1. Home
  2. Anleitungen
  3. Sophos XGS
  4. Sophos Firewall: SSL-VPN für Remote Access einrichten

Sophos Firewall: SSL-VPN für Remote Access einrichten

erstellt am:

für Versionen:

  • 19.5
  • 20.0

In diesem Artikel zeigen wir Ihnen, wie Sie auf Ihrer Sophos XGS Fernzugriff per SSL VPN einrichten.

1. Öffnen Sie den WebAdmin der Sophos Firewall.

2. Navigieren Sie zu "Remote Access VPN --> SSL VPN"

3. Passen Sie die "SSL VPN Global settings" an.

  • Klicken Sie oben links auf "SSL VPN Global settings"
  • Wählen Sie ob die Verbindung über das UDP- oder TCP-Protokoll laufen soll.
  • Haben Sie keinen öffentlich auflösbaren FQDN für Ihre Firewall oder ist Ihre öffentliche IP-Adresse nicht die IP-Adresse Ihres WAN-Ports, beispielsweise weil ein Router die Einwahl ins Internet übernimmt, tragen Sie unter "Override Hostname" die öffentliche IP-Adresse Ihrers Routers ein.
  • Stellen Sie sicher, dass der Router den unter Port eingetragenen Port an die Sophos Firewall weiterleitet.
  • Unter Port geben Sie den Port an den SSL VPN nuzen soll, um sich mit der Firewall zu verbinden.
  • Unter "Assign IP addresses" geben Sie an aus welchem Adresspool Adressen an die Remote-Clients vergeben werden sollen
  • Folgende Kryptographischen Einstellungen sollten für einen guten Schutz mindestens gesetzt werden:
    • Encryption algorithm: AES-256-GCM
    • Authentication algorithm: SHA2 256
    • Key Size: 2048 bit
Speichern Sie die getroffenen Einstellungen. 
Achtung: Wenn Sie die globalen Einstellungen verändern, nachdem Sie SSL VPN ausgerollt haben, müssen Sie sämtliche Clients erneut mit der aktualisierten Konfiguration bespielen.
SSL Vpn Global Settings

4. Fügen Sie eine SSL VPN Richtlinie hinzu.

  • Unter Remote Access VPN --> SSL VPN klicken Sie auf "Add"
  • Vergeben Sie einen Namen für die Richtlinie
  • Fügen Sie Benutzer und / oder Benutzergruppen hinzu
  • Aktivieren Sie die Option "Use as default GW", wenn sämtlicher Traffic der Remote-VPN-User über die Firewall abgehandelt werden soll. Ist diese Option nicht ausgewählt wird nur Traffic an die Firewall gesendet, der für Netzwerke oder Hosts in den Tabellen "Permitted network resources" bestimmt ist
  • In den Tabellen "Permitted network resources" geben Sie an, auf welche Netzwerke und Hosts die Remote-VPN-Benutzer Zugriff erhalten sollen.
  • Geben Sie im Bereich "Idle time-out" an, ob und nach welcher Zeit Clients ohne Aktivität automatisch die Verbindung trennen sollen.
  • Speichern Sie die Einstellungen.
SSL Vpn Richtlinie

5. Erstellen Sie eine Firewallregel, die den VPN-Clients Zugang zu den gewünschten Zielen ermöglicht. Beachten Sie:

  • VPN-Clients sind der Zone VPN zugeordnet.
  • Die in der SSL VPN-Richtlinie angegebenen Ziele stellen den maximal möglichen Zugriff dar. Geben Sie "Any" als Ziel in der Firewallregel an, erhält der VPN Client also Zugriff auf alle in der Richtlinie hinterlegten Ziele.

6. Laden Sie den Client und die SSL VPN Verbindungseinstellungen herunter.

  • Der Sophos Connect Client kann unter "Remote Access VPN --> SSL VPN" mittels "Download Client" oben links heruntergeladen werden.
  • Beachten Sie, dass die VPN-Optionen mit der Firmwareversion v20 GA vom User Portal getrennt wurden. Navigieren Sie zu "Administration --> Admin and user settings". Im Bereich "Admin console and end-user interaction" finden Sie den "VPN portal HTTPS port" über den Sie das VPN Portal aufrufen können. Mit den im Screenshot gezeigten Einstellungen ist die Adresse des Portals "https://172.16.16.16:8443"SSL Vpn Portal
  • Im VPN Portal melden Sie sich als der Benutzer an, für den Sie die Verbindungseinstellungen benötigen.
  • Laden Sie die SSL VPN Konfiguration für den Benutzer und, falls nicht schon geschehen, den Sophos Connect Client herunter.SSL Vpn Portal 2

7. Installieren Sie den Sophos Connect Client auf dem Endgerät.

8. Importieren Sie die SSL VPN Verbindung.

SSL Vpn Client
Sie können sich nun verbinden und auf die freigegebenen Dienste zugreifen