FAQs zum Remote-Access-VPN
Grundlegende FAQs
Kann ich Remote-Access-IPsec-VPN- und Remote-Access-SSL-VPN-Tunnel auf Windows-, macOS- und Mobilplattformen einrichten?
In der folgenden Tabelle finden Sie VPN-Clients und Konfigurationen für die unterstützten Endpunktplattformen:
Endpunkt-Betriebssystem | IPsec | SSL VPN |
---|---|---|
Windows | Sophos Connect-Client
| Sophos Connect-Client
|
macOS | Sophos Connect-Client
| VPN-Client eines Drittanbieters
|
Android | VPN-Client eines Drittanbieters
| VPN-Client eines Drittanbieters
|
iOS | Kein Client erforderlich. Laden Sie die Konfiguration vom VPN-Portal herunter. | VPN-Client eines Drittanbieters
|
Sehen Unterstützte Plattformen für den Sophos Connect Client.
Sind Remote-Access-VPN-Verbindungen verschlüsselt?
Ja, der gesamte Datenverkehr zwischen der Firewall und den VPN-Clients ist verschlüsselt.
Um die Verschlüsselungseinstellungen anzuzeigen, gehen Sie wie folgt vor:
- IPsec VPN: Gehen Sie zu Remote-Zugriff-VPN > IPsec und klicken Sie auf IPsec-Profile. Auf der IPsec-Profile Registerkarte, siehe Verschlüsselungsalgorithmus.
- SSL VPN: Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen. Auf der Globale SSL-VPN-Einstellungen Registerkarte, siehe Kryptografische Einstellungen.
Bereitstellungsdatei
SSL-VPN-Verbindungen werden auf Gateways hergestellt, die nicht in der Bereitstellung konfiguriert sind (.pro
) Datei.
Der Sophos Connect Client verwendet nur die Gateways, die im .pro
Datei, um eine Verbindung zum VPN-Portal herzustellen und die VPN-Konfigurationen für den Remotezugriff abzurufen. Diese Gateways werden nicht zum Herstellen von VPN-Verbindungen verwendet.
IPsec: Tunnel werden über die Schnittstelle hergestellt, die Sie in der Konfiguration auswählen.
SSL VPN: Tunnel werden über die Schnittstellen aufgebaut, die auf Netzwerk > Schnittstellen wenn Sie SSL VPN aus ihren Zonen zugelassen haben (Verwaltung > Gerätezugriff > Lokale Dienst-ACL). Diese sind aufgeführt in .ovpn
Datei.
Um die öffentliche IP-Adresse oder eine bestimmte IP-Adresse für SSL VPN zu verwenden, gehen Sie zu Globale SSL-VPN-Einstellungen und geben Sie es ein in Hostnamen überschreiben. Sehen Globale SSL-VPN-Einstellungen.
Wie kann ich die Bereitstellungs- und Konfigurationsdateien verwenden, wenn sich die Firewall hinter einem Router befindet?
Bereitstellungsdatei: Geben Sie den FQDN oder die öffentliche IP-Adresse des Routers ein. Konfigurieren Sie die DNAT-Einstellungen des Routers, um den Datenverkehr an die Firewall weiterzuleiten.
IPsec: Im .scx
Datei, ändern Sie die Gateway-Adresse manuell in die WAN-IP-Adresse des Routers und konfigurieren Sie dann die Einstellungen des Routers.
SSL VPN: An Globale SSL-VPN-Einstellungen, Satz Hostnamen überschreiben zum öffentlichen FQDN oder zur WAN-IP-Adresse des Routers und konfigurieren Sie dann die Einstellungen des Routers.
Wann sollten Benutzer IPsec- und SSL-VPN-Konfigurationsänderungen manuell in den Sophos Connect-Client importieren?
IPsec: Benutzer müssen auf Verbindung bearbeiten klicken Klicken Sie im Sophos Connect-Client auf Updaterichtlinie, und laden Sie die Konfiguration vom VPN-Portal herunter.
SSL VPN: Für Änderungen an Port, Protokoll, Gateway und SSL-Serverzertifikat auf Globale SSL-VPN-Einstellungenmüssen Benutzer auf Updaterichtlinie im Client. Siehe Wenn SSL-VPN-Benutzer die Konfiguration erneut herunterladen müssen.
Wenn Sie die .pro
Datei holt es automatisch einige SSL VPN-Konfigurationsupdates. Alternativ können Sie die .pro
Datei auf den Endpunkten der Benutzer, um die IPsec- und SSL-VPN-Konfigurationen erneut abzurufen.
Bei Verwendung der Bereitstellungsdatei tritt ein Fehler aufgrund eines nicht vertrauenswürdigen Zertifikats auf.
Der Fehler tritt auf, wenn Sie das Standardzertifikat der Firewall für die Webadministrationskonsole und das VPN-Portal verwenden (Verwaltung > Administrator- und Benutzereinstellungen). Der .pro
Die Datei stellt eine Verbindung zum VPN-Portal her, um die VPN-Konfigurationen abzurufen, was zu dem Fehler führt, weil das Standardzertifikat privat ist.
Sehen Fehler „Nicht vertrauenswürdiges Zertifikat entfernen“.
Multi-Faktor-Authentifizierung
Wie implementiere ich MFA für VPN-Benutzer mit Remotezugriff?
Gehe zu Authentifizierung > Multi-Faktor-Authentifizierung und konfigurieren Sie MFA. Siehe Konfigurieren von MFA mit einer Authentifizierungs-App
Stellen Sie sicher, dass Sie Folgendes auswählen:
- Benutzerportal
- SSL VPN-Fernzugriff
- IPsec-Fernzugriff
Wie implementiere ich ein eigenständiges Eingabefeld für OTP im Sophos Connect Client?
Um das dritte Eingabefeld anzuzeigen, gehen Sie wie folgt vor:
- IPsec: Gehe zu Fernzugriff > IPsec. Unter Erweiterte Einstellungen, wählen Benutzer zur Eingabe eines 2FA-Tokens auffordern und klicken Sie auf Anwenden.
-
IPsec Und SSL VPN: Legen Sie die folgenden Werte in der Bereitstellungsdatei fest:
- otp:
true
- 2fa:
1
- otp:
Unterstützt der Sophos Connect-Client die Challenge-basierte MFA?
Nein. Der Sophos Connect Client unterstützt derzeit keine OTP-Challenge. Er sendet das Passwort und die OTP-Daten in passwordotp
Format an den Authentifizierungsserver. Wenn der Authentifizierungsserver also eine OTP-Challenge sendet, empfängt er nicht nur das OTP, und es findet keine Authentifizierung statt.
Der Sophos Connect Client unterstützt Call- und Push-basierte MFA. Die Web-Admin-Konsole unterstützt zusätzlich Challenge-basierte MFA.
Remotezugriff auf IPsec
Kann ich Remote-Access-IPsec-Verbindungen über mehr als eine WAN-Schnittstelle herstellen?
Derzeit können Sie Remote-Access-IPsec-Verbindungen nur über eine einzige WAN-Schnittstelle herstellen.
Fernzugriff SSL VPN
Warum kann ich in den globalen SSL-VPN-Einstellungen keine Subnetze hinzufügen, die kleiner als /24 sind?
Die Firewall betreibt SSL-VPN-Tunnel in mehreren Instanzen, abhängig von der Anzahl der CPUs im Modell. Jede Instanz erstellt einen tun0
Schnittstelle, die ein unabhängiges Subnetz für das Routing und die interne Verkehrsverteilung erfordert.
Die Firewall trennt automatisch Subnetze aus der konfigurierten Netzwerkadresse und dem Subnetz und weist sie dem tun0
Schnittstellen. Kleinere Subnetze, wie /25
und kleiner, führen zu weniger zu vermietenden IP-Adressen.
Beispielsweise 192.168.0.0/27
Netzwerk in einer Firewall mit acht gleichzeitigen Instanzen hat eine einzige mietbare IP-Adresse nach der Zuweisung der Subnetze zu den acht tun0
Schnittstellen.