Anleitung Fernzugriff SSL für Sophos UTM einrichten…

Die Einrichtung des Fernzugriffs mit SSL-VPN ist in wenigen Schritten realisiert.Schön ist es, wenn man eine fixe, öffentliche Adresse verwendet und einen A-Record für diese hat.

Alternativ kann man selbstverständlich auch mit dyndns oder ähnlichen Anbietern arbeiten. Ok, let´s do it!

 

Im ersten Schritt muss man die Servereinstellungen unter Fernzugriff -> SSL -> Einstellungen auf der UTM anpassen.

Ich ändere hier grundsätzlich den Port von 443 auf 4445 und trage die öffentliche Adresse bei Hostnamen umgehen ein.

Anschließend sollte man in den Clientoptionen unter Fernzugriff -> Erweitert seinen internen DNS-Server eintragen und den Domänennamen.

Man könnte auch die UTM als DNS-Server eintragen. Dann ist es allerdings nötig, unter Netzwerkdienste -> DNS -> Allgemein den VPN-Pool unter Zugelassene Netzwerke zu hinterlegen. Außerdem ist es ratsam, eine Anfrageroute für die eigene Domäne zu konfigurieren.

Nun erzeugt man das VPN-Profil unter Fernzugriff -> SSL -> Profile.

Wer die Berechtigung mit AD-Gruppen realisieren möchte, findet hier eine Anleitung: Anleitung Authentication Servers und SSO für Sophos UTM. Den Haken bei Automatische Firewallregeln entferne ich aus Sicherheitsgründen immer. Das zu aktivieren ist aus meiner Sicht grob fahrlässig.

Es ist besser, mit Firewallregeln unter Network Protection -> Firewall -> Regeln zu arbeiten. Die könnten für die Fernzugriffe via SSL-VPN auf einen Terminalsserver z.B. so aussehen.

Die Regeln erlauben RDP und Networkprinting für den Terminalserver und DNS zum DNS-Server.

Damit ist die Konfiguration auch schon abgeschlossen.

Nun kann sich z.B. ein Windows-Nutzer über das Portal die Fernzugriffs-Software herunterladen und installieren (Beschreibung im Userportal beachten).

Nachdem der Client nach dem Schema „Weiter, weiter – Fertigstellen“ installiert ist, findet man den Sophos SSL VPN Client im Tray-Menü.

Die VPN-Verbindung wird hergestellt, indem man mit der rechten Maustaste auf das Ampel-Symbol klickt, Verbinden wählt und seinen Benutzernamen und Kennwort einträgt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.