Configura Sophos Connect Client en Sophos Firewall (SFOS)
En esta guía, te mostraremos cómo configurar el Cliente de Sophos Connect para tus empleados como administrador de Sophos Firewall. Se requiere SFOS 17.5 o posterior.
Sophos Connect Client – Serie
Este artículo forma parte de una serie que te proporcionará todos los conocimientos necesarios para empezar a utilizar el Cliente de Sophos Connect.
- Comparación: ¿Cliente Sophos Connect o Cliente SSL VPN?
- Configurar Sophos Connect Client en el cortafuegos XG (SFOS)
- Instalar Sophos Connect Client en Windows
- Instalar Sophos Connect Client en macOS
Preparación
Accede a tu Cortafuegos XG como administrador y ve a VPN > Sophos Connect Client a través del menú. En esta página, recorreremos la configuración en 12 pasos y realizaremos las entradas necesarias.
Ten en cuenta también el siguiente diagrama con los pasos marcados para que puedas seguir las instrucciones más fácilmente:
Ajustes generales
1. activa Conectar Cliente
Empezar es muy fácil. Marca la casilla para activar el Cliente de Sophos Connect.
2. selecciona la interfaz
En este paso, debes seleccionar la interfaz por la que debe llegar el tráfico de datos a Sophos. Normalmente se trata de una interfaz WAN con una dirección IP pública. Si tienes varias interfaces WAN porque tienes más de un proveedor de Internet, elige la más rápida, la más fiable o la que tenga menos tráfico de datos. Decide tú mismo qué criterio es más importante para ti.
3. tipo de autenticación
Aquí puedes elegir entre dos opciones:
- Clave distribuida – Define tú mismo una clave.
- Certificado digital – Selecciona un certificado con esta opción.
4. definir la clave distribuida
Para estas instrucciones, hemos optado por el método de Clave distribuida, que ahora debes definir en este punto. Si has elegido el método Certificado digital, en este punto puedes seleccionar un certificado de tu aparato.
5. ID local (opcional)
Si tienes varios túneles, puedes definir aquí una identificación local para que se pueda identificar el túnel correcto. Las siguientes opciones están disponibles aquí:
- DNS
- Dirección IP
- Certificado (si seleccionaste el certificado en el punto 3)
6. ID remoto (opcional)
Aquí puedes hacer la misma selección que en el punto 5.
7 Usuarios autorizados
Si ya has creado usuarios en tu XG o has sincronizado todo el Directorio Activo, puedes seleccionar aquí los usuarios/grupos que pueden utilizar el Cliente de Sophos Connect.
Datos del cliente
8. nombre
Define aquí un nombre para esta conexión IPsec. En nuestro ejemplo, hemos llamado a la conexión homeoffice.
9. asignar IP desde
El cortafuegos asigna una dirección IP mediante DHCP a todos los usuarios que se conectan a través del Cliente de Sophos Connect. En este paso, puedes definir el rango IP que se asignará. Selecciona aquí un rango que aún no se utilice en el cortafuegos.
10. Servidor DNS
A menudo ocurre que los usuarios de VPN quieren conectarse a servidores internos. Por tanto, es una buena idea trabajar con los FQDN como en la red de la empresa. Introduce aquí tu servidor DNS interno.
Si no tienes un servidor DNS interno o no necesitas esta función, también puedes especificar un servidor DNS externo, por ejemplo:
- Cloudflare: 1.1.1.1 y 1.0.0.1
- Google: 8.8.8.8 y 8.8.4.4
- Quad9: 9.9.9.9 y 149.112.112.112
- OpenDNS: 208.67.222.222 y 208.67.220.220
Ajustes avanzados
11º tiempo de espera de la sesión
La experiencia demuestra que los usuarios no siempre desconectan sistemáticamente una conexión VPN cuando ya no la necesitan. Puedes decidir por ti mismo cómo quieres tratar las conexiones abiertas. El Cliente de Sophos Connect te ofrece la opción de desactivar automáticamente la conexión si no ha pasado más tráfico después de un cierto periodo de tiempo. En nuestro ejemplo, hemos configurado lo siguiente:
- Cancelar la conexión si el túnel está inactivo: activado
- Límite de tiempo para sesión inactiva: 120 segundos
Esto significa que la conexión se cierra automáticamente por Sophos Firewall si el cliente no registra más tráfico de datos durante 2 minutos.
12. salva
Para guardar tus ajustes, sólo tienes que hacer clic en Übernehmen.
Configurar regla de cortafuegos
Hay que configurar una regla del cortafuegos para que ahora también permita el tráfico de datos de los usuarios de la VPN. Para ello, ve a Firewall a través del menú y haz clic en Firewall-Regel hinzufügen > Benutzer-/Netzwerkregel . Echa un vistazo a la siguiente captura de pantalla e intenta configurar las reglas exactamente de la misma manera.
- Zona de Origen: VPN
- Zona de destino: LAN
Por defecto, el Cliente Sophos Connect dirige todo el tráfico de datos a través del túnel IPsec. Esto significa que el tráfico de Internet también se envía a través del túnel. Primero debemos permitirlo en el cortafuegos y crear otra regla para ello.
- Zona de Origen: VPN
- Zona de destino: WAN
Más información
Después de haber configurado el Cliente de Conexión de Sophos en tu cortafuegos XG con estas instrucciones, puedes descargar e instalar el Cliente de Conexión para Windows o macOS.