Как да конфигурирате SSL VPN отдалечен достъп?

Тази статия описва стъпките за конфигуриране на SSL VPN отдалечен достъп. 

Отнася се за следните продукти и версии на Sophos 

Sophos Firewall 

Конфигуриране на защитна стена на Sophos 

Дефиниране на SSL VPN група и потребители 

Отворете секцията Authentication > Groups и създайте група за отдалечени SSL VPN потребители.

Open

Отворете секцията Authentication > Users и създайте SSL VPN  отдалечени потребители. 

Open

Дефиниране на локална подмрежа и отдалечен SSL VPN обхват 

Отворете секцията Hosts and Services > IP Host и дефинирайте локалната подмрежа зад Sophos Firewall.

Отворете секцията Hosts and Services > IP Host и дефинирайте отдалечения SSL обхват на VPN. 

Дефиниране на отдалечена SSL VPN политика 

Отворете секцията VPN > SSL VPN (Remote Access) , след това изберете Add, за да създадете SSL VPN политика. 

Проверка на услугите за удостоверяване за SSL VPN 

Отворете секцията Authentication > Services и се уверете, че локалният сървър за удостоверяване е избран в раздела SSL VPN Authentication Methods

Бележка:  Отворете секцията Authentication → Services и се уверете, че Sophos XG (local) е избран като метод за удостоверяване е избран в раздела SSL VPN Authentication Methods. Това е необходимо на отдалечени потребители, за да влязат в портала, за да изтеглят SSL VPN клиентския софтуер, описано по-късно в тази статия. 

Проверка на разрешените зони за SSL VPN 

Отворете секцията Administration > Device Access и разрешете SSL VPN за WAN и LAN зони в раздел ACL за локална услуга (Local Service ACL). Добавете други зони според изискванията. 

Конфигуриране на разширени SSL VPN настройки 

Отворете секцията VPN и изберете Show VPN Settings.

В раздела SSL VPN проверете конфигурирания по-рано IPv4 Lease Range и задайте останалите опции според изискванията.

В раздела Copression Settings променете настройката на неактивна за Compress SSL VPN Traffic (премахвате синята отметката, която стои от лявата страна на Compress SSL VPN Traffic).

Бележка: Ако защитната стена на XG няма публичен IP, зададен на WAN интерфейса и се намира зад NAT устройство, задайте публичния IP адрес на NAT устройството в полето Override Hostname. Това задава конфигурационния файл на SSL VPN клиента да използва този публичен IP при установяване на връзката. NAT устройството трябва да бъде конфигурирано да препраща SSL VPN връзката към защитната стена на XG. 

Създаване на правило за защитна стена 

Отворете секцията Firewall, изберете + Add Firewall Rule, след това изберете User/Network Rule. 

Бележка: 

• Ако има няколко правила за защитна стена от VPN до LAN зони, тогава поставете горното правило за защитна стена в горната част на списъка, както е описано в Sophos XG Firewall: Как да промените реда на правилата на защитната стена.

• Възможно е отдалеченият хост да има достъп до интернет чрез защитната стена XG. За целта създайте правило за защитна стена с VPN като изходна зона и WAN като зона на местоназначение 
  
  

Конфигуриране на SSL VPN клиент 

Изтегляне на SSL VPN клиентския софтуер 

От браузър, влезте в потребителския портал, използвайки публичния IP адрес на защитна стена Sophos и https порта на потребителя. В този пример потребителският портал е достъпен на https://172.20.120.15:10443 

Бележка: Можете да намерите потребителския портален https порт, конфигуриран в защитната стена на Sophos, като отидете Administration > Admin Settings в раздела Port Settings for Admin Console.

След като влезете в портала, изтеглете съответно SSL VPN клиента за необходимата крайна точка. В тази статия ще изтеглим и инсталираме клиента и конфигурацията за Windows 10. 

Инсталиране на SSL VPN клиентския софтуер на Windows 

Стартирайте изтегления SSL VPN клиент 

Бележка: Ако имате софтуер за контрол на приложения, не забравяйте да деблокирате OpenVPN и SSL VPN клиент за Windows, за да бъде успешна инсталацията. 

Изберете Next и следвайте стъпките.

Приемете лицензионното споразумение

Изберете местоположението на папката и изберете Install. 

Наблюдавайте процеса на инсталиране.

Изберете Finish, за да завършите инсталацията. 

След инсталиране стартирайте удостоверяването на VPN, като щракнете върху символа на светофара в лентата на задачите. 

Влезте, като използвате същите идентификационни данни за портала на потребителите. 

Светофарът ще се промени от червен (disconnected) в червен и кехлибарен (negotiating/connecting). Веднага след като светофарът се промени в зелен, се появява изскачащо съобщение, потвърждаващо SSL VPN връзката 

Резултати 

От вашата работна станция/компютър проверете дали ви е зададен IP адрес от SSL VPN диапазона, конфигуриран по-рано в защитната стена на Sophos. 

Бележка: Можете също да проверите маршрута, инжектиран от SSL VPN клиента, като изпълните команда за печат на маршрут. 

От защитната стена на Sophos отидете на Firewall и проверете дали правилото за достъп на SSL VPN позволява влизане и изход на трафика. 

Oтидете на Current Activities > Live users, за да проверите SSL VPN потребителите. 

Отидете на Report > VPN за проверка на отдалечен SSL VPN списък на потребителите 

Видео: How to Configure SSL VPN Remote Access (V18)

Ръководство на английски език: Sophos XG Firewall: How to configure SSL VPN remote access

Свързани материали