Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite ist beschrieben, wie Sie allgemeine SSL-VPN-Einstellungen konfigurieren können.
Die Registerkarte SSL-VPN ermöglicht es Ihnen die erforderlichen Parameter für den Fernzugriff, wie Protokolle, Server-Zertifikate und IP-Adressen für SSL-Clients, definieren. Der SSL-VPN-Client unterstützt die aktuellsten Unternehmensanwendungen sowie das systemeigene Outlook oder die Dateifreigabe von Windows und viele mehr.
1. Gehen Sie zu Konfigurieren > VPN > SSL-VPN.
2. Legen Sie die Einstellungen für SSL VPN fest.
Protokoll
Wählen Sie das zu verwendende Protokoll aus. Sie können TCP oder UDP auswählen. UDP wird empfohlen, da es bessere Leistung bietet.
SSL-Server-Zertifikat
Wählen Sie ein lokales SSL-Zertifikat, das vom SSL-VPN-Server verwendet werden soll, um sich bei den Clients zu identifizieren.
Standard: Appliance-Zertifikat
* Der SSL-VPN-Server unterstützt keine selbstsignierten Zertifikate, die nicht von einer CA (die nicht identisch mit der Option Selbstsigniertes Zertifikat generieren im Bereich Zertifikat ist) genehmigt wurden.
Hostname überschreiben
Hier können Sie die Server-IP-Adresse für die Client-VPN-Verbindung festlegen. Hierbei sollte es sich um die externe IP-Adresse von Sophos XG Firewall handeln.
IPv4-Lease-Bereich
Legen Sie einen IP-Adressbereich fest, der verwendet wird, um IP-Adressen an SSL-Clients zu verteilen. Dies sollte ein privater IP-Adressbereich sein.
Standardbereich: 10.81.234.5 bis 10.81.234.55
Subnetzmaske
Wählen Sie eine Netzmaske für den obigen IP-Adressbereich aus. Die Netzmaske darf nicht größer als 21 Bits sein, da OpenVPN Adressbereiche mit der Netzmaske /30, /31 oder /32 nicht unterstützt. Die Netzmaske ist auf ein Minimum von 16 begrenzt.
IPv6-Lease (IPv6/Präfix)
Wenn Sie IPv6-Adressen an Clients leasen möchten, legen Sie das-Präfix im ersten Feld und die Netzmaske im letzten Feld fest.
Anschließend müssen Sie im Parameter Lease-Modus die Option IPv4 und IPv6 wählen.
Lease-Modus
Legen Sie fest, ob Sie an die SSL-Clients nur IPv4-Adressen oder sowohl IPv4- als auch IPv6-Adressen leasen möchten.
IPv4-DNS
Geben Sie bis zu zwei IPv4-DNS-Server Ihres Unternehmens an, einen primären und einen sekundären.
IPv4-WINS
Geben Sie bis zu zwei IPv4-WINS-Server Ihres Unternehmens an, einen primären und einen sekundären.
Windows Internet Naming Service (WINS) ist die Implementierung eines NetBIOS Name Server (NBNS) von Microsoft auf Windows-Betriebssystemen. Im Prinzip ist WINS für NetBIOS-Namen das, was DNS für Domänennamen ist – eine zentrale Zuordnung von Hostnamen zu IP-Adressen.
Domänenname
Geben Sie den Hostnamen Ihrer Sophos XG Firewall als vollständigen Domänennamen (Fully Qualified Domain Name, FQDN) ein. Der FQDN ist ein eindeutiger Domänennamen, der die absolute Position des Knotens in der DNS-Baumstruktur angibt, zum Beispiel sf.example.com. Ein Hostname kann alphanumerische Zeichen, Punkte und Bindestriche enthalten. Am Ende des Hostnamens muss eine Domäne oberste Ebene (Top-Level-Domain, TLD) wie com, org oder de stehen. Der Hostname wird in Mitteilungen verwendet, um Sophos XG Firewall zu identifizieren.
Dead Peer-Verbindung trennen nach
Geben Sie ein Zeitlimit in Sekunden an, nach welchem eine tote Verbindung von Sophos XG Firewall beendet wird.
Standard: 180 Sekunden.
Inaktive Peer-Verbindung trennen nach
Geben Sie ein Zeitlimit in Minuten an, nach welchem eine inaktive Verbindung beendet wird.
Standard: 15 Minuten.
3. Legen Sie Kryptografische Einstellungen fest.
Verschlüsselungsalgorithmus
Geben Sie den Algorithmus an, der zur Verschlüsselung der Daten verwendet wird, die über den VPN-Tunnel versendet werden. Die folgenden Algorithmen werden alle im Cipher Block Chaining(CBC)-Modus unterstützt
DES-EDE3-CBC
AES-128-CBC (128 Bit)
AES-192-CBC (192 Bit)
AES-256-CBC (256 Bit)
BF-CBC (Blowfish (128 Bit))
Authentifizierungsalgorithmus
SHA-1 (160 Bit)
SHA2 256 (256 Bit)
SHA2 384 (384 Bit)
SHA2 512 (512 Bit)
MD5 (128 Bit)
Schlüssellänge
Die Schlüssellänge ist die Länge des Diffie-Hellman-Schlüsselaustauschs. Je länger, desto sicherer sind die symmetrischen Schlüssel. Die Länge wird in Bits angegeben. Sie können zwischen einer Schlüssellänge von 1024 oder 2048 Bits wählen.
Schlüsselgültigkeit
Geben Sie eines Zeitraum an, nach welchem der Schlüssel abläuft.
Standard: 28.800 Sekunden
4. Legen Sie Komprimierungseinstellungen fest.
SSL-VPN-Verkehr komprimieren
Wenn aktiviert, werden alle Daten, die über die SSL-VPN-Tunnel versendet werden, vor der Verschlüsselung komprimiert.
5. Legen Sie Fehlersuche-Einstellungen fest.
Fehlersuchmodus aktivieren
Wenn Sie den Fehlersuchmodus aktivieren, enthält die SSL-VPN-Protokolldatei ausführliche Informationen, die für die Fehlersuche nützlich sein können.
6. Klicken Sie auf Übernehmen.