Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-SSL-VPN-add-policy

Hinzufügen einer SSL-VPN-Richtlinie für den Remotezugriff

Sie können SSL-VPN-Richtlinien für den Remote-Zugriff konfigurieren, um Benutzern und Gruppen den Zugriff auf die zulässigen Netzwerkressourcen zu ermöglichen. Sie können auch festlegen, dass ihr Internetverkehr die Firewall passiert.

Das Gateway, die Client-Adressen und andere Einstellungen basieren auf Globale SSL-VPN-Einstellungen.

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Hinzufügen.
  2. Klicken Manuell konfigurieren.
  3. Geben Sie einen Namen ein.

  4. Für Richtlinienmitglieder, wählen Sie die vorkonfigurierten Benutzer und Gruppen aus.

    Gastbenutzer haben keinen Zugriff auf Remote-Zugriff auf IPsec und SSL-VPNs. Sie können daher keine Gastbenutzer und Gastgruppen hinzufügen.

  5. Einschalten Als Standard-Gateway verwenden um den Internetverkehr von Remote-Access-Benutzern durch die Firewall zu senden.

    Tipp

    Sie müssen auch die zulässigen Netzwerkressourcen auswählen, wenn Remotebenutzer auf diese internen Ressourcen zugreifen sollen.

    Notiz

    Wenn Sie die Standard-Gateway-Einstellung aktivieren, gelten die Regeln und Schutzrichtlinien der Firewall für den Internetverkehr der Remote-Benutzer. Konfigurieren Sie daher eine Firewall-Regel mit der Quellzone auf VPN und die Zielzone auf Beliebig um Internetverkehr und die zulässigen Ressourcen zuzulassen. Sie müssen außerdem prüfen, ob die standardmäßige IPv4-SNAT-Regel oder eine SNAT-Regel zur Maskierung des ausgehenden Datenverkehrs vorhanden ist. Ist dies nicht der Fall, müssen Sie eine verknüpfte NAT-Regel konfigurieren, um die per SSL VPN geleasten IP-Adressen in eine öffentlich routbare IP-Adresse zu übersetzen. Siehe Überprüfen Sie die SNAT-Regel.

    Sie können die Quellnetzwerke auch auf die Systemhosts einstellen ##ALL_SSLVPN_RW Und ##ALL_SSLVPN_RW6.

  6. Für Erlaubte NetzwerkressourcenWählen Sie die internen Netzwerke aus, auf die die Remotezugriffsbenutzer der Richtlinie zugreifen sollen.

    Sie können auch FQDNs für zulässige IPv4-Netzwerke auswählen. VPN-Protokolle zeigen die aufgelösten IP-Adressen anstelle der FQDNs.

    Notiz

    Dynamische IP-Adressänderungen für FQDNs werden für SSL-VPN-Tunnel nicht automatisch aktualisiert. Remotebenutzer müssen die Verbindung manuell trennen und wiederherstellen, um auf die zulässige Ressource zuzugreifen.

  7. (Optional) Auswählen Inaktive Clients trennen wenn Sie eine bestimmte Zeit festlegen möchten, zu der die Firewall die Verbindung von Clients mit inaktiven Sitzungen trennt.

  8. (Optional) Für Globales Timeout außer Kraft setzen, geben Sie die Zeit in Minuten ein.

    Notiz

    Dieser Timeout-Wert gilt nur, wenn er niedriger ist als der Leerlauf-Peer-Wert in Globale SSL-VPN-EinstellungenWenn Sie einen höheren Wert angeben, gilt der Wert der globalen Einstellungen.

Verkehr zulassen

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Um Datenverkehr für die Dienste aus bestimmten Zonen zuzulassen, stellen Sie sicher, dass Sie die folgenden Zonen auswählen:

    1. SSL-VPN: WAN

    2. VPN-Portal: LAN, WAN

      Benutzer müssen die Konfigurationsdatei vom VPN-Portal herunterladen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung