Конфигуриране на Split Tunnel SSL Remote access VPN за достъп до публични ресурси
В тази статия ще ви опишем стъпките как да конфигурирате VPN, така че конкретен потребителски трафик до обозначени публични ресурси да преминава през Sophos.
Това може да бъде полезно, когато достъпът до публичен ресурс е ограничен на база списък с IP адреси, които имат право да го достъпват. В този случай, потребителите, които работят отдалечено през VPN в Split Tunnel губят достъпа до тях.
Решение:
Конфигуриране на Split Tunnel VPN до конкретните публични ресурси.
Как се прави?
Създайте VPN конфигурацията от VPN -> SSL (remote access) -> Add.
В Policy members се посочва за кои потребители ще важи;
Use as default gateway: Off;
Permitted network resources: въвеждат се адресите на публично достъпните услуги.
Конфигурацията се запазва с Apply.
(кликнете тук, за да видите изображението в пълен размер)
2. Създайте Firewall правило от Rules and policies -> Firewall rules -> Add firewall rule със следната конфигурация:
Action: Accept;
Source zone: VPN;
Destination zone: WAN;
Destination networks: публичните ресурси, до които искаме да осигурим достъп през VPN-a .
(кликнете тук, за да видите изображението в пълен размер)
3. Създайте NAT правило от Rules and policies -> NAT rules -> Add NATrule като въведете следната информация:
Original destination: публичните ресурси, които искаме да достъпим;
Translated source (SNAT): MASQ.
(кликнете тук, за да видите изображението в пълен размер)
4. Потребителите могат да свалят SSL VPN конфигурацията от своя User Portal.
Дискусия по темата на английски език: https://community.sophos.com/xg-firewall/f/discussions/115576/ssl-vpn-remote-access-split-tunnel