Как да конфигурирате Sophos Connect Client?

Sophos Connect Client e VPN софтуер, който е съвместим с Microsoft 7 SP2 и по-нови версии и Mac OS 10.2 и по- нови версии. Той създава сигурни и криптирани VPN тунели.

Как да го направя?

Инсталация

  1. Отидете в VPN > Sophos Connect client.

  2. В секцията Client information, изберете Download, за да изтеглите Sophos Connect Client. В инсталационния пакет се съдържат Sophos Connect Client (Windows и macOS) и инструмента за администриране Sophos Connect Admin (Windows).

 Конфигурации на защитната стена XG

Sophos Connect Client

 

  1. Отидете в VPN > Sophos Connect client..

  2. В секцията General settings, конфигурираме според таблицата отдолу.

 

Параметър

Стойност

Описание

Параметър

Стойност

Описание

Sophos Connect client

Enable

Активира Sophos Connect Client.

Interface

(The WAN interface)

Избетере WAN порта, който е крайна точка на вашия тунел.

Authentication type

Preshared key

Автентикация, която използвате за връзката.

  • Preshared key: Удостоверявате крайни работи станции като използвате таен ключ, който е известен за двете крайни точки.

  • Digital certificate: Удостоверявате крайни работни станции чрез обмяна на серитикати (самостоятелно подписани или подписани от сертифициран орган).

Preshared key

(Enter the Preshared key)

Въведете Preshared key.

Local ID

(optional)

За preshared key, изберете типа ID и типа на стойността. За Digital certificate, DER ASN1DN (X.509) не се изисква.

Remote ID

(optional)

За preshared key, изберете типа ID и типа на стойността. За Digital certificate, DER ASN1DN (X.509) не се изисква.

Allowed user

john.smith

Потребители, на които им е разрешено да се свързват с Sophos Connect Client.

 

3. В секцията Client information, конфигурираме според таблицата отдолу.

 

 

Параметър

Стойност

Описание

 

Параметър

Стойност

Описание

Name

SophosTest

Въведете име.

Assign IP from*

192.168.1.11 - 192.168.1.254

Обхват на адреса, от който ще бъде даден адрес на потребителя. Потребителя използва даден адрес за продълженителността на връзката. Това трябва да е диапазон от частни IP адреси.

Забележка: IP Lease не подържа по-голям диапазон от 255 адреса за момента. Лимитацията ще бъде отстранента при v18.0 MR1 и v17.5 MR11. L2TP и PPTP адресите не трябва да се повтарят.

Позволение за раздаване на IP адреси от RADIUS сървър за L2TP, PPTP, и Sophos Connect Client когато потребитерите са автентикирани пред Radius сървъра, използвайте IP адреса предоставен от самият Radius сървър. Ако адрес не е предоставен от Radius сървъра, статичният адрес, конфигуриран на потребителя ще му бъде назначен или адреса ще бъде взет от конкретният конфигуриран диапазон на адреси.

DNS server

192.168.1.5

Посочете DNS сървър.

Забележка: Уверете се, че LAN и WAN мрежите не са еднакви.

 

4. Кликнете върху Apply.

 

(кликнете тук, за да видите изображението в пълен размер)

 

5. Кликнете върху Export connection, за да изтеглите конфигурациите. Името на файла е с разширение .tgb.

 

Създаване на правило на защитната стена

За да имате достъп до конфигурираните LAN мрежи, трябва да конфигурирате правило на защитната стена.

  1. Отидете в Firewall, кликнете върху Add firewall rule и изберете User/network rule.

  2. Конфигурирайте според снимката отдолу.

 

(кликнете тук, за да видите изображението в пълен размер)

 

3. Изберете Save.

Забележка: Това е комбинирано правило на защитната стена за трафик от VPN към LAN и от LAN към VPN. Ако желаете да виждате конкретни данни за трафика във всяка посока, създайте отделни правила за всяка една от тях.

(Не е задължително) Инсталация и конфигурация на администраторския инструмент Sophos Connect Admin

Забележка: Инструмента се иползва, ако желаете да промените конфигурационния файл по подразбиране.

  1. Инсталирайте инструмента Sophos Connect Admin (scadmin.msi), който се намира на вашия компютър.

  2. Отворете Sophos Connect Admin.

  3. Кликнете върху Open и изберете .tgb файла, който експортирахме по-рано.

  4. С този инструмент можете да добавяте/ редактирате/ изтривате мрежи според вашата VPN настройка. Можете да промените името на връзката, хоста и да активирате допълнителни опции според вашите изисквания.

 

(кликнете тук, за да видите изображението в пълен размер)

 

Забележка:

  • Политиката на Sophos Connect Client на защитната стена XG е конфигурирана на Tunnel All. Тази политика може да бъде променена, за да се настрои split тунел с помощта на Sophos Connect Admin. За да го направите изберете Add New по секция Networks. Въведете мрежите според изискванията. Опцията Tunnel All ще се деактивира автоматично.

 

(кликнете тук, за да видите изображението в пълен размер)

 

  • Ако използвате политиката Tunnel All е възможно отдалечения хост да има достъп до интернет през защитната стена XG. В такъв случай, създайте правило за защитната стена като посочите WAN като destination zone (входна), а VPN като source zone (изходна).

 

Опции

Опция

Описание

Опция

Описание

Send Security Heartbeat

Тази опция гарантира, че връзките на Sophos Security Heartbeat ще могат да бъдат осъществени чрез VPN тунел.

Тази опция не може да бъде деактивирана, ако Tunnel All е активен.

Allow Password Saving

Тази опция дава възможност на потребителите да запазят своите кредендъли без да се налага да ги въвеждат при всеки опит за влизане.

Тази опция се препоръчва, ако Auto-Connect Tunnel е активен.

Prompt for 2FA

Тази опция ще подкани потребителя да използва отделно MFA тоукън и ще добави символите автоматично към паролата при влизане.

Ако е разрешено Allow Password Saving, тази опция позволява на потребителите да въвеждат ръчно символите от MFA тоукъна.

Auto-Connect Tunnel

Тази опция ще накара Sophos Connect да направи опит да се свърже автоматично след като потребителите влязат в OS. В полето Enter a host/ DNS suffic въведете стойност, която Sophos Connect ще използва, за да определи дали крайната работна станция е в роуминг или не.

Set Client DNS Suffix

Ако тази опция е активирана, посоченият DNS Suffic ще бъде даден на потребителите, когато се свържат.

Run logon script

След като потребителите се свържат успешно към тунел, ще се опитат да стартират скриптове за влизане в домейна на потребителите.

5. Кликнете върху Save. Файла ще се запише с разширение .scx.

 

Инсталация и конфигурация на Sophos Connect Client

  1. Изпратете файла .tgb или .scx на потребителя.

  2. От работната станция на потребителя инсталирайте Sophos Connect Client (SophosConnect.msi за Windows и SophosConnect.pkg за Mac), който свалихте по-рано.

  3. Отворете Sophos Connect.

  4. Кликнете върху Import Connection и изберете .tgb или .scx файла.

  5. Кликнете върху Connect, за да активирате връзката.

 

(кликнете тук, за да видите изображението в пълен размер)

 

6. Въведете потребителските креденшъли и кликнете върху Login.

 

(кликнете тук, за да видите изображението в пълен размер)

(кликнете тук, за да видите изображението в пълен размер)

 

Забележка: Има опция да конфигурирате статично IP за отдалечените потребители, който се свързват чрез Sophos Connect Client. Отидете в Authentication > Users и изберете потребителя. В секцията SSL VPN policy > Sophos Connect client изберете Enable и конфигурирайте статичния IP адрес за потребителя. Изберете Save.

 

(кликнете тук, за да видите изображението в пълен размер)

 

Видео: How to Configure Sophos Connect Client (V17)

Ръководството на английски език: Sophos XG Firewall: Sophos Connect Client

Свързани материали