Sophos Connect Client auf der XG Firewall (SFOS) konfigurieren

In dieser Anleitung zeigen wir dir, wie du als Sophos Firewall Administrator für deine Mitarbeiter den Sophos Connect Client einrichten kannst. Dabei wird das SFOS 17.5 oder neuer vorausgesetzt.

Sophos Connect Client - Serie

Dieser Artikel ist Teil einer Serie, die dir alles nötige Wissen vermittelt, um mit dem Sophos Connect Client durchzustarten.

Vorbereitung

Melde dich als Administrator an deiner XG Firewall an und wechsle über das Menü auf die Seite VPN > Sophos Connect Client. Auf dieser Seite werden wir nun in 12 Schritten durch die Einstellungen durchgehen und die notwendigen Eingaben vornehmen.

Beachte auch folgende Grafik mit den eingezeichneten Schritten, damit du der Anleitung einfacher folgen kannst:

Sophos Connect Client Webadmin Konfiguation

Allgemeine Einstellungen

1. Connect Client aktivieren

Der Anfang ist ganz leicht. Setze bei der Checkbox den Haken, um den Sophos Connect Client zu aktivieren.

2. Schnittstelle wählen

In diesem Schritt musst du die Schnittstelle wählen, auf welcher der Datenverkehr auf der Sophos ankommen soll. Üblicherweise ist dies ein WAN-Interface mit einer öffentlichen IP-Adresse. Solltest du mehrere WAN-Schnittstellen haben, da du mehr als einen Internetprovider hast, wähle entweder den schnelleren, den zuverlässigeren oder jenen, über den weniger Datenverkehr läuft. Entscheide hier selbst, welches Kriterium dir am wichtigsten ist.

3. Authentifizierung-Typ

Du kannst hier zwei Optionen wählen:

  • Verteilter Schlüssel - Definiere selbst ein Passwort.
  • Digitales Zertifikat - Wähle bei dieser Option ein Zertifikat aus.

4. Verteilter Schlüssel definieren

Für diese Anleitung haben wir uns für die Methode Verteilter Schlüssel entschieden, der nun an dieser Stelle definiert werden muss. Solltest du die Methode Digitales Zertifikat gewählt haben, kannst du an dieser Stelle dann ein Zertifikat von deiner Appliance auswählen.

5. Lokale ID (optional)

Wenn du mehrere Tunnels hast, kannst du hier eine lokale Identifikation definieren, damit der korrekte Tunnel identifiziert werden kann. Es gibt hier folgende Optionen:

  • DNS
  • IP-Adresse
  • Email
  • Zertifikat (falls du bei Punkt 3 das Zertifikat gewählt hast)

6. Entfernte ID (optional)

Hier kannst du dieselbe Auswahl treffen wie bei Punkt 5.

7. Zugelassene Benutzer

Wenn du bereits Benutzer auf deiner XG erfasst hast, oder allenfalls den ganzen Active Directory synchronisiert hast, kannst du hier die Benutzer/Gruppen auswählen, welche den Sophos Connect Client verwenden dürfen.

Clientdaten

8. Name

Definiere hier einen Namen für diese IPsec Verbindung. In unserem Beispiel haben wir die Verbindung homeoffice genannt.

9. IP zuweisen von

Die Firewall vergibt allen Benutzern, die sich über den Sophos Connect Client verbinden, eine IP-Adresse per DHCP. In diesem Schritt kannst du den IP-Bereich definieren, der vergeben werden soll. Wähle hier einen Bereich aus, der auf der Firewall bisher noch nicht verwendet wird.

10. DNS-Server

Oft ist es so, dass VPN-Benutzer auf interne Server verbinden möchten. Dafür bietet es sich an, wie im Unternehmensnetzwerk mit den FQDNs zu arbeiten. Trage hier deinen internen DNS-Server ein.

Solltest du keinen internen DNS-Server haben oder diese Funktion nicht benötigen, kannst du auch einen externen DNS-Server angeben, wie beispielsweise:

  • Cloudflare: 1.1.1.1 und 1.0.0.1
  • Google: 8.8.8.8 und 8.8.4.4
  • Quad9: 9.9.9.9 und 149.112.112.112
  • OpenDNS: 208.67.222.222 und 208.67.220.220

Erweiterte Einstellungen

11. Session Timeout

Die Erfahrung zeigt, dass Benutzer nicht immer konsequent eine VPN-Verbindung trennen, wenn diese nicht mehr gebraucht wird. Du kannst hier selbst entscheiden, wie du mit offenen Verbindungen umgehen möchtest. Der Sophos Connect Client bietet dir hier die Möglichkeit, die Verbindung automatisch zu deaktivieren, wenn nach einer gewissen Zeit kein Traffic mehr durchgelaufen ist. In unserem Beispiel haben wir folgendes konfiguriert:

  • Verbindung abbrechen, wenn Tunnel inaktiv ist: aktiviert
  • Zeitlimit bei inaktiver Sitzung: 120 Sekunden

Somit wird die Verbindung von der Sophos Firewall automatisch geschlossen, wenn 2 Minuten lang kein Datenverkehr mehr vom Client registriert wurde.

12. Speichern

Um deine Einstellungen nun zu speichern, brauchst du abschliessend nur noch auf Übernehmen zu klicken.

Firewall-Regel einrichten

Damit die Firewall nun auch den Datenverkehr von VPN-Benutzern erlaubt, muss dafür noch eine Firewall-Regel eingerichtet werden. Wechsle dafür über das Menü auf die Seite Firewall und klicke auf Firewall-Regel hinzufügen > Benutzer-/Netzwerkregel. Schau dir den folgenden Screenshot an und versuche, bei dir die Regeln genau so zu setzen.

Sophos Connect Client - Firewall-Regel für VPN/LAN hinzufügen
  • Source Zone: VPN
  • Destination Zone: LAN

Standardmässig leitet der Sophos Connect Client den gesamten Datenverkehr durch den IPsec Tunnel. Das bedeutet, dass auch der Internetverkehr durch den Tunnel geschickt wird. Dies müssen wir auf der Firewall erst erlauben und erstellen dazu noch eine weitere Regel.

Sophos Connect Client - Firewall-Regel für VPN/WAN hinzufügen
  • Source Zone: VPN
  • Destination Zone: WAN

Weiterführende Informationen

Nachdem du mit dieser Anleitung den Sophos Connect Client auf deiner XG Firewall konfiguriert hast, möchtest du vielleicht gleich weitermachen und als Nächstes den Connect Client für Windows oder macOS herunterladen und installieren.