Saltar para o conteudo
Avanet

Configurar Sophos Connect Client na Sophos Firewall (SFOS)

Sophos Firewall

Neste guia mostramos como configurar o Sophos Connect Client para os seus colaboradores enquanto administrador da Sophos Firewall. Para isso, é necessário SFOS 17.5 ou superior.

Sophos Connect Client - série

Este artigo faz parte de uma série que lhe dá todo o conhecimento necessário para começar a usar o Sophos Connect Client.

Preparação

Inicie sessão como administrador na sua XG Firewall e aceda, através do menu, à página VPN > Sophos Connect Client. Nesta página vamos percorrer as definições em 12 passos e introduzir os dados necessários.

Tenha também em atenção a imagem seguinte com os passos assinalados, para seguir o guia com mais facilidade:

Configuração WebAdmin do Sophos Connect Client

Definições gerais

1. Ativar Connect Client

O início é muito simples. Marque a checkbox para ativar o Sophos Connect Client.

2. Escolher interface

Neste passo, tem de escolher a interface onde o tráfego deve chegar à Sophos. Normalmente será uma interface WAN com um endereço IP público. Se tiver várias interfaces WAN por usar mais do que um fornecedor de Internet, escolha a mais rápida, a mais fiável ou aquela por onde passa menos tráfego. Decida aqui que critério é mais importante para si.

3. Tipo de autenticação

Pode escolher aqui duas opções:

  • Chave partilhada - Defina você mesmo uma palavra-passe.
  • Certificado digital - Nesta opção, selecione um certificado.

4. Definir chave partilhada

Neste guia optámos pelo método Chave partilhada, que tem agora de ser definido neste ponto. Se tiver escolhido o método Certificado digital, pode selecionar neste ponto um certificado da sua appliance.

5. ID local (opcional)

Se tiver vários túneis, pode definir aqui uma identificação local para que o túnel correto possa ser identificado. Existem as seguintes opções:

  • DNS
  • Endereço IP
  • Email
  • Certificado (caso tenha escolhido o certificado no ponto 3)

6. ID remota (opcional)

Aqui pode fazer a mesma seleção que no ponto 5.

7. Utilizadores permitidos

Se já tiver utilizadores criados na sua XG ou se, eventualmente, tiver sincronizado todo o Active Directory, pode selecionar aqui os utilizadores/grupos autorizados a usar o Sophos Connect Client.

Dados do cliente

8. Nome

Defina aqui um nome para esta ligação IPsec. No nosso exemplo chamámos a ligação homeoffice.

9. Atribuir IP a partir de

A firewall atribui por DHCP um endereço IP a todos os utilizadores que se ligam através do Sophos Connect Client. Neste passo, pode definir o intervalo de IPs a atribuir. Escolha aqui um intervalo que ainda não esteja a ser usado na firewall.

10. Servidor DNS

Muitas vezes, os utilizadores VPN querem ligar-se a servidores internos. Para isso, faz sentido trabalhar com FQDNs, tal como na rede da empresa. Introduza aqui o seu servidor DNS interno.

Se não tiver um servidor DNS interno ou não precisar desta função, também pode indicar um servidor DNS externo, por exemplo:

  • Cloudflare: 1.1.1.1 e 1.0.0.1
  • Google: 8.8.8.8 e 8.8.4.4
  • Quad9: 9.9.9.9 e 149.112.112.112
  • OpenDNS: 208.67.222.222 e 208.67.220.220

Definições avançadas

11. Session Timeout

A experiência mostra que os utilizadores nem sempre terminam uma ligação VPN de forma consistente quando já não precisam dela. Pode decidir aqui como pretende lidar com ligações abertas. O Sophos Connect Client oferece a possibilidade de desativar automaticamente a ligação se, após algum tempo, já não tiver passado tráfego. No nosso exemplo configurámos o seguinte:

  • Terminar ligação quando o túnel estiver inativo: ativado
  • Tempo limite de sessão inativa: 120 segundos

Assim, a ligação é fechada automaticamente pela Sophos Firewall se durante 2 minutos não for registado mais tráfego do cliente.

12. Guardar

Para guardar agora as suas definições, só precisa de clicar em Aplicar no final.

Configurar regra de firewall

Para que a firewall permita agora o tráfego dos utilizadores VPN, ainda é necessário criar uma regra de firewall. Para isso, aceda através do menu à página Firewall e clique em Adicionar regra de firewall > Regra de utilizador/rede. Veja a captura de ecrã seguinte e tente configurar as regras exatamente da mesma forma.

Sophos Connect Client - adicionar regra de firewall para VPN/LAN
  • Source Zone: VPN
  • Destination Zone: LAN

Por predefinição, o Sophos Connect Client encaminha todo o tráfego através do túnel IPsec. Isto significa que o tráfego de Internet também é enviado pelo túnel. Primeiro temos de permitir isto na firewall e, para isso, criamos mais uma regra.

Sophos Connect Client - adicionar regra de firewall para VPN/WAN
  • Source Zone: VPN
  • Destination Zone: WAN

Informações adicionais

Depois de configurar o Sophos Connect Client na sua XG Firewall com este guia, talvez queira continuar logo de seguida e descarregar e instalar o Connect Client para Windows ou macOS.