Zur Startseite gehen
0,00 €*

Konfigurieren Sie ein SSL-VPN für den Remote-Zugriff als vollständigen Tunnel

Wenn Sie RAS-SSL-VPN-Verbindungen im Volltunnelmodus konfigurieren, fließt der gesamte Datenverkehr von RAS-SSL-VPN-Benutzern durch die Firewall. Sie können nur auf die in der SSL-VPN-Richtlinie ausgewählten zulässigen Netzwerkressourcen zugreifen.

Benutzer können die Verbindung mithilfe des Sophos Connect-Clients herstellen.

Videos

Konfigurieren Sie den Remotezugriff auf IPsec und SSL VPN

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Beschränkung

Der Sophos Connect Client unterstützt derzeit macOS nicht für SSL VPN. Auch mobile Plattformen für IPsec und SSL VPN werden nicht unterstützt. Für diese Endpunkte können Sie den OpenVPN Connect Client verwenden. Siehe Sophos Connect Client: Kompatibilität mit Plattformen.

Netzwerkdiagramm

Network diagram for remote access SSL VPN full tunnel.

Tipp

Mithilfe des SSL-VPN-Assistenten (Remote-Zugriff-VPN > SSL VPN > Assistent) unterstützt Sie bei der einfachen Konfiguration der in diesem Artikel beschriebenen globalen SSL-VPN-Einstellungen, der SSL-VPN-Richtlinie und der VPN-Portaleinstellungen. Die erforderliche Firewallregel wird automatisch erstellt.

Voraussetzungen

Stellen Sie sicher, dass Sie IP-Hosts für die Netzwerkressourcen konfiguriert haben, auf die Remotebenutzer zugreifen können. Konfigurieren Sie außerdem Benutzer und Gruppen in der Firewall.

IP-Host für lokales Subnetz erstellen

Hier ist ein Beispiel-Subnetz für die Netzwerkressourcen, auf die Remote-Clients zugreifen können.

  1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

  2. Geben Sie einen Namen und ein Netzwerk für das lokale Subnetz ein.

    IP host for local subnet.

  3. Klicken Speichern.

Erstellen Sie eine Benutzergruppe und einen Benutzer

Erstellen Sie eine Benutzergruppe für Remote-SSL-VPN und fügen Sie einen Benutzer hinzu, falls Sie dies noch nicht getan haben.

  1. Gehe zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Name Wert
    Name Remote-SSL-VPN-Gruppe
    Surfkontingent Unbegrenzter Internetzugang
    Zugriffszeit Jederzeit erlaubt

  3. Klicken Speichern.

  4. Gehe zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Name Wert
    Benutzername John Smith
    Name John Smith
    Gruppe Remote-SSL-VPN-Gruppe

  6. Klicken Speichern.

Einrichten von Microsoft Entra ID SSO

Sie können die Microsoft Entra ID Single Sign-On (SSO)-Authentifizierung für den Remote-Zugriff auf SSL VPN einrichten. Siehe Microsoft Entra ID (Azure AD)-Server.

Gehen Sie wie folgt vor, um die Microsoft Entra ID SSO-Authentifizierung einzurichten:

  1. Konfigurieren Sie die Microsoft Entra-ID im Azure-Portal. Siehe Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Hinzufügen eines Microsoft Entra ID (Azure AD)-Servers.
  3. (Optional) Importieren Sie Gruppen aus Microsoft Entra ID. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Überprüfen Sie die Authentifizierungsdienste

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und SSL VPN verwenden möchten, in Authentifizierung > Leistungen.

In diesem Beispiel legen Sie die Authentifizierungsmethoden VPN-Portal und SSL VPN auf lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Leistungen.

  2. Unter Authentifizierungsmethoden für VPN-Portale, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter SSL-VPN-Authentifizierungsmethoden, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in SSL VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode in Authentifizierung > Leistungen bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Sie müssen denselben Microsoft Entra ID-Server für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden konfigurieren.

SSL-VPN-Konfigurationen

Geben Sie die erforderlichen SSL-VPN-Einstellungen an, konfigurieren Sie eine SSL-VPN-Richtlinie und optional die Bereitstellungsdatei.

Globale SSL-VPN-Einstellungen

Wenn SSL-VPN-Clients eine Verbindung zur Firewall herstellen, werden ihnen IP-Adressen aus dem hier angegebenen Subnetz zugewiesen. Sie müssen eine private Adresse verwenden.

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen.

    VPN settings.

  2. Geben Sie die private IP-Adresse und Subnetzmaske ein.

    Wenn Verbindungen hergestellt werden, vergibt die Firewall IP-Adressen aus dem Subnetz an Remotebenutzer.

    IPv4 lease range.

  3. Geben Sie die folgenden DNS-Einstellungen ein:

    1. Geben Sie die primären und sekundären IPv4-DNS-Serveradressen ein.

    2. Für Domänenname, geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local) für die Hostnamen zulässiger Ressourcen.

      Das Suffix wird dem Netzwerkadapter des Remote-Endpunkts hinzugefügt. Es wird an Hostnamen angehängt, die einen FQDN bilden, um die DNS-Abfragen des Endpunkts aufzulösen.

    DNS settings.

  4. Klicken Anwenden.

Hinzufügen einer SSL-VPN-Richtlinie

Erstellen Sie eine Richtlinie, die es Benutzern in der Remote-SSL-VPN-Gruppe ermöglicht, VPN-Verbindungen herzustellen und auf Ressourcen im lokalen Subnetz zuzugreifen.

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Hinzufügen.
  2. Klicken Manuell konfigurieren.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie die Richtlinienmitglieder aus.

  5. Einschalten Als Standard-Gateway verwenden um einen vollständigen Tunnel zu errichten.

    Der gesamte Datenverkehr von Remote-Benutzern, einschließlich des Internetverkehrs, gelangt über die eingerichteten Tunnel in die Firewall.

  6. Für Erlaubte Netzwerkressourcen auf die Mitglieder zugreifen dürfen, wählt dieses Beispiel Folgendes aus:

    • LocalSubnet

    • DNS_Servers

      Um die DNS-Auflösung zu ermöglichen, müssen Sie die DNS-Server auswählen.

  7. Klicken Anwenden.

    Specify policy members and permitted network resources.

Erstellen einer Bereitstellungsdatei

Sie können eine Provisioning-Datei erstellen. Die Provisioning-Datei ruft automatisch die .ovpn Konfiguration über das VPN-Portal. Es ruft auch einige Konfigurationsänderungen ab, die Sie später vornehmen. Siehe Bereitstellungsdateivorlagen.

Beschränkung

Die Provisioning-Datei unterstützt nur Windows-Geräte. Sie können sie nur mit dem Sophos Connect Client verwenden.

  1. Öffnen Sie eine neue Datei in einem Texteditor, beispielsweise Notepad.

  2. Kopieren und bearbeiten Sie die Einstellungen, um sie Ihren Netzwerkanforderungen anzupassen. Verwenden Sie dazu die Syntax auf Einstellungen der Bereitstellungsdatei.

    Sie müssen den Hostnamen oder die IP-Adresse des Gateways angeben. Die anderen Felder sind optional.

    Beispiel 
    [  {  "Tor": „203.0.113.1“,  "Benutzerportal-Port": 443  } ]

  3. Speichern Sie die Datei mit einem .pro Verlängerung.

  4. Verwenden Sie eine der folgenden Optionen, um es auf den Endpunkten der Benutzer zu installieren:

    • Senden Sie die Bereitstellungsdatei per E-Mail an die Benutzer.

      Benutzer müssen auf Importverbindung im Sophos Connect Client und wählen Sie die Datei aus. Alternativ können Sie auf das .pro Datei, um sie zu importieren. Siehe Bereitstellung von IPsec und SSL VPN.

    • Verwenden Sie ein Active Directory-Gruppenrichtlinienobjekt (GPO), um es nach dem Start automatisch in den Sophos Connect Client auf den Endpoints der Benutzer zu importieren. Siehe Importieren Sie die VPN-Bereitstellungsdatei über GPO.

Verkehr zulassen

Sie müssen SSL-VPN aus der WAN-Zone zulassen, eine SNAT-Regel zum Maskieren des ausgehenden Datenverkehrs konfigurieren und eine Firewall-Regel zum Zulassen von SSL-VPN-Datenverkehr konfigurieren.

Überprüfen Sie die Gerätezugriffseinstellungen

Sie müssen Remotebenutzern aus den erforderlichen Zonen den Zugriff auf einige Dienste erlauben.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter SSL VPN, wählen VAN um Remotebenutzern das Herstellen von SSL-VPN-Verbindungen zu ermöglichen.

  3. Unter VPN-Portal, wählen UND, VAN, VPN, Und W-lan.

    Benutzer können auf das VPN-Portal zugreifen und den VPN-Client und die Konfigurationsdateien aus diesen Zonen herunterladen.

  4. (Optional) Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über VPN anpingen, um die Konnektivität zu überprüfen.

  5. (Optional) Unter DNS, wählen VPN.

    Benutzer können Domänennamen über VPN auflösen, wenn Sie in den VPN-Einstellungen die Firewall für die DNS-Auflösung angegeben haben.

  6. Klicken Anwenden.

    Turn on access from zones for SSL VPN and VPN portal.

Überprüfen Sie die SNAT-Regel

Gehe zu Regeln und Richtlinien > NAT-Regeln und prüfen Sie, ob die standardmäßige IPv4-SNAT-Regel oder eine SNAT-Regel zum Maskieren des ausgehenden Datenverkehrs vorhanden ist.

Default SNAT IPv4 rule.

Wenn sie nicht vorhanden ist, fahren Sie mit dem Hinzufügen einer Firewall-Regel fort und befolgen Sie Schritt 9, um eine SNAT-Regel hinzuzufügen.

Hinzufügen einer Firewallregel

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 oder IPv6.
  3. Klicken Firewallregel hinzufügen Und Neue Firewall-Regel.
  4. Geben Sie einen Regelnamen ein.
  5. Für Quellzone, wählen VPN.

  6. Für Quellnetzwerke und -geräte, wählen ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.

    Die Firewall fügt dynamisch IP-Adressen hinzu, die an Remotebenutzer vermietet werden, die eine Verbindung zu diesen Hosts hergestellt haben.

  7. Für Zielzonen, wählen Beliebig, um den Datenverkehr von Remote-Benutzern vom VPN in jede Zone zuzulassen, einschließlich LAN-, DMZ- und WAN-Zonen.

  8. Für Zielnetzwerke, wählen Beliebig.

    Die Standard-Gateway-Einstellung stellt sicher, dass der Internetverkehr von Remotebenutzern die Firewall passiert. Daher muss die Firewall-Regel den Datenverkehr von den angegebenen Quellnetzwerken zu allen Netzwerken zulassen.

    Firewall rule's matching criteria.

  9. Optional: Wenn keine SNAT-Regel zum Maskieren des ausgehenden Datenverkehrs vorhanden ist, können Sie eine verknüpfte NAT-Regel erstellen.

    1. Klicken Verknüpfte NAT-Regel erstellen.
    2. Für Übersetzte Quelle (SNAT), wählen MASQ.

    3. Klicken Speichern.

      Linked NAT rule.

  10. Klicken Speichern.

Benutzeraktionen

Benutzer können den Sophos Connect Client vom VPN-Portal herunterladen und installieren. Sie können die .pro Datei, die Sie bereitstellen, oder laden Sie die SSL-VPN-Konfiguration herunter und importieren Sie sie in den Client. Siehe Bereitstellung von IPsec und SSL VPN Und SSL VPN.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung