Häufig gestellte Fragen zum VPN-Fernzugriff
Häufig gestellte Fragen
Kann ich auf Windows-, macOS- und mobilen Plattformen IPsec-VPN- und SSL-VPN-Fernzugriffstunnel einrichten?
Die folgende Tabelle enthält VPN-Clients und Konfigurationen für die unterstützten Endpunktplattformen:
| Endgerätebetriebssystem | IPsec | SSL-VPN |
|---|---|---|
| Windows | Sophos Connect-Client
| Sophos Connect-Client
|
| macOS | Sophos Connect-Client
| VPN-Client eines Drittanbieters
|
| Android | VPN-Client eines Drittanbieters
| VPN-Client eines Drittanbieters
|
| iOS | Kein Kunde erforderlich. Konfiguration vom VPN-Portal herunterladen. | VPN-Client eines Drittanbieters
|
Sehen Unterstützte Plattformen für den Sophos Connect-Client.
Sind VPN-Verbindungen für den Fernzugriff verschlüsselt?
Ja, der gesamte Datenverkehr zwischen der Firewall und den VPN-Clients ist verschlüsselt.
Um die Verschlüsselungseinstellungen anzuzeigen, gehen Sie wie folgt vor:
- IPsec-VPN: Gehen Sie zu VPN-Fernzugriff > IPsec und klicken IPsec-Profile: Auf der IPsec-Profile Registerkarte, siehe Verschlüsselungsalgorithmus.
- SSL-VPN: Gehen Sie zu VPN-Fernzugriff > SSL-VPN und klicken Globale SSL-VPN-Einstellungen: Auf der Globale SSL-VPN-Einstellungen Registerkarte, siehe Kryptografische Einstellungen.
Bereitstellungsdatei
SSL-VPN-Verbindungen werden auf Gateways hergestellt, die nicht in der Bereitstellung konfiguriert sind (.pro) Datei.
Der Sophos Connect-Client verwendet nur die in der .pro Diese Datei dient zum Verbinden mit dem VPN-Portal und zum Abrufen der VPN-Konfigurationen für den Fernzugriff. Diese Gateways werden nicht zum Aufbau von VPN-Verbindungen verwendet.
IPsec: Die Tunnel werden über die Schnittstelle aufgebaut, die Sie in der Konfiguration auswählen.
SSL-VPN: Über die konfigurierten Schnittstellen werden Tunnel aufgebaut. Netzwerk > Schnittstellen wenn Sie SSL-VPN aus deren Zonen zugelassen haben (Verwaltung > Gerätezugriff > Lokaler Dienst ACL: Diese sind in der Liste aufgeführt. .ovpn Datei.
Um die öffentliche IP-Adresse oder eine bestimmte IP-Adresse für SSL-VPN zu verwenden, gehen Sie zu Globale SSL-VPN-Einstellungen und geben Sie es ein Hostnamen überschreiben. Sehen Globale SSL-VPN-Einstellungen.
Wie kann ich die Bereitstellungs- und Konfigurationsdateien verwenden, wenn sich die Firewall hinter einem Router befindet?
Bereitstellungsdatei: Geben Sie den FQDN oder die öffentliche IP-Adresse des Routers ein. Konfigurieren Sie die DNAT-Einstellungen des Routers, um den Datenverkehr an die Firewall weiterzuleiten.
IPsec: Im .scx Ändern Sie in der Datei manuell die Gateway-Adresse auf die WAN-IP-Adresse des Routers und konfigurieren Sie anschließend die Router-Einstellungen.
SSL-VPN: An Globale SSL-VPN-Einstellungen, Satz Hostnamen überschreiben Um die Einstellungen des Routers zu konfigurieren, verwenden Sie entweder den öffentlichen FQDN oder die WAN-IP-Adresse des Routers.
Wann sollten Benutzer IPsec- und SSL-VPN-Konfigurationsänderungen manuell in den Sophos Connect-Client importieren?
IPsec: Benutzer müssen auf „Verbindung bearbeiten“ klicken. 
Klicken Sie im Sophos Connect-Client auf Aktualisierungsrichtlinie: und laden Sie die Konfiguration vom VPN-Portal herunter.
SSL-VPN: Änderungen an Port, Protokoll, Gateway und SSL-Serverzertifikat auf Globale SSL-VPN-Einstellungen: Benutzer müssen klicken Aktualisierungsrichtlinie im Client. Siehe Wenn SSL-VPN-Benutzer die Konfiguration erneut herunterladen müssen.
Wenn Sie die .pro Wenn Sie die Datei verwenden, werden automatisch einige SSL-VPN-Konfigurationsaktualisierungen abgerufen. Alternativ können Sie die Datei neu installieren. .pro Die Datei muss auf den Endgeräten der Benutzer gespeichert werden, um die IPsec- und SSL-VPN-Konfigurationen erneut abzurufen.
Beim Verwenden der Bereitstellungsdatei tritt ein Fehler aufgrund eines nicht vertrauenswürdigen Zertifikats auf.
Der Fehler tritt auf, wenn Sie das Standardzertifikat der Firewall für die Web-Administrationskonsole und das VPN-Portal verwenden (Verwaltung > Administrator- und Benutzereinstellungen: ). Der .pro Die Datei stellt eine Verbindung zum VPN-Portal her, um die VPN-Konfigurationen abzurufen, was zu einem Fehler führt, da das Standardzertifikat privat ist.
Sehen Fehler beim Entfernen eines nicht vertrauenswürdigen Zertifikats.
Multi-Faktor-Authentifizierung
Wie implementiere ich MFA für VPN-Nutzer mit Fernzugriff?
Gehe zu Authentifizierung > Multi-Faktor-Authentifizierung und konfigurieren Sie MFA. Siehe Konfigurieren Sie MFA mit einer Authentifizierungs-App
Bitte wählen Sie Folgendes aus:
- Benutzerportal
- SSL-VPN-Fernzugriff
- IPsec-Fernzugriff
Wie implementiere ich ein unabhängiges Eingabefeld für OTP im Sophos Connect Client?
Um das dritte Eingabefeld anzuzeigen, gehen Sie wie folgt vor:
- IPsec: Gehe zu Fernzugriff > IPsec. Unter Erweiterte Einstellungen, wählen Fordern Sie die Benutzer zur Eingabe eines 2FA-Tokens auf. und klicken Anwenden.
-
IPsec Und SSL-VPN: Legen Sie die folgenden Werte in der Bereitstellungsdatei fest:
- otp:
true - 2FA:
1
- otp:
Unterstützt der Sophos Connect-Client die abfragebasierte Multi-Faktor-Authentifizierung?
Nein. Derzeit unterstützt der Sophos Connect-Client keine OTP-Abfrage. Er sendet die Passwort- und OTP-Details in passwordotp Das Format für den Authentifizierungsserver wird nicht korrekt angegeben. Wenn der Authentifizierungsserver also eine OTP-Anforderung sendet, erhält er nicht nur das OTP, und die Authentifizierung findet nicht statt.
Der Sophos Connect-Client unterstützt telefonische und Push-basierte MFA. Die Web-Administrationskonsole unterstützt zusätzlich dazu auch die Challenge-basierte MFA.
IPsec-Fernzugriff
Kann ich über mehr als eine WAN-Schnittstelle IPsec-Fernzugriffsverbindungen einrichten?
Derzeit können Sie IPsec-Fernzugriffsverbindungen nur über eine einzige WAN-Schnittstelle herstellen.
SSL-VPN-Fernzugriff
Warum kann ich in den globalen SSL-VPN-Einstellungen keine Subnetze kleiner als /24 hinzufügen?
Die Firewall betreibt SSL-VPN-Tunnel in mehreren Instanzen, abhängig von der Anzahl der CPUs im jeweiligen Modell. Jede Instanz erstellt einen tun0 Schnittstelle, die ein unabhängiges Subnetz für das Routing und die interne Verkehrsverteilung benötigt.
Die Firewall erstellt automatisch Subnetze aus der konfigurierten Netzwerkadresse und dem Subnetz und weist sie dem Netzwerk zu. tun0 Schnittstellen. Kleinere Subnetze, wie zum Beispiel /25 und kleinere, was zu weniger zu vermietenden IP-Adressen führt.
Zum Beispiel ein 192.168.0.0/27 Ein Netzwerk in einer Firewall mit acht gleichzeitigen Instanzen verfügt nach der Zuweisung der Subnetze an die acht Instanzen über eine einzige vermietbare IP-Adresse. tun0 Schnittstellen.
Kann ich die Priorität der Gateways auswählen, mit denen sich der Sophos Connect-Client verbindet?
Der Sophos Connect-Client verbindet sich mit den in der Liste aufgeführten Remote-Gateways..ovpnDie Konfigurationsdatei ist in umgekehrter Prioritätsreihenfolge. Siehe SSL-VPN-Verbindungsverhalten.
Informationen zum Ändern der Prioritätsreihenfolge der Gateways finden Sie unter Die SSL-VPN-Bereitstellungsdatei befolgt nicht die angegebene Gateway-Reihenfolge..
Warum können manche Benutzer die Datei nicht herunterladen? .ovpn Konfigurationsdatei vom VPN-Portal?
Die Firewall unterstützt maximal 65.535 Benutzer-IDs, die von mehreren Benutzern und Gruppen gemeinsam genutzt werden.
Sie können Benutzer auch über dieses Limit hinaus erstellen, jedoch können bei Benutzern mit zugewiesenen IDs über 65.535 Funktionsprobleme auftreten, z. B. die Unfähigkeit, die Datei herunterzuladen. .ovpn Konfigurationsdateien vom VPN-Portal.
Um solche Probleme zu vermeiden, empfehlen wir, ungenutzte oder inaktive Benutzer und Gruppen regelmäßig zu löschen, damit deren IDs wiederverwendet werden können.
Sehen Benutzer-IDs.