Hoppa till innehållet
Avanet

Konfigurera Sophos Connect Client på Sophos Firewall (SFOS)

Sophos Firewall

I den här guiden visar vi hur du som Sophos Firewall-administratör kan konfigurera Sophos Connect Client för dina medarbetare. SFOS 17.5 eller senare krävs.

Sophos Connect Client - serie

Den här artikeln är en del av en serie som ger dig all kunskap du behöver för att komma igång med Sophos Connect Client.

Förberedelse

Logga in som administratör på din XG Firewall och gå via menyn till sidan VPN > Sophos Connect Client. På den här sidan går vi nu igenom inställningarna i 12 steg och gör de nödvändiga inmatningarna.

Titta även på följande grafik med de markerade stegen, så blir guiden enklare att följa:

Sophos Connect Client Webadmin-konfiguration

Allmänna inställningar

1. Aktivera Connect Client

Början är enkel. Markera checkboxen för att aktivera Sophos Connect Client.

2. Välj interface

I det här steget väljer du det interface där datatrafiken ska komma in på Sophos. Vanligtvis är detta ett WAN-interface med en publik IP-adress. Om du har flera WAN-interface eftersom du har mer än en internetleverantör väljer du antingen det snabbare, det mer tillförlitliga eller det där mindre datatrafik går. Bestäm själv vilket kriterium som är viktigast för dig.

3. Autentiseringstyp

Här kan du välja två alternativ:

  • Delad nyckel - Definiera ett eget lösenord.
  • Digitalt certifikat - Välj ett certifikat med detta alternativ.

4. Definiera delad nyckel

För den här guiden har vi valt metoden Delad nyckel, som nu måste definieras här. Om du har valt metoden Digitalt certifikat kan du i stället välja ett certifikat från din appliance här.

5. Lokal ID (valfritt)

Om du har flera tunnlar kan du definiera en lokal identifiering här så att rätt tunnel kan identifieras. Följande alternativ finns:

  • DNS
  • IP-adress
  • Email
  • Certifikat (om du valde certifikat i punkt 3)

6. Fjärr-ID (valfritt)

Här kan du göra samma val som i punkt 5.

7. Tillåtna användare

Om du redan har skapat användare på din XG, eller eventuellt synkroniserat hela Active Directory, kan du här välja de användare/grupper som får använda Sophos Connect Client.

Klientdata

8. Namn

Definiera här ett namn för denna IPsec-anslutning. I vårt exempel kallade vi anslutningen homeoffice.

9. Tilldela IP från

Firewallen tilldelar alla användare som ansluter via Sophos Connect Client en IP-adress via DHCP. I det här steget kan du definiera det IP-intervall som ska delas ut. Välj ett intervall som hittills inte används på firewallen.

10. DNS-server

Ofta vill VPN-användare ansluta till interna servrar. Då passar det bra att arbeta med FQDN på samma sätt som i företagsnätverket. Ange din interna DNS-server här.

Om du inte har någon intern DNS-server eller inte behöver denna funktion kan du även ange en extern DNS-server, till exempel:

  • Cloudflare: 1.1.1.1 och 1.0.0.1
  • Google: 8.8.8.8 och 8.8.4.4
  • Quad9: 9.9.9.9 och 149.112.112.112
  • OpenDNS: 208.67.222.222 och 208.67.220.220

Avancerade inställningar

11. Session Timeout

Erfarenheten visar att användare inte alltid konsekvent kopplar ned en VPN-anslutning när den inte längre behövs. Här kan du själv bestämma hur öppna anslutningar ska hanteras. Sophos Connect Client ger dig möjlighet att automatiskt inaktivera anslutningen om ingen trafik har passerat efter en viss tid. I vårt exempel har vi konfigurerat följande:

  • Avbryt anslutning när tunneln är inaktiv: aktiverad
  • Tidsgräns för inaktiv session: 120 sekunder

Därmed stängs anslutningen automatiskt av Sophos Firewall när ingen datatrafik från klienten har registrerats under 2 minuter.

12. Spara

För att spara dina inställningar behöver du till sist bara klicka på Tillämpa.

Skapa firewallregel

För att firewallen också ska tillåta datatrafik från VPN-användare måste en firewallregel skapas. Gå via menyn till sidan Firewall och klicka på Lägg till firewallregel > Användar-/nätverksregel. Titta på följande skärmbild och försök sätta reglerna på samma sätt hos dig.

Sophos Connect Client - lägg till firewallregel för VPN/LAN
  • Source Zone: VPN
  • Destination Zone: LAN

Som standard leder Sophos Connect Client all datatrafik genom IPsec-tunneln. Det betyder att även internettrafiken skickas genom tunneln. Detta måste vi först tillåta på firewallen och skapar därför ytterligare en regel.

Sophos Connect Client - lägg till firewallregel för VPN/WAN
  • Source Zone: VPN
  • Destination Zone: WAN

Vidare information

När du med hjälp av den här guiden har konfigurerat Sophos Connect Client på din XG Firewall vill du kanske fortsätta direkt och ladda ned samt installera Connect Client för Windows eller macOS.