Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-SSL-Sophos-Connect-client-configuration

Konfigurieren Sie Remote-Access-SSL-VPN als Split-Tunnel.

Sie können SSL-VPN-Verbindungen für den Fernzugriff im Split-Tunnel-Modus konfigurieren. Nur der Datenverkehr zu den zulässigen Netzwerkressourcen wird durch die Firewall geleitet.

Die Verbindung kann über den Sophos Connect-Client hergestellt werden.

Videos

Konfigurieren Sie IPsec- und SSL-VPN für den Fernzugriff

Konfigurieren von Microsoft Entra ID SSO für Sophos Connect

Überblick

Mit dem Sophos Connect Client können Sie erweiterte Sicherheits- und Flexibilitätseinstellungen durchsetzen, z. B. die automatische Tunnelverbindung.

Vorläufige Konfigurationen:

  • Konfigurieren Sie IP-Hosts für die lokalen Subnetze.
  • Benutzer und Gruppen konfigurieren.
  • (Optional) Richten Sie einen Authentifizierungsserver wie Microsoft Entra ID ein.
  • Überprüfen Sie die Authentifizierungsmethoden.

Um SSL-VPN-Verbindungen für den Fernzugriff mithilfe des Sophos Connect-Clients zu konfigurieren und einzurichten, gehen Sie wie folgt vor:

  • Konfigurieren Sie die SSL-VPN-Einstellungen.
  • Senden Sie die Konfigurationsdatei an die Benutzer.
  • Füge eine Firewall-Regel hinzu.
  • Senden Sie den Benutzern den Sophos Connect-Client. Alternativ können Benutzer ihn vom VPN-Portal herunterladen.

Beschränkung

Derzeit unterstützt der Sophos Connect-Client macOS nicht für SSL-VPN. Auch mobile Plattformen werden für IPsec- und SSL-VPN nicht unterstützt. Für diese Endpunkte können Sie den OpenVPN Connect-Client verwenden. Siehe Kompatibilität mit Endpunktplattformen.

Die Nutzer müssen Folgendes beachten:

  • Installieren Sie den Sophos Connect Client auf den Endgeräten.
  • Importieren Sie die Konfigurationsdatei in den Client und stellen Sie die Verbindung her.

Erstellen Sie einen IP-Host für das lokale Subnetz

Das lokale Subnetz definiert die Netzwerkressourcen, auf die entfernte Clients zugreifen können.

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.

  2. Geben Sie einen Namen und ein Netzwerk für das lokale Subnetz ein.

    IP host for local subnet.

  3. Klicken Speichern.

Erstellen Sie eine Benutzergruppe und fügen Sie einen Benutzer hinzu.

Sie erstellen eine Benutzergruppe für das Remote-SSL-VPN und fügen einen Benutzer hinzu. Die Gruppe legt ein Surfzeitkontingent und eine Zugriffszeit fest. In diesem Beispiel haben Benutzer der Gruppe unbegrenzten Zugriff.

  1. Gehe zu Authentifizierung > Gruppen und klicken Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Einstellung Beschreibung
    Name Remote SSL VPN-Gruppe
    Surfquote Unbegrenzter Internetzugang
    Zugriffszeit Immer erlaubt

  3. Klicken Speichern.

  4. Gehe zu Authentifizierung > Benutzer und klicken Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Einstellung Beschreibung
    Benutzername john.smith
    Name John Smith
    Gruppe Remote SSL VPN-Gruppe

  6. Klicken Speichern.

Microsoft Entra ID SSO einrichten

Sie können die Microsoft Entra ID-Single-Sign-On-Authentifizierung (SSO) für den Remotezugriff über SSL-VPN einrichten. Siehe Microsoft Entra ID (Azure AD) Server.

Um die Microsoft Entra ID SSO-Authentifizierung einzurichten, gehen Sie wie folgt vor:

  1. Konfigurieren Sie Ihre Microsoft Entra ID im Azure-Portal. Siehe Microsoft Entra ID in die Sophos Firewall integrieren.
  2. Fügen Sie einen Microsoft Entra ID-Server in der Firewall hinzu. Siehe Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
  3. (Optional) Gruppen aus Microsoft Entra ID importieren. Siehe Importgruppen.
  4. Erlauben Sie die erforderlichen URLs. Siehe Microsoft Azure-URLs zulassen.

Authentifizierungsdienste prüfen

Überprüfen Sie, ob die Authentifizierungsmethoden, die Sie für das VPN-Portal und SSL-VPN verwenden möchten, konfiguriert sind in Authentifizierung > Dienstleistungen.

In diesem Beispiel legen Sie für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden die lokale Authentifizierung und einen Authentifizierungsserver wie Microsoft Entra ID fest.

  1. Gehe zu Authentifizierung > Dienstleistungen.

  2. Unter VPN-Portal-Authentifizierungsmethoden: Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in VPN portal authentication methods.

  3. Unter SSL-VPN-Authentifizierungsmethoden: Überprüfen Sie, ob die Ausgewählter Authentifizierungsserver ist eingestellt auf Lokal und dem Authentifizierungsserver, den Sie unter konfiguriert haben Authentifizierung > Server.

    Authentication server set to local and Microsoft Entra ID in SSL VPN authentication methods.

Notiz

Wenn Sie die Microsoft Entra ID SSO-Authentifizierung verwenden möchten, stellen Sie sicher, dass Sie den Microsoft Entra ID-Server als Authentifizierungsmethode konfigurieren. Authentifizierung > Dienstleistungen Bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.

Sie müssen denselben Microsoft Entra ID-Server für das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden konfigurieren.

Geben Sie ein Subnetz für SSL-VPN-Clients an.

Wenn SSL-VPN-Clients eine Verbindung zur Sophos Firewall herstellen, werden ihnen IP-Adressen aus dem hier angegebenen Subnetz zugewiesen. Sie müssen eine private Adresse verwenden.

  1. Gehe zu VPN-Fernzugriff > SSL-VPN und klicken Globale SSL-VPN-Einstellungen.

    VPN settings.

  2. Geben Sie die private IP-Adresse und das Subnetz an, die für Remote-Benutzer zugewiesen werden sollen.

    IPv4 lease range.

  3. Klicken Anwenden.

Fügen Sie eine SSL-VPN-Fernzugriffsrichtlinie hinzu.

Sie erstellen eine Richtlinie, die es Benutzern der Remote-SSL-VPN-Gruppe ermöglicht, eine Verbindung herzustellen. Diese Benutzer dürfen auf Ressourcen im lokalen Subnetz zugreifen.

  1. Gehe zu VPN-Fernzugriff > SSL-VPN und klicken Hinzufügen.
  2. Klicken Manuelle Konfiguration.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie die Versicherungsnehmer aus.

  5. Wählen Sie die zulässigen Netzwerkressourcen aus, auf die Mitglieder zugreifen dürfen.

    Specify policy members and permitted network resources.

  6. Klicken Anwenden.

Fügen Sie eine Firewall-Regel hinzu

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 oder IPv6.
  3. Klicken Firewall-Regel hinzufügen Und Neue Firewall-Regel.
  4. Geben Sie einen Regelnamen ein.
  5. Für Quellzone, wählen VPN.

  6. Für Quellnetzwerke und Geräte, wählen ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.

    Diese Hosts enthalten die IP-Adressen, die an Remote-Benutzer vergeben wurden, die eine Verbindung hergestellt haben.

  7. Für Zielzonen: Wählen Sie die Zonen der Ressourcen aus, für die Sie Fernzugriff gewähren möchten.

  8. Für Zielnetzwerke: Wählen Sie den IP-Host aus, den Sie für die zulässigen Netzwerkressourcen erstellt haben.

  9. Klicken Speichern.

    Hier ein Beispiel:

    Firewall rule's matching criteria.

Gerätezugriffseinstellungen prüfen

Sie müssen Remote-Benutzern aus den erforderlichen Zonen Zugriff auf bestimmte Dienste gewähren.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter SSL-VPN, wählen VAN um Remote-Benutzern die Herstellung von SSL-VPN-Verbindungen zu ermöglichen.

  3. Unter VPN-Portal, wählen UND, VAN, VPN, Und W-lan.

    Benutzer können über diese Zonen auf das VPN-Portal zugreifen und den VPN-Client sowie die Konfigurationsdateien herunterladen.

  4. (Optional) Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über VPN anpingen, um die Konnektivität zu überprüfen.

  5. (Optional) Unter DNS, wählen VPN.

    Benutzer können Domainnamen über VPN auflösen, wenn Sie die Firewall für die DNS-Auflösung in den VPN-Einstellungen angegeben haben.

  6. Klicken Anwenden.

    Turn on access from zones for SSL VPN and VPN portal.

Sophos Connect-Client auf Endpunkten installieren und konfigurieren

Um SSL-VPN-Verbindungen für den Fernzugriff herzustellen, müssen Benutzer den Sophos Connect-Client auf ihren Endgeräten installieren und die entsprechenden Dateien importieren. .ovpn Datei an den Client senden.

Sie können das Installationsprogramm für den Sophos Connect-Client über die Web-Administrationskonsole der Sophos Firewall herunterladen und an Benutzer weitergeben. Alternativ können Benutzer den Client wie folgt über das VPN-Portal herunterladen:

  1. Melden Sie sich im VPN-Portal an.
  2. Klicken VPN.

  3. Unter Sophos Connect-Client, klicken Download für Windows.

    Notiz

    Informationen darüber, welche Endpunktplattformen der Sophos Connect-Client unterstützt, finden Sie unter Kompatibilität mit Endpunktplattformen.

    Windows installer for the Sophos Connect client.

  4. Klicken Konfigurationsdatei für Windows, macOS und Linux herunterladen zum Herunterladen .ovpn Konfigurationsdatei.

    Download SSL VPN configuration.

  5. Klicken Sie auf den heruntergeladenen Sophos Connect-Client.

    Anschließend können Sie es in der Taskleiste Ihres Endgeräts sehen.

  6. Klicken Importverbindung: und wählen Sie die .ovpn Die heruntergeladene Datei.

    Import connection.

  7. Melden Sie sich mit Ihren VPN-Portal-Zugangsdaten oder über SSO an.

    Sign in to the Sophos Connect client.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen