Konfigurieren Sie IPsec Remote Access VPN mit dem Sophos Connect-Client
Sie können IPsec-Remote-Access-Verbindungen konfigurieren. Benutzer können die Verbindung über den Sophos Connect-Client herstellen.
Einführung
Gehen Sie wie folgt vor, um IPsec-Remote-Access-Verbindungen über den Sophos Connect-Client zu konfigurieren und herzustellen:
- Optional: Generieren Sie ein lokal signiertes Zertifikat.
- Konfigurieren Sie die IPsec-Remotezugriffsverbindung.
- Senden Sie die Konfigurationsdatei an die Benutzer.
- Optional: Einem Benutzer eine statische IP-Adresse zuweisen
- Fügen Sie eine Firewall-Regel hinzu.
- Zugriff auf Dienste zulassen.
- Senden Sie den Sophos Connect-Client an Benutzer. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.
Benutzer müssen wie folgt vorgehen:
- Installieren Sie den Sophos Connect-Client auf Ihren Endgeräten.
- Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.
Notiz
IPsec Remote Access VPN unterstützt keine Verbindungen aus der LAN-Zone.
Konfigurieren eines lokal signierten Zertifikats
- Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
-
Wählen Lokal signiertes Zertifikat generieren.
Alternativ können Sie wählen Zertifikat hochladen wenn Sie eines haben.
-
Geben Sie die Zertifikatsdetails für das lokal signierte Zertifikat.
Hier ist ein Beispiel:
-
Geben Sie die Attribute für den Betreffnamen.
Hier ist ein Beispiel:
-
Unter Alternative Betreffnamen, geben Sie einen DNS-Namen oder eine IP-Adresse ein und klicken Sie auf die Schaltfläche „Hinzufügen“ (+).
Hier ist ein Beispiel:
Konfigurieren von Remotezugriff auf IPsec
Legen Sie die Einstellungen für IPsec-Remotezugriffsverbindungen fest.
- Gehe zu Remote-Zugriff-VPN > IPsec und klicken Sie auf Aktivieren.
-
Legen Sie die allgemeinen Einstellungen fest.
Name Beispieleinstellungen Schnittstelle 203.0.113.1
Wählen Sie einen WAN-Port aus.
IPsec-Profil DefaultRemoteAccess
Sie können IKEv1-Profile nur mit Dead-Peer-Erkennung (DPD) ausgeschaltet oder eingestellt Trennen.
Authentifizierungstyp Digital certificate
Lokales Zertifikat Appliance certificate
Remote-Zertifikat TestCert
Wählen Sie ein lokal signiertes Zertifikat. Alternativ können Sie ein Zertifikat auswählen, das Sie hochgeladen haben auf Zertifikate > Zertifikate.
Lokale ID Die Firewall wählt automatisch die lokale ID für digitale Zertifikate aus.
Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
Remote-ID Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben. Zugelassene Benutzer und Gruppen TestGroup
-
Geben Sie die Clientinformationen an.
Hier ist ein Beispiel:
Name Beispieleinstellungen Name TestRemoteAccessVPN
IP zuweisen von 192.168.1.11
192.168.1.254
DNS-Server 1 192.168.1.5
-
Geben Sie die gewünschten erweiterten Einstellungen an und klicken Sie auf Anwenden.
Name Beispieleinstellungen Erlaubte Netzwerkressourcen (IPv4) LAN_10.1.1.0
DMZ_192.168.2.0
Senden Sie den Sicherheits-Heartbeat durch den Tunnel Sendet den Security Heartbeat von Remote-Clients durch den Tunnel. Benutzern erlauben, Benutzernamen und Kennwort zu speichern Benutzer können ihre Anmeldeinformationen speichern. Hier ist ein Beispiel:
-
Klicken Exportverbindung unten auf der Seite.
Die exportierten
tar.gz
Datei enthält eine.scx
Datei und eine.tgb
Datei. -
Senden Sie die
.scx
Datei an Benutzer. - Laden Sie optional den Client herunter und senden Sie ihn an die Benutzer.
Optional: Einem Benutzer eine statische IP-Adresse zuweisen
Um einem Benutzer, der sich über den Sophos Connect-Client verbindet, eine statische IP-Adresse zuzuweisen, gehen Sie wie folgt vor:
- Gehe zu Authentifizierung > Benutzerund wählen Sie den Benutzer aus.
-
Gehen Sie auf der Einstellungsseite des Benutzers nach unten zu IPsec-Fernzugriffauf Aktivierenund geben Sie eine IP-Adresse ein.
Hier ist ein Beispiel:
Hinzufügen einer Firewallregel
Konfigurieren Sie eine Firewall-Regel, um Datenverkehr vom VPN zum LAN und zur DMZ zuzulassen, da Sie in diesem Beispiel Remotebenutzern den Zugriff auf diese Zonen ermöglichen möchten.
- Geben Sie einen Namen ein.
-
Geben Sie die Quell- und Zielzonen wie folgt an und klicken Sie auf Anwenden:
Name Beispieleinstellungen Quellzonen VPN
Zielzonen LAN
DMZ
Hier ist ein Beispiel:
Notiz
Unter „Erweiterte Einstellungen“ für IPsec (Fernzugriff), wenn Sie auswählen Als Standard-Gateway verwendensendet der Sophos Connect Client den gesamten Datenverkehr des Remote-Benutzers, einschließlich des Internetverkehrs, durch den Tunnel. Um diesen Datenverkehr zuzulassen, müssen Sie zusätzlich Folgendes festlegen: Zielzone zum WAN in der Firewall-Regel.
Zugriff auf Dienste zulassen
Sie müssen Benutzern den Zugriff auf Dienste wie IPsec, VPN-Portal, DNS und Ping erlauben.
- Gehe zu Verwaltung > Gerätezugriff.
-
Unter IPsecwählen Sie die VAN Kontrollkästchen.
Dadurch kann der Datenverkehr von Remote-Benutzern auf Remote-Zugriff und Site-to-Site-IPsec-VPN-Tunnel zugreifen.
-
Unter VPN-Portalaktivieren Sie die Kontrollkästchen für UND, VAN, VPN, Und W-lan.
Dadurch können sich Benutzer aus diesen Zonen beim VPN-Portal anmelden und den Sophos Connect Client herunterladen. Wir empfehlen, den Zugriff aus dem WAN nur temporär zuzulassen.
-
(Optional) Unter DNSwählen Sie die VPN Kontrollkästchen.
Dadurch können Remotebenutzer Domänennamen über VPN auflösen, wenn Sie die DNS-Auflösung durch die Firewall angegeben haben.
-
(Optional) Unter Ping/Ping6wählen Sie die VPN Kontrollkästchen.
Dadurch können Remotebenutzer die VPN-Konnektivität mit der Firewall überprüfen.
-
Klicken Anwenden.
Sophos Connect-Client auf Endgeräten konfigurieren
Benutzer müssen den Sophos Connect-Client auf ihren Endgeräten installieren und die .scx
Datei an den Client.
Sie können die Sophos Connect-Client-Installationsprogramme von der Sophos Firewall-Webadministrationskonsole herunterladen und mit Benutzern teilen.
Alternativ können Benutzer den Sophos Connect-Client wie folgt vom VPN-Portal herunterladen:
- Melden Sie sich beim VPN-Portal an.
- Klicken VPN.
-
Unter Sophos Connect-Clientauf eine der folgenden Optionen:
- Download für Windows
- Download für macOS
-
Klicken Sie auf den heruntergeladenen Sophos Connect-Client.
Sie können es dann in der Taskleiste Ihres Endgeräts sehen.
-
Klicken Sie auf die Schaltfläche mit den drei Punkten in der oberen rechten Ecke, klicken Sie auf Importverbindungund wählen Sie die
.scx
Datei, die Ihr Administrator gesendet hat. -
Melden Sie sich mit Ihren VPN-Portalanmeldeinformationen an.
-
Geben Sie den Bestätigungscode ein, wenn eine Zwei-Faktor-Authentifizierung erforderlich ist.
Zwischen dem Client und der Sophos Firewall wird eine IPsec-Remotezugriffsverbindung hergestellt.