Zur Startseite gehen
0,00 €*

Konfigurieren Sie IPsec Remote Access VPN mit dem Sophos Connect-Client

Sie können IPsec-Remote-Access-Verbindungen konfigurieren. Benutzer können die Verbindung über den Sophos Connect-Client herstellen.

Videos

Konfigurieren Sie den Remotezugriff auf IPsec und SSL VPN

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Einführung

Gehen Sie wie folgt vor, um IPsec-Remote-Access-Verbindungen über den Sophos Connect-Client zu konfigurieren und herzustellen:

  • Generieren Sie ein lokal signiertes Zertifikat.
  • (Optional) Richten Sie Microsoft Entra ID Single Sign-On (SSO) ein.
  • Überprüfen Sie die Authentifizierungsmethoden.
  • Konfigurieren Sie die IPsec-Remotezugriffsverbindung.
  • Senden Sie die Konfigurationsdatei an die Benutzer.
  • (Optional) Weisen Sie einem Benutzer eine statische IP-Adresse zu.
  • Fügen Sie eine Firewall-Regel hinzu.
  • Zugriff auf Dienste zulassen.
  • Senden Sie den Sophos Connect-Client an Benutzer. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.

Benutzer müssen wie folgt vorgehen:

  • Installieren Sie den Sophos Connect-Client auf Ihren Endgeräten.
  • Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.

Notiz

IPsec Remote Access VPN unterstützt keine Verbindungen aus der LAN-Zone.

Konfigurieren eines lokal signierten Zertifikats

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

  2. Wählen Lokal signiertes Zertifikat generieren.

    Alternativ können Sie wählen Zertifikat hochladen wenn Sie eines haben.

    Select locally-signed certificate.

  3. Geben Sie die Zertifikatsdetails für das lokal signierte Zertifikat.

    Hier ist ein Beispiel:

    Certificate details.

  4. Geben Sie die Attribute für den Betreffnamen.

    Hier ist ein Beispiel:

    Subject name attributes.

  5. Unter Alternative Betreffnamen, geben Sie einen DNS-Namen oder eine IP-Adresse ein und klicken Sie auf die Schaltfläche „Hinzufügen“ (+).

    Hier ist ein Beispiel:

    Subject Alternative Names.

Einrichten von Microsoft Entra ID SSO

Sie können die Microsoft Entra ID SSO-Authentifizierung für den Remote-Zugriff auf IPsec VPN einrichten. Siehe Microsoft Entra ID (Azure AD)-Server.

Gehen Sie wie folgt vor, um die Microsoft Entra ID SSO-Authentifizierung einzurichten:

  1. Konfigurieren Sie die Microsoft Entra-ID im Azure-Portal. Siehe Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Hinzufügen eines Microsoft Entra ID (Azure AD)-Servers.
  3. (Optional) Importieren Sie Gruppen aus Microsoft Entra ID. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Überprüfen Sie die Authentifizierungsdienste

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und IPsec VPN verwenden möchten, in Authentifizierung > Leistungen.

In diesem Beispiel legen Sie die VPN-Portal- und IPsec-VPN-Authentifizierungsmethoden auf lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Leistungen.

  2. Unter Authentifizierungsmethoden für VPN-Portale, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter VPN (IPsec/Dial-In/L2TP/PPTP)-Authentifizierungsmethoden, überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und den Authentifizierungsserver, den Sie unter Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode in Authentifizierung > Leistungen bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Konfigurieren von Remotezugriff auf IPsec

Legen Sie die Einstellungen für IPsec-Remotezugriffsverbindungen fest.

  1. Gehe zu Remote-Zugriff-VPN > IPsec und klicken Sie auf Aktivieren.

  2. Legen Sie die allgemeinen Einstellungen fest.

    Name Beispieleinstellungen
    Schnittstelle

    203.0.113.1

    Wählen Sie einen WAN-Port aus.
    IPsec-Profil

    DefaultRemoteAccess

    Sie können IKEv1-Profile nur mit Dead-Peer-Erkennung (DPD) ausgeschaltet oder eingestellt Trennen.
    Authentifizierungstyp Digital certificate
    Lokales Zertifikat Appliance certificate
    Remote-Zertifikat

    TestCert

    Wählen Sie ein lokal signiertes Zertifikat. Alternativ können Sie ein Zertifikat auswählen, das Sie hochgeladen haben auf Zertifikate > Zertifikate.
    Lokale ID

    Die Firewall wählt automatisch die lokale ID für digitale Zertifikate aus.

    Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Remote-ID Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Zugelassene Benutzer und Gruppen TestGroup

  3. Geben Sie die Clientinformationen an.

    Hier ist ein Beispiel:

    Name Beispieleinstellungen
    Name TestRemoteAccessVPN
    IP zuweisen von

    192.168.1.11

    192.168.1.254
    DNS-Server 1 192.168.1.5

    Client information settings.

  4. Geben Sie die gewünschten erweiterten Einstellungen an und klicken Sie auf Anwenden.

    Name Beispieleinstellungen
    Erlaubte Netzwerkressourcen (IPv4)

    LAN_10.1.1.0

    DMZ_192.168.2.0
    Senden Sie den Sicherheits-Heartbeat durch den Tunnel Sendet den Security Heartbeat von Remote-Clients durch den Tunnel.
    Benutzern erlauben, Benutzernamen und Kennwort zu speichern Benutzer können ihre Anmeldeinformationen speichern.

