Automatische Bereitstellung, Konfigurationsdateien und Clients

Mithilfe der Bereitstellungsdatei können Sie Remote-Access-IPsec-VPN- und Remote-Access-SSL-VPN-Konfigurationen automatisch in den Sophos Connect-Client importieren.

Alternativ können Benutzer die einzelnen Konfigurationsdateien herunterladen.

Anforderungen

Bei Verwendung der Bereitstellungsdatei importiert der Sophos Connect-Client die Konfiguration über das VPN-Portal. Für Remote-Benutzer, die sich aus der WAN-Zone verbinden, muss der WAN-Zugriff für das VPN-Portal in der Konfiguration aktiviert werden. Verwaltung > Gerätezugriff, unter Lokaler Dienst ACL.

Notiz

Die Aktivierung des WAN-Zugriffs für das VPN-Portal setzt die Firewall Sicherheitsrisiken wie Brute-Force-Angriffen aus. Informationen zur Vermeidung von Sicherheitsrisiken finden Sie unter Mehrere fehlgeschlagene Anmeldeversuche für WAN-zugewandte Portale auf der Firewall.

Microsoft Entra ID SSO-Anforderungen

Um Microsoft Entra ID Single Sign-On (SSO) bei der Bereitstellung eines Remote-Access-IPsec-VPN oder Remote-Access-SSL-VPN nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen.

Bereitstellungs-Workflow

Bei der Bereitstellung eines Remote-Access-IPsec-VPNs oder eines Remote-Access-SSL-VPNs mithilfe einer Bereitstellungsdatei müssen Sie die folgenden Anforderungen erfüllen:

Die Authentifizierungsmethoden für VPN-Portal, IPsec-VPN und SSL-VPN müssen denselben Microsoft Entra ID-Server verwenden. Authentifizierung > Dienstleistungen.
Der gateway Die Einstellung in der Bereitstellungsdatei muss mit der folgenden übereinstimmen: Umleitungs-URI des in der Firewall konfigurierten Microsoft Entra ID-Servers.

Workflow ohne Bereitstellung

Bei der Bereitstellung eines Remote-Access-IPsec-VPNs oder eines Remote-Access-SSL-VPNs mithilfe einer Konfigurationsdatei müssen Sie die folgenden Anforderungen erfüllen:

Sie müssen zuerst den Microsoft Entra ID-Server als Authentifizierungsmethode konfigurieren in Authentifizierung > Dienstleistungen Bevor Sie die VPN-Konfigurationsdatei herunterladen. Andernfalls funktioniert die SSO-Authentifizierung nicht.
Für den Remotezugriff über SSL-VPN müssen das VPN-Portal und die SSL-VPN-Authentifizierungsmethoden denselben Microsoft Entra ID-Server verwenden. Authentifizierung > Dienstleistungen.
Für den Remotezugriff über IPsec-VPN können Sie denselben oder einen anderen Microsoft Entra ID-Server als Authentifizierungsmethode verwenden. Authentifizierung > Dienstleistungen.

Bereitstellungsdatei

Wenn Benutzer auf die Bereitstellung doppelklicken (.proDie Datei wird in den Sophos Connect-Client importiert. Basierend auf der .pro Dateieinstellungen, der Client verbindet sich mit dem VPN-Portal und importiert automatisch das Remote-Access-SSL-VPN (.ovpn) Datei, die dem Benutzer und dem Remote-Zugriffs-IPsec entspricht (.scx) Datei in den Sophos Connect Client einfügen.

Sie können die Bereitstellungsdatei in einem Texteditor konfigurieren und sie mit einem .pro Erweiterung. Informationen zu den Betriebssystemen, auf denen Sie den Sophos Connect-Client und die Bereitstellungsdatei verwenden können, finden Sie unter Sophos Connect-Client.

Installation der Bereitstellungsdatei

Sie können die .pro Datei mit Benutzern. Siehe Bereitstellungsdateivorlagen.

Alternativ können Sie es direkt auf den Endgeräten der Benutzer mithilfe eines Active Directory-Gruppenrichtlinienobjekts (GPO) im folgenden Ordner installieren: C:\Program Files (x86)\Sophos\Connect\importDer Sophos Connect-Client importiert die .pro Datei aus dem Ordner.

Sehen VPN-Bereitstellungsdatei über Gruppenrichtlinie importieren.

Konfigurationen werden abgerufen

Nach dem Import der Bereitstellungsdatei ruft der Client automatisch die verfügbaren VPN-Verbindungen ab (.scx Und .ovpn) Konfigurationen.

Die VPN-Konfigurationsdatei wird nach erfolgreicher Authentifizierung am VPN-Portal heruntergeladen. Wenn die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, muss der Benutzer den MFA-Prozess abschließen, bevor der Download fortgesetzt werden kann.

Beachten Sie das folgende Verhalten bei späteren Konfigurationsänderungen:

Wenn Sie den Port oder das Protokoll ändern Globale SSL-VPN-Einstellungen: Benutzer müssen im Sophos Connect-Client auf die Schaltfläche mit dem Zahnradsymbol für die Konfiguration klicken und anschließend auf „Weiter“ klicken. Aktualisierungsrichtlinie.
Der Client ruft automatisch alle weiteren Konfigurationsänderungen ab, die Sie vornehmen.
Einige Konfigurationsänderungen in Globale SSL-VPN-Einstellungen: Einstellungen wie Port, Gateway, SSL-Serverzertifikat und Protokoll erfordern, dass sich Benutzer erneut beim Sophos Connect-Client anmelden.

Konfigurationsdateien

Diese Dateien werden erstellt, wenn Sie die IPsec-Fernzugriffsverbindung und die SSL-VPN-Fernzugriffseinstellungen und -richtlinien konfigurieren.

IPsec: Gehe zu VPN-Fernzugriff > IPsec und klicken Exportverbindung Um die Dateien herunterzuladen, müssen Sie eine der folgenden Konfigurationsdateien manuell mit den Benutzern teilen:

.scx Datei: Diese Datei kann nur mit dem Sophos Connect-Client verwendet werden. Sie enthält neben den Standardeinstellungen auch erweiterte Einstellungen. Alle Einstellungen konfigurieren Sie über die Web-Administrationskonsole. Wir empfehlen die Verwendung dieser Datei.

Wenn Sie eine der erweiterten Einstellungen aktualisieren, senden Sie die aktualisierte Datei. .scx Konfigurationsdatei für Benutzer zum Import in den Sophos Connect-Client.
.tgb Datei: Diese Datei kann mit Drittanbieter-Clients verwendet werden. Sie enthält nicht die von Ihnen konfigurierten erweiterten Einstellungen.
iOS-Nutzer können die Konfigurationsdatei direkt vom VPN-Portal herunterladen (VPN > VPN-Konfiguration unter IPsec-VPN-Profil: ).

SSL-VPN: Es verwendet die .ovpn Konfigurationsdatei. Benutzer können die Datei im VPN-Portal herunterladen. VPN > VPN-Konfiguration unter SSL-VPN-Konfiguration: Sie können die Konfigurationsdatei auswählen, die mit dem von ihnen verwendeten Client kompatibel ist.

Clients und Konfigurationen

Welche Clients Sie verwenden können, hängt vom Verbindungstyp und dem Endgerät ab. Details zu Client, Bereitstellungsdatei und Konfigurationsdatei finden Sie in der folgenden Tabelle:

Art des VPN für Fernzugriff	Kunde	Bereitstellungs- und Konfigurationsdateien
IPsec	Sophos Connect-Client. Für mobile Plattformen können Sie den OpenVPN Connect-Client verwenden. Die Benutzer laden den Client vom VPN-Portal herunter.	Sie können eine der folgenden Dateien mit Benutzern teilen: `.pro` (Empfohlen): Teilen Sie die Bereitstellungsdatei mit den Benutzern. Dadurch wird die Konfigurationsdatei automatisch auf den Client importiert. Sie können die Bereitstellungsdatei für IPsec-VPNs mit Fernzugriff verwenden. Zusätzlich müssen Benutzer den Sophos Connect Client 2.1 oder höher installieren. `.scx`Verwenden Sie diese Konfigurationsdatei anstelle der `.tgb` Datei für erweiterte Sicherheitseinstellungen. Sie müssen diese Datei mit den Benutzern teilen. `.tgb` iOS-Nutzer müssen die Konfigurationsdatei vom VPN-Portal herunterladen.
IPsec (Legacy)	VPN-Clients von Drittanbietern	`.tgb`: Datei mit Benutzern teilen.
SSL-VPN	Sophos Connect-Client	Sie können eine der folgenden Methoden anwenden: `.pro` (Empfohlen): Teilen Sie die Bereitstellungsdatei mit den Benutzern. Diese können die Datei anklicken, um sie zu importieren. `.ovpn` Datei an den Sophos Connect-Client senden. `.ovpn`Benutzer können die Datei direkt vom VPN-Portal für die Sophos Connect- und OpenVPN Connect-Clients herunterladen.
SSL-VPN	Für macOS können Sie VPN-Clients von Drittanbietern verwenden. Für mobile Plattformen können Sie den OpenVPN Connect-Client verwenden.	`.ovpn`Die Benutzer laden die Datei vom VPN-Portal herunter.