Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-sophos-connect-client-configuration

Konfigurieren Sie IPsec-Fernzugriffs-VPN mit dem Sophos Connect-Client

Sie können IPsec-Fernzugriffsverbindungen konfigurieren. Benutzer können die Verbindung über den Sophos Connect-Client herstellen.

Videos

Konfigurieren Sie IPsec- und SSL-VPN für den Fernzugriff

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Einführung

Um IPsec-Fernzugriffsverbindungen über den Sophos Connect-Client zu konfigurieren und einzurichten, gehen Sie wie folgt vor:

  • Generieren Sie ein lokal signiertes Zertifikat.
  • (Optional) Richten Sie Microsoft Entra ID Single Sign-On (SSO) ein.
  • Überprüfen Sie die Authentifizierungsmethoden.
  • Konfigurieren Sie die IPsec-Fernzugriffsverbindung.
  • Senden Sie die Konfigurationsdatei an die Benutzer.
  • (Optional) Weisen Sie einem Benutzer eine statische IP-Adresse zu.
  • Füge eine Firewall-Regel hinzu.
  • Zugriff auf Dienste gewähren.
  • Senden Sie den Benutzern den Sophos Connect-Client. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.

Die Nutzer müssen Folgendes beachten:

  • Installieren Sie den Sophos Connect Client auf den Endgeräten.
  • Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.

Notiz

IPsec-Fernzugriffs-VPN unterstützt keine Verbindungen aus dem LAN.

Konfigurieren Sie ein lokal signiertes Zertifikat

  1. Gehe zu Zertifikate > Zertifikate und klicken Hinzufügen.

  2. Wählen Lokal signiertes Zertifikat generieren.

    Alternativ können Sie auswählen Upload-Zertifikat falls Sie einen haben.

    Select locally-signed certificate.

  3. Geben Sie die Zertifikatsdetails für das lokal unterzeichnete Zertifikat.

    Hier ein Beispiel:

    Certificate details.

  4. Geben Sie die Attribute des Subjektnamens.

    Hier ein Beispiel:

    Subject name attributes.

  5. Unter Alternative Bezeichnungen für das Fach: Geben Sie einen DNS-Namen oder eine IP-Adresse ein und klicken Sie auf die Schaltfläche "Hinzufügen" (+).

    Hier ein Beispiel:

    Subject Alternative Names.

Microsoft Entra ID SSO einrichten

Sie können die Microsoft Entra ID SSO-Authentifizierung für den Remotezugriff über IPsec-VPN einrichten. Siehe Microsoft Entra ID (Azure AD) Server.

Um die Microsoft Entra ID SSO-Authentifizierung einzurichten, gehen Sie wie folgt vor:

  1. Konfigurieren Sie Ihre Microsoft Entra ID im Azure-Portal. Siehe Microsoft Entra ID in die Sophos Firewall integrieren.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
  3. (Optional) Gruppen aus Microsoft Entra ID importieren. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Authentifizierungsdienste prüfen

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und das IPsec-VPN verwenden möchten, konfiguriert sind in Authentifizierung > Dienstleistungen.

In diesem Beispiel legen Sie für das VPN-Portal und die IPsec-VPN-Authentifizierungsmethoden lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Dienstleistungen.

  2. Unter VPN-Portal-Authentifizierungsmethoden: Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter VPN-Authentifizierungsmethoden (IPsec/Einwahl/L2TP/PPTP): Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode konfigurieren. Authentifizierung > Dienstleistungen Bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Konfiguration des IPsec-Fernzugriffs

Legen Sie die Einstellungen für IPsec-Fernzugriffsverbindungen fest.

  1. Gehe zu VPN-Fernzugriff > IPsec und klicken Aktivieren.

  2. Legen Sie die allgemeinen Einstellungen fest.

    Name Beispieleinstellungen
    Schnittstelle

    203.0.113.1

    Wählen Sie einen WAN-Port aus.
    IPsec-Profil

    DefaultRemoteAccess

    Sie können nur IKEv1-Profile auswählen mit Erkennung toter Gleichaltriger (DPD) ausgeschaltet oder eingestellt auf Trennen.
    Authentifizierungstyp Digital certificate
    Lokales Zertifikat Appliance certificate
    Remote-Zertifikat

    TestCert

    Wählen Sie ein lokal signiertes Zertifikat aus. Alternativ können Sie ein Zertifikat auswählen, das Sie hochgeladen haben. Zertifikate > Zertifikate.
    Lokale ID

    Die Firewall wählt automatisch die lokale ID für digitale Zertifikate aus.

    Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Remote-ID Stellen Sie sicher, dass Sie eine Zertifikats-ID für das Zertifikat konfiguriert haben.
    Zugelassene Benutzer und Gruppen TestGroup

  3. Geben Sie die Kundeninformationen an.

    Hier ein Beispiel:

    Name Beispieleinstellungen
    Name TestRemoteAccessVPN
    IP-Adresse zuweisen von

    192.168.1.11

    192.168.1.254
    DNS-Server 1 192.168.1.5

    Client information settings.

  4. Geben Sie die gewünschten erweiterten Einstellungen an und klicken Sie auf Anwenden.

    Name Beispieleinstellungen
    Zulässige Netzwerkressourcen (IPv4)

    LAN_10.1.1.0

    DMZ_192.168.2.0
    Sicherheits-Heartbeat durch Tunnel senden Sendet den Sicherheits-Heartbeat von Remote-Clients durch den Tunnel.
    Ermöglichen Sie Benutzern das Speichern von Benutzernamen und Passwort Benutzer können ihre Anmeldeinformationen speichern.

    Hier ein Beispiel:

    Advanced settings.

  5. Klicken Exportverbindung am Ende der Seite.

    Die exportierten tar.gz Die Datei enthält eine .scx Datei und ein .tgb Datei.

    Export the configuration file.

  6. Sende die .scx Datei an Benutzer senden. Alternativ können Sie den Client herunterladen und an die Benutzer senden.

Weisen Sie einem Benutzer eine statische IP-Adresse zu.

Sie können einem Benutzer, der sich über den Sophos Connect-Client verbindet, eine statische IP-Adresse wie folgt zuweisen:

  1. Gehe zu Authentifizierung > Benutzer: und wählen Sie den Benutzer aus.

  2. Scrollen Sie auf der Seite mit den Benutzereinstellungen nach unten zu IPsec-Fernzugriff, klicken Aktivieren: und geben Sie eine IP-Adresse ein.

    Hier ein Beispiel:

    Assign static IP address to a user connecting through the Sophos Connect client.

Fügen Sie eine Firewall-Regel hinzu

Konfigurieren Sie eine Firewall-Regel, um den Datenverkehr vom VPN zum LAN und zur DMZ zuzulassen, da Sie in diesem Beispiel Remote-Benutzern den Zugriff auf diese Zonen ermöglichen möchten.

  1. Geben Sie einen Namen ein.

  2. Geben Sie die Quell- und Zielzonen wie folgt an und klicken Sie auf Anwenden:

    Name Beispieleinstellungen
    Quellzonen VPN
    Zielzonen

    LAN

    DMZ

    Hier ein Beispiel:

    Source and destination zones in the firewall rule.

    Notiz

    Unter erweiterten Einstellungen für IPsec (Fernzugriff), wenn Sie auswählen Als Standardgateway verwenden: Der Sophos Connect-Client leitet den gesamten Datenverkehr, einschließlich des Internetverkehrs, vom Remote-Benutzer durch den Tunnel. Um diesen Datenverkehr zuzulassen, müssen Sie zusätzlich die folgenden Einstellungen vornehmen: Zielzone zur WAN-Schnittstelle in der Firewall-Regel.

Zugriff auf Dienste gewähren

Sie müssen Benutzern den Zugriff auf Dienste wie IPsec, VPN-Portal, DNS und Ping ermöglichen.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter IPsec, wählen Sie die VAN Kontrollkästchen.

    Dies ermöglicht es Remote-Benutzern, über Remote-Zugriff und Site-to-Site-IPsec-VPN-Tunnel auf diese zuzugreifen.

  3. Unter VPN-Portal: Wählen Sie die Kontrollkästchen für UND, VAN, VPN, Und W-lan.

    Dies ermöglicht es Benutzern, sich aus diesen Zonen im VPN-Portal anzumelden und den Sophos Connect-Client herunterzuladen. Wir empfehlen, den Zugriff aus dem WAN nur temporär zu erlauben.

  4. (Optional) Unter DNS, wählen Sie die VPN Kontrollkästchen.

    Dies ermöglicht es Remote-Benutzern, Domänennamen über VPN aufzulösen, wenn Sie die DNS-Auflösung über die Firewall konfiguriert haben.

  5. (Optional) Unter Ping/Ping6, wählen Sie die VPN Kontrollkästchen.

    Dies ermöglicht es Remote-Benutzern, die VPN-Verbindung zur Firewall zu überprüfen.

  6. Klicken Anwenden.

    Access to services through VPN.

Konfigurieren des Sophos Connect-Clients auf Endgeräten

Benutzer müssen den Sophos Connect-Client auf ihren Endgeräten installieren und die Daten importieren. .scx Datei an den Client senden.

Sie können die Sophos Connect Client-Installationsprogramme von der Sophos Firewall Web-Administrationskonsole herunterladen und diese mit Benutzern teilen.

Alternativ können Benutzer den Sophos Connect-Client wie folgt vom VPN-Portal herunterladen:

  1. Melden Sie sich im VPN-Portal an.
  2. Klicken VPN.

  3. Unter Sophos Connect-Client: Klicken Sie auf eine der folgenden Optionen:

    • Download für Windows
    • Download für macOS

    Installers for the Sophos Connect client.

  4. Klicken Sie auf den heruntergeladenen Sophos Connect-Client.

    Anschließend können Sie es in der Taskleiste Ihres Endgeräts sehen.

  5. Klicken Importverbindung: und wählen Sie die .scx Die Datei wurde Ihnen von Ihrem Administrator gesendet.

    Import connection.

  6. Melden Sie sich mit Ihren VPN-Portal-Zugangsdaten oder über SSO an.

    Sign in to the Sophos Connect client.

  7. Geben Sie den Bestätigungscode ein, falls eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.

Zwischen dem Client und der Sophos Firewall wird eine IPsec-Fernzugriffsverbindung hergestellt.

Notiz

Wenn Sie sich zuvor mit Ihren Anmeldedaten und mit Merken Sie sich Benutzername und Passwort Wenn Sie diese Option auswählen, werden Sie automatisch mit Ihren Anmeldedaten angemeldet. Um die Anmeldeoptionen erneut anzuzeigen, beispielsweise wenn Sie SSO anstelle Ihrer Anmeldedaten verwenden möchten, klicken Sie auf „Verbindung bearbeiten“. Edit connection. und klicken Klare Referenzen: Die Anmeldeoptionen werden Ihnen beim nächsten Anmelden angezeigt.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen