Die Einrichtung des Fernzugriffs mit SSL-VPN ist in wenigen Schritten realisiert.Schön ist es, wenn man eine fixe, öffentliche Adresse verwendet und einen A-Record für diese hat.
Alternativ kann man selbstverständlich auch mit dyndns oder ähnlichen Anbietern arbeiten. Ok, let´s do it!
Im ersten Schritt muss man die Servereinstellungen unter Fernzugriff -> SSL -> Einstellungen auf der UTM anpassen.
Ich ändere hier grundsätzlich den Port von 443 auf 4445 oder 1194 und trage die öffentliche Adresse bei Hostnamen umgehen ein.
Anschließend sollte man in den Clientoptionen unter Fernzugriff -> Erweitert seinen internen DNS-Server eintragen und den Domänennamen.
Man könnte auch die UTM als DNS-Server eintragen. Dann ist es allerdings nötig, unter Netzwerkdienste -> DNS -> Allgemein den VPN-Pool unter Zugelassene Netzwerke zu hinterlegen. Außerdem ist es ratsam, eine Anfrageroute für die eigene Domäne zu konfigurieren.
Nun erzeugt man das VPN-Profil unter Fernzugriff -> SSL -> Profile.
Wer die Berechtigung mit AD-Gruppen realisieren möchte, findet hier eine Anleitung: Anleitung Authentication Servers und SSO für Sophos UTM. Den Haken bei Automatische Firewallregeln entferne ich aus Sicherheitsgründen immer. Das zu aktivieren ist aus meiner Sicht grob fahrlässig.
Es ist besser, mit Firewallregeln unter Network Protection -> Firewall -> Regeln zu arbeiten. Die könnten für die Fernzugriffe via SSL-VPN auf einen Terminalsserver z.B. so aussehen.
Die Regeln erlauben RDP und Networkprinting für den Terminalserver und DNS zum DNS-Server.
Damit ist die Konfiguration auch schon abgeschlossen.
Nun kann sich z.B. ein Windows-Nutzer über das Portal die Fernzugriffs-Software herunterladen und installieren (Beschreibung im Userportal beachten).
Nachdem der Client nach dem Schema „Weiter, weiter – Fertigstellen“ installiert ist, findet man den Sophos SSL VPN Client im Tray-Menü.
Die VPN-Verbindung wird hergestellt, indem man mit der rechten Maustaste auf das Ampel-Symbol klickt, Verbinden wählt und seinen Benutzernamen und Kennwort einträgt.
Solltet Ihr weitere Fragen haben, dann hinterlasst ein Kommentar oder schreibt mir eine E-Mail. Wer eine Anleitung für HTML5-VPN benötigt, findet sie hier: Sophos UTM, HTML5-VPN-Portal einrichten.
Welche Verschlüsselungalgorythmen stellst Du unter Erweitert ein?
„AES-256-CBC“ oder „BF-CBC“ und „SHA2 256 Bit“ bei 4096 Bit Schlüssellänge.
Danke!
