IPsec-Einstellungen für den Remotezugriff
Sie können die IPsec-VPN-Einstellungen für den Remote-Zugriff konfigurieren. Anschließend können Sie die Verbindung exportieren und die Konfigurationsdatei für Benutzer freigeben.
Notiz
Wenn Sie allgemeine oder erweiterte Einstellungen aktualisieren, müssen Sie die Konfigurationsdatei erneut für Benutzer freigeben, damit die Änderungen wirksam werden. Die .tgb
Die Datei enthält nur die allgemeinen Einstellungen und die .scx
Die Datei enthält sowohl allgemeine als auch erweiterte Einstellungen.
- Gehe zu Remote-Zugriff-VPN > IPsec.
- Geben Sie die folgenden Einstellungen an.
Allgemeine Einstellungen
Name | Beschreibung |
---|---|
IPsec-Fernzugriff | Klicken Aktivieren um es einzuschalten. |
Schnittstelle | Wählen Sie einen WAN-Port aus, der als Endpunkt für den Tunnel fungiert. |
IPsec-Profil | Wählen Sie ein Profil aus, um die IKE-Parameter (Internet Key Exchange) der Phase 1 und Phase 2 anzuwenden. Sie können IKEv1-Profile nur mit Dead-Peer-Erkennung (DPD) ausgeschaltet oder eingestellt Trennen. |
Authentifizierungstyp | Für die Verbindung zu verwendende Authentifizierung. Vorinstallierter Schlüssel: Wenn Sie einen vorinstallierten Schlüssel verwenden, wird dieser der Konfigurationsdatei hinzugefügt. Benutzer müssen den vorinstallierten Schlüssel nicht kennen. Digitales Zertifikat: Sie können lokal signierte oder von einer Zertifizierungsstelle ausgestellte Zertifikate verwenden. Stellen Sie sicher, dass das Zertifikat eine Zertifikats-ID hat. |
Remote-Zertifikat | Wenn Sie ein digitales Zertifikat ausgewählt haben, laden Sie ein Remote-Zertifikat hoch oder konfigurieren Sie ein lokal signiertes Zertifikat auf Zertifikate > Zertifikate, dann wählen Sie es hier aus. Wählen Sie nicht die Option Externes Zertifikat. |
Lokale ID | Wir empfehlen die Konfiguration einer lokalen ID, um sicherzustellen, dass Clients eine Verbindung zur richtigen Sophos Firewall herstellen. Lokale IDs werden nur zur Identifizierung des Firewall-Endes des Tunnels verwendet. Sie können daher beliebige DNS-, IP- oder E-Mail-Adressen eingeben. Wählen Sie aus den folgenden Optionen:
|
Remote-ID | Wir empfehlen, die Remote-ID zur Identifizierung der Remote-Clients zu konfigurieren. Sie darf nicht mit der lokalen ID identisch sein. Remote-IDs dienen ausschließlich zur Identifizierung des entfernten Endes des Tunnels. Sie können daher beliebige DNS-, IP- oder E-Mail-Adressen eingeben. Wählen Sie aus den folgenden Optionen:
|
Zugelassene Benutzer und Gruppen | Fügen Sie vorkonfigurierte Benutzer und Gruppen hinzu, die über IPsec-Tunnel für den Remotezugriff eine Verbindung herstellen können. Gastbenutzer haben keinen Zugriff auf Remote-Zugriff auf IPsec und SSL-VPNs. Sie können daher keine Gastbenutzer und Gastgruppen hinzufügen. |
Kundeninformation
Name | Beschreibung |
---|---|
Name | Geben Sie einen Namen für die Verbindung ein. |
IP zuweisen von | Geben Sie eine private IP-Adresse ein, die an die Clients vermietet werden soll. Der Bereich muss mindestens /24 Subnetz und darf nicht anderswo verwendet werden. |
Erlauben Sie das Leasing einer IP-Adresse vom RADIUS-Server für den L2TP-, PPTP- und IPsec-Remotezugriff | Wählen Sie diese Option, um bei Verwendung der RADIUS-Authentifizierung die IP-Adressen des RADIUS-Servers zu verwenden. Stellt der RADIUS-Server die Adressen nicht bereit, weist die Sophos Firewall dem Benutzer die für ihn konfigurierte statische Adresse zu oder least eine Adresse aus dem angegebenen Bereich. |
DNS-Server 1 DNS-Server 2 | Für die Verbindung zu verwendende primäre und sekundäre DNS-Server. |
Leerlaufzeit
Name | Beschreibung |
---|---|
Trennen, wenn der Tunnel inaktiv ist | Trennt inaktive Clients nach der angegebenen Zeit von der Sitzung. |
Zeitintervall für inaktive Sitzungen | Zeit in Sekunden, nach der die Firewall die Verbindung zu inaktiven Clients trennt. |
Notiz
Wenn Benutzer versuchen, die Verbindung wiederherzustellen, nachdem die Firewall inaktive Clients getrennt hat, startet der Sophos Connect Client die Sitzung im Hintergrund neu. Wenn Benutzer weiterhin keine Verbindung herstellen können, müssen sie auf Trennenund klicken Sie dann auf Verbinden auf dem Client, um die Sitzung erneut zu starten.
Erweiterte Einstellungen
Sophos Firewall fügt die erweiterten Einstellungen nur dem .scx
Datei, die mit Sophos Connect-Clients verwendet wird. Die .tgb
Datei verfügt nicht über diese Einstellungen. Die .tgb
Die Datei ist mit Clients von Drittanbietern kompatibel.
Name | Beschreibung |
---|---|
Als Standard-Gateway verwenden | Aktivieren Sie diese Option, um den gesamten Datenverkehr, einschließlich externer Internetanfragen, an die für den IPsec-Remotezugriff angegebene Schnittstelle zu senden. Damit Sophos Connect-Client-Benutzer ihre Internetanfragen über die Sophos Firewall senden können, müssen Sie eine Firewall-Regel konfigurieren, bei der die Quellzone auf VPN und die Zielzone auf WAN eingestellt ist. Deaktivieren Sie diese Option, um nur den Zugriff auf zulässige Ressourcen innerhalb des Netzwerks zuzulassen. Der Client stellt dann für den Datenverkehr außerhalb des Netzwerks eine Verbindung zum Internet her. Diese Einstellung gilt für alle Zugelassene Benutzer und Gruppen Sie geben in der Allgemeine Einstellungen. Wenn Sie diese Option für einige Benutzer aktivieren und für andere deaktivieren möchten, verwenden Sie SSL VPN (Fernzugriff). |
Erlaubte Netzwerkressourcen (IPv4) | Wählen Sie die Ressourcen aus, auf die diese Richtlinie Zugriff erlaubt. |
Senden Sie den Sicherheits-Heartbeat durch den Tunnel | Wenn der Sophos Endpoint Protection-Client auf den Endgeräten der Benutzer installiert ist, sendet er durch den Tunnel einen Heartbeat an die Sophos Firewall. |
Benutzern erlauben, Benutzernamen und Kennwort zu speichern | Benutzer können ihre Anmeldeinformationen auf ihrem Gerät speichern. Die Benutzeranmeldeinformationen werden mithilfe von Schlüsselbunddiensten sicher gespeichert. Wir empfehlen, diese Option zu aktivieren, wenn Sie Tunnel automatisch verbinden. |
Benutzer zur Eingabe eines 2FA-Tokens auffordern | Zeigt ein separates Eingabefeld im Sophos Connect Client an, in das Benutzer das OTP eingeben können. Ist dieses Feld deaktiviert, müssen Benutzer das OTP im folgenden Format in das Kennwortfeld eingeben: Derzeit sendet die Firewall die Details in In diesem Feld müssen Sie MFA für den Remote-Zugriff auf IPsec konfigurieren. Authentifizierung > Mehrfaktor-Authentifizierung oder mit OTP-Token von Drittanbietern. SCCLI, ein Befehlszeilentool zum Verwalten von Verbindungen im Sophos Connect Client, funktioniert nicht, wenn Sie diese Option aktivieren. |
Führen Sie nach der Verbindung das AD-Anmeldeskript aus | Wählen Sie diese Option aus, um das Skript auszuführen, das automatisch auf Active Directory-Benutzer angewendet wird, wenn diese sich anmelden. Sie können beispielsweise Skripts ausführen, die Netzlaufwerke zuordnen und Standardressourcen festlegen, auf die der Benutzer zugreifen kann. |
Tunnel automatisch verbinden | Wählen Sie diese Option aus, um die Verbindung automatisch zu aktivieren, wenn sich Benutzer bei ihren Endpunktgeräten anmelden. |
Zu überwachender Hostname oder DNS-Suffix | Geben Sie einen Hostnamen oder ein DNS-Suffix innerhalb des Netzwerks ein. Dies hilft Ihnen bei der Überwachung automatischer Verbindungen und zeigt an, ob das Endgerät des Benutzers über den Tunnel mit dem Host verbunden ist. Geben Sie einen Hostnamen oder ein Suffix an, das nur über einen internen DNS-Server aufgelöst werden kann. Sie müssen ICMP-Tests für den Host zulassen. |
Client-DNS-Suffix zuweisen | Geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local ), um es dem Netzwerkadapter des Remote-Endpunkts hinzuzufügen. Das Suffix wird an Hostnamen angehängt und bildet einen FQDN, um die DNS-Abfragen des Endpunkts aufzulösen. |
Volltunnel: Wenn Sie eingeschaltet haben Als Standard-Gateway verwenden In den erweiterten Einstellungen richtet die Sophos Firewall eine einzelne Encapsulating Security Payload (ESP) Security Association (SA) ein. Wenn innerhalb der Leerlaufzeit kein Datenverkehr stattfindet, werden SA und Tunnel gelöscht.
Split-Tunnel: Wenn Sie angegeben haben Erlaubte Netzwerkressourcen In den erweiterten Einstellungen erstellt die Sophos Firewall so viele ESP SAs wie Subnetze vorhanden sind. Wenn Sie beispielsweise vier Subnetze ausgewählt haben, richtet die Firewall vier Tunnel ein.
Es wird nur die untergeordnete SA gelöscht, durch die während der Leerlaufzeit kein Datenverkehr fließt. Die anderen SAs bleiben aktiv.
Sophos Connect Client herunterladen und aktualisieren
- Um den Sophos Connect-Client herunterzuladen, klicken Sie auf Client herunterladen.
- Um auf die neueste Version des Sophos Connect-Clients zu aktualisieren, gehen Sie zu Backup & Firmware > Musteraktualisierungen.
Laden Sie die Konfiguration herunter und setzen Sie sie zurück
- Um die Konfigurationsdateien herunterzuladen (
.scx
Und.tgb
), scrollen Sie nach unten und klicken Sie auf Exportverbindung. - Um zur Werkskonfiguration für den IPsec-Remotezugriff zurückzukehren, scrollen Sie nach unten und klicken Sie auf Zurücksetzen.
Videos
Weitere Ressourcen