    Hier ist ein Beispiel:

    Advanced settings.

  5. Klicken Exportverbindung unten auf der Seite.

    Die exportierten tar.gz Datei enthält eine .scx Datei und eine .tgb Datei.

    Export the configuration file.

  6. Senden Sie die .scx Datei an Benutzer. Alternativ können Sie den Client herunterladen und an Benutzer senden.

Zuweisen einer statischen IP-Adresse zu einem Benutzer

Sie können einem Benutzer, der sich über den Sophos Connect-Client verbindet, wie folgt eine statische IP-Adresse zuweisen:

  1. Gehe zu Authentifizierung > Benutzerund wählen Sie den Benutzer aus.

  2. Gehen Sie auf der Einstellungsseite des Benutzers nach unten zu IPsec-Fernzugriffauf Aktivierenund geben Sie eine IP-Adresse ein.

    Hier ist ein Beispiel:

    Assign static IP address to a user connecting through the Sophos Connect client.

Hinzufügen einer Firewallregel

Konfigurieren Sie eine Firewall-Regel, um Datenverkehr vom VPN zum LAN und zur DMZ zuzulassen, da Sie in diesem Beispiel Remotebenutzern den Zugriff auf diese Zonen ermöglichen möchten.

  1. Geben Sie einen Namen ein.

  2. Geben Sie die Quell- und Zielzonen wie folgt an und klicken Sie auf Anwenden:

    Name Beispieleinstellungen
    Quellzonen VPN
    Zielzonen

    LAN

    DMZ

    Hier ist ein Beispiel:

    Source and destination zones in the firewall rule.

    Notiz

    Unter „Erweiterte Einstellungen“ für IPsec (Fernzugriff), wenn Sie auswählen Als Standard-Gateway verwendensendet der Sophos Connect Client den gesamten Datenverkehr des Remote-Benutzers, einschließlich des Internetverkehrs, durch den Tunnel. Um diesen Datenverkehr zuzulassen, müssen Sie zusätzlich Folgendes festlegen: Zielzone zum WAN in der Firewall-Regel.

Zugriff auf Dienste zulassen

Sie müssen Benutzern den Zugriff auf Dienste wie IPsec, VPN-Portal, DNS und Ping erlauben.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter IPsecwählen Sie die VAN Kontrollkästchen.

    Dadurch kann der Datenverkehr von Remote-Benutzern auf Remote-Zugriff und Site-to-Site-IPsec-VPN-Tunnel zugreifen.

  3. Unter VPN-Portalaktivieren Sie die Kontrollkästchen für UND, VAN, VPN, Und W-lan.

    Dadurch können sich Benutzer aus diesen Zonen beim VPN-Portal anmelden und den Sophos Connect Client herunterladen. Wir empfehlen, den Zugriff aus dem WAN nur temporär zuzulassen.

  4. (Optional) Unter DNSwählen Sie die VPN Kontrollkästchen.

    Dadurch können Remotebenutzer Domänennamen über VPN auflösen, wenn Sie die DNS-Auflösung durch die Firewall angegeben haben.

  5. (Optional) Unter Ping/Ping6wählen Sie die VPN Kontrollkästchen.

    Dadurch können Remotebenutzer die VPN-Konnektivität mit der Firewall überprüfen.

  6. Klicken Anwenden.

    Access to services through VPN.

Sophos Connect-Client auf Endgeräten konfigurieren

Benutzer müssen den Sophos Connect-Client auf ihren Endgeräten installieren und die .scx Datei an den Client.

Sie können die Sophos Connect-Client-Installationsprogramme von der Sophos Firewall-Webadministrationskonsole herunterladen und mit Benutzern teilen.

Alternativ können Benutzer den Sophos Connect-Client wie folgt vom VPN-Portal herunterladen:

  1. Melden Sie sich beim VPN-Portal an.
  2. Klicken VPN.

  3. Unter Sophos Connect-Clientauf eine der folgenden Optionen:

    • Download für Windows
    • Download für macOS

    Installers for the Sophos Connect client.

  4. Klicken Sie auf den heruntergeladenen Sophos Connect-Client.

    Sie können es dann in der Taskleiste Ihres Endgeräts sehen.

  5. Klicken Importverbindungund wählen Sie die .scx Datei, die Ihr Administrator gesendet hat.

    Import connection.

  6. Melden Sie sich mit Ihren VPN-Portalanmeldeinformationen oder über SSO an.

    Sign in to the Sophos Connect client.

  7. Geben Sie den Bestätigungscode ein, wenn eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.

Zwischen dem Client und der Sophos Firewall wird eine IPsec-Remotezugriffsverbindung hergestellt.

Notiz

Wenn Sie sich bereits mit Ihren Anmeldeinformationen angemeldet haben und mit Benutzernamen und Passwort merken Wenn Sie diese Option ausgewählt haben, werden Sie automatisch mit Ihren Anmeldeinformationen angemeldet. Wenn Sie die Anmeldeoptionen erneut anzeigen möchten, z. B. wenn Sie SSO anstelle Ihrer Anmeldeinformationen verwenden möchten, klicken Sie auf Verbindung bearbeiten Edit connection. und klicken Sie auf Anmeldeinformationen löschen. Die Anmeldeoptionen werden bei Ihrer nächsten Anmeldung angezeigt.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung