Naar de inhoud
Avanet

Sophos Connect Client op Sophos Firewall (SFOS) configureren

Sophos Firewall

In deze handleiding laten we zien hoe je als Sophos Firewall-beheerder de Sophos Connect Client voor je medewerkers kunt inrichten. Hiervoor is SFOS 17.5 of nieuwer vereist.

Sophos Connect Client - serie

Dit artikel is onderdeel van een serie die je alle noodzakelijke kennis geeft om met de Sophos Connect Client aan de slag te gaan.

Voorbereiding

Meld je als administrator aan op je XG Firewall en ga via het menu naar VPN > Sophos Connect Client. Op deze pagina lopen we in 12 stappen door de instellingen en vullen we de noodzakelijke gegevens in.

Bekijk ook de volgende afbeelding met de gemarkeerde stappen, zodat je de handleiding eenvoudiger kunt volgen:

Sophos Connect Client WebAdmin-configuratie

Algemene instellingen

1. Connect Client activeren

Het begin is heel eenvoudig. Vink het selectievakje aan om de Sophos Connect Client te activeren.

2. Interface kiezen

In deze stap kies je de interface waarop het verkeer op de Sophos moet binnenkomen. Meestal is dit een WAN-interface met een publiek IP-adres. Als je meerdere WAN-interfaces hebt omdat je meer dan een internetprovider gebruikt, kies dan de snelste, de meest betrouwbare of de interface waarover minder verkeer loopt. Bepaal hier zelf welk criterium voor jou het belangrijkst is.

3. Authenticatietype

Je kunt hier twee opties kiezen:

  • Preshared Key - Definieer zelf een wachtwoord.
  • Digital certificate - Kies bij deze optie een certificaat.

4. Preshared Key definiëren

Voor deze handleiding hebben we gekozen voor de methode Preshared Key, die nu op deze plek moet worden gedefinieerd. Als je de methode Digital certificate hebt gekozen, kun je hier een certificaat van je appliance selecteren.

5. Lokale ID (optioneel)

Als je meerdere tunnels hebt, kun je hier een lokale identificatie definiëren, zodat de juiste tunnel kan worden herkend. Er zijn hier de volgende opties:

  • DNS
  • IP-adres
  • Email
  • Certificaat (als je bij punt 3 het certificaat hebt gekozen)

6. Remote ID (optioneel)

Hier kun je dezelfde keuze maken als bij punt 5.

7. Toegestane gebruikers

Als je al gebruikers op je XG hebt aangemaakt, of eventueel de volledige Active Directory hebt gesynchroniseerd, kun je hier de gebruikers/groepen selecteren die de Sophos Connect Client mogen gebruiken.

Clientdata

8. Naam

Definieer hier een naam voor deze IPsec-verbinding. In ons voorbeeld hebben we de verbinding homeoffice genoemd.

9. IP toewijzen vanaf

De firewall geeft alle gebruikers die via de Sophos Connect Client verbinden een IP-adres via DHCP. In deze stap definieer je het IP-bereik dat moet worden uitgegeven. Kies hier een bereik dat tot nu toe nog niet op de firewall wordt gebruikt.

10. DNS-server

VPN-gebruikers willen vaak verbinding maken met interne servers. Daarvoor is het handig om, net als in het bedrijfsnetwerk, met FQDN’s te werken. Vul hier je interne DNS-server in.

Als je geen interne DNS-server hebt of deze functie niet nodig hebt, kun je ook een externe DNS-server opgeven, zoals:

  • Cloudflare: 1.1.1.1 en 1.0.0.1
  • Google: 8.8.8.8 en 8.8.4.4
  • Quad9: 9.9.9.9 en 149.112.112.112
  • OpenDNS: 208.67.222.222 en 208.67.220.220

Geavanceerde instellingen

11. Session Timeout

De ervaring leert dat gebruikers een VPN-verbinding niet altijd consequent verbreken wanneer die niet meer nodig is. Je kunt hier zelf bepalen hoe je met open verbindingen wilt omgaan. De Sophos Connect Client biedt de mogelijkheid om de verbinding automatisch te deactiveren als er gedurende een bepaalde tijd geen traffic meer doorheen is gegaan. In ons voorbeeld hebben we het volgende geconfigureerd:

  • Disconnect when tunnel is idle: geactiveerd
  • Idle session time interval: 120 seconden

Zo wordt de verbinding door de Sophos Firewall automatisch gesloten als er 2 minuten lang geen dataverkeer meer van de client is geregistreerd.

12. Opslaan

Om je instellingen op te slaan, hoef je tot slot alleen nog op Apply te klikken.

Firewallregel inrichten

Om ervoor te zorgen dat de firewall ook het verkeer van VPN-gebruikers toestaat, moet hiervoor nog een firewallregel worden ingericht. Ga daarvoor via het menu naar Firewall en klik op Add firewall rule > User/network rule. Bekijk de volgende schermafbeelding en probeer de regels bij jou precies zo te zetten.

Sophos Connect Client - firewallregel voor VPN/LAN toevoegen
  • Source Zone: VPN
  • Destination Zone: LAN

Standaard stuurt de Sophos Connect Client al het dataverkeer door de IPsec-tunnel. Dat betekent dat ook internetverkeer door de tunnel wordt gestuurd. Dit moeten we op de firewall eerst toestaan en daarvoor maken we nog een extra regel.

Sophos Connect Client - firewallregel voor VPN/WAN toevoegen
  • Source Zone: VPN
  • Destination Zone: WAN

Verdere informatie

Nadat je met deze handleiding de Sophos Connect Client op je XG Firewall hebt geconfigureerd, wil je misschien meteen doorgaan en de Connect Client voor Windows of macOS downloaden en installeren.