Hoppa till innehållet
Avanet

Konfigurera Sophos SSL VPN på Android

Sophos Firewall

Sophos Connect stöder inte Android direkt för IPsec eller SSL VPN. Om en Android-smartphone eller Android-surfplatta ska anslutas via Sophos Firewall Remote Access, behövs därför en OpenVPN-kompatibel klient. I många miljöer är OpenVPN Connect den självklara standarden eftersom Sophos Firewall tillhandahåller en .ovpn-konfiguration för mobila klienter.

Artikeln beskriver det praktiska förfarandet för Sophos SSL VPN på Android: installera appen, hämta .ovpn-konfigurationen, importera profilen, testa anslutningen och avgränsa vanliga fel. För det grundläggande beslutet mellan Sophos Connect, SSL VPN, IPsec, mobila klienter och ZTNA, se först Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar?.

När SSL VPN på Android är lämpligt

SSL VPN på Android är lämpligt när mobila användare ibland behöver komma åt interna system och en klassisk VPN-profil räcker.

Typiska exempel:

  • Åtkomst till interna webbapplikationer
  • Administratörsåtkomst till några system via en surfplatta
  • Åtkomst till interna verktyg via definierade appar
  • Tillfällig åtkomst utan hanterad bärbar klient
  • Övergångslösning när ZTNA eller app-proxy ännu inte är tillgänglig

För permanent åtkomst till många interna system är en mobil enhet ofta inte den bästa plattformen. Då bör det övervägas om en hanterad Windows- eller macOS-klient med Sophos Connect, en mer begränsad ZTNA-åtkomst eller en annan fjärråtkomstdesign passar bättre.

Jämförelse med andra klienter

Denna guide gäller för Sophos Firewall med SFOS och Android-enheter. Beroende på plattform eller utgångsläge kan en annan startpunkt passa:

SituationLämplig startpunkt
Konfigurera SSL VPN på AndroidDenna artikel
Konfigurera SSL VPN med Sophos Connect på WindowsKonfigurera Sophos SSL VPN med Sophos Connect på Windows
Konfigurera SSL VPN med Sophos Connect på macOSKonfigurera Sophos SSL VPN med Sophos Connect på macOS
Konfigurera SSL VPN på iPhone och iPadKonfigurera Sophos SSL VPN på iPhone och iPad
Installera Sophos Connect på WindowsInstallera Sophos Connect Client på Windows
Installera Sophos Connect på macOSInstallera Sophos Connect Client på macOS

Det är viktigt att skilja: Sophos Connect är inte den direkta SSL-VPN-klienten för Android. Om mobila enheter ska stödjas bör det internt vara tydligt definierat vilken OpenVPN-kompatibel klient som används, varifrån profilerna kommer och vem som stöder vid enhetsbyten.

Förutsättningar

Innan konfigurationen bör dessa punkter klargöras:

  • Sophos Firewall med konfigurerad SSL-VPN-fjärråtkomst
  • Användare med behörighet för SSL VPN
  • Åtkomst till VPN-portalen eller administrativt tillhandahållen .ovpn-fil
  • OpenVPN-kompatibel klient på Android
  • MFA/OTP konfigurerat, om fjärråtkomst skyddas med det
  • Giltigt certifikat för VPN-portal och brandväggsåtkomst, om möjligt
  • Brandväggsregler för trafik från VPN-zonen
  • Klargjort split-tunnel- eller full-tunnel-design
  • Supportprocess för enhetsbyten, förlorade enheter och gamla profiler

Innan en uppgradering till SFOS 22.0 MR1 eller senare bör det också kontrolleras om gamla fjärråtkomst-IPsec-konfigurationer fortfarande finns. SSL VPN påverkas inte direkt av detta, men många miljöer omvärderar fjärråtkomst vid denna tidpunkt. Förfarandet finns i Migrera äldre fjärråtkomst-IPsec före SFOS 22 MR1.

Förbered brandvägg och VPN-portal

Android-konfigurationen är bara det sista steget. Innan dess måste brandväggskonfigurationen vara korrekt.

På Sophos Firewall bör dessa punkter kontrolleras:

  1. Öppna Remote access VPN.
  2. Konfigurera SSL VPN för de nödvändiga användarna eller grupperna.
  3. Använd en VPN-IP-pool utan överlappning med LAN, WLAN, VLAN, Site-to-Site-VPN eller typiska hemnätverk.
  4. Ställ in DNS-servrar och domänsuffix korrekt om interna namn används.
  5. Aktivera MFA för fjärråtkomst och testa med en testanvändare.
  6. Skapa brandväggsregel från VPN till den nödvändiga målzonen.
  7. Aktivera loggning för introduktionsfasen.
  8. Frigör VPN-portalen via Administration > Device access endast så brett som nödvändigt.

Den fullständiga brandväggsprocessen finns i Konfigurera Sophos Firewall SSL VPN Remote Access.

VPN-portalen är en offentligt tillgänglig ingångspunkt. Om den måste vara tillgänglig från internet bör certifikat, MFA, lands-/källbegränsning och loggkontroll planeras medvetet. För härdning passar Device Access och Local Service ACL på Sophos Firewall.

1. Installera OpenVPN Connect

Installera OpenVPN Connect från Google Play: OpenVPN Connect.

Om en annan OpenVPN-kompatibel klient är standardiserad i miljön bör detta beslut dokumenteras. Det blir problematiskt om användare parallellt använder olika VPN-appar, gamla profiler och olika instruktioner.

För support och drift bör det fastställas:

  • vilken klient som stöds
  • vilken appversion som minst förväntas
  • om användare får installera appen själva
  • hur profiler distribueras och återkallas
  • hur förlorade eller ersatta enheter hanteras

2. Öppna VPN-portalen

Öppna VPN-portalen för Sophos Firewall i webbläsaren på Android-enheten och logga in med VPN-användaren. I de flesta miljöer är den vanliga Android-webbläsaren eller Chrome tillräcklig. Det är viktigt att den nedladdade .ovpn-filen sedan kan överföras till OpenVPN Connect.

Om VPN-portalen öppnas med ett ogiltigt eller icke-betrott certifikat bör orsaken åtgärdas. Ett permanent webbläsarundantag är inte en bra driftsstandard för produktiv fjärråtkomst.

Vid MFA bör man testa processen med en riktig testanvändare. Det är särskilt viktigt om den andra faktorn efterfrågas i ett separat fält eller om lösenord och OTP-kod måste anges i förväntad form. Grunderna finns i Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access.

3. Ladda ner OVPN-konfiguration

I VPN-portalen, gå till området SSL VPN eller VPN och ladda ner konfigurationen för Android/iOS. Beroende på SFOS-version och portalvy heter länken något i stil med Download configuration for Android/iOS.

Den nedladdade filen har normalt ändelsen .ovpn. Denna fil är användarspecifik och bör inte delas med andra användare.

Viktigt:

  • Filen bör komma från den aktuella brandväggskonfigurationen.
  • Gamla filer från e-postarkiv, chattloggar eller nedladdningsmappar bör inte återanvändas.
  • Efter ändringar i SSL-VPN-policy, certifikat, gateway, DNS eller användargrupp bör profilen laddas om.
  • Om en användare lämnar företaget eller en enhet förloras måste användaråtkomst, gruppmedlemskap och profildistribution kontrolleras.

4. Importera profil i OpenVPN Connect

Om Android inte automatiskt erbjuder import kan .ovpn-filen öppnas via delningsfunktionen eller via filimport i OpenVPN Connect. OpenVPN Connect visar sedan den nya profilen och frågar vid första inställningen om tillstånd att skapa en VPN-anslutning.

Denna Android-bekräftelse är nödvändig för att appen ska kunna skapa en VPN-anslutning. Om bekräftelsen nekas kan profilen eventuellt visas i appen, men anslutningen kan inte upprättas korrekt.

Vid flera profiler bör namnet vara tydligt, till exempel med plats, miljö eller företagsnamn. Flera nästan likadant namngivna profiler är en vanlig supportorsak.

5. Upprätta VPN-anslutning

Aktivera den importerade profilen och logga in med VPN-användaren. Om MFA eller OTP är aktivt måste den andra faktorn bekräftas enligt brandväggskonfigurationen.

Efter en lyckad anslutning bör inte bara OpenVPN-appen visas som ansluten. Avgörande är om de planerade interna målen är nåbara och om trafiken på brandväggen träffar rätt regel.

Kontrollera efter konfigurationen

Minst dessa punkter bör kontrolleras med en testanvändare:

  • OpenVPN Connect visar anslutningen som ansluten.
  • Android visar VPN-status i statusfältet eller i nätverksinställningarna.
  • Användaren får en IP-adress från den förväntade SSL-VPN-poolen.
  • Interna DNS-namn löses korrekt.
  • Nödvändiga servrar, webbapplikationer eller tjänster är nåbara.
  • Internetbeteendet motsvarar designen: Split Tunnel eller Full Tunnel.
  • I Log Viewer är den förväntade brandväggsregeln för trafik från VPN-zonen synlig.
  • MFA efterfrågas som planerat.
  • Testa anslutningen igen efter flygplansläge, Wi-Fi-byte eller mobilnätbyte.
  • Gamla profiler har tagits bort eller tydligt markerats som föråldrade.

Om anslutningen är upprättad men ingen åtkomst fungerar, ligger orsaken ofta inte hos den mobila klienten, utan hos brandväggsregler, DNS, routing eller NAT. För analys passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Manuell distribution eller MDM?

För få Android-enheter kan den manuella importen via VPN-portalen, nedladdningsmappen och OpenVPN Connect vara tillräcklig. Så snart flera användare, hanterade smartphones eller regelbundna enhetsbyten är inblandade bör profildistributionen dock planeras medvetet. Annars ligger gamla .ovpn-filer kvar i nedladdningar, chattar, e-post eller privata molnlagringar och återanvänds senare vid supportfall.

VariantLämplig närVad man bör tänka på
Manuell importfå enheter, pilotgrupp, tillfällig användningtydliga instruktioner, aktuell profil, MFA-test och borttagning av gamla profiler
Distribution via MDM eller Endpoint Managementhanterade Android-enheter, många användare, återkommande ändringarApp-distribution, profilversion, enhetsförlust, återkallande av gamla profiler och supportprocess

Viktigt är återkallandet. Om en Android-enhet ersätts, en användare lämnar eller en SSL-VPN-policy ändras, räcker det inte att tillhandahålla en ny profil. Gamla profiler, gruppmedlemskap, sparade inloggningsuppgifter och eventuellt befintliga filkopior måste också kontrolleras.

Drift och säkerhet

Mobila VPN-profiler behöver tydliga driftsregler. Android-enheter växlar ofta mellan Wi-Fi, mobilnät, hotspots och Captive Portals. Dessutom går mobila enheter lättare förlorade eller ersätts snabbare än klassiska företagsbärbara datorer.

God praxis:

  • Uppdatera OpenVPN Connect regelbundet.
  • Aktivera och testa MFA för fjärråtkomst.
  • Granska VPN-grupper regelbundet.
  • Begränsa VPN-portalen via Device Access och Local Service ACL så långt som möjligt.
  • Håll brandväggsregler för VPN-zonen snäva och logga dem.
  • Ta bort gamla .ovpn-filer och föråldrade profiler.
  • Beakta enhetsbyten och förlorade enheter i supportprocessen.
  • Vid längre loggförvaring, planera för Syslog eller central utvärdering.

För loggfiler och serviceloggar är Sophos Firewall Troubleshooting: Services och Logs användbar.

Vanliga fel

OVPN-fil kan inte öppnas

Kontrollera först om OpenVPN Connect är installerat och om filen verkligen är en .ovpn. Ladda sedan ner filen igen från VPN-portalen eller överför den till OpenVPN Connect via delningsfunktionen.

Om filen distribueras via MDM, e-post eller fildelning bör det kontrolleras om filen har ändrats, bytt namn eller blockerats på vägen.

Import fungerar, men anslutning gör det inte

Då är det ofta Android-behörigheten för VPN-konfigurationen som inte har beviljats korrekt eller så passar profilen inte den aktuella brandväggskonfigurationen. Ta bort profilen, hämta den aktuella .ovpn-filen igen och importera på nytt.

Inloggning misslyckas

Kontrollera användare, lösenord, MFA, gruppmedlemskap och autentiseringsserver. Om AD, RADIUS eller Microsoft Entra ID SSO är inblandad bör autentiseringen testas separat från VPN. Ett inloggningsproblem är inte automatiskt ett OpenVPN-problem.

Anslutning är upprättad, men interna system är inte nåbara

Kontrollera DNS, brandväggsregler, routing, NAT och returväg. I Log Viewer bör trafik från VPN-zonen vara synlig. Om inga loggar visas når trafiken troligen inte den förväntade regeln eller loggning är inaktiverad.

För enskilda interna system är det ofta inte VPN som är defekt, utan en saknad brandväggsregel, ett felaktigt DNS-namn eller en returväg i målområdet.

Om små åtkomster fungerar, men större filöverföringar eller vissa applikationer hänger sig, bör MTU/MSS också kontrolleras: Kontrollera Sophos Firewall MTU och MSS vid VPN-problem.

Interna namn löses inte upp

Kontrollera DNS-servrar och sökdomän i SSL-VPN-konfigurationen. Testa sedan om interna system är nåbara via IP-adress. Om IP fungerar men inte namn, ligger orsaken troligen hos DNS, inte hos själva VPN-anslutningen.

Anslutning bryts vid nätverksbyte

För mobila enheter är Wi-Fi-byte, mobilnätbyte, Captive Portals och energisparmekanismer typiska orsaker. Testa med ett andra nätverk och kontrollera om beteendet kan reproduceras.

Om användare ofta byter mellan nätverk bör det kontrolleras om applikationen kan hantera korta VPN-avbrott eller om en annan åtkomstmodell passar bättre.

Checklista

Före utrullning

  • Stödd OpenVPN-klient definierad.
  • SSL-VPN-användargrupp kontrollerad.
  • MFA för fjärråtkomst testad.
  • VPN-portalen nåbar med giltigt certifikat.
  • Device Access och åtkomst från internet medvetet begränsad.
  • Brandväggsregler för VPN-zonen skapade och loggade.
  • Split Tunnel eller Full Tunnel dokumenterad.
  • Profildistribution och enhetsbytesprocess klargjord.

Efter import

  • Profil synlig i OpenVPN Connect.
  • Android-VPN-behörighet bekräftad.
  • Anslutning upprättad med testanvändare.
  • DNS, interna mål och brandväggsregel-match kontrollerad.
  • Wi-Fi, mobilnät och nätverksbyte testade.
  • Gamla profiler borttagna.

I drift

  • Håll OpenVPN-app och Android uppdaterade.
  • Granska användargrupper regelbundet.
  • Ta bort gamla profiler vid utträde eller enhetsförlust.
  • Kontrollera VPN-loggar tidigt vid supportfall.
  • Vid återkommande mobila problem, överväg ZTNA eller appbaserad åtkomst.

FAQ

Stöder Sophos Connect SSL VPN på Android?

Nej. Sophos Connect stöder inte Android direkt för IPsec och SSL VPN. På Android används en OpenVPN-kompatibel klient.

Måste OpenVPN Connect användas?

Inte nödvändigtvis. OpenVPN Connect är dock en vanlig standard för OpenVPN-profiler på Android. Om en annan klient används bör denna dokumenteras och stödjas internt.

Fungerar MFA med SSL VPN på Android?

Ja, om MFA är korrekt konfigurerat på Sophos Firewall för fjärråtkomst. Beroende på konfiguration hanteras den andra faktorn vid inloggning eller via lösenordsinmatning.

Är SSL VPN på Android bättre än IPsec?

Inte generellt. SSL VPN är ofta praktiskt när OpenVPN-profiler redan är etablerade. För vissa miljöer kan en annan fjärråtkomstdesign med IPsec, ZTNA eller appbaserad åtkomst passa bättre.

Varför fungerar anslutningen, men ingen intern applikation?

Då är tunneln bara en del av kontrollen. Ofta saknas brandväggsregler, DNS-upplösning, routing eller returvägar. I Log Viewer bör det kontrolleras om trafik från VPN-zonen träffar den förväntade regeln.