Crear Sophos ZTNA Gateway / Connector
Esta guía explica cómo ejecutar ZTNA Gateway en un hipervisor.
Requisitos
Para configurar ZTNA Gateway, necesita lo siguiente.
- Hipervisor o nube
- Acceso al DNS público
- Certificado comodín
- Dirección IP fija
- Acceso al cortafuegos para crear la regla DNAT
Soporte de plataformas
Se admiten las siguientes plataformas:
– VMware ESXi
– Microsoft Hyper-V 2016 o superior
– Nube de Amazon AWS
Recomendamos asignar 2 núcleos y 4 GB de RAM a la máquina virtual. Esto es suficiente para 10.000 clientes. Si esto no es suficiente para una empresa, también es posible agrupar varias pasarelas para aumentar el número a 90’000 clientes mediante un clúster de 9 pasarelas.
Subred para pasarela
La pasarela ZTNA debe funcionar en su propia subred y no utilizarse en la red del cliente o del servidor.
No utilice ninguna de estas redes para la pasarela:
– 10.42.0.0/16
– 10.43.0.0/16
– 10.108.0.0/16
Un nombre DNS, por ejemplo ztna.dominio.com, apunta a la dirección IP pública, que reenvía a la pasarela ZTNA a través del reenvío de puertos (puerto 443).
Por un lado, la pasarela ZTNA requiere acceso a Internet y a las respectivas VLAN de las aplicaciones que se proporcionan, con los puertos correspondientes.
ZTNA Gateway Descargar
Los archivos de la máquina virtual se pueden descargar desde Sophos Central en el menú principal, en Proteger dispositivos.

Despliegue de la máquina virtual en Hyper-V o ESXi
Cree una nueva máquina virtual con la siguiente configuración:
Generación 1 (para Hyper-V)
Procesadores virtuales: 2
RAM: 4 GB
Red: Preferiblemente VLAN propia
Disco duro para Hyper-V: archivos .vhdx, que se descargaron previamente.
ESXi: Utiliza el archivo OVA.
Antes de iniciar la VM, tienes que crear la ISO con la configuración.
Configuración de la pasarela
La máquina virtual se ha creado, pero todavía no tiene ninguna configuración ni referencia a la cuenta central.
Esto se consigue añadiendo una pasarela y realizando los ajustes.
Modo: Pasarela o Conector.
En mi caso, utilizo la puerta de enlace.
El Conector ZTNA está pensado para un ZTNA como Servicio de Sophos.
Aquí no se utiliza ninguna regla DNAT para dirigir el tráfico a la puerta de enlace, sino que el conector informa a la Central.
Nombre: simplemente un nombre, por ejemplo, con la ubicación o el nombre de host de la pasarela.
Ubicación: Si tiene varias ubicaciones, puede almacenar esto de forma opcional.
FQDN: Nombre DNS que apunta a la IP pública del cortafuegos, que a su vez proporciona una regla DNAT (https / 443) en la pasarela ZTNA.
Dominio: Resultado del nombre de dominio que se utiliza.
Tipo de plataforma: Aquí puede elegir entre VMware ESXi, Hyper-V y Amazon Web Services (AWS).
Proveedor de identidad: Seleccione el proveedor previamente añadido, en mi caso Azure AD.
Modo de despliegue de la instancia de pasarela: Se utiliza un brazo si se crea una regla DNAT posteriormente, dos brazos si la pasarela ZTNA tiene una interfaz tanto en la LAN como en la WAN.
Dirección IP: Esto debería ser autoexplicativo.
Aquí utilizo DHCP y reservo una IP en el DHCP para la pasarela ZTNA.
Certificado: Certificado comodín del dominio especificado anteriormente.
Después de guardar, se crea una imagen ISO con la información almacenada, que se puede descargar como se muestra en las capturas de pantalla. Esta imagen ISO se utiliza ahora como ISO de arranque para la VM.
Dependiendo del rendimiento del host, el primer inicio y registro con Central tarda hasta 30 minutos. En cuanto la pasarela informe a Central, podrá aceptarla y este paso también se habrá completado.




Más información en la KB de Sophos: Configurar una pasarela