Globale SSL-VPN-Einstellungen
Die globalen SSL-VPN-Einstellungen gelten für alle SSL-VPN-Richtlinien für den Remotezugriff.
Diese Einstellungen sind Teil der .ovpn
Konfigurationsdatei in den SSL-VPN-Client importiert.
Um die Einstellungen festzulegen, gehen Sie zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen.
Protokoll
SSL-VPN-Clients können Verbindungen mit den folgenden Protokollen herstellen:
- TCP: Sie können TCP für Anwendungen verwenden, die eine hohe Zuverlässigkeit erfordern, wie z. B. E-Mail, Surfen im Internet und FTP.
- UDP: Sie können UDP für Anwendungen verwenden, die eine schnelle, effiziente Übertragung erfordern, wie z. B. Streaming Media, VoIP, DNS und TFTP.
SSL-Serverzertifikat
Der SSL-VPN-Server verwendet dieses Zertifikat zur Authentifizierung der Clients.
Um ein anderes Zertifikat als das Standardzertifikat auszuwählen, gehen Sie zu Zertifikate > Zertifikate und konfigurieren Sie ein lokal signiertes Zertifikat oder laden Sie ein externes hoch.
Wenn Sie zum Signieren des SSL-Serverzertifikats eine Zwischenzertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle generiert wurde, müssen Sie das Serverzertifikat mit seinem privaten Schlüssel sowie die Zwischen- und Stammzertifizierungsstellen in die Firewall hochladen.
Hostnamen überschreiben
SSL-VPN-Clients stellen eine Verbindung zu der hier angegebenen IP-Adresse oder dem Hostnamen her. Wenn Sie dieses Feld leer lassen, werden alle Schnittstellen der Zonen, von denen aus Sie SSL-VPN-Zugriff zulassen (Verwaltung > Gerätezugriff unter Lokale Dienst-ACL) sind aufgeführt in der .ovpn
Datei. Clients versuchen, Verbindungen mit den Schnittstellen herzustellen, die auf Netzwerk > Schnittstellen.
Wählen Sie basierend auf Ihrer WAN-Schnittstellenadresse eine der folgenden Optionen:
- Einzelne, statische öffentliche IP-Adresse: Sie können Hostnamen überschreiben leer.
-
Mehrere statische öffentliche IP-Adressen: Wählen Sie eine der folgenden Optionen:
- Geben Sie den Domänennamen ein.
- Lassen Sie das Feld leer. Die Firewall verwendet die verfügbaren WAN-Adressen.
- Geben Sie eine Schnittstellenadresse ein, wenn Clients nur eine Verbindung zu dieser Schnittstelle herstellen sollen.
-
Upstream-Router: Wenn die Firewall über einen Upstream-Router verfügt, gehen Sie wie folgt vor:
- Geben Sie die öffentliche IP-Adresse oder den Domänennamen des Routers ein.
- Konfigurieren Sie den Router so, dass SSL-VPN-Verkehr per Portweiterleitung an die Firewall weitergeleitet wird.
-
Dynamische IP-Adresse: Um die dynamischen öffentlichen IP-Adressen der Firewall aufzulösen, gehen Sie wie folgt vor:
- Gehe zu Netzwerk > DDNS und konfigurieren Sie die Einstellungen. Siehe Einen dynamischen DNS-Anbieter hinzufügen.
- Unter Hostnamen überschreiben, geben Sie den DDNS ein Hostname. Es ist ein FQDN.
Die in den SSL-VPN-Richtlinien konfigurierten zulässigen Netzwerke werden nicht in der .ovpn
Wenn Clients eine Verbindung herstellen, werden die zulässigen Netzwerke für die Benutzer automatisch zum Client hinzugefügt.
Port (optional)
Ändern Sie bei Bedarf die für die Verbindungen zu verwendende Portnummer. Beachten Sie die folgenden Warnungen:
Notiz
Sie können den Benutzerportal-Port für keinen anderen Dienst verwenden.
Wenn das VPN-Portal und das SSL-VPN denselben Port verwenden, funktionieren die Anmeldesicherheitseinstellungen nicht. Siehe Anmeldesicherheit.
Beschränkung
SSL-VPN-Verkehr und WAF-Regeln müssen für mindestens eines der folgenden Objekte unterschiedliche Werte haben: WAN-IP-Adresse, Port, Protokoll.
SSL-VPN-Verkehr an die von den WAF-Regeln verwendete WAN-IP-Adresse wird verworfen, wenn er denselben Port und dasselbe Protokoll wie die WAF-Regeln verwendet. Dies gilt nur für IPv4-Verkehr.
Die Standard-HTTPS-Ports unterscheiden sich für WAF-Regeln (443) und SSL-VPN (8443). WAF-Verkehr verwendet immer das TCP-Protokoll.
Hier ist ein Beispiel für die Konfiguration, die SSL-VPN-Verkehr verwenden kann, wenn das Netzwerk über zwei WAN-IP-Adressen verfügt:
WAF | Option 1 (Andere IP-Adresse) SSL VPN | Option 2 (Anderer Port) SSL VPN | Option 3 (Anderes Protokoll) SSL VPN | |
---|---|---|---|---|
WAN-IP-Adresse | 203.0.113.1 | 203.0.113.2 | 203.0.113.1 oder 203.0.113.2 | 203.0.113.1 oder 203.0.113.2 |
Hafen | 443 | 443 | Verwenden Sie nicht 443 | Beliebiger Port |
Protokoll | TCP | TCP oder UDP | TCP oder UDP | UDP |
Zuweisen von IP-Adressen
Sie können IPv4- und IPv6-Netzwerke konfigurieren.
Zuweisen von IPv4- und IPv6-Adressen
Die Firewall vergibt IP-Adressen an SSL-VPN-Clients aus dem von Ihnen angegebenen Netzwerk.
Sie können nur ein IPv4-Subnetz bis zu /24
. Sie können beispielsweise nicht auswählen /25
und kleinere Subnetze. Siehe Fehlerbehebung beim Remote-Zugriff auf VPN.
Stellen Sie sicher, dass diese IP-Adresse oder dieser IP-Bereich nicht in Remote-Zugriffs-IPsec-, L2TP- und PPTP-VPN-Konfigurationen verwendet wird.
Wenn Sie diese IPv4- und IPv6-Adresseinstellungen ändern und Benutzern statische SSL-VPN-IP-Adressen zugewiesen haben, stellen Sie sicher, dass die statischen Adressen innerhalb des aktualisierten statischen Bereichs liegen.
Notiz
Wenn der Datenverkehr nach der Migration auf Version 19.5 und höher nicht über SSL-VPN-Verbindungen mit Remotezugriff fließt, haben Sie möglicherweise den entsprechenden Firewallregeln benutzerdefinierte Hosts für die geleasten IP-Adressen hinzugefügt.
Wählen Sie den Systemhost aus ##ALL_SSLVPN_RW (Und ##ALL_SSLVPN_RW6 falls erforderlich). Siehe Fehlerbehebung beim Remote-Zugriff auf VPN.
Leasing-Modus
Wählen Sie aus den folgenden Optionen:
- Nur IPv4: Vermietet nur IPv4-Adressen.
- IPv4 und IPv6 beide: Vergibt IPv4- und IPv6-Adressen.
Verwenden Sie statische IP-Adressen
Wenn Sie dieses Kontrollkästchen aktivieren, wird der Adressbereich angezeigt, aus dem Sie SSL-VPN-Benutzern für den Remote-Zugriff statische IP-Adressen zuweisen können. Die Firewall teilt diesen Bereich automatisch basierend auf den von Ihnen angegebenen Subnetzen auf. IPv4-Adressen zuweisen Und IPv6-Adressen zuweisen.
Um einem Benutzer eine statische Adresse zuzuweisen, gehen Sie zu Authentifizierung > Benutzer.
Wenn Sie die zugewiesenen IP-Adressen aktualisieren auf Globale SSL-VPN-Einstellungen, stellen Sie sicher, dass die dem Benutzer zugewiesene Adresse innerhalb des aktualisierten statischen Bereichs liegt.
Notiz
Derzeit unterstützt die Firewall keine gleichzeitigen Anmeldungen für Remotezugriffsbenutzer, wenn Sie ihnen eine statische SSL-VPN-IP-Adresse zugewiesen haben.
DNS-Server
Sie können Folgendes konfigurieren:
-
IPv4 DNS: Geben Sie die IP-Adressen der primären und sekundären DNS-Server für Folgendes ein:
- Zum Auflösen der Hostnamen von Netzwerkressourcen, auf die Remotebenutzer zugreifen.
- Zum Auflösen öffentlicher Hostnamen, wenn die Sophos Firewall als Standard-Gateway für SSL-VPN-Benutzer mit Remote-Zugriff fungiert.
-
IPv4 GEWINNT: Geben Sie den primären und sekundären Windows Internet Naming Service (WINS)-Server für Ihr Netzwerk ein.
- Domänenname: Geben Sie das DNS-Suffix ein (Beispiel:
company.com
odertest.local
), um es dem Netzwerkadapter des Remote-Endpunkts hinzuzufügen. Das Suffix wird an Hostnamen angehängt und bildet einen FQDN, um die DNS-Abfragen des Endpunkts aufzulösen.
Trennen der Peer-Verbindung
Sie können Folgendes konfigurieren:
-
Trennen Sie die Verbindung zum toten Peer nach: Zeit in Sekunden, nach der die Firewall Verbindungen mit nicht reagierenden Clients schließt.
Standardwerte:
- TCP: 180
-
UDP: 100
Notiz
UDP-Verbindungen haben einen kürzeren Timeout-Wert. Geben Sie daher einen Wert zwischen 60 und 110 ein, wenn Sie in den globalen SSL-VPN-Einstellungen UDP auswählen.
-
Trennen Sie die Verbindung zum inaktiven Peer nach: Zeit in Minuten, nach der die Firewall eine inaktive Verbindung schließt.
Andere Einstellungen
Sie können Folgendes konfigurieren:
-
Kryptografische Einstellungen:
- Verschlüsselungsalgorithmus: Wählen Sie den Algorithmus zum Verschlüsseln der durch den VPN-Tunnel gesendeten Daten.
- Authentifizierungsalgorithmus: Wählen Sie den Algorithmus zur Authentifizierung der Nachrichten.
- Schlüsselgröße: Wählen Sie die Schlüsselgröße (Bits). Längere Schlüssel sind sicherer.
- Schlüssellebensdauer: Geben Sie die Zeit (Sekunden) ein, nach der Schlüssel ablaufen.
-
Debug-Einstellungen
- Debug-Modus aktivieren: Wählen Sie diese Option aus, um ausführliche Informationen zur Fehlerbehebung in der SSL-VPN-Protokolldatei bereitzustellen.
Weitere Ressourcen