Как да конфигурирате Sophos Connect Client?
Sophos Connect Client e VPN софтуер, който е съвместим с Microsoft 7 SP2 и по-нови версии и Mac OS 10.2 и по- нови версии. Той създава сигурни и криптирани VPN тунели.
Как да го направя?
Инсталация
Отидете в VPN > Sophos Connect client.
В секцията Client information, изберете Download, за да изтеглите Sophos Connect Client. В инсталационния пакет се съдържат Sophos Connect Client (Windows и macOS) и инструмента за администриране Sophos Connect Admin (Windows).
Конфигурации на защитната стена XG
Sophos Connect Client
Отидете в VPN > Sophos Connect client..
В секцията General settings, конфигурираме според таблицата отдолу.
Параметър | Стойност | Описание |
---|---|---|
Sophos Connect client | Enable | Активира Sophos Connect Client. |
Interface | (The WAN interface) | Избетере WAN порта, който е крайна точка на вашия тунел. |
Authentication type | Preshared key | Автентикация, която използвате за връзката.
|
Preshared key | (Enter the Preshared key) | Въведете Preshared key. |
Local ID | (optional) | За preshared key, изберете типа ID и типа на стойността. За Digital certificate, DER ASN1DN (X.509) не се изисква. |
Remote ID | (optional) | За preshared key, изберете типа ID и типа на стойността. За Digital certificate, DER ASN1DN (X.509) не се изисква. |
Allowed user | john.smith | Потребители, на които им е разрешено да се свързват с Sophos Connect Client. |
3. В секцията Client information, конфигурираме според таблицата отдолу.
Параметър | Стойност | Описание |
---|---|---|
Name | SophosTest | Въведете име. |
Assign IP from* | 192.168.1.11 - 192.168.1.254 | Обхват на адреса, от който ще бъде даден адрес на потребителя. Потребителя използва даден адрес за продълженителността на връзката. Това трябва да е диапазон от частни IP адреси. Забележка: IP Lease не подържа по-голям диапазон от 255 адреса за момента. Лимитацията ще бъде отстранента при v18.0 MR1 и v17.5 MR11. L2TP и PPTP адресите не трябва да се повтарят. Позволение за раздаване на IP адреси от RADIUS сървър за L2TP, PPTP, и Sophos Connect Client когато потребитерите са автентикирани пред Radius сървъра, използвайте IP адреса предоставен от самият Radius сървър. Ако адрес не е предоставен от Radius сървъра, статичният адрес, конфигуриран на потребителя ще му бъде назначен или адреса ще бъде взет от конкретният конфигуриран диапазон на адреси. |
DNS server | 192.168.1.5 | Посочете DNS сървър. |
Забележка: Уверете се, че LAN и WAN мрежите не са еднакви.
4. Кликнете върху Apply.
(кликнете тук, за да видите изображението в пълен размер)
5. Кликнете върху Export connection, за да изтеглите конфигурациите. Името на файла е с разширение .tgb.
Създаване на правило на защитната стена
За да имате достъп до конфигурираните LAN мрежи, трябва да конфигурирате правило на защитната стена.
Отидете в Firewall, кликнете върху Add firewall rule и изберете User/network rule.
Конфигурирайте според снимката отдолу.
(кликнете тук, за да видите изображението в пълен размер)
3. Изберете Save.
Забележка: Това е комбинирано правило на защитната стена за трафик от VPN към LAN и от LAN към VPN. Ако желаете да виждате конкретни данни за трафика във всяка посока, създайте отделни правила за всяка една от тях.
(Не е задължително) Инсталация и конфигурация на администраторския инструмент Sophos Connect Admin
Забележка: Инструмента се иползва, ако желаете да промените конфигурационния файл по подразбиране.
Инсталирайте инструмента Sophos Connect Admin (scadmin.msi), който се намира на вашия компютър.
Отворете Sophos Connect Admin.
Кликнете върху Open и изберете .tgb файла, който експортирахме по-рано.
С този инструмент можете да добавяте/ редактирате/ изтривате мрежи според вашата VPN настройка. Можете да промените името на връзката, хоста и да активирате допълнителни опции според вашите изисквания.
(кликнете тук, за да видите изображението в пълен размер)
Забележка:
Политиката на Sophos Connect Client на защитната стена XG е конфигурирана на Tunnel All. Тази политика може да бъде променена, за да се настрои split тунел с помощта на Sophos Connect Admin. За да го направите изберете Add New по секция Networks. Въведете мрежите според изискванията. Опцията Tunnel All ще се деактивира автоматично.
(кликнете тук, за да видите изображението в пълен размер)
Ако използвате политиката Tunnel All е възможно отдалечения хост да има достъп до интернет през защитната стена XG. В такъв случай, създайте правило за защитната стена като посочите WAN като destination zone (входна), а VPN като source zone (изходна).
Опции
Опция | Описание |
---|---|
Send Security Heartbeat | Тази опция гарантира, че връзките на Sophos Security Heartbeat ще могат да бъдат осъществени чрез VPN тунел. Тази опция не може да бъде деактивирана, ако Tunnel All е активен. |
Allow Password Saving | Тази опция дава възможност на потребителите да запазят своите кредендъли без да се налага да ги въвеждат при всеки опит за влизане. Тази опция се препоръчва, ако Auto-Connect Tunnel е активен. |
Prompt for 2FA | Тази опция ще подкани потребителя да използва отделно MFA тоукън и ще добави символите автоматично към паролата при влизане. Ако е разрешено Allow Password Saving, тази опция позволява на потребителите да въвеждат ръчно символите от MFA тоукъна. |
Auto-Connect Tunnel | Тази опция ще накара Sophos Connect да направи опит да се свърже автоматично след като потребителите влязат в OS. В полето Enter a host/ DNS suffic въведете стойност, която Sophos Connect ще използва, за да определи дали крайната работна станция е в роуминг или не. |
Set Client DNS Suffix | Ако тази опция е активирана, посоченият DNS Suffic ще бъде даден на потребителите, когато се свържат. |
Run logon script | След като потребителите се свържат успешно към тунел, ще се опитат да стартират скриптове за влизане в домейна на потребителите. |
5. Кликнете върху Save. Файла ще се запише с разширение .scx.
Инсталация и конфигурация на Sophos Connect Client
Изпратете файла .tgb или .scx на потребителя.
От работната станция на потребителя инсталирайте Sophos Connect Client (SophosConnect.msi за Windows и SophosConnect.pkg за Mac), който свалихте по-рано.
Отворете Sophos Connect.
Кликнете върху Import Connection и изберете .tgb или .scx файла.
Кликнете върху Connect, за да активирате връзката.
(кликнете тук, за да видите изображението в пълен размер)
6. Въведете потребителските креденшъли и кликнете върху Login.
(кликнете тук, за да видите изображението в пълен размер)
(кликнете тук, за да видите изображението в пълен размер)
Забележка: Има опция да конфигурирате статично IP за отдалечените потребители, който се свързват чрез Sophos Connect Client. Отидете в Authentication > Users и изберете потребителя. В секцията SSL VPN policy > Sophos Connect client изберете Enable и конфигурирайте статичния IP адрес за потребителя. Изберете Save.
(кликнете тук, за да видите изображението в пълен размер)
Видео: How to Configure Sophos Connect Client (V17)
Ръководството на английски език: Sophos XG Firewall: Sophos Connect Client