Você pode configurar conexões VPN SSL de acesso remoto. Os usuários podem estabelecer a conexão usando o cliente Sophos Connect.
Introdução
O cliente Sophos Connect permite que você imponha configurações avançadas de segurança e flexibilidade, como conectar o túnel automaticamente.
Configurações preliminares:
- Configure hosts IP para as sub-redes locais.
- Configurar usuários e grupos. Como alternativa, configure um servidor de autenticação.
- Verifique os métodos de autenticação.
Para configurar e estabelecer conexões VPN SSL de acesso remoto usando o cliente Sophos Connect, faça o seguinte:
- Defina as configurações de VPN SSL.
- Envie o arquivo de configuração para os usuários.
- Adicione uma regra de firewall.
- Envie o cliente Sophos Connect para os usuários. Alternativamente, os usuários podem baixá-lo do portal do usuário.
Os usuários devem fazer o seguinte:
- Instale o cliente Sophos Connect em seus dispositivos endpoint.
- Importe o arquivo de configuração para o cliente e estabeleça a conexão.
Atualmente, o cliente Sophos Connect não oferece suporte a todos os dispositivos de endpoint. Para obter mais detalhes, consulte Compatibilidade com o cliente Sophos Connect
Criar um host IP para a sub-rede local
A sub-rede local define os recursos de rede que os clientes remotos podem acessar.
- Vá para Hosts and services > IP host e clique em Add.
- Insira um nome e uma rede para a sub-rede local.
- Clique em Salvar.
Criar um grupo de usuários e adicionar um usuário
Você cria um grupo de usuários para a VPN SSL remota e adiciona um usuário. O grupo especifica uma cota de navegação e tempo de acesso. Neste exemplo, os usuários do grupo têm acesso ilimitado.
- Vá para Authentication > Groups e clique em Add.
- Especifique as configurações.
- Clique em Save.
- Vá para Authentication > Users e clique em Add.
- Especifique as configurações.
- Clique em Save.
Verifique os serviços de autenticação
Neste exemplo, você define os métodos de autenticação de firewall e SSL VPN para autenticação local. O Sophos Firewall atua então como o servidor de autenticação.
- Vá para Autenticação > Serviços.
- Em Métodos de autenticação do Firewall, verifique se o servidor de autenticação está definido como Local. Como alternativa, você pode selecionar um servidor de autenticação, como o servidor Active Directory que você configurou em Autenticação > Servidores.
- Role até métodos de autenticação SSL VPN.
- Verifique se o servidor de autenticação está definido como Local.
Especifique uma sub-rede para clientes VPN SSL
Quando os clientes SSL VPN se conectam ao Sophos Firewall, ele atribui endereços IP da sub-rede que você especifica aqui. Você deve usar um endereço privado.
- Vá para VPN de acesso remoto > VPN SSL e clique em configurações globais de VPN SSL.
- Especifique o endereço IP privado e a sub-rede para conceder aos usuários remotos.
- Clique em Aplicar.
Adicionar uma política de acesso remoto SSL VPN
Você cria uma política que permite que os usuários do grupo VPN SSL remoto se conectem. Esses usuários têm permissão para acessar recursos na sub-rede local.
- Vá para VPN de acesso remoto > VPN SSL e clique em Adicionar.
- Insira um nome e especifique os membros da política e os recursos de rede permitidos.
- Clique em Aplicar.
Adicionar uma regra de firewall
- Vá para Regras e políticas > Regras de firewall.
- Selecione IPv4 ou IPv6.
- Clique em Adicionar regra de firewall e Nova regra de firewall.
- Insira um nome de regra.
- Para Zona de origem , selecione VPN.
- Para redes e dispositivos de origem , selecione ##ALL_SSLVPN_RW ou ##ALL_SSLVPN_RW6. Esses hosts contêm os endereços IP concedidos a usuários remotos que estabeleceram uma conexão.
- Para Zonas de destino , selecione as zonas dos recursos aos quais você deseja conceder acesso remoto.
- Para Redes de destino , selecione o host IP que você criou para os recursos de rede permitidos.
- Clique em Salvar. Aqui está um exemplo:
Verifique as configurações de acesso ao dispositivo
Você deve conceder acesso a alguns serviços para usuários remotos das zonas necessárias.
- Vá para Administração > Acesso ao dispositivo.
- Em VPN SSL , selecione WAN. Isso permite que usuários remotos estabeleçam conexões SSL VPN.
- Em Portal do usuário , selecione o seguinte:
- WAN e Wi-Fi : Os usuários podem acessar o portal do usuário a partir da WAN e da zona Wi-Fi interna. Eles podem então baixar o cliente VPN e a configuração do portal do usuário.No entanto, permitir o acesso à WAN é um risco de segurança.
- VPN : Depois que os usuários estabelecerem uma conexão VPN, eles poderão acessar o portal do usuário por meio da VPN. Você pode então desligar o acesso da WAN.
- Opcional: em Ping/Ping6 , selecione VP. Os usuários podem pingar o endereço IP do firewall por meio de VPN para verificar a conectividade.
- Opcional: em DNS , selecione VPN. Os usuários podem resolver nomes de domínio por meio de VPN se você tiver especificado o firewall para resolução de DNS nas configurações de VPN.
- Clique em Aplicar.
Instalar e configurar o cliente Sophos Connect em endpoints
Para estabelecer conexões VPN SSL de acesso remoto, os usuários devem instalar o cliente Sophos Connect em seus dispositivos de terminal e importar o “.ovpn"
arquivo para o cliente.
Você pode baixar os instaladores do cliente Sophos Connect no console de administração da web do Sophos Firewall e compartilhá-los com os usuários.
Alternativamente, os usuários podem baixar o cliente Sophos Connect do portal do usuário da seguinte forma:
- Entre no portal do usuário.
- Clique em VPN.
- Em Sophos Connect client , clique em um dos seguintes:
- Baixar para Windows
- Baixar para macOs
- Clique em Baixar configuração para Windows, macOS, Linux para baixar o arquivo “.
ovpn"
de configuração.
- Clique no cliente Sophos Connect baixado.Você pode vê-lo na bandeja do sistema do seu dispositivo endpoint.
- Clique no botão de três pontos no canto superior direito, clique em Importar conexão e selecione o arquiv
o ".ovpn"
que você baixou.
- Faça login usando suas credenciais do portal do usuário.