Fernzugriff VPN SSL für Sophos UTM einrichten…

Die Einrichtung des Fernzugriffs mit SSL-VPN ist in wenigen Schritten realisiert.Schön ist es, wenn man eine fixe, öffentliche Adresse verwendet und einen A-Record für diese hat.

Alternativ kann man selbstverständlich auch mit dyndns oder ähnlichen Anbietern arbeiten. Ok, let´s do it!

Im ersten Schritt muss man die Servereinstellungen unter Fernzugriff -> SSL -> Einstellungen auf der UTM anpassen.

Ich ändere hier grundsätzlich den Port von 443 auf 4445 oder 1194 und trage die öffentliche Adresse bei Hostnamen umgehen ein.

Anschließend sollte man in den Clientoptionen unter Fernzugriff -> Erweitert seinen internen DNS-Server eintragen und den Domänennamen.

Man könnte auch die UTM als DNS-Server eintragen. Dann ist es allerdings nötig, unter Netzwerkdienste -> DNS -> Allgemein den VPN-Pool unter Zugelassene Netzwerke zu hinterlegen. Außerdem ist es ratsam, eine Anfrageroute für die eigene Domäne zu konfigurieren.

Nun erzeugt man das VPN-Profil unter Fernzugriff -> SSL -> Profile.

Wer die Berechtigung mit AD-Gruppen realisieren möchte, findet hier eine Anleitung: Anleitung Authentication Servers und SSO für Sophos UTM. Den Haken bei Automatische Firewallregeln entferne ich aus Sicherheitsgründen immer. Das zu aktivieren ist aus meiner Sicht grob fahrlässig.

Es ist besser, mit Firewallregeln unter Network Protection -> Firewall -> Regeln zu arbeiten. Die könnten für die Fernzugriffe via SSL-VPN auf einen Terminalsserver z.B. so aussehen.

Die Regeln erlauben RDP und Networkprinting für den Terminalserver und DNS zum DNS-Server.

Damit ist die Konfiguration auch schon abgeschlossen.

Nun kann sich z.B. ein Windows-Nutzer über das Portal die Fernzugriffs-Software herunterladen und installieren (Beschreibung im Userportal beachten).

Nachdem der Client nach dem Schema „Weiter, weiter – Fertigstellen“ installiert ist, findet man den Sophos SSL VPN Client im Tray-Menü.

Die VPN-Verbindung wird hergestellt, indem man mit der rechten Maustaste auf das Ampel-Symbol klickt, Verbinden wählt und seinen Benutzernamen und Kennwort einträgt.

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 8 Kommentare

  1. Welche Verschlüsselungalgorythmen stellst Du unter Erweitert ein?

    1. „AES-256-CBC“ oder „BF-CBC“ und „SHA2 256 Bit“ bei 4096 Bit Schlüssellänge.

  2. Hallo,
    erstmal vielen vielen Dank für diese super Anleitung. Hat mir sehr geholfen einen Fehler zu finden. Welches mich zum nächsten gebracht hat.
    Leider kann ich per VPN keine Verbindung zwischen Outlook 2016 und Exchange 2016 auf keinem Client herstellen. Die Clients sind auch alle Mitglied der Domäne. Habe auch eine Firewall Regel: VPN SSL -> Email Messaging -> Internen Exchange

    Hast du hier noch einen Rat ür mich?

    1. Hi,

      danke für Deinen Kommentar. Ich vermute, dass Du https zum Exchange freigeben musst. Guckt Dir aber auch mal das Livelog in der Firewall an. Dort siehtst Du, welche Ports blockiert werden.

      Lässt sich der Hostname des Exchange via VPN-Verbindung auflösen? Baut Outlook vielleicht über den externen Hostnamen des Exchange die Verbindung auf? Wenn eine Verbindung über die externe Adresse aufgebaut wird, kannst Du entweder via NAT oder via Webserverprotection den Exchange freigeben. Oder Du machst ein Splitdns.

      1. Super vielen dank. Hatte hier eine Denkfehler in der NAT. Danke für den Tipp. Manchmal sieht man tatsächlich die Bäume vor lauter Wald nicht 😉

  3. gibt es jemanden der via Teamviewer mein Sophos VPN wieder einrichten kann? Es funktioniert leider nicht mehr. Würde ich natürlich bezahlen

    1. Moin, wäre es nicht sinnvoller sich an den eigenen EDV-Dienstleister zu wenden?

Schreibe einen Kommentar

Menü schließen