Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-SSL-Split-Tunnel-configuration

Konfigurieren Sie den Remotezugriff über SSL-VPN als vollständigen Tunnel

Wenn Sie Remotezugriffs-SSL-VPN-Verbindungen im vollständigen Tunnelmodus konfigurieren, wird der gesamte Datenverkehr von Remotezugriffs-SSL-VPN-Benutzern über die Firewall geleitet. Sie können nur auf die in der SSL-VPN-Richtlinie festgelegten zulässigen Netzwerkressourcen zugreifen.

Die Verbindung kann über den Sophos Connect-Client hergestellt werden.

Videos

Konfigurieren Sie IPsec- und SSL-VPN für den Fernzugriff

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Beschränkung

Derzeit unterstützt der Sophos Connect-Client macOS nicht für SSL-VPN. Auch mobile Plattformen werden für IPsec- und SSL-VPN nicht unterstützt. Für diese Endpunkte können Sie den OpenVPN Connect-Client verwenden. Siehe Kompatibilität mit Endpunktplattformen.

Netzwerkdiagramm

Network diagram for remote access SSL VPN full tunnel.

Tipp

Verwendung des SSL-VPN-Assistenten (VPN-Fernzugriff > SSL-VPN > Assistent: ) hilft Ihnen bei der einfachen Konfiguration der in diesem Artikel beschriebenen globalen SSL-VPN-Einstellungen, der SSL-VPN-Richtlinie und der VPN-Portaleinstellungen. Es erstellt automatisch die erforderliche Firewall-Regel.

Voraussetzungen

Stellen Sie sicher, dass Sie IP-Hosts für die Netzwerkressourcen konfiguriert haben, auf die Remote-Benutzer zugreifen können. Sie müssen außerdem Benutzer und Gruppen in der Firewall konfigurieren.

Erstellen Sie einen IP-Host für das lokale Subnetz.

Hier ist ein Beispiel-Subnetz für die Netzwerkressourcen, auf die Remote-Clients zugreifen können.

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.

  2. Geben Sie einen Namen und ein Netzwerk für das lokale Subnetz ein.

    IP host for local subnet.

  3. Klicken Speichern.

Erstellen Sie eine Benutzergruppe und einen Benutzer.

Erstellen Sie eine Benutzergruppe für Remote-SSL-VPN und fügen Sie einen Benutzer hinzu, falls Sie dies noch nicht getan haben.

  1. Gehe zu Authentifizierung > Gruppen und klicken Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Name Wert
    Name Remote SSL VPN-Gruppe
    Surfquote Unbegrenzter Internetzugang
    Zugriffszeit Immer erlaubt

  3. Klicken Speichern.

  4. Gehe zu Authentifizierung > Benutzer und klicken Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Name Wert
    Benutzername john.smith
    Name John Smith
    Gruppe Remote SSL VPN-Gruppe

  6. Klicken Speichern.

Microsoft Entra ID SSO einrichten

Sie können die Microsoft Entra ID-Single-Sign-On-Authentifizierung (SSO) für den Remotezugriff über SSL-VPN einrichten. Siehe Microsoft Entra ID (Azure AD) Server.

Um die Microsoft Entra ID SSO-Authentifizierung einzurichten, gehen Sie wie folgt vor:

  1. Konfigurieren Sie Ihre Microsoft Entra ID im Azure-Portal. Siehe Microsoft Entra ID in die Sophos Firewall integrieren.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
  3. (Optional) Gruppen aus Microsoft Entra ID importieren. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Authentifizierungsdienste prüfen

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und SSL-VPN verwenden möchten, konfiguriert sind in Authentifizierung > Dienstleistungen.

In diesem Beispiel legen Sie für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden die lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Dienstleistungen.

  2. Unter VPN-Portal-Authentifizierungsmethoden: Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter SSL-VPN-Authentifizierungsmethoden: Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in SSL VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode konfigurieren. Authentifizierung > Dienstleistungen Bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Sie müssen denselben Microsoft Entra ID-Server für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden konfigurieren.

SSL-VPN-Konfigurationen

Geben Sie die erforderlichen SSL-VPN-Einstellungen an, konfigurieren Sie eine SSL-VPN-Richtlinie und optional die Bereitstellungsdatei.

Globale SSL-VPN-Einstellungen

Wenn SSL-VPN-Clients eine Verbindung zur Firewall herstellen, werden ihnen IP-Adressen aus dem hier angegebenen Subnetz zugewiesen. Sie müssen eine private Adresse verwenden.

  1. Gehe zu VPN-Fernzugriff > SSL-VPN und klicken Globale SSL-VPN-Einstellungen.

    VPN settings.

  2. Geben Sie die private IP-Adresse und die Subnetzmaske ein.

    Sobald Verbindungen hergestellt sind, vergibt die Firewall IP-Adressen aus dem Subnetz an entfernte Benutzer.

    IPv4 lease range.

  3. Geben Sie die folgenden DNS-Einstellungen ein:

    1. Geben Sie die primären und sekundären IPv4-DNS-Serveradressen ein.

    2. Für Domainname: Geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local) für die Hostnamen der zulässigen Ressourcen.

      Das Suffix wird dem Netzwerkadapter des Remote-Endpunkts hinzugefügt. Es wird an Hostnamen angehängt, die einen FQDN bilden, um die DNS-Anfragen des Endpunkts aufzulösen.

    DNS settings.

  4. Klicken Anwenden.

Fügen Sie eine SSL-VPN-Richtlinie hinzu

Erstellen Sie eine Richtlinie, die es Benutzern der Remote-SSL-VPN-Gruppe ermöglicht, VPN-Verbindungen herzustellen und auf Ressourcen im lokalen Subnetz zuzugreifen.

  1. Gehe zu VPN-Fernzugriff > SSL-VPN und klicken Hinzufügen.
  2. Klicken Manuelle Konfiguration.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie die Versicherungsnehmer aus.

  5. Einschalten Als Standardgateway verwenden um einen vollständigen Tunnel zu errichten.

    Der gesamte Datenverkehr der Remote-Benutzer, einschließlich des Internetverkehrs, gelangt über die eingerichteten Tunnel in die Firewall.

  6. Für Zulässige Netzwerkressourcen Mitglieder haben Zugriff darauf; in diesem Beispiel wird Folgendes ausgewählt:

    • LocalSubnet

    • DNS_Servers

      Um die DNS-Auflösung zu ermöglichen, müssen Sie die DNS-Server auswählen.

  7. Klicken Anwenden.

    Specify policy members and permitted network resources.

Erstellen Sie eine Bereitstellungsdatei

Wenn Sie die Daten automatisch abrufen möchten .ovpn Über das VPN-Portal können Sie eine Bereitstellungsdatei erstellen. Außerdem werden später vorgenommene Konfigurationsänderungen abgerufen. Siehe Bereitstellungsdateivorlagen.

Beschränkung

Die Bereitstellungsdatei unterstützt nur Windows-Geräte. Sie kann nur mit dem Sophos Connect-Client verwendet werden.

  1. Öffnen Sie eine neue Datei in einem Texteditor, zum Beispiel Notepad.

  2. Kopieren und bearbeiten Sie die Einstellungen, um sie an Ihre Netzwerkanforderungen anzupassen, indem Sie die folgende Syntax verwenden: Einstellungen für die Bereitstellungsdatei.

    Sie müssen den Hostnamen oder die IP-Adresse des Gateways angeben. Die anderen Felder sind optional.

    Beispiel 
    [  {  "Tor": "203.0.113.1",  "user_portal_port": 443  } ]

  3. Speichern Sie die Datei mit einem .pro Verlängerung.

  4. Um es auf den Endgeräten der Benutzer zu installieren, verwenden Sie eine der folgenden Optionen:

    • Senden Sie die Bereitstellungsdatei per E-Mail an die Benutzer.

      Nutzer müssen klicken Importverbindung im Sophos Connect-Client die Datei auswählen. Alternativ können sie auch auf die Datei doppelklicken. .pro Datei zum Importieren. Siehe Bereitstellung von IPsec- und SSL-VPN.

    • Verwenden Sie ein Active Directory-Gruppenrichtlinienobjekt (GPO), um es nach dem Start automatisch in den Sophos Connect-Client auf den Endgeräten der Benutzer zu importieren. Siehe VPN-Bereitstellungsdatei über Gruppenrichtlinie importieren.

Verkehr zulassen

Sie müssen SSL-VPN aus der WAN-Zone zulassen, eine SNAT-Regel konfigurieren, um ausgehenden Datenverkehr zu maskieren, und eine Firewall-Regel konfigurieren, um SSL-VPN-Datenverkehr zuzulassen.

Gerätezugriffseinstellungen prüfen

Sie müssen Remote-Benutzern aus den erforderlichen Zonen den Zugriff auf bestimmte Dienste ermöglichen.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter SSL-VPN, wählen VAN um Remote-Benutzern die Herstellung von SSL-VPN-Verbindungen zu ermöglichen.

  3. Unter VPN-Portal, wählen UND, VAN, VPN, Und W-lan.

    Benutzer können über diese Zonen auf das VPN-Portal zugreifen und den VPN-Client sowie die Konfigurationsdateien herunterladen.

  4. (Optional) Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über VPN anpingen, um die Konnektivität zu überprüfen.

  5. (Optional) Unter DNS, wählen VPN.

    Benutzer können Domainnamen über VPN auflösen, wenn Sie die Firewall für die DNS-Auflösung in den VPN-Einstellungen angegeben haben.

  6. Klicken Anwenden.

    Turn on access from zones for SSL VPN and VPN portal.

Überprüfen Sie die SNAT-Regel

Gehe zu Regeln und Richtlinien > NAT-Regeln und prüfen Sie, ob eine Standard-IPv4-SNAT-Regel oder eine SNAT-Regel zur Verschleierung des ausgehenden Datenverkehrs existiert.

Default SNAT IPv4 rule.

Falls keine Firewall-Regel existiert, fahren Sie mit dem Hinzufügen einer Firewall-Regel fort und folgen Sie Schritt 9, um eine SNAT-Regel hinzuzufügen.

Fügen Sie eine Firewall-Regel hinzu

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 oder IPv6.
  3. Klicken Firewall-Regel hinzufügen Und Neue Firewall-Regel.
  4. Geben Sie einen Regelnamen ein.
  5. Für Quellzone, wählen VPN.

  6. Für Quellnetzwerke und Geräte, wählen ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.

    Die Firewall fügt dynamisch IP-Adressen hinzu, die Remote-Benutzern zugewiesen wurden, welche eine Verbindung zu diesen Hosts hergestellt haben.

  7. Für Zielzonen, wählen Beliebig, um den Datenverkehr von Remote-Benutzern über VPN in jede Zone zu ermöglichen, einschließlich LAN-, DMZ- und WAN-Zonen.

  8. Für Zielnetzwerke, wählen Beliebig.

    Die Einstellung des Standardgateways stellt sicher, dass der Internetverkehr von Remote-Benutzern die Firewall passiert. Daher muss die Firewall-Regel Datenverkehr von den angegebenen Quellnetzwerken zu jedem Netzwerk zulassen.

    Firewall rule's matching criteria.

  9. Optional: Falls keine SNAT-Regel zur Verschleierung des ausgehenden Datenverkehrs existiert, können Sie eine verknüpfte NAT-Regel erstellen.

    1. Klicken Verknüpfte NAT-Regel erstellen.
    2. Für Übersetzter Quelltext (SNAT), wählen MASQ.

    3. Klicken Speichern.

      Linked NAT rule.

  10. Klicken Speichern.

Benutzeraktionen

Nutzer können den Sophos Connect-Client vom VPN-Portal herunterladen und installieren. Sie können die .pro Sie können die bereitgestellte Datei oder die heruntergeladene SSL-VPN-Konfiguration verwenden und in den Client importieren. Siehe Bereitstellung von IPsec- und SSL-VPN Und SSL-VPN.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen