1. Home
  2. Anleitungen
  3. Sophos XGS
  4. Sophos Firewall: IPsec-VPN für Remote Access einrichten

Sophos Firewall: IPsec-VPN für Remote Access einrichten

erstellt am:

für Versionen:

  • 19.5
  • 20.0

In diesem Artikel zeigen wir Ihnen, wie Sie auf Ihrer Sophos XGS Fernzugriff per IPsec VPN einrichten.

1. Öffnen Sie den WebAdmin der Sophos Firewall.

  • Navigieren Sie zu "Administration --> Device Access"
  • Aktivieren Sie in der Spalte "WAN" den Punkt "IPsec"
I Psec Device Access

2. Navigieren Sie zu "Profiles --> IPsec Profiles" und klonen oder bearbeiten Sie "DefaultRemoteAccess"

I Psec Policy Vor

3. Nehmen Sie folgende Änderungen vor:

  • Sofern Sie die Policy geklont haben, vergeben Sie einen Namen
  • Entfernen Sie im Bereich "Phase 1" unter "DH group (key group)" den Eintrag "2 (DH1024)"
  • Entfernen Sie in den Bereichen "Phase 1" und "Phase 2" --> "Encryption / Authentication" mit dem darunterliegenden "-"-Symbol die beiden Zeilen die orange markiert sind.
  • Speichern Sie die Änderungen.

I Psec Policy Nach

4. Navigieren Sie zu "Remote Access VPN --> IPsec VPN"

  • Aktivieren Sie den Punk "IPsec Remote Access"
  • Wählen Sie das WAN-Interface, auf das sich die Clients verbinden sollen.
  • Wählen Sie eine Authentifizierungsmethode und geben Sie die erforderlichen Daten ein.
  • Beachten Sie, das sich alle IPsec-Tunnel, Site-to-Site-Tunnel eingeschlossen, denselben Preshared Key teilen. Ändern Sie diesen an einer Stelle, werden die anderen Konfigurationen ebenfalls angepasst.
  • Unter "Allowed Users and groups" tragen Sie ein, welche Benutzer und Benutzergruppen die VPN-Verbindung nutzen dürfen.
  • Unter "Name" wird der Name der Verbindung angegeben, der im VPN-Client angezeigt wird.
  • Unter "Assign IP from" geben Sie an, aus welchem Bereich IP-Adressen vergeben werden sollen.
  • Mittels "Use as default gateway" können Sie festlegen, ob sämtlicher Datenverkehr der VPN-Clients über die Firewall geleitet werden soll, Internet-Traffic eingeschlossen.
  • Nutzen Sie nicht die Option "Use as default Gateway" geben Sie unter "Permitted network resources" an, welche Hosts und Netzwerke per IPsec VPN erreicht werden können.
  •  Klicken Sie auf "Apply".

5. Erstellen Sie ein Firewallregelwerk für die Clients der VPN-Zone, um Zugriff auf die freigegebenen Hosts und Netzwerke zu ermöglichen.

6. Klicken Sie auf "Download Client" um den Sophos Connect Client herunterzuladen und installieren Sie diesen auf dem Endgerät.

  • Klicken Sie auf "Export Connection", um die Verbindungskonfiguration wird heruntergeladen. Es sind zwei Versionen enthalten: die .scx-Datei, für Sophos Connect und die .tgb-Datei für andere VPN-Clients.
  • Sofern keine öffentliche IP-Adresse auf Ihrem WAN-Port anliegt, öffnen Sie die Verbindungsdatei mit einem Texteditor.
  • Ersetzen Sie in der Zeile "gateway" die private IP-Adresse Ihres WAN-Ports mit der öffentlichen IP-Adresse Ihres Internetanschlusses und speichern Sie.
I Psec Verbindungseinstellungen
  • Stellen Sie sicher, das Ihr Router die Anfragen auf die Firewall weiterleitet.

7. Importieren Sie die Verbindungseinstellungen in Ihren VPN Client. 

I Psec Sophos Connect
Sie können sich nun anmelden und die Verbindung nutzen.