Zur Startseite gehen
0,00 €*

Konfigurieren Sie ein Remote-Access-SSL-VPN als Split-Tunnel

Sie können SSL-VPN-Verbindungen für den Remote-Zugriff im Split-Tunnel-Modus konfigurieren. Nur der Datenverkehr zu den zulässigen Netzwerkressourcen passiert die Firewall.

Benutzer können die Verbindung mithilfe des Sophos Connect-Clients herstellen.

Videos

Konfigurieren Sie den Remotezugriff auf IPsec und SSL VPN

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Überblick

Mit dem Sophos Connect-Client können Sie erweiterte Sicherheits- und Flexibilitätseinstellungen erzwingen, beispielsweise die automatische Verbindung des Tunnels.

Vorläufige Konfigurationen:

  • Konfigurieren Sie IP-Hosts für die lokalen Subnetze.
  • Konfigurieren Sie Benutzer und Gruppen.
  • (Optional) Richten Sie einen Authentifizierungsserver wie Microsoft Entra ID ein.
  • Überprüfen Sie die Authentifizierungsmethoden.

So konfigurieren und richten Sie SSL-VPN-Verbindungen für den Remote-Zugriff mithilfe des Sophos Connect-Clients ein:

  • Konfigurieren Sie die SSL-VPN-Einstellungen.
  • Senden Sie die Konfigurationsdatei an die Benutzer.
  • Fügen Sie eine Firewall-Regel hinzu.
  • Senden Sie den Sophos Connect-Client an Benutzer. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.

Beschränkung

Der Sophos Connect Client unterstützt derzeit macOS nicht für SSL VPN. Auch mobile Plattformen für IPsec und SSL VPN werden nicht unterstützt. Für diese Endpunkte können Sie den OpenVPN Connect Client verwenden. Siehe Sophos Connect Client: Kompatibilität mit Plattformen.

Benutzer müssen wie folgt vorgehen:

  • Installieren Sie den Sophos Connect-Client auf Ihren Endgeräten.
  • Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.

Erstellen Sie einen IP-Host für das lokale Subnetz

Das lokale Subnetz definiert die Netzwerkressourcen, auf die Remoteclients zugreifen können.

  1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

  2. Geben Sie einen Namen und ein Netzwerk für das lokale Subnetz ein.

    IP host for local subnet.

  3. Klicken Speichern.

Erstellen einer Benutzergruppe und Hinzufügen eines Benutzers

Sie erstellen eine Benutzergruppe für das Remote-SSL-VPN und fügen einen Benutzer hinzu. Die Gruppe legt ein Surfkontingent und eine Zugriffszeit fest. In diesem Beispiel erhalten die Benutzer der Gruppe unbegrenzten Zugriff.

  1. Gehe zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Einstellung Beschreibung
    Name Remote-SSL-VPN-Gruppe
    Surfkontingent Unbegrenzter Internetzugang
    Zugriffszeit Jederzeit erlaubt

  3. Klicken Speichern.

  4. Gehe zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Einstellung Beschreibung
    Benutzername John Smith
    Name John Smith
    Gruppe Remote-SSL-VPN-Gruppe

  6. Klicken Speichern.

Einrichten von Microsoft Entra ID SSO

Sie können die Microsoft Entra ID Single Sign-On (SSO)-Authentifizierung für den Remote-Zugriff auf SSL VPN einrichten. Siehe Microsoft Entra ID (Azure AD)-Server.

Gehen Sie wie folgt vor, um die Microsoft Entra ID SSO-Authentifizierung einzurichten:

  1. Konfigurieren Sie die Microsoft Entra-ID im Azure-Portal. Siehe Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
  3. (Optional) Importieren Sie Gruppen aus Microsoft Entra ID. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Überprüfen Sie die Authentifizierungsdienste

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und SSL VPN verwenden möchten, in Authentifizierung > Leistungen.

In diesem Beispiel legen Sie die Authentifizierungsmethoden VPN-Portal und SSL VPN auf lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Leistungen.

  2. Unter Authentifizierungsmethoden für VPN-Portale, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter SSL-VPN-Authentifizierungsmethoden, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in SSL VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode in Authentifizierung > Leistungen bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Sie müssen denselben Microsoft Entra ID-Server für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden konfigurieren.

Geben Sie ein Subnetz für SSL-VPN-Clients an

Wenn SSL VPN-Clients eine Verbindung zur Sophos Firewall herstellen, werden ihnen IP-Adressen aus dem hier angegebenen Subnetz zugewiesen. Sie müssen eine private Adresse verwenden.

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen.

    VPN settings.

  2. Geben Sie die private IP-Adresse und das Subnetz an, die für Remotebenutzer geleast werden sollen.

    IPv4 lease range.

  3. Klicken Anwenden.

Hinzufügen einer SSL-VPN-Remotezugriffsrichtlinie

Sie erstellen eine Richtlinie, die Benutzern in der Remote-SSL-VPN-Gruppe die Verbindung ermöglicht. Diese Benutzer dürfen auf Ressourcen im lokalen Subnetz zugreifen.

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Hinzufügen.
  2. Klicken Manuell konfigurieren.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie die Richtlinienmitglieder aus.

  5. Wählen Sie die zulässigen Netzwerkressourcen aus, auf die Mitglieder zugreifen dürfen.

    Specify policy members and permitted network resources.

  6. Klicken Anwenden.

Hinzufügen einer Firewallregel

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 oder IPv6.
  3. Klicken Firewallregel hinzufügen Und Neue Firewall-Regel.
  4. Geben Sie einen Regelnamen ein.
  5. Für Quellzone, wählen VPN.

  6. Für Quellnetzwerke und -geräte, wählen ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.

    Diese Hosts enthalten die IP-Adressen, die an Remotebenutzer vermietet werden, die eine Verbindung hergestellt haben.

  7. Für ZielzonenWählen Sie die Zonen der Ressourcen aus, denen Sie Remotezugriff gewähren möchten.

  8. Für Zielnetzwerke, wählen Sie den IP-Host aus, den Sie für die zulässigen Netzwerkressourcen erstellt haben.

  9. Klicken Speichern.

    Hier ist ein Beispiel:

    Firewall rule's matching criteria.

Überprüfen Sie die Gerätezugriffseinstellungen

Sie müssen Remotebenutzern aus den erforderlichen Zonen Zugriff auf einige Dienste gewähren.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter SSL VPN, wählen VAN um Remotebenutzern das Herstellen von SSL-VPN-Verbindungen zu ermöglichen.

  3. Unter VPN-Portal, wählen UND, VAN, VPN, Und W-lan.

    Benutzer können auf das VPN-Portal zugreifen und den VPN-Client und die Konfigurationsdateien aus diesen Zonen herunterladen.

  4. (Optional) Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über VPN anpingen, um die Konnektivität zu überprüfen.

  5. (Optional) Unter DNS, wählen VPN.

    Benutzer können Domänennamen über VPN auflösen, wenn Sie in den VPN-Einstellungen die Firewall für die DNS-Auflösung angegeben haben.

  6. Klicken Anwenden.

    Turn on access from zones for SSL VPN and VPN portal.

Installieren und konfigurieren Sie den Sophos Connect-Client auf Endpunkten

Um Remote-Access-SSL-VPN-Verbindungen herzustellen, müssen Benutzer den Sophos Connect-Client auf ihren Endgeräten installieren und die .ovpn Datei an den Client.

Sie können das Sophos Connect Client-Installationsprogramm von der Sophos Firewall-Webadministrationskonsole herunterladen und mit Benutzern teilen. Alternativ können Benutzer den Client wie folgt vom VPN-Portal herunterladen:

  1. Melden Sie sich beim VPN-Portal an.
  2. Klicken VPN.

  3. Unter Sophos Connect-Clientauf Download für Windows.

    Notiz

    Informationen darüber, welche Endpoint-Plattformen der Sophos Connect Client unterstützt, finden Sie unter Sophos Connect Client: Kompatibilität mit Plattformen.

    Windows installer for the Sophos Connect client.

  4. Klicken Download-Konfiguration für Windows, macOS, Linux zum Herunterladen der .ovpn Konfigurationsdatei.

    Download SSL VPN configuration.

  5. Klicken Sie auf den heruntergeladenen Sophos Connect-Client.

    Sie können es dann in der Taskleiste Ihres Endgeräts sehen.

  6. Klicken Importverbindungund wählen Sie die .ovpn Datei, die Sie heruntergeladen haben.

    Import connection.

  7. Melden Sie sich mit Ihren VPN-Portalanmeldeinformationen oder über SSO an.

    Sign in to the Sophos Connect client.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung