Przejdz do tresci
Avanet

Konfiguracja Sophos Connect Client na Sophos Firewall (SFOS)

Sophos Firewall

W tej instrukcji pokazujemy, jak jako administrator Sophos Firewall skonfigurować Sophos Connect Client dla pracowników. Wymagany jest SFOS 17.5 lub nowszy.

Sophos Connect Client - seria

Ten artykuł jest częścią serii, która przekazuje wiedzę potrzebną do rozpoczęcia pracy z Sophos Connect Client.

Przygotowanie

Zaloguj się jako administrator do swojej XG Firewall i przejdź w menu do VPN > Sophos Connect Client. Na tej stronie przejdziemy przez ustawienia w 12 krokach i wprowadzimy wymagane dane.

Zwróć uwagę na poniższą grafikę z oznaczonymi krokami. Ułatwi to śledzenie instrukcji:

Konfiguracja Sophos Connect Client w WebAdmin

Ustawienia ogólne

1. Włącz Sophos Connect Client

Początek jest prosty. Zaznacz pole wyboru, aby aktywować Sophos Connect Client.

2. Wybierz interfejs

W tym kroku wybierz interfejs, na którym ruch ma docierać do Sophos Firewall. Zwykle jest to interfejs WAN z publicznym adresem IP. Jeśli masz kilka interfejsów WAN, na przykład z powodu kilku dostawców Internetu, wybierz szybszy, bardziej niezawodny albo ten, przez który przechodzi mniejszy ruch. Zdecyduj według kryterium, które jest dla Ciebie najważniejsze.

3. Typ uwierzytelniania

Możesz wybrać jedną z dwóch opcji:

  • Preshared key - samodzielnie definiujesz hasło.
  • Digital certificate - przy tej opcji wybierasz certyfikat.

4. Zdefiniuj preshared key

W tej instrukcji wybraliśmy metodę Preshared key, dlatego w tym miejscu trzeba zdefiniować klucz. Jeśli wybrano metodę Digital certificate, można tutaj wybrać certyfikat z urządzenia.

5. Local ID (opcjonalnie)

Jeśli masz kilka tuneli, możesz zdefiniować lokalną identyfikację, aby właściwy tunel został jednoznacznie rozpoznany. Dostępne są następujące opcje:

  • DNS
  • IP address
  • Email
  • Certificate (jeśli w kroku 3 wybrano certyfikat)

6. Remote ID (opcjonalnie)

Tutaj możesz wybrać te same opcje co w kroku 5.

7. Dozwoleni użytkownicy

Jeśli użytkownicy są już utworzeni na XG albo zsynchronizowano całe Active Directory, wybierz tutaj użytkowników lub grupy, które mogą korzystać z Sophos Connect Client.

Dane klienta

8. Nazwa

Zdefiniuj nazwę dla tego połączenia IPsec. W naszym przykładzie połączenie nazwaliśmy homeoffice.

9. Przydzielanie adresu IP z

Firewall przydziela wszystkim użytkownikom łączącym się przez Sophos Connect Client adres IP przez DHCP. W tym kroku zdefiniuj zakres IP, który ma być przydzielany. Wybierz zakres, który nie jest jeszcze używany na firewallu.

10. Serwery DNS

Często użytkownicy VPN muszą łączyć się z wewnętrznymi serwerami. W takiej sytuacji warto, podobnie jak w sieci firmowej, pracować z nazwami FQDN. Wpisz tutaj swój wewnętrzny serwer DNS.

Jeśli nie masz wewnętrznego serwera DNS albo nie potrzebujesz tej funkcji, możesz podać zewnętrzny serwer DNS, na przykład:

  • Cloudflare: 1.1.1.1 i 1.0.0.1
  • Google: 8.8.8.8 i 8.8.4.4
  • Quad9: 9.9.9.9 i 149.112.112.112
  • OpenDNS: 208.67.222.222 i 208.67.220.220

Ustawienia zaawansowane

11. Session Timeout

Z doświadczenia wynika, że użytkownicy nie zawsze konsekwentnie rozłączają VPN, gdy już go nie potrzebują. Możesz zdecydować, jak Sophos Firewall ma obsługiwać pozostawione połączenia. Sophos Connect Client umożliwia automatyczne zamknięcie połączenia, jeśli przez określony czas nie przechodzi przez nie żaden ruch. W naszym przykładzie skonfigurowaliśmy:

  • Disconnect when tunnel is idle: włączone
  • Idle session time interval: 120 sekund

Dzięki temu Sophos Firewall automatycznie zamknie połączenie, jeśli przez 2 minuty nie zostanie zarejestrowany żaden ruch od klienta.

12. Zapisz

Aby zapisać ustawienia, kliknij na końcu Apply.

Konfiguracja reguły firewall

Aby firewall zezwalał na ruch użytkowników VPN, trzeba utworzyć odpowiednią regułę firewall. Przejdź w menu do Firewall i kliknij Add firewall rule > User/Network rule. Spójrz na poniższy zrzut ekranu i ustaw regułę w taki sam sposób.

Sophos Connect Client - dodanie reguły firewall dla VPN/LAN
  • Source Zone: VPN
  • Destination Zone: LAN

Domyślnie Sophos Connect Client kieruje cały ruch przez tunel IPsec. Oznacza to, że również ruch internetowy przechodzi przez tunel. Najpierw trzeba zezwolić na to na firewallu, dlatego tworzymy dodatkową regułę.

Sophos Connect Client - dodanie reguły firewall dla VPN/WAN
  • Source Zone: VPN
  • Destination Zone: WAN

Dalsze informacje

Po skonfigurowaniu Sophos Connect Client na XG Firewall możesz od razu przejść do pobrania i instalacji klienta dla Windows albo macOS.