Bereitstellungsdateivorlagen
Mit der Sophos Connect-Bereitstellungsdatei können Sie Remote-Access-IPsec-VPN- und Remote-Access-SSL-VPN-Verbindungen mit der Sophos Firewall bereitstellen.
Wenn Sie die IPsec-Remote-Zugriffseinstellungen konfiguriert haben, importiert die Bereitstellungsdatei automatisch die .scx
Konfigurationsdatei in den Sophos Connect Client für alle Benutzer. Es importiert nur die .ovpn
Konfigurationsdatei für Benutzer, die Sie einer SSL-VPN-Remotezugriffsrichtlinie zugewiesen haben.
Außerdem werden spätere Konfigurationsänderungen automatisch importiert. Benutzer müssen die Konfigurationsdatei nicht vom VPN-Portal herunterladen.
Notiz
Sie können die Provisioning-Datei für den Remote-Zugriff auf IPsec-VPNs verwenden. Benutzer müssen den Sophos Connect Client 2.1 oder höher installieren.
Vorteile
Die Verwendung der Bereitstellungsdatei bietet folgende Vorteile:
-
Importiert automatisch den IPsec-Remotezugriff (
.scx
) und SSL VPN-Fernzugriff (.ovpn
) Konfigurationsdateien in den Sophos Connect Client auf den Endpoints der Benutzer. Sie müssen die.scx
Datei mit Benutzern.Benutzer müssen sich nicht beim VPN-Portal anmelden und die
.ovpn
Datei. -
Importiert automatisch alle Konfigurationsänderungen, die Sie später vornehmen.
- Ermöglicht Ihnen, mehr als ein Gateway und deren Priorität anzugeben.
Konfigurieren der Bereitstellungsdatei
Sie können die Bereitstellungsdatei konfigurieren und für Benutzer freigeben. Alternativ können Sie sie über die Active Directory-Gruppenrichtlinienverwaltung (GPO) auf den Endpunkten der Benutzer bereitstellen.
Einstellungen der Bereitstellungsdatei
Einstellung | Beschreibung |
---|---|
gateway | Der FQDN oder die IPv4-Adresse der Firewall, die die Verbindung bereitstellt. Bei Verwendung von Microsoft Entra ID Single Sign-On (SSO) muss diese Einstellung mit der Umleitungs-URI des in der Firewall konfigurierten Microsoft Entra ID-Servers. Siehe Anforderungen. |
gateway_order | Gibt an, wie die Sophos Firewall den Datenverkehr ausgleicht, wenn mehrere Gateways konfiguriert sind. Die zulässigen Werte sind wie folgt:
|
vpn_portal_port | Sie können die Wenn Sie den Port in der Firewall ändern, müssen Sie ihn in der Bereitstellungsdatei ändern. Standardport: 443. Sie können weiterhin die |
auto_connect_host | Der Zielhost, der verwendet wird, um festzustellen, ob der Sophos Connect Client bereits im internen Netzwerk ist. Wenn ein Wert angegeben ist, prüft der Sophos Connect Client jedes Mal, wenn eine Netzwerkschnittstellen-IP-Adresse abgerufen oder geändert wird, ob der Host erreichbar ist. Ist der Host nicht erreichbar, wird die Verbindung automatisch aktiviert. Werden die Anmeldeinformationen gespeichert, wird der VPN-Tunnel hergestellt. Standard: leere Zeichenfolge Um die automatische Verbindung zu aktivieren, legen Sie sie auf eine IP-Adresse oder einen Hostnamen fest, der im Remote-LAN-Netzwerk vorhanden ist. Wenn die letzte Anmeldemethode SSO ist und die |
can_save_credentials | Ermöglicht Benutzern, ihren Benutzernamen und ihr Passwort für die Verbindung zu speichern. Wenn Sie Zulässige Werte: Standardwert: true. Diese Einstellung ist für die SSO-Anmeldemethode nicht anwendbar. |
check_remote_availability | Führt beim Verbindungsstart eine Remote-Verfügbarkeitsprüfung durch, um nicht reagierende Clients auszuschließen. Zulässige Werte: Standardwert: true. |
run_logon_script | Führt das vom Domänencontroller bereitgestellte Anmeldeskript aus, nachdem der VPN-Tunnel hergestellt wurde. Zulässige Werte: Standardwert: false. |
Vorlagen
Mit den folgenden Provisioningdateivorlagen können Sie spezielle Provisioningdateien für Ihre Organisation erstellen. Sie können die Einstellungen ändern.
Kopieren Sie die Skripte und fügen Sie sie in einen Texteditor wie Notepad ein, bearbeiten Sie die Einstellungen entsprechend Ihren Anforderungen und speichern Sie die Datei mit einem .pro
Verlängerung.
Erfordernis
Sie müssen die Gateway-Adresse angeben. Die anderen Felder sind optional.
Notiz
Wenn Sie den VPN-Portal-Port in der Firewall ändern, müssen Sie ihn in der Bereitstellungsdatei ändern.
Einzelverbindung
[ { "Tor": "<Gateway hostname or IP address> ", "vpn_portal_port": <VPN vonvon'S vonT>, "otp": FALSCH, "Host automatisch verbinden": "<Internal hostname or IP address> ", "Anmeldeinformationen können gespeichert werden": WAHR, "Remote-Verfügbarkeit prüfen": FALSCH, "Anmeldeskript ausführen": FALSCH } ]
Mehrere Verbindungen
[ { "Tor": "<Gateway hostname or IP address> ", "vpn_portal_port": <VPN vonvon'S vonT>, "otp": FALSCH, "Host automatisch verbinden": "<Internal hostname or IP address> ", "Anmeldeinformationen können gespeichert werden": WAHR, "remote_availability prüfen": FALSCH, "Anmeldeskript ausführen": FALSCH }, { "Tor": "<Gateway hostname or IP address> ", "otp": FALSCH, "Host automatisch verbinden": "<Internal hostname or IP address> ", "Remote-Verfügbarkeit prüfen": FALSCH, "Anmeldeskript ausführen": FALSCH }, { "Tor": "<Gateway hostname or IP address> ", "vpn_portal_port": 9443, "Anmeldeinformationen können gespeichert werden": FALSCH } ]
Wenn Sie die Felder nicht angeben, werden die Standardwerte verwendet. Im obigen Beispiel verwendet die zweite Verbindung Port 443 als VPN-Portal-Port, und Benutzer können ihre Anmeldeinformationen speichern.
Notiz
Wenn Sie mehrere Verbindungen hinzufügen, müssen Sie diese durch Kommas trennen.
Sie können derselben Verbindung mehrere Gateways hinzufügen.
Mehrere Gateways
[ { "Anzeigename": "XG_SSL-VPN", "gateway_order": "in Ordnung", "Tor": [ „xg1.irgendeine.firma.com“, „xg2.some.other.com“, „xg3.yet.another.com“ ], "vpn_portal_port": <VPN vonvon'S vonT>, "otp": FALSCH, "Host automatisch verbinden": "inside.ad.local", "Anmeldeinformationen können gespeichert werden": WAHR, "remote_availability prüfen": WAHR, "Anmeldeskript ausführen": WAHR } ]
Bereitstellungsdatei: 2FA-Einstellungen
Einstellung | Beschreibung |
---|---|
otp | Gibt an, ob zur Authentifizierung bei der Verbindung ein Einmalkennwort (OTP) erforderlich ist. Dadurch wird ein drittes Eingabefeld zur Eingabe des OTP-Codes im Sophos Connect Client angezeigt. Zulässige Werte: Standardwert: false. |
2fa | Gibt die zu verwendende Methode der Zwei-Faktor-Authentifizierung (2FA) an. Zulässige Werte: Standardwert: 1. Die zulässigen Werte sind wie folgt:
|
Wenn Sie mehr als eine Duo-Methode konfiguriert haben, müssen Benutzer Folgendes in das dritte Eingabefeld eingeben:
- Duo-Push:
push
- Duo-Telefon:
phone
- Duo-SMS:
sms
(Der Anmeldebildschirm wird erneut angezeigt. Benutzer müssen den Benutzernamen, das Kennwort und den Bestätigungscode eingeben.) - Duo-Token: Der Passcode.
Notiz
Wenn Benutzer ein OTP-Token oder einen OTP-Code eingeben müssen, zeigt der Sophos Connect Client den Anmeldebildschirm bei der ersten Anmeldung zweimal an. Bei der ersten Anmeldung wird die Konfigurationsdatei heruntergeladen, bei der zweiten Anmeldung wird die Verbindung hergestellt.
Vorlagen
Sophos Firewall 2FA mit OTP
[ { "Tor": "<Gateway hostname or IP address> ", "vpn_portal_port": <VPN vonvon'S vonT>, "otp": WAHR, "2fa": 1, "Host automatisch verbinden": "<Internal hostname or IP address> ", "Anmeldeinformationen können gespeichert werden": WAHR, "remote_availability prüfen": FALSCH, "Anmeldeskript ausführen": FALSCH } ]
Duo 2FA
[ { "Tor": "<Gateway hostname or IP address> ", "vpn_portal_port": <VPN vonvon'S vonT>, "otp": WAHR, "2fa": 2, "Host automatisch verbinden": "<Internal hostname or IP address> ", "Anmeldeinformationen können gespeichert werden": WAHR, "Remote-Verfügbarkeit prüfen": FALSCH, "Anmeldeskript ausführen": FALSCH } ]
Weitere Ressourcen