Zur Startseite gehen
0,00 €*

Bereitstellungsdateivorlagen

Mit der Sophos Connect-Bereitstellungsdatei können Sie Remote-Access-IPsec-VPN- und Remote-Access-SSL-VPN-Verbindungen mit der Sophos Firewall bereitstellen.

Wenn Sie die IPsec-Remote-Zugriffseinstellungen konfiguriert haben, importiert die Bereitstellungsdatei automatisch die .scx Konfigurationsdatei in den Sophos Connect Client für alle Benutzer. Es importiert nur die .ovpn Konfigurationsdatei für Benutzer, die Sie einer SSL-VPN-Remotezugriffsrichtlinie zugewiesen haben.

Außerdem werden spätere Konfigurationsänderungen automatisch importiert. Benutzer müssen die Konfigurationsdatei nicht vom VPN-Portal herunterladen.

Notiz

Sie können die Provisioning-Datei für den Remote-Zugriff auf IPsec-VPNs verwenden. Benutzer müssen den Sophos Connect Client 2.1 oder höher installieren.

Vorteile

Die Verwendung der Bereitstellungsdatei bietet folgende Vorteile:

  • Importiert automatisch den IPsec-Remotezugriff (.scx) und SSL VPN-Fernzugriff (.ovpn) Konfigurationsdateien in den Sophos Connect Client auf den Endpoints der Benutzer. Sie müssen die .scx Datei mit Benutzern.

    Benutzer müssen sich nicht beim VPN-Portal anmelden und die .ovpn Datei.

  • Importiert automatisch alle Konfigurationsänderungen, die Sie später vornehmen.

  • Ermöglicht Ihnen, mehr als ein Gateway und deren Priorität anzugeben.

Konfigurieren der Bereitstellungsdatei

Sie können die Bereitstellungsdatei konfigurieren und für Benutzer freigeben. Alternativ können Sie sie über die Active Directory-Gruppenrichtlinienverwaltung (GPO) auf den Endpunkten der Benutzer bereitstellen.

Einstellungen der Bereitstellungsdatei

Einstellung Beschreibung
gateway

Der FQDN oder die IPv4-Adresse der Firewall, die die Verbindung bereitstellt.

Bei Verwendung von Microsoft Entra ID Single Sign-On (SSO) muss diese Einstellung mit der Umleitungs-URI des in der Firewall konfigurierten Microsoft Entra ID-Servers. Siehe Anforderungen.
gateway_order

Gibt an, wie die Sophos Firewall den Datenverkehr ausgleicht, wenn mehrere Gateways konfiguriert sind.

Die zulässigen Werte sind wie folgt:

distributed: Wählt beim Verbindungsversuch ein Gateway nach dem Zufallsprinzip aus.

latency: Wählt ein Gateway danach aus, wie schnell es auf eine TCP-Verbindungsanforderung antwortet.

in_order: Versucht zuerst das erste Gateway in der Liste. Wenn dies fehlschlägt, wird das nächste Gateway versucht.
vpn_portal_port

Sie können die vpn_portal_port Syntax zum Eingeben des VPN-Portal-Ports. Dies ist der Port, über den die Bereitstellungsverbindung hergestellt wird.

Wenn Sie den Port in der Firewall ändern, müssen Sie ihn in der Bereitstellungsdatei ändern.

Standardport: 443.

Sie können weiterhin die user_portal_port Syntax, aber Sie müssen den Port des VPN-Portals eingeben.
auto_connect_host

Der Zielhost, der verwendet wird, um festzustellen, ob der Sophos Connect Client bereits im internen Netzwerk ist. Wenn ein Wert angegeben ist, prüft der Sophos Connect Client jedes Mal, wenn eine Netzwerkschnittstellen-IP-Adresse abgerufen oder geändert wird, ob der Host erreichbar ist. Ist der Host nicht erreichbar, wird die Verbindung automatisch aktiviert. Werden die Anmeldeinformationen gespeichert, wird der VPN-Tunnel hergestellt.

Standard: leere Zeichenfolge "" (automatische Verbindung deaktiviert).

Um die automatische Verbindung zu aktivieren, legen Sie sie auf eine IP-Adresse oder einen Hostnamen fest, der im Remote-LAN-Netzwerk vorhanden ist.

Wenn die letzte Anmeldemethode SSO ist und die auto_connect_host nicht erreichbar ist, authentifiziert der Sophos Connect-Client den Benutzer automatisch per SSO und baut den VPN-Tunnel auf.
can_save_credentials

Ermöglicht Benutzern, ihren Benutzernamen und ihr Passwort für die Verbindung zu speichern. Wenn Sie truewird auf der Benutzerauthentifizierungsseite ein Kontrollkästchen angezeigt. Das Kontrollkästchen ist standardmäßig aktiviert, der Benutzer kann jedoch entscheiden, die Anmeldeinformationen nicht zu speichern.

Zulässige Werte: true oder false.

Standardwert: true.

Diese Einstellung ist für die SSO-Anmeldemethode nicht anwendbar.
check_remote_availability

Führt beim Verbindungsstart eine Remote-Verfügbarkeitsprüfung durch, um nicht reagierende Clients auszuschließen.

Zulässige Werte: true oder false.

Standardwert: true.
run_logon_script

Führt das vom Domänencontroller bereitgestellte Anmeldeskript aus, nachdem der VPN-Tunnel hergestellt wurde.

Zulässige Werte: true oder false.

Standardwert: false.

Vorlagen

Mit den folgenden Provisioningdateivorlagen können Sie spezielle Provisioningdateien für Ihre Organisation erstellen. Sie können die Einstellungen ändern.

Kopieren Sie die Skripte und fügen Sie sie in einen Texteditor wie Notepad ein, bearbeiten Sie die Einstellungen entsprechend Ihren Anforderungen und speichern Sie die Datei mit einem .pro Verlängerung.

Erfordernis

Sie müssen die Gateway-Adresse angeben. Die anderen Felder sind optional.

Notiz

Wenn Sie den VPN-Portal-Port in der Firewall ändern, müssen Sie ihn in der Bereitstellungsdatei ändern.

Einzelverbindung 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "Host automatisch verbinden": "<Internal hostname or IP address> ",  "Anmeldeinformationen können gespeichert werden": WAHR,  "Remote-Verfügbarkeit prüfen": FALSCH,  "Anmeldeskript ausführen": FALSCH  } ]
Mehrere Verbindungen 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "Host automatisch verbinden": "<Internal hostname or IP address> ",  "Anmeldeinformationen können gespeichert werden": WAHR,  "remote_availability prüfen": FALSCH,  "Anmeldeskript ausführen": FALSCH  },  {  "Tor": "<Gateway hostname or IP address> ",  "otp": FALSCH,  "Host automatisch verbinden": "<Internal hostname or IP address> ",  "Remote-Verfügbarkeit prüfen": FALSCH,  "Anmeldeskript ausführen": FALSCH  },  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": 9443,  "Anmeldeinformationen können gespeichert werden": FALSCH  } ]

Wenn Sie die Felder nicht angeben, werden die Standardwerte verwendet. Im obigen Beispiel verwendet die zweite Verbindung Port 443 als VPN-Portal-Port, und Benutzer können ihre Anmeldeinformationen speichern.

Notiz

Wenn Sie mehrere Verbindungen hinzufügen, müssen Sie diese durch Kommas trennen.

Sie können derselben Verbindung mehrere Gateways hinzufügen.

Mehrere Gateways 
[  {  "Anzeigename": "XG_SSL-VPN",  "gateway_order": "in Ordnung",  "Tor": [ „xg1.irgendeine.firma.com“, „xg2.some.other.com“, „xg3.yet.another.com“ ],  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "Host automatisch verbinden": "inside.ad.local",  "Anmeldeinformationen können gespeichert werden": WAHR,  "remote_availability prüfen": WAHR,  "Anmeldeskript ausführen": WAHR  } ]

Bereitstellungsdatei: 2FA-Einstellungen

Einstellung Beschreibung
otp

Gibt an, ob zur Authentifizierung bei der Verbindung ein Einmalkennwort (OTP) erforderlich ist. Dadurch wird ein drittes Eingabefeld zur Eingabe des OTP-Codes im Sophos Connect Client angezeigt.

Zulässige Werte: true oder false.

Standardwert: false.
2fa

Gibt die zu verwendende Methode der Zwei-Faktor-Authentifizierung (2FA) an.

Zulässige Werte: 1 oder 2.

Standardwert: 1.

Die zulässigen Werte sind wie folgt:

1 Verwendet die Sophos Firewall-Konfiguration für 2FA. Benutzer müssen den OTP-Token oder den Verifizierungscode im dritten Eingabefeld eingeben. Der OTP-Token bzw. Verifizierungscode wird an das Passwort angehängt (Beispiel: passwordotp) und an den Authentifizierungsserver gesendet. Benutzer können das Token mithilfe von Authentifizierungs-Apps wie Google Authenticator generieren.

2 Verwendet einen externen 2FA-Server, z. B. Duo. Benutzer müssen den von der Authentifizierungs-App generierten Verifizierungscode in das dritte Eingabefeld eingeben. Passwort und Verifizierungscode werden durch Kommas getrennt an den Authentifizierungsserver gesendet. Siehe Unterstützung für Authentifizierungstools von Drittanbietern.

Wenn Sie mehr als eine Duo-Methode konfiguriert haben, müssen Benutzer Folgendes in das dritte Eingabefeld eingeben:

  • Duo-Push: push
  • Duo-Telefon: phone
  • Duo-SMS: sms (Der Anmeldebildschirm wird erneut angezeigt. Benutzer müssen den Benutzernamen, das Kennwort und den Bestätigungscode eingeben.)
  • Duo-Token: Der Passcode.

Notiz

Wenn Benutzer ein OTP-Token oder einen OTP-Code eingeben müssen, zeigt der Sophos Connect Client den Anmeldebildschirm bei der ersten Anmeldung zweimal an. Bei der ersten Anmeldung wird die Konfigurationsdatei heruntergeladen, bei der zweiten Anmeldung wird die Verbindung hergestellt.

Vorlagen

Sophos Firewall 2FA mit OTP 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": WAHR,  "2fa": 1,  "Host automatisch verbinden": "<Internal hostname or IP address> ",  "Anmeldeinformationen können gespeichert werden": WAHR,  "remote_availability prüfen": FALSCH,  "Anmeldeskript ausführen": FALSCH  } ]
Duo 2FA 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": WAHR,  "2fa": 2,  "Host automatisch verbinden": "<Internal hostname or IP address> ",  "Anmeldeinformationen können gespeichert werden": WAHR,  "Remote-Verfügbarkeit prüfen": FALSCH,  "Anmeldeskript ausführen": FALSCH  } ]

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung