Konfigurieren Sie ein Remote-Access-SSL-VPN als Split-Tunnel
Sie können SSL-VPN-Verbindungen für den Remote-Zugriff im Split-Tunnel-Modus konfigurieren. Nur der Datenverkehr zu den zulässigen Netzwerkressourcen passiert die Firewall.
Benutzer können die Verbindung mithilfe des Sophos Connect-Clients herstellen.
Videos
Konfigurieren Sie den Remotezugriff auf IPsec und SSL VPN
Konfigurieren von Microsoft Entra ID SSO für Sophos Connect
Überblick
Mit dem Sophos Connect-Client können Sie erweiterte Sicherheits- und Flexibilitätseinstellungen erzwingen, beispielsweise die automatische Verbindung des Tunnels.
Vorläufige Konfigurationen:
- Konfigurieren Sie IP-Hosts für die lokalen Subnetze.
- Konfigurieren Sie Benutzer und Gruppen.
- (Optional) Richten Sie einen Authentifizierungsserver wie Microsoft Entra ID ein.
- Überprüfen Sie die Authentifizierungsmethoden.
So konfigurieren und richten Sie SSL-VPN-Verbindungen für den Remote-Zugriff mithilfe des Sophos Connect-Clients ein:
- Konfigurieren Sie die SSL-VPN-Einstellungen.
- Senden Sie die Konfigurationsdatei an die Benutzer.
- Fügen Sie eine Firewall-Regel hinzu.
- Senden Sie den Sophos Connect-Client an Benutzer. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.
Beschränkung
Der Sophos Connect Client unterstützt derzeit macOS nicht für SSL VPN. Auch mobile Plattformen für IPsec und SSL VPN werden nicht unterstützt. Für diese Endpunkte können Sie den OpenVPN Connect Client verwenden. Siehe Sophos Connect Client: Kompatibilität mit Plattformen.
Benutzer müssen wie folgt vorgehen:
- Installieren Sie den Sophos Connect-Client auf Ihren Endgeräten.
- Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.
Erstellen Sie einen IP-Host für das lokale Subnetz
Das lokale Subnetz definiert die Netzwerkressourcen, auf die Remoteclients zugreifen können.
- Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.
-
Geben Sie einen Namen und ein Netzwerk für das lokale Subnetz ein.
-
Klicken Speichern.
Erstellen einer Benutzergruppe und Hinzufügen eines Benutzers
Sie erstellen eine Benutzergruppe für das Remote-SSL-VPN und fügen einen Benutzer hinzu. Die Gruppe legt ein Surfkontingent und eine Zugriffszeit fest. In diesem Beispiel erhalten die Benutzer der Gruppe unbegrenzten Zugriff.
- Gehe zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
-
Legen Sie die Einstellungen fest.
Einstellung Beschreibung Name Remote-SSL-VPN-Gruppe Surfkontingent Unbegrenzter Internetzugang Zugriffszeit Jederzeit erlaubt -
Klicken Speichern.
- Gehe zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
-
Legen Sie die Einstellungen fest.
Einstellung Beschreibung Benutzername John Smith Name John Smith Gruppe Remote-SSL-VPN-Gruppe -
Klicken Speichern.
Einrichten von Microsoft Entra ID SSO
Sie können die Microsoft Entra ID Single Sign-On (SSO)-Authentifizierung für den Remote-Zugriff auf SSL VPN einrichten. Siehe Microsoft Entra ID (Azure AD)-Server.
Gehen Sie wie folgt vor, um die Microsoft Entra ID SSO-Authentifizierung einzurichten:
- Konfigurieren Sie die Microsoft Entra-ID im Azure-Portal. Siehe Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.
- Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
- (Optional) Importieren Sie Gruppen aus Microsoft Entra ID. Siehe Importgruppen.
- Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.
Überprüfen Sie die Authentifizierungsdienste
Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und SSL VPN verwenden möchten, in Authentifizierung > Leistungen.
In diesem Beispiel legen Sie die Authentifizierungsmethoden VPN-Portal und SSL VPN auf lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.
- Gehe zu Authentifizierung > Leistungen.
-
Unter Authentifizierungsmethoden für VPN-Portale, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.
-
Unter SSL-VPN-Authentifizierungsmethoden, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.
Notiz
Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode in Authentifizierung > Leistungen bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.
Sie müssen denselben Microsoft Entra ID-Server für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden konfigurieren.
Geben Sie ein Subnetz für SSL-VPN-Clients an
Wenn SSL VPN-Clients eine Verbindung zur Sophos Firewall herstellen, werden ihnen IP-Adressen aus dem hier angegebenen Subnetz zugewiesen. Sie müssen eine private Adresse verwenden.
-
Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen.
-
Geben Sie die private IP-Adresse und das Subnetz an, die für Remotebenutzer geleast werden sollen.
-
Klicken Anwenden.
Hinzufügen einer SSL-VPN-Remotezugriffsrichtlinie
Sie erstellen eine Richtlinie, die Benutzern in der Remote-SSL-VPN-Gruppe die Verbindung ermöglicht. Diese Benutzer dürfen auf Ressourcen im lokalen Subnetz zugreifen.
- Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Hinzufügen.
- Klicken Manuell konfigurieren.
- Geben Sie einen Namen ein.
- Wählen Sie die Richtlinienmitglieder aus.
-
Wählen Sie die zulässigen Netzwerkressourcen aus, auf die Mitglieder zugreifen dürfen.
-
Klicken Anwenden.
Hinzufügen einer Firewallregel
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Wählen IPv4 oder IPv6.
- Klicken Firewallregel hinzufügen Und Neue Firewall-Regel.
- Geben Sie einen Regelnamen ein.
- Für Quellzone, wählen VPN.
-
Für Quellnetzwerke und -geräte, wählen ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.
Diese Hosts enthalten die IP-Adressen, die an Remotebenutzer vermietet werden, die eine Verbindung hergestellt haben.
-
Für ZielzonenWählen Sie die Zonen der Ressourcen aus, denen Sie Remotezugriff gewähren möchten.
- Für Zielnetzwerke, wählen Sie den IP-Host aus, den Sie für die zulässigen Netzwerkressourcen erstellt haben.
-
Klicken Speichern.
Hier ist ein Beispiel:
Überprüfen Sie die Gerätezugriffseinstellungen
Sie müssen Remotebenutzern aus den erforderlichen Zonen Zugriff auf einige Dienste gewähren.
- Gehe zu Verwaltung > Gerätezugriff.
-
Unter SSL VPN, wählen VAN um Remotebenutzern das Herstellen von SSL-VPN-Verbindungen zu ermöglichen.
-
Unter VPN-Portal, wählen UND, VAN, VPN, Und W-lan.
Benutzer können auf das VPN-Portal zugreifen und den VPN-Client und die Konfigurationsdateien aus diesen Zonen herunterladen.
-
(Optional) Unter Ping/Ping6, wählen VPN.
Benutzer können die IP-Adresse der Firewall über VPN anpingen, um die Konnektivität zu überprüfen.
-
(Optional) Unter DNS, wählen VPN.
Benutzer können Domänennamen über VPN auflösen, wenn Sie in den VPN-Einstellungen die Firewall für die DNS-Auflösung angegeben haben.
-
Klicken Anwenden.
Installieren und konfigurieren Sie den Sophos Connect-Client auf Endpunkten
Um Remote-Access-SSL-VPN-Verbindungen herzustellen, müssen Benutzer den Sophos Connect-Client auf ihren Endgeräten installieren und die .ovpn
Datei an den Client.
Sie können das Sophos Connect Client-Installationsprogramm von der Sophos Firewall-Webadministrationskonsole herunterladen und mit Benutzern teilen. Alternativ können Benutzer den Client wie folgt vom VPN-Portal herunterladen:
- Melden Sie sich beim VPN-Portal an.
- Klicken VPN.
-
Unter Sophos Connect-Clientauf Download für Windows.
Notiz
Informationen darüber, welche Endpoint-Plattformen der Sophos Connect Client unterstützt, finden Sie unter Sophos Connect Client: Kompatibilität mit Plattformen.
-
Klicken Download-Konfiguration für Windows, macOS, Linux zum Herunterladen der
.ovpn
Konfigurationsdatei. -
Klicken Sie auf den heruntergeladenen Sophos Connect-Client.
Sie können es dann in der Taskleiste Ihres Endgeräts sehen.
-
Klicken Importverbindungund wählen Sie die
.ovpn
Datei, die Sie heruntergeladen haben. -
Melden Sie sich mit Ihren VPN-Portalanmeldeinformationen oder über SSO an.
Weitere Ressourcen