Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-sophos-connect-client-configuration

Konfigurieren Sie IPsec Remote Access VPN mit dem Sophos Connect-Client

Sie können IPsec-Remote-Access-Verbindungen konfigurieren. Benutzer können die Verbindung über den Sophos Connect-Client herstellen.

Einführung

Gehen Sie wie folgt vor, um IPsec-Remote-Access-Verbindungen über den Sophos Connect-Client zu konfigurieren und herzustellen:

  • Optional: Generieren Sie ein lokal signiertes Zertifikat.
  • Konfigurieren Sie die IPsec-Remotezugriffsverbindung.
  • Senden Sie die Konfigurationsdatei an die Benutzer.
  • Optional: Einem Benutzer eine statische IP-Adresse zuweisen
  • Fügen Sie eine Firewall-Regel hinzu.
  • Zugriff auf Dienste zulassen.
  • Senden Sie den Sophos Connect-Client an Benutzer. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.

Benutzer müssen wie folgt vorgehen:

  • Installieren Sie den Sophos Connect-Client auf Ihren Endgeräten.
  • Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.

Notiz

IPsec Remote Access VPN unterstützt keine Verbindungen aus der LAN-Zone.

Konfigurieren eines lokal signierten Zertifikats

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

  2. Wählen Lokal signiertes Zertifikat generieren.

    Alternativ können Sie wählen Zertifikat hochladen wenn Sie eines haben.

    Select locally-signed certificate.

  3. Geben Sie die Zertifikatsdetails für das lokal signierte Zertifikat.

    Hier ist ein Beispiel:

    Certificate details.

  4. Geben Sie die Attribute für den Betreffnamen.

    Hier ist ein Beispiel:

    Subject name attributes.

  5. Unter Alternative Betreffnamen, geben Sie einen DNS-Namen oder eine IP-Adresse ein und klicken Sie auf die Schaltfläche „Hinzufügen“ (+).

    Hier ist ein Beispiel:

    Subject Alternative Names.

Konfigurieren von Remotezugriff auf IPsec

Legen Sie die Einstellungen für IPsec-Remotezugriffsverbindungen fest.

  1. Gehe zu Remote-Zugriff-VPN > IPsec und klicken Sie auf Aktivieren.

  2. Legen Sie die allgemeinen Einstellungen fest.

    Name Beispieleinstellungen
    Schnittstelle

    203.0.113.1

    Wählen Sie einen WAN-Port aus.
    IPsec-Profil

    DefaultRemoteAccess

    Sie können IKEv1-Profile nur mit Dead-Peer-Erkennung (DPD) ausgeschaltet oder eingestellt Trennen.
    Authentifizierungstyp Digital certificate
    Lokales Zertifikat Appliance certificate
    Remote-Zertifikat

    TestCert

    Wählen Sie ein lokal signiertes Zertifikat. Alternativ können Sie ein Zertifikat auswählen, das Sie hochgeladen haben auf Zertifikate > Zertifikate.
    Lokale ID

    Die Firewall wählt automatisch die lokale ID für digitale Zertifikate aus.

    Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Remote-ID Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Zugelassene Benutzer und Gruppen TestGroup

  3. Geben Sie die Clientinformationen an.

    Hier ist ein Beispiel:

    Name Beispieleinstellungen
    Name TestRemoteAccessVPN
    IP zuweisen von

    192.168.1.11

    192.168.1.254
    DNS-Server 1 192.168.1.5

    Client information settings.

  4. Geben Sie die gewünschten erweiterten Einstellungen an und klicken Sie auf Anwenden.

    Name Beispieleinstellungen
    Erlaubte Netzwerkressourcen (IPv4)

    LAN_10.1.1.0

    DMZ_192.168.2.0
    Senden Sie den Sicherheits-Heartbeat durch den Tunnel Sendet den Security Heartbeat von Remote-Clients durch den Tunnel.
    Benutzern erlauben, Benutzernamen und Kennwort zu speichern Benutzer können ihre Anmeldeinformationen speichern.

    Hier ist ein Beispiel:

    Advanced settings.

  5. Klicken Exportverbindung unten auf der Seite.

    Die exportierten tar.gz Datei enthält eine .scx Datei und eine .tgb Datei.

    Export the configuration file.

  6. Senden Sie die .scx Datei an Benutzer.

  7. Laden Sie optional den Client herunter und senden Sie ihn an die Benutzer.

Optional: Einem Benutzer eine statische IP-Adresse zuweisen

Um einem Benutzer, der sich über den Sophos Connect-Client verbindet, eine statische IP-Adresse zuzuweisen, gehen Sie wie folgt vor:

  1. Gehe zu Authentifizierung > Benutzerund wählen Sie den Benutzer aus.

  2. Gehen Sie auf der Einstellungsseite des Benutzers nach unten zu IPsec-Fernzugriffauf Aktivierenund geben Sie eine IP-Adresse ein.

    Hier ist ein Beispiel:

    Assign static IP address to a user connecting through the Sophos Connect client.

Hinzufügen einer Firewallregel

Konfigurieren Sie eine Firewall-Regel, um Datenverkehr vom VPN zum LAN und zur DMZ zuzulassen, da Sie in diesem Beispiel Remotebenutzern den Zugriff auf diese Zonen ermöglichen möchten.

  1. Geben Sie einen Namen ein.

  2. Geben Sie die Quell- und Zielzonen wie folgt an und klicken Sie auf Anwenden:

    Name Beispieleinstellungen
    Quellzonen VPN
    Zielzonen

    LAN

    DMZ

    Hier ist ein Beispiel:

    Source and destination zones in the firewall rule.

    Notiz

    Unter „Erweiterte Einstellungen“ für IPsec (Fernzugriff), wenn Sie auswählen Als Standard-Gateway verwendensendet der Sophos Connect Client den gesamten Datenverkehr des Remote-Benutzers, einschließlich des Internetverkehrs, durch den Tunnel. Um diesen Datenverkehr zuzulassen, müssen Sie zusätzlich Folgendes festlegen: Zielzone zum WAN in der Firewall-Regel.

Zugriff auf Dienste zulassen

Sie müssen Benutzern den Zugriff auf Dienste wie IPsec, VPN-Portal, DNS und Ping erlauben.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter IPsecwählen Sie die VAN Kontrollkästchen.

    Dadurch kann der Datenverkehr von Remote-Benutzern auf Remote-Zugriff und Site-to-Site-IPsec-VPN-Tunnel zugreifen.

  3. Unter VPN-Portalaktivieren Sie die Kontrollkästchen für UND, VAN, VPN, Und W-lan.

    Dadurch können sich Benutzer aus diesen Zonen beim VPN-Portal anmelden und den Sophos Connect Client herunterladen. Wir empfehlen, den Zugriff aus dem WAN nur temporär zuzulassen.

  4. (Optional) Unter DNSwählen Sie die VPN Kontrollkästchen.

    Dadurch können Remotebenutzer Domänennamen über VPN auflösen, wenn Sie die DNS-Auflösung durch die Firewall angegeben haben.

  5. (Optional) Unter Ping/Ping6wählen Sie die VPN Kontrollkästchen.

    Dadurch können Remotebenutzer die VPN-Konnektivität mit der Firewall überprüfen.

  6. Klicken Anwenden.

    Access to services through VPN.

Sophos Connect-Client auf Endgeräten konfigurieren

Benutzer müssen den Sophos Connect-Client auf ihren Endgeräten installieren und die .scx Datei an den Client.

Sie können die Sophos Connect-Client-Installationsprogramme von der Sophos Firewall-Webadministrationskonsole herunterladen und mit Benutzern teilen.

Alternativ können Benutzer den Sophos Connect-Client wie folgt vom VPN-Portal herunterladen:

  1. Melden Sie sich beim VPN-Portal an.
  2. Klicken VPN.

  3. Unter Sophos Connect-Clientauf eine der folgenden Optionen:

    • Download für Windows
    • Download für macOS

    Installers for the Sophos Connect client.

  4. Klicken Sie auf den heruntergeladenen Sophos Connect-Client.

    Sie können es dann in der Taskleiste Ihres Endgeräts sehen.

  5. Klicken Sie auf die Schaltfläche mit den drei Punkten in der oberen rechten Ecke, klicken Sie auf Importverbindungund wählen Sie die .scx Datei, die Ihr Administrator gesendet hat.

    Import connection.

  6. Melden Sie sich mit Ihren VPN-Portalanmeldeinformationen an.

    Sign in to the Sophos Connect client.

  7. Geben Sie den Bestätigungscode ein, wenn eine Zwei-Faktor-Authentifizierung erforderlich ist.

Zwischen dem Client und der Sophos Firewall wird eine IPsec-Remotezugriffsverbindung hergestellt.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung