IPsec-Einstellungen für den Fernzugriff
Sie können die Einstellungen für den Remotezugriff per IPsec-VPN konfigurieren. Anschließend können Sie die Verbindung exportieren und die Konfigurationsdatei mit Benutzern teilen.
Notiz
Wenn Sie allgemeine oder erweiterte Einstellungen aktualisieren, müssen Sie die Konfigurationsdatei erneut mit den Benutzern teilen, damit die Änderungen wirksam werden. .tgb Die Datei enthält nur die allgemeinen Einstellungen, und die .scx Die Datei enthält sowohl allgemeine als auch erweiterte Einstellungen.
- Gehe zu VPN-Fernzugriff > IPsec.
- Nehmen Sie die folgenden Einstellungen vor.
Allgemeine Einstellungen
| Name | Beschreibung |
|---|---|
| IPsec-Fernzugriff | Klicken Aktivieren um es einzuschalten. |
| Schnittstelle | Wählen Sie einen WAN-Port aus, der als Endpunkt für den Tunnel dient. |
| IPsec-Profil | Wählen Sie ein Profil aus, um die IKE-Parameter (Internet Key Exchange) der Phase 1 und Phase 2 anzuwenden. Sie können nur IKEv1-Profile auswählen mit Erkennung toter Gleichaltriger (DPD) ausgeschaltet oder eingestellt auf Trennen. |
| Authentifizierungstyp | Für die Verbindung zu verwendende Authentifizierungsmethode. Vorinstallierter Schlüssel: Geben Sie einen Schlüssel ein. Er wird der Konfigurationsdatei hinzugefügt. Sie müssen ihn nicht mit Benutzern teilen. Digitales Zertifikat: Bitte stellen Sie sicher, dass Sie die folgenden Bedingungen erfüllen:
|
Lokales Zertifikat Remote-Zertifikat | Wenn Sie ausgewählt haben Digitales Zertifikat: Wählen Sie die lokalen und Remote-Zertifikate aus. Sie können die Zertifikate hochladen oder lokal signierte Zertifikate konfigurieren. Zertifikate > Zertifikate: Dann wählen Sie es hier aus. Wählen Sie diese Option nicht aus. Externes Zertifikat. |
| Lokale ID | Wir empfehlen die Konfiguration einer lokalen ID, um sicherzustellen, dass Clients sich mit der richtigen Sophos Firewall verbinden. Lokale IDs dienen ausschließlich der Identifizierung des Firewall-Endpunkts des Tunnels. Daher können Sie beliebige DNS-, IP- oder E-Mail-Adressen eingeben. Wählen Sie aus den folgenden Optionen:
|
| Remote-ID | Wir empfehlen, die Remote-ID so zu konfigurieren, dass die Remote-Clients identifiziert werden. Sie darf nicht mit der lokalen ID identisch sein. Remote-IDs dienen lediglich der Identifizierung des entfernten Tunnelendes. Daher können Sie beliebige DNS-, IP- oder E-Mail-Adressen eingeben. Wählen Sie aus den folgenden Optionen:
|
| Zugelassene Benutzer und Gruppen | Fügen Sie vorkonfigurierte Benutzer und Gruppen hinzu, die sich über IPsec-Tunnel für den Fernzugriff verbinden können. Gastbenutzer haben keinen Zugriff auf IPsec-VPN und SSL-VPN. Daher können Sie keine Gastbenutzer und Gastgruppen hinzufügen. |
Kundeninformationen
| Name | Beschreibung |
|---|---|
| Name | Geben Sie einen Namen für die Verbindung ein. |
| IP-Adresse zuweisen von | Geben Sie eine private IP-Adresse ein, die den Clients zugewiesen werden soll. Der Adressbereich muss mindestens zu einem bestimmten Adressenbereich gehören. /24 Subnetz und darf nicht in Remote-Access-SSL-VPN-, L2TP- und PPTP-VPN-Konfigurationen verwendet werden. |
| Zulassen der Anmietung von IP-Adressen vom RADIUS-Server für L2TP-, PPTP- und IPsec-Fernzugriff | Wählen Sie diese Option, um die IP-Adressen des RADIUS-Servers zu verwenden, falls Sie die RADIUS-Authentifizierung nutzen. Falls der RADIUS-Server keine Adressen bereitstellt, weist die Sophos Firewall dem Benutzer die konfigurierte statische Adresse zu oder mietet eine Adresse aus dem angegebenen Bereich. |
DNS-Server 1 DNS-Server 2 | Primärer und sekundärer DNS-Server, die für die Verbindung verwendet werden sollen. |
Leerlaufzeit
| Name | Beschreibung |
|---|---|
| Trennen Sie die Verbindung, wenn der Tunnel im Leerlauf ist. | Trennt inaktive Clients nach Ablauf der angegebenen Zeit von der Sitzung. |
| Leerlauf-Sitzungszeitintervall | Zeit in Sekunden, nach der die Firewall inaktive Clients trennt. |
Notiz
Wenn Benutzer versuchen, sich nach dem Trennen inaktiver Clients durch die Firewall erneut zu verbinden, initiiert der Sophos Connect-Client die Sitzung im Hintergrund neu. Falls die Verbindung weiterhin fehlschlägt, müssen sie klicken. Trennen: Klicken Sie dann Verbinden Der Client muss die Sitzung neu starten.
Erweiterte Einstellungen
Die Sophos Firewall fügt lediglich die erweiterten Einstellungen hinzu. .scx Datei, die mit Sophos Connect-Clients verwendet wird. .tgb Die Datei wird diese Einstellungen nicht enthalten. .tgb Die Datei ist mit Drittanbieter-Clients kompatibel.
| Name | Beschreibung |
|---|---|
| Als Standardgateway verwenden | Aktivieren Sie diese Option, um den gesamten Datenverkehr, einschließlich externer Internetanfragen, an die von Ihnen für den IPsec-Fernzugriff angegebene Schnittstelle zu senden. Damit Sophos Connect-Clientbenutzer ihre Internetanfragen über die Sophos Firewall senden können, müssen Sie eine Firewall-Regel konfigurieren, deren Quellzone auf VPN und deren Zielzone auf WAN festgelegt ist. Deaktivieren Sie diese Option, um nur den Zugriff auf zulässige Ressourcen innerhalb des Netzwerks zu erlauben. Der Client stellt dann für den Datenverkehr außerhalb des Netzwerks eine Verbindung zum Internet her. Diese Einstellung gilt für alle Zugelassene Benutzer und Gruppen Sie geben an, dass Allgemeine Einstellungen: Wenn Sie diese Option für einige Benutzer aktivieren und für andere deaktivieren möchten, verwenden Sie SSL-VPN (Fernzugriff). |
| Zulässige Netzwerkressourcen (IPv4) | Wählen Sie die Ressourcen aus, auf die diese Richtlinie den Zugriff gestattet. |
| Sicherheits-Heartbeat durch Tunnel senden | Wenn der Sophos Endpoint Protection-Client auf den Endgeräten der Benutzer installiert ist, sendet er über den Tunnel ein Heartbeat-Signal an die Sophos Firewall. |
| Ermöglichen Sie Benutzern, Benutzernamen und Passwort zu speichern. | Es ermöglicht Nutzern, ihre Anmeldeinformationen auf ihrem Gerät zu speichern. Die Benutzeranmeldeinformationen werden sicher mithilfe von Schlüsselbunddiensten gespeichert. Wir empfehlen, diese Option zu aktivieren, wenn Sie auswählen Tunnel automatisch verbinden. |
| Fordern Sie die Benutzer zur Eingabe eines 2FA-Tokens auf. | Zeigt im Sophos Connect-Client ein separates Eingabefeld für die Eingabe des OTP an. Wenn dieses Feld deaktiviert ist, müssen Benutzer das OTP im Passwortfeld im folgenden Format eingeben: Aktuell sendet die Firewall die Details an Dieses Feld erfordert die Konfiguration der Multi-Faktor-Authentifizierung (MFA) für den IPsec-Fernzugriff. Authentifizierung > Multi-Faktor-Authentifizierung oder mit OTP-Tokens von Drittanbietern. Das SCCLI, ein Befehlszeilentool zur Verwaltung von Verbindungen im Sophos Connect Client, funktioniert nicht, wenn diese Option aktiviert ist. |
| Führen Sie das AD-Anmeldeskript nach der Verbindungsherstellung aus. | Wählen Sie diese Option, um das Skript auszuführen, das automatisch auf Active Directory-Benutzer angewendet wird, sobald diese sich anmelden. Sie können beispielsweise Skripte ausführen, die Netzlaufwerke zuordnen und Standardressourcen festlegen, auf die der Benutzer zugreifen kann. |
| Tunnel automatisch verbinden | Wählen Sie diese Option, um die Verbindung automatisch zu aktivieren, wenn sich Benutzer an ihren Endgeräten anmelden. |
| Hostname oder DNS-Suffix zur Überwachung | Geben Sie einen Hostnamen oder ein DNS-Suffix innerhalb des Netzwerks ein. Dies hilft Ihnen bei der Überwachung automatischer Verbindungen und zeigt an, ob das Endgerät des Benutzers über den Tunnel mit dem Host verbunden ist. Geben Sie einen Hostnamen oder ein Suffix an, der/das nur über einen internen DNS-Server aufgelöst werden kann. Sie müssen ICMP-Anfragen für den Host zulassen. |
| DNS-Suffix des Clients zuweisen | Geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local) wird dem Netzwerkadapter des Remote-Endpunkts hinzugefügt. Das Suffix wird an Hostnamen angehängt und bildet einen FQDN, um die DNS-Anfragen des Endpunkts aufzulösen. |
Vollständiger Tunnel: Wenn Sie eingeschaltet haben Als Standardgateway verwenden In den erweiterten Einstellungen richtet die Sophos Firewall eine einzelne ESP-Sicherheitsassoziation (Encapsulating Security Payload) ein. Wenn innerhalb der Leerlaufzeit kein Datenverkehr stattfindet, werden die Sicherheitsassoziation und der Tunnel gelöscht.
Split-Tunnel: Wenn Sie angegeben haben Zulässige Netzwerkressourcen In den erweiterten Einstellungen erstellt die Sophos Firewall so viele ESP-SAs, wie Subnetze vorhanden sind. Wenn Sie beispielsweise vier Subnetze ausgewählt haben, richtet die Firewall vier Tunnel ein.
Es wird lediglich die untergeordnete SA gelöscht, über die während der Leerlaufzeit kein Datenverkehr fließt. Die anderen SAs bleiben aktiv.
Laden Sie den Sophos Connect-Client herunter und aktualisieren Sie ihn.
- Klicken Sie hier, um den Sophos Connect-Client herunterzuladen. Client herunterladen.
- Um auf die neueste Version des Sophos Connect-Clients zu aktualisieren, gehen Sie zu Backup & Firmware > Musteraktualisierungen.
Laden Sie die Konfiguration herunter und setzen Sie sie zurück.
- Um die Konfigurationsdateien herunterzuladen (
.scxUnd.tgb), scrollen Sie bis zum Ende und klicken Sie Exportverbindung. - Um die Werkseinstellungen für den IPsec-Fernzugriff wiederherzustellen, scrollen Sie nach unten und klicken Sie auf Zurücksetzen.
Videos
Weitere Ressourcen