Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-SSL-VPN-global-settings

Globale SSL-VPN-Einstellungen

Die globalen SSL-VPN-Einstellungen gelten für alle SSL-VPN-Richtlinien für den Fernzugriff.

Diese Einstellungen sind Teil der .ovpn Die Konfigurationsdatei wurde in den SSL-VPN-Client importiert.

Um die Einstellungen festzulegen, gehen Sie zu VPN-Fernzugriff > SSL-VPN und klicken Globale SSL-VPN-Einstellungen.

Protokoll

SSL-VPN-Clients können Verbindungen über die folgenden Protokolle herstellen:

  • TCP: Sie können TCP für Anwendungen verwenden, die eine hohe Zuverlässigkeit erfordern, wie z. B. E-Mail, Web-Surfen und FTP.
  • UDP: Sie können UDP für Anwendungen verwenden, die eine schnelle und effiziente Übertragung benötigen, wie z. B. Streaming-Medien, VoIP, DNS und TFTP.

SSL-Serverzertifikat

Der SSL-VPN-Server verwendet dieses Zertifikat zur Authentifizierung der Clients.

Um ein anderes Zertifikat als das Standardzertifikat auszuwählen, gehen Sie zu Zertifikate > Zertifikate und konfigurieren Sie ein lokal signiertes Zertifikat oder laden Sie ein externes Zertifikat hoch.

Wenn Sie eine Zwischenzertifizierungsstelle verwenden, die mithilfe einer externen Stammzertifizierungsstelle für die Signierung des SSL-Serverzertifikats generiert wurde, müssen Sie das Serverzertifikat mit seinem privaten Schlüssel sowie die Zwischen- und Stammzertifizierungsstellen auf die Firewall hochladen.

Hostnamen überschreiben

SSL-VPN-Clients verbinden sich mit der hier angegebenen IP-Adresse oder dem Hostnamen. Wenn Sie dieses Feld leer lassen, werden alle Schnittstellen der Zonen, aus denen Sie den SSL-VPN-Zugriff zulassen, verwendet.Verwaltung > Gerätezugriff unter Lokaler Dienst ACL: ) sind aufgeführt in der .ovpn Datei. Clients versuchen, Verbindungen mit den konfigurierten Schnittstellen herzustellen. Netzwerk > Schnittstellen.

Wählen Sie anhand Ihrer WAN-Schnittstellenadresse eine der folgenden Optionen aus:

  • Einzelne, statische öffentliche IP-Adresse: Sie können diese Adresse beibehalten. Hostnamen überschreiben leer.

  • Mehrere statische öffentliche IP-Adressen: Wählen Sie eine der folgenden Optionen:

    • Geben Sie den Domänennamen ein.
    • Lassen Sie das Feld leer. Die Firewall verwendet die verfügbaren WAN-Adressen.
    • Geben Sie eine Schnittstellenadresse ein, wenn Clients sich nur mit dieser Schnittstelle verbinden sollen.

  • Upstream-Router: Falls die Firewall über einen Upstream-Router verfügt, gehen Sie wie folgt vor:

    1. Geben Sie die öffentliche IP-Adresse oder den Domänennamen des Routers ein.
    2. Konfigurieren Sie den Router so, dass er SSL-VPN-Datenverkehr an die Firewall weiterleitet.

  • Dynamische IP-Adresse: Um die dynamischen öffentlichen IP-Adressen der Firewall aufzulösen, gehen Sie wie folgt vor:

    1. Gehe zu Netzwerk > DDNS und konfigurieren Sie die Einstellungen. Siehe Fügen Sie einen dynamischen DNS-Anbieter hinzu..
    2. Unter Hostnamen überschreiben, geben Sie den DDNS ein Hostname: Es handelt sich um einen FQDN.

Die in den SSL-VPN-Richtlinien konfigurierten zulässigen Netzwerke werden nicht angezeigt in der .ovpn Datei. Wenn Clients eine Verbindung herstellen, werden die für die Benutzer zulässigen Netzwerke automatisch zum Client hinzugefügt.

Anschluss (optional)

Ändern Sie bei Bedarf die Portnummer für die Verbindungen. Beachten Sie die folgenden Warnhinweise:

Notiz

Der Benutzerportal-Port darf nicht für andere Dienste verwendet werden.

Wenn VPN-Portal und SSL-VPN denselben Port verwenden, funktionieren die Anmeldesicherheitseinstellungen nicht. Siehe Anmeldesicherheit.

Beschränkung

SSL-VPN-Datenverkehr und WAF-Regeln müssen für mindestens eines der folgenden Objekte unterschiedliche Werte aufweisen: WAN-IP-Adresse, Port, Protokoll.

SSL-VPN-Datenverkehr an die von WAF-Regeln verwendete WAN-IP-Adresse wird verworfen, wenn er denselben Port und dasselbe Protokoll wie die WAF-Regeln verwendet. Dies gilt nur für IPv4-Datenverkehr.

Die Standard-HTTPS-Ports unterscheiden sich für WAF-Regeln (443) und SSL-VPN (8443). Der WAF-Datenverkehr verwendet immer das TCP-Protokoll.

Hier ist ein Beispiel für die Konfiguration, die SSL-VPN-Datenverkehr verwenden kann, wenn das Netzwerk über zwei WAN-IP-Adressen verfügt:

WAF

Option 1

(Abweichende IP-Adresse)

SSL-VPN

Option 2

(Anderer Anschluss)

SSL-VPN

Option 3

(Anderes Protokoll)

SSL-VPN
WAN-IP-Adresse 203.0.113.1 203.0.113.2 203.0.113.1 oder 203.0.113.2 203.0.113.1 oder 203.0.113.2
Hafen 443 443 Verwenden Sie nicht 443 Jeder beliebige Port
Protokoll TCP TCP oder UDP TCP oder UDP UDP

Zuweisung von IP-Adressen

Sie können IPv4- und IPv6-Netzwerke konfigurieren.

IPv4- und IPv6-Adressen zuweisen

Die Firewall vergibt IP-Adressen aus dem von Ihnen angegebenen Netzwerk an SSL-VPN-Clients. Außerdem weist sie dem Client eine IP-Adresse aus diesem Subnetz zu. TUN Schnittstelle, die virtuelle Schnittstelle der Firewall, über die sie Verbindungen zu VPN-Clients auf Endgeräten herstellt.

Notiz

Wenn die Firewall eine SSL-VPN-Verbindung für den Fernzugriff mit einem VPN-Client herstellt, zeigen die Protokolle Folgendes an: TUN Die Schnittstellenadresse dient als Quelle und die dem Client zugewiesene IP-Adresse als Ziel.

Sie können nur ein IPv4-Subnetz bis zu einer bestimmten Größe auswählen. /24Beispielsweise können Sie nicht auswählen /25 und kleinere Subnetze. Siehe Fehlerbehebung bei VPN-Fernzugriff.

Stellen Sie sicher, dass diese IP-Adresse oder dieser IP-Adressbereich nicht in Remote-Access-IPsec-, L2TP- und PPTP-VPN-Konfigurationen verwendet wird.

Wenn Sie diese IPv4- und IPv6-Adresseinstellungen ändern und Benutzern statische SSL-VPN-IP-Adressen zugewiesen haben, stellen Sie sicher, dass sich die statischen Adressen innerhalb des aktualisierten statischen Bereichs befinden.

Notiz

Falls der Datenverkehr über Remote-Access-SSL-VPN-Verbindungen nach der Migration auf Version 19.5 und spätere Versionen nicht funktioniert, haben Sie möglicherweise benutzerdefinierte Hosts für die gemieteten IP-Adressen zu den entsprechenden Firewall-Regeln hinzugefügt.

Wählen Sie den Systemhost aus. ##ALL_SSLVPN_RW (Und ##ALL_SSLVPN_RW6 (falls erforderlich) stattdessen. Siehe Fehlerbehebung bei VPN-Fernzugriff.

Leasingmodus

Wählen Sie aus den folgenden Optionen:

  • Nur IPv4: Vergibt ausschließlich IPv4-Adressen.
  • Sowohl IPv4 als auch IPv6: Vergibt IPv4- und IPv6-Adressen.

Verwenden Sie statische IP-Adressen

Wenn Sie dieses Kontrollkästchen aktivieren, wird der Adressbereich angezeigt, aus dem Sie SSL-VPN-Benutzern für den Remotezugriff statische IP-Adressen zuweisen können. Die Firewall teilt diesen Bereich automatisch anhand der von Ihnen angegebenen Subnetze auf. IPv4-Adressen zuweisen Und IPv6-Adressen zuweisen.

Um einem Benutzer eine statische Adresse zuzuweisen, gehen Sie zu Authentifizierung > Benutzer.

Wenn Sie die zugewiesenen IP-Adressen aktualisieren auf Globale SSL-VPN-Einstellungen: Stellen Sie sicher, dass die dem Benutzer zugewiesene Adresse innerhalb des aktualisierten statischen Adressbereichs liegt.

Notiz

Aktuell unterstützt die Firewall keine gleichzeitigen Anmeldungen für Remote-Zugriffsbenutzer, wenn Sie ihnen eine statische SSL-VPN-IP-Adresse zugewiesen haben.

DNS-Server

Sie können Folgendes konfigurieren:

  • IPv4 DNS: Geben Sie die IP-Adressen der primären und sekundären DNS-Server für Folgendes ein:

    • Um die Hostnamen von Netzwerkressourcen aufzulösen, auf die Remote-Benutzer zugreifen werden.
    • Zur Auflösung öffentlicher Hostnamen, wenn die Sophos Firewall als Standardgateway für Remote-Access-SSL-VPN-Benutzer fungiert.

  • IPv4 WINS: Geben Sie die primären und sekundären Windows Internet Naming Service (WINS)-Server für Ihr Netzwerk ein.

  • Domainname: Geben Sie das DNS-Suffix ein (Beispiel: company.com oder test.local) wird dem Netzwerkadapter des Remote-Endpunkts hinzugefügt. Das Suffix wird an Hostnamen angehängt und bildet einen FQDN, um die DNS-Anfragen des Endpunkts aufzulösen.

Verbindung zum Peer trennen

Sie können Folgendes konfigurieren:

  • Trenne die Verbindung zum inaktiven Peer nach: Zeit in Sekunden, nach der die Firewall die Verbindungen zu nicht reagierenden Clients schließt.

    Standardwerte:

    • TCP: 180

    • UDP: 100

      Notiz

      UDP-Verbindungen haben einen kürzeren Timeout-Wert. Geben Sie daher einen Wert zwischen 60 und 110 ein, wenn Sie UDP in den globalen SSL-VPN-Einstellungen auswählen.

  • Inaktiven Peer nach: Zeit in Minuten, nach der die Firewall eine inaktive Verbindung schließt.

Andere Einstellungen

Sie können Folgendes konfigurieren:

  • Kryptografische Einstellungen:

    • Verschlüsselungsalgorithmus: Wählen Sie den Algorithmus für die Verschlüsselung der über den VPN-Tunnel gesendeten Daten aus.
    • Authentifizierungsalgorithmus: Wählen Sie den Algorithmus zur Authentifizierung der Nachrichten aus.
    • Schlüsselgröße: Wählen Sie die Schlüssellänge (Bits). Längere Schlüssel sind sicherer.
    • Schlüssellebensdauer: Geben Sie die Zeit (in Sekunden) ein, nach der die Schlüssel ablaufen.

  • Debug-Einstellungen

    • Debug-Modus aktivieren: Diese Option soll umfangreiche Informationen in der SSL-VPN-Protokolldatei für die Fehlersuche bereitstellen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen