Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-Sophos-Connect-provisioning-file

Bereitstellungsdateivorlagen

Mit der Sophos Connect-Bereitstellungsdatei können Sie Remote-Access-IPsec-VPN- und Remote-Access-SSL-VPN-Verbindungen mit der Sophos Firewall bereitstellen.

Wenn Sie die IPsec-Fernzugriffseinstellungen konfiguriert haben, importiert die Bereitstellungsdatei diese automatisch. .scx Die Konfigurationsdatei wird für alle Benutzer in den Sophos Connect-Client importiert. .ovpn Konfigurationsdatei für Benutzer, die Sie einer SSL-VPN-Fernzugriffsrichtlinie zugewiesen haben.

Außerdem werden später vorgenommene Konfigurationsänderungen automatisch importiert. Benutzer müssen die Konfigurationsdatei nicht vom VPN-Portal herunterladen.

Notiz

Sie können die Bereitstellungsdatei für IPsec-VPNs mit Fernzugriff verwenden. Benutzer müssen den Sophos Connect Client 2.1 oder höher installieren.

Vorteile

Die Verwendung der Bereitstellungsdatei bietet folgende Vorteile:

  • Importiert automatisch den IPsec-Fernzugriff (.scx) und SSL-VPN-Fernzugriff (.ovpn) Konfigurationsdateien in den Sophos Connect-Client auf den Endgeräten der Benutzer einfügen. Sie müssen die .scx Datei mit Benutzern.

    Die Nutzer müssen sich nicht im VPN-Portal anmelden und die Software herunterladen. .ovpn Datei.

  • Importiert automatisch alle später vorgenommenen Konfigurationsänderungen.

  • Ermöglicht die Angabe mehrerer Gateways und deren Priorität.

Konfigurieren Sie die Bereitstellungsdatei

Sie können die Bereitstellungsdatei konfigurieren und mit Benutzern teilen. Alternativ können Sie sie über die Gruppenrichtlinienverwaltung (GPO) von Active Directory auf den Endgeräten der Benutzer bereitstellen.

Einstellungen für die Bereitstellungsdatei

Einstellung Beschreibung
display_name

Gibt einen benutzerfreundlichen Namen an, der im Sophos Connect-Client angezeigt wird.

Es muss für die Benutzer leicht lesbar und erkennbar sein.

Es darf maximal 60 Zeichen lang sein.

Wenn diese Einstellung nicht angegeben ist, zeigt der Sophos Connect-Client Folgendes an: gateway stattdessen einen Parameter.
gateway

Der FQDN oder die IPv4-Adresse der Firewall, die die Verbindung bereitstellt.

Bei Verwendung von Microsoft Entra ID Single Sign-On (SSO) muss diese Einstellung übereinstimmen. Umleitungs-URI des in der Firewall konfigurierten Microsoft Entra ID-Servers. Siehe Anforderungen.
gateway_order

Legt fest, wie die Sophos Firewall den Datenverkehr ausgleicht, wenn mehrere Gateways konfiguriert sind.

Die zulässigen Werte sind wie folgt:

distributed: Wählt beim Verbindungsversuch zufällig ein Gateway aus.

latency: Wählt ein Gateway anhand seiner Reaktionsgeschwindigkeit auf eine TCP-Verbindungsanfrage aus.

in_order: Versucht zuerst das erste Gateway in der Liste; falls das fehlschlägt, wird das nächste Gateway versucht.
vpn_portal_port

Sie können die vpn_portal_port Syntax zum Eingeben des VPN-Portal-Ports. Dies ist der Port, über den die Bereitstellungsverbindung hergestellt wird.

Wenn Sie den Port in der Firewall ändern, müssen Sie ihn auch in der Provisionierungsdatei ändern.

Standardport: 443.

Sie können die user_portal_port Die Syntax ist korrekt, aber Sie müssen den Port des VPN-Portals eingeben.
auto_connect_host

Der Zielhost dient zur Feststellung, ob sich der Sophos Connect-Client bereits im internen Netzwerk befindet. Wird ein Wert angegeben, prüft der Sophos Connect-Client jedes Mal, wenn eine Netzwerkschnittstellen-IP-Adresse abgerufen oder geändert wird, ob der Host erreichbar ist. Ist der Host nicht erreichbar, wird die Verbindung automatisch hergestellt und, falls die Anmeldeinformationen gespeichert sind, der VPN-Tunnel aufgebaut.

Standardwert: leere Zeichenkette "" (Automatische Verbindung deaktiviert).

Um die automatische Verbindung zu aktivieren, geben Sie eine IP-Adresse oder einen Hostnamen an, der im entfernten LAN-Netzwerk existiert.

Wenn die letzte Anmeldemethode SSO war und die auto_connect_host Wenn der Server nicht erreichbar ist, authentifiziert der Sophos Connect-Client den Benutzer automatisch per SSO und stellt den VPN-Tunnel her.
can_save_credentials

Ermöglicht Benutzern, ihren Benutzernamen und ihr Passwort für die Verbindung zu speichern. Wenn Sie eingeben trueAuf der Seite zur Benutzerauthentifizierung erscheint ein Kontrollkästchen. Dieses ist standardmäßig aktiviert, der Benutzer kann jedoch entscheiden, die Anmeldeinformationen nicht zu speichern.

Zulässige Werte: true oder false.

Standardwert: true.

Diese Einstellung ist für die SSO-Anmeldemethode nicht anwendbar.
check_remote_availability

Führt beim Verbindungsaufbau eine Remote-Verfügbarkeitsprüfung durch, um nicht reagierende Clients auszusortieren.

Zulässige Werte: true oder falseDie

Standardwert: true.
run_logon_script

Führt nach dem Aufbau des VPN-Tunnels das vom Domänencontroller bereitgestellte Anmeldeskript aus.

Zulässige Werte: true oder false.

Standardwert: false.

Vorlagen

Mithilfe der folgenden Bereitstellungsdateivorlagen können Sie organisationsspezifische Bereitstellungsdateien erstellen. Die Einstellungen können Sie anpassen.

Kopieren Sie die Skripte in einen Texteditor wie Notepad, passen Sie die Einstellungen Ihren Anforderungen an und speichern Sie die Datei unter einem bestimmten Namen. .pro Verlängerung.

Erfordernis

Sie müssen die Gateway-Adresse angeben. Die anderen Felder sind optional.

Notiz

Wenn Sie den VPN-Portal-Port in der Firewall ändern, müssen Sie ihn auch in der Bereitstellungsdatei ändern.

Einzelverbindung 
[  {  "Anzeigename": "<Display name> ",  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "auto_connect_host": "<Internal hostname or IP address> ",  "can_save_credentials": WAHR,  "check_remote_availability": FALSCH,  "run_logon_script": FALSCH  } ]
Mehrere Verbindungen 
[  {  "Anzeigename": "<Display name> ",  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "auto_connect_host": "<Internal hostname or IP address> ",  "can_save_credentials": WAHR,  "check_remote_availability": FALSCH,  "run_logon_script": FALSCH  },  {  "Anzeigename": "<Display name> ",  "Tor": "<Gateway hostname or IP address> ",  "otp": FALSCH,  "auto_connect_host": "<Internal hostname or IP address> ",  "check_remote_availability": FALSCH,  "run_logon_script": FALSCH  },  {  "Anzeigename": "<Display name> ",  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": 9443,  "can_save_credentials": FALSCH  } ]

Wenn Sie die Felder nicht angeben, werden die Standardwerte verwendet. Im obigen Beispiel verwendet die zweite Verbindung Port 443 für das VPN-Portal, und Benutzer können ihre Anmeldeinformationen speichern.

Notiz

Wenn Sie mehrere Verbindungen hinzufügen, müssen Sie diese durch Kommas trennen.

Sie können mehrere Gateways zu derselben Verbindung hinzufügen.

Mehrere Gateways 
[  {  "Anzeigename": "XG_SSL-VPN",  "gateway_order": "in Ordnung",  "Tor": [ "xg1.some.company.com", "xg2.some.other.com", "xg3.yet.another.com" ],  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": FALSCH,  "auto_connect_host": "inside.ad.local",  "can_save_credentials": WAHR,  "check_remote_availability": WAHR,  "run_logon_script": WAHR  } ]

Bereitstellungsdatei: 2FA-Einstellungen

Einstellung Beschreibung
otp

Legt fest, ob für die Authentifizierung beim Verbindungsaufbau ein Einmalpasswort (OTP) erforderlich ist. Dadurch wird ein drittes Eingabefeld zur Eingabe des OTP-Codes im Sophos Connect-Client angezeigt.

Zulässige Werte: true oder false.

Standardwert: false.
2fa

Legt die Methode der Zwei-Faktor-Authentifizierung (2FA) fest.

Zulässige Werte: 1 oder 2.

Standardwert: 1.

Die zulässigen Werte sind wie folgt:

1 Verwendet die Sophos Firewall-Konfiguration für die Zwei-Faktor-Authentifizierung. Benutzer müssen das OTP-Token oder den Verifizierungscode im dritten Eingabefeld eingeben. Das OTP-Token oder der Verifizierungscode wird an das Passwort angehängt (Beispiel: passwordotp) und wird an den Authentifizierungsserver gesendet. Benutzer können das Token mithilfe von Authentifizierungs-Apps wie Google Authenticator generieren.

2 Verwendet einen externen 2FA-Server wie Duo. Benutzer müssen den von der Authentifizierungs-App generierten Bestätigungscode im dritten Eingabefeld eingeben. Passwort und Bestätigungscode werden durch Kommas getrennt und an den Authentifizierungsserver gesendet. Siehe Unterstützung von Authentifizierungsdiensten von Drittanbietern.

Wenn Sie mehr als eine Duo-Methode konfiguriert haben, müssen die Benutzer Folgendes in das dritte Eingabefeld eingeben:

  • Duo Push: push
  • Duo-Telefon: phone
  • Duo SMS: sms (Der Anmeldebildschirm erscheint erneut. Benutzer müssen Benutzernamen, Passwort und Bestätigungscode eingeben.)
  • Duo-Token: Der Passcode.

Notiz

Wenn Benutzer ein OTP-Token oder einen Code eingeben müssen, zeigt der Sophos Connect-Client den Anmeldebildschirm beim ersten Anmelden zweimal an. Die erste Anmeldung lädt die Konfigurationsdatei herunter, die zweite stellt die Verbindung her.

Vorlagen

Sophos Firewall 2FA mit OTP 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": WAHR,  "2fa": 1,  "auto_connect_host": "<Internal hostname or IP address> ",  "can_save_credentials": WAHR,  "check_remote_availability": FALSCH,  "run_logon_script": FALSCH  } ]
Duo 2FA 
[  {  "Tor": "<Gateway hostname or IP address> ",  "vpn_portal_port": <VPN vonvon'S vonT>,  "otp": WAHR,  "2fa": 2,  "auto_connect_host": "<Internal hostname or IP address> ",  "can_save_credentials": WAHR,  "check_remote_availability": FALSCH,  "run_logon_script": FALSCH  } ]

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen