Zur Startseite gehen
0,00 €*

Globale SSL-VPN-Einstellungen

Die globalen SSL-VPN-Einstellungen gelten für alle SSL-VPN-Richtlinien für den Remotezugriff.

Diese Einstellungen sind Teil der .ovpn Konfigurationsdatei in den SSL-VPN-Client importiert.

Um die Einstellungen festzulegen, gehen Sie zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Globale SSL-VPN-Einstellungen.

Protokoll

SSL-VPN-Clients können Verbindungen mit den folgenden Protokollen herstellen:

  • TCP: Sie können TCP für Anwendungen verwenden, die eine hohe Zuverlässigkeit erfordern, wie z. B. E-Mail, Surfen im Internet und FTP.
  • UDP: Sie können UDP für Anwendungen verwenden, die eine schnelle, effiziente Übertragung erfordern, wie z. B. Streaming Media, VoIP, DNS und TFTP.

SSL-Serverzertifikat

Der SSL-VPN-Server verwendet dieses Zertifikat zur Authentifizierung der Clients.

Um ein anderes Zertifikat als das Standardzertifikat auszuwählen, gehen Sie zu Zertifikate > Zertifikate und konfigurieren Sie ein lokal signiertes Zertifikat oder laden Sie ein externes hoch.

Wenn Sie zum Signieren des SSL-Serverzertifikats eine Zwischenzertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle generiert wurde, müssen Sie das Serverzertifikat mit seinem privaten Schlüssel sowie die Zwischen- und Stammzertifizierungsstellen in die Firewall hochladen.

Hostnamen überschreiben

SSL-VPN-Clients stellen eine Verbindung zu der hier angegebenen IP-Adresse oder dem Hostnamen her. Wenn Sie dieses Feld leer lassen, werden alle Schnittstellen der Zonen, von denen aus Sie SSL-VPN-Zugriff zulassen (Verwaltung > Gerätezugriff unter Lokale Dienst-ACL) sind aufgeführt in der .ovpn Datei. Clients versuchen, Verbindungen mit den Schnittstellen herzustellen, die auf Netzwerk > Schnittstellen.

Wählen Sie basierend auf Ihrer WAN-Schnittstellenadresse eine der folgenden Optionen:

  • Einzelne, statische öffentliche IP-Adresse: Sie können Hostnamen überschreiben leer.

  • Mehrere statische öffentliche IP-Adressen: Wählen Sie eine der folgenden Optionen:

    • Geben Sie den Domänennamen ein.
    • Lassen Sie das Feld leer. Die Firewall verwendet die verfügbaren WAN-Adressen.
    • Geben Sie eine Schnittstellenadresse ein, wenn Clients nur eine Verbindung zu dieser Schnittstelle herstellen sollen.

  • Upstream-Router: Wenn die Firewall über einen Upstream-Router verfügt, gehen Sie wie folgt vor:

    1. Geben Sie die öffentliche IP-Adresse oder den Domänennamen des Routers ein.
    2. Konfigurieren Sie den Router so, dass SSL-VPN-Verkehr per Portweiterleitung an die Firewall weitergeleitet wird.

  • Dynamische IP-Adresse: Um die dynamischen öffentlichen IP-Adressen der Firewall aufzulösen, gehen Sie wie folgt vor:

    1. Gehe zu Netzwerk > DDNS und konfigurieren Sie die Einstellungen. Siehe Einen dynamischen DNS-Anbieter hinzufügen.
    2. Unter Hostnamen überschreiben, geben Sie den DDNS ein Hostname. Es ist ein FQDN.

Die in den SSL-VPN-Richtlinien konfigurierten zulässigen Netzwerke werden nicht in der .ovpn Wenn Clients eine Verbindung herstellen, werden die zulässigen Netzwerke für die Benutzer automatisch zum Client hinzugefügt.

Port (optional)

Ändern Sie bei Bedarf die für die Verbindungen zu verwendende Portnummer. Beachten Sie die folgenden Warnungen:

Notiz

Sie können den Benutzerportal-Port für keinen anderen Dienst verwenden.

Wenn das VPN-Portal und das SSL-VPN denselben Port verwenden, funktionieren die Anmeldesicherheitseinstellungen nicht. Siehe Anmeldesicherheit.

Beschränkung

SSL-VPN-Verkehr und WAF-Regeln müssen für mindestens eines der folgenden Objekte unterschiedliche Werte haben: WAN-IP-Adresse, Port, Protokoll.

SSL-VPN-Verkehr an die von den WAF-Regeln verwendete WAN-IP-Adresse wird verworfen, wenn er denselben Port und dasselbe Protokoll wie die WAF-Regeln verwendet. Dies gilt nur für IPv4-Verkehr.

Die Standard-HTTPS-Ports unterscheiden sich für WAF-Regeln (443) und SSL-VPN (8443). WAF-Verkehr verwendet immer das TCP-Protokoll.

Hier ist ein Beispiel für die Konfiguration, die SSL-VPN-Verkehr verwenden kann, wenn das Netzwerk über zwei WAN-IP-Adressen verfügt:

WAF

Option 1

(Andere IP-Adresse)

SSL VPN

Option 2

(Anderer Port)

SSL VPN

Option 3

(Anderes Protokoll)

SSL VPN
WAN-IP-Adresse 203.0.113.1 203.0.113.2 203.0.113.1 oder 203.0.113.2 203.0.113.1 oder 203.0.113.2
Hafen 443 443 Verwenden Sie nicht 443 Beliebiger Port
Protokoll TCP TCP oder UDP TCP oder UDP UDP

Zuweisen von IP-Adressen

Sie können IPv4- und IPv6-Netzwerke konfigurieren.

Zuweisen von IPv4- und IPv6-Adressen

Die Firewall vergibt IP-Adressen an SSL-VPN-Clients aus dem von Ihnen angegebenen Netzwerk.

Sie können nur ein IPv4-Subnetz bis zu /24. Sie können beispielsweise nicht auswählen /25 und kleinere Subnetze. Siehe Fehlerbehebung beim Remote-Zugriff auf VPN.

Stellen Sie sicher, dass diese IP-Adresse oder dieser IP-Bereich nicht in Remote-Zugriffs-IPsec-, L2TP- und PPTP-VPN-Konfigurationen verwendet wird.

Wenn Sie diese IPv4- und IPv6-Adresseinstellungen ändern und Benutzern statische SSL-VPN-IP-Adressen zugewiesen haben, stellen Sie sicher, dass die statischen Adressen innerhalb des aktualisierten statischen Bereichs liegen.

Notiz

Wenn der Datenverkehr nach der Migration auf Version 19.5 und höher nicht über SSL-VPN-Verbindungen mit Remotezugriff fließt, haben Sie möglicherweise den entsprechenden Firewallregeln benutzerdefinierte Hosts für die geleasten IP-Adressen hinzugefügt.

Wählen Sie den Systemhost aus ##ALL_SSLVPN_RW (Und ##ALL_SSLVPN_RW6 falls erforderlich). Siehe Fehlerbehebung beim Remote-Zugriff auf VPN.

Leasing-Modus

Wählen Sie aus den folgenden Optionen:

  • Nur IPv4: Vermietet nur IPv4-Adressen.
  • IPv4 und IPv6 beide: Vergibt IPv4- und IPv6-Adressen.

Verwenden Sie statische IP-Adressen

Wenn Sie dieses Kontrollkästchen aktivieren, wird der Adressbereich angezeigt, aus dem Sie SSL-VPN-Benutzern für den Remote-Zugriff statische IP-Adressen zuweisen können. Die Firewall teilt diesen Bereich automatisch basierend auf den von Ihnen angegebenen Subnetzen auf. IPv4-Adressen zuweisen Und IPv6-Adressen zuweisen.

Um einem Benutzer eine statische Adresse zuzuweisen, gehen Sie zu Authentifizierung > Benutzer.

Wenn Sie die zugewiesenen IP-Adressen aktualisieren auf Globale SSL-VPN-Einstellungen, stellen Sie sicher, dass die dem Benutzer zugewiesene Adresse innerhalb des aktualisierten statischen Bereichs liegt.

Notiz

Derzeit unterstützt die Firewall keine gleichzeitigen Anmeldungen für Remotezugriffsbenutzer, wenn Sie ihnen eine statische SSL-VPN-IP-Adresse zugewiesen haben.

DNS-Server

Sie können Folgendes konfigurieren:

  • IPv4 DNS: Geben Sie die IP-Adressen der primären und sekundären DNS-Server für Folgendes ein:

    • Zum Auflösen der Hostnamen von Netzwerkressourcen, auf die Remotebenutzer zugreifen.
    • Zum Auflösen öffentlicher Hostnamen, wenn die Sophos Firewall als Standard-Gateway für SSL-VPN-Benutzer mit Remote-Zugriff fungiert.

  • IPv4 GEWINNT: Geben Sie den primären und sekundären Windows Internet Naming Service (WINS)-Server für Ihr Netzwerk ein.

  • Domänenname: Geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local), um es dem Netzwerkadapter des Remote-Endpunkts hinzuzufügen. Das Suffix wird an Hostnamen angehängt und bildet einen FQDN, um die DNS-Abfragen des Endpunkts aufzulösen.

Trennen der Peer-Verbindung

Sie können Folgendes konfigurieren:

  • Trennen Sie die Verbindung zum toten Peer nach: Zeit in Sekunden, nach der die Firewall Verbindungen mit nicht reagierenden Clients schließt.

    Standardwerte:

    • TCP: 180

    • UDP: 100

      Notiz

      UDP-Verbindungen haben einen kürzeren Timeout-Wert. Geben Sie daher einen Wert zwischen 60 und 110 ein, wenn Sie in den globalen SSL-VPN-Einstellungen UDP auswählen.

  • Trennen Sie die Verbindung zum inaktiven Peer nach: Zeit in Minuten, nach der die Firewall eine inaktive Verbindung schließt.

Andere Einstellungen

Sie können Folgendes konfigurieren:

  • Kryptografische Einstellungen:

    • Verschlüsselungsalgorithmus: Wählen Sie den Algorithmus zum Verschlüsseln der durch den VPN-Tunnel gesendeten Daten.
    • Authentifizierungsalgorithmus: Wählen Sie den Algorithmus zur Authentifizierung der Nachrichten.
    • Schlüsselgröße: Wählen Sie die Schlüsselgröße (Bits). Längere Schlüssel sind sicherer.
    • Schlüssellebensdauer: Geben Sie die Zeit (Sekunden) ein, nach der Schlüssel ablaufen.

  • Debug-Einstellungen

    • Debug-Modus aktivieren: Wählen Sie diese Option aus, um ausführliche Informationen zur Fehlerbehebung in der SSL-VPN-Protokolldatei bereitzustellen.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung