggsregler, routing, NAT eller återväg mer sannolika. För detta flöde passar Konfigurera Sophos SSL VPN med Sophos Connect på Windows eller respektive plattformsanvisning.

Vad användar-ID:er på Sophos Firewall är

Sophos Firewall hanterar användare och grupper internt med ID:er. Dessa ID:er är inte samma som en Active Directory-SID, en Entra Object ID eller ett användarnamn, utan en intern tilldelning av brandväggen.

Viktigt är:

  • Gränsen gäller gemensamt för användare och grupper.
  • Externa kataloganvändare visas inte nödvändigtvis omedelbart som lokala användare.
  • Användare från externa kataloger dyker ofta upp under Authentication > Users först när de loggar in på en brandväggstjänst, till exempel User Portal eller VPN Portal.
  • Raderade eller inaktiva användare och grupper bör regelbundet rensas så att ID:er kan återanvändas.

I miljöer med Active Directory bör AD-anslutningen själv först vara ren. Flödet finns i Anslut Active Directory med Sophos Firewall. Om användare identifieras transparent via Windows-inloggningar är dessutom Konfigurera STAS på Sophos Firewall relevant.

Kontrollera innan radering

Rensning av användare och grupper är ett administrativt ingrepp. Innan detta bör det vara klart vilka objekt som verkligen inte längre behövs.

Man bör kontrollera:

OmrådeVarför viktigt
FjärråtkomstAnvändare eller grupper kan användas i SSL-VPN- eller IPsec-policyer
BrandväggsreglerAnvändar- eller gruppobjekt kan refereras i regler
User Portal och VPN PortalPortalbehörigheter hänger ofta på grupper
MFA och OTPRaderade användare kan förlora token-tilldelningar
RapporteringHistoriska utvärderingar kan fortfarande innehålla användarnamn
Externa katalogerAnvändare kan dyka upp igen vid nästa inloggning om de fortfarande är behöriga

⚠️ Användare och grupper bör inte raderas blint bara för att det finns många poster. Kontrollera först om objektet fortfarande används i policyer, regler, portalåtkomster eller autentiseringsflöden.

Systematiskt avgränsa

1. Jämför drabbad användare

Först bör man jämföra en fungerande och en drabbad användare:

  • samma autentiseringsserver
  • samma VPN- eller portalgrupp
  • samma MFA-krav
  • samma SSL-VPN-policy
  • samma åtkomst till VPN-portalen
  • samma klient- och webbläsarväg

Om endast en ny eller sällan använd användare påverkas medan äldre användare fungerar, blir den interna användar-ID-tilldelningen mer intressant.

2. Kontrollera användarlista

I WebAdmin:

Authentication > Users

Där bör man kontrollera:

  • Hur många användare är synliga?
  • Finns det många gamla lokala användare?
  • Finns det testkonton, tidigare anställda eller tekniska konton utan syfte?
  • Skapas användare från externa kataloger automatiskt vid portalinloggningar?
  • Är grupper importerade som inte används på brandväggen?

Beroende på miljön kan även en export eller en dokumenterad lista hjälpa, så att rensningar inte sker på känsla.

3. Begränsa gruppimport

Många problem uppstår inte på grund av enskilda användare, utan på grund av för breda gruppimporter. Om många grupper importeras från Active Directory eller en annan katalog, hamnar snabbt objekt på brandväggen som aldrig behövs för regler, VPN eller portal.

Under:

Authentication > Servers

bör man kontrollera vilka externa servrar som är anslutna och vilka grupper som har importerats. För brandväggs- och VPN-ändamål räcker det oftast med ett litet antal tydligt namngivna grupper, till exempel för fjärråtkomst, administratörsåtkomst eller användarregler.

4. Rensa inaktiva objekt

När det är klart vilka användare eller grupper som inte längre behövs kan rensningen planeras.

Lämplig procedur:

  1. Dokumentera drabbade användare, grupper och policyer.
  2. Identifiera gamla lokala testanvändare och grupper som inte längre behövs.
  3. Kontrollera innan radering om objekt används i brandväggsregler, VPN-policyer eller portalåtkomster.
  4. Utför en liten rensning, radera inte hundratals objekt utan kontroll.
  5. Testa igen med en drabbad användare på VPN-portalen.
  6. Dokumentera resultatet.

Om externa kataloganvändare skapas igen vid nästa inloggning måste källan justeras. Annars rensas brandväggen bara tillfälligt.

Kontrollera VPN-portalnedladdning separat

Användar-ID-gränsen är bara en möjlig orsak. För .ovpn-nedladdningsproblem bör man dessutom kontrollera de vanliga fjärråtkomstpunkterna:

  • Användaren får använda SSL VPN.
  • Användaren är medlem i rätt grupp.
  • VPN-portalen är tillgänglig via Administration > Device access.
  • MFA eller OTP fungerar.
  • Portalens certifikat är betrott.
  • SSL-VPN-konfigurationen är aktuell.
  • Webbläsaren blockerar inte nedladdningen.
  • Användaren laddar ner den aktuella filen, inte en gammal kopia.

För att sätta User Portal, VPN Portal och andra Sophos-åtkomster i perspektiv hjälper Sophos Portaler: SophosID, Central, Support och Firewall-åtkomster. För att stärka portalåtkomster passar Device Access och Local Service ACL på Sophos Firewall.

När Entra ID SSO är inblandad

Med Microsoft Entra ID SSO bör man inte blanda ihop användar-ID-ämnet med Conditional Access, OAuth eller Redirect-URI-fel. Om inloggning, omdirigering och MFA redan misslyckas ligger problemet troligen före den faktiska VPN-nedladdningen.

En tydlig avgränsning sparar mycket tid:

ObservationKontrollera först
Inloggning, omdirigering eller MFA misslyckasEntra-app, Redirect URI, Client Secret, Conditional Access, certifikat, tid och oauth_sso_vpn.log
Inloggning fungerar, men användaren får inte använda fjärråtkomstimporterad Entra-grupp, Allowed users and groups, SSL-VPN-policy eller IPsec-fjärråtkomstbehörighet
Inloggning fungerar, men endast vissa portal- eller nedladdningsfunktioner misslyckasinternt användarobjekt, användar-ID, portalbehörighet och webbläsarväg jämför
Tunneln ansluter, men interna mål är inte tillgängligabrandväggsregel, routing, DNS, NAT och VPN-pool kontrollera

Först när inloggningen i grunden fungerar, men vissa portal- eller nedladdningsfunktioner misslyckas, är det värt att titta på interna användarobjekt och användar-ID:er. Den Entra-specifika inställningen finns i Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal.

Praktiskt bör man jämföra en drabbad användare med en fungerande användare: samma Entra-grupp, samma fjärråtkomstpolicy, samma portalinloggning, samma klientväg och samma behörighet på brandväggen. Om UPN, e-postadress eller gruppmappning inte stämmer överens, rensas först Entra-SSO-spåret. Om dessa punkter stämmer och endast .ovpn-nedladdningen eller en portalåtgärd misslyckas, blir det interna användar-ID-ämnet mer sannolikt.

Viktigt är också rensningen: Entra-användare eller importerade grupper bör inte raderas blint om de fortfarande är tillåtna för fjärråtkomst. Annars skapas de igen vid nästa portalinloggning eller nästa gruppimport. Det är bättre att först begränsa de tillåtna grupperna noggrant och sedan bara ta bort brandväggsobjekt som verkligen inte längre behövs. För profil- och provisioneringsfrågor passar dessutom Konfigurera Sophos Connect på Sophos Firewall.

Driftrekommendation

För större miljöer bör användarhygien vara en del av brandväggsdriften:

  • Endast nödvändiga AD-/LDAP-/Entra-grupper ska föras till brandväggen.
  • Tidigare lokala användare bör regelbundet tas bort.
  • Testkonton bör raderas efter projekt.
  • Gruppmedlemskap för fjärråtkomst bör regelbundet kontrolleras.
  • Dokumentera vilka grupper som används produktivt för VPN, brandväggsregler och portaler.
  • Efter katalogomstrukturering bör en kort autentiserings- och VPN-portaltest planeras.

Målet är inte att använda brandväggen som ett fullständigt identitetshanteringssystem. Brandväggen bör bara känna till de identiteter som den verkligen behöver för policyer, portaler, VPN och rapportering.

Felsökningschecklista

SymptomSannolik riktning
Endast en användare kan inte ladda ner .ovpnKontrollera behörighet, MFA, användarobjekt eller användar-ID
Alla användare kan inte ladda ner någotKontrollera VPN-portal, certifikat, Device Access eller SSL-VPN-konfiguration
Inloggning till VPN-portalen misslyckas redan tidigareKontrollera autentiseringsserver, lösenord, MFA, grupper eller portalåtkomst
Inloggning fungerar, nedladdning fungerar inteKontrollera användarobjekt, webbläsare, portalrättigheter och användar-ID-gräns
Användare visas inte under Authentication > UsersAnvändaren har eventuellt aldrig loggat in på en brandväggstjänst
Många gamla användare synligaPlanera rensning och begränsa gruppimport

FAQ

Vad är Sophos Firewall User-ID-gränsen?

Sophos Firewall använder en gräns på 65 535 användar-ID:er, som delas mellan användare och grupper. Användare med högre ID:er kan få funktionella problem.

Kan gränsen förhindra OVPN-nedladdning i VPN-portalen?

Ja. Det är uttryckligen dokumenterat att användare med ett för högt tilldelat användar-ID kan få problem med att ladda ner .ovpn-konfigurationsfiler från VPN-portalen.

Måste man radera alla gamla användare omedelbart?

Nej. Först bör man kontrollera vilka användare och grupper som fortfarande används i regler, VPN-policyer, portaler eller MFA-flöden. Därefter kan man rensa målmedvetet.

Varför visas externa användare först senare på brandväggen?

Externa kataloganvändare visas inte alltid som lokala brandväggsanvändare redan vid anslutning av katalogservern. De dyker ofta upp först när de loggar in på en brandväggstjänst, till exempel User Portal eller VPN Portal.

Är detta ett SSL-VPN-problem?

Inte direkt. Felbilden visar sig ofta vid SSL-VPN-nedladdning, men orsaken kan ligga i den interna användarhanteringen eller autentiseringsdesignen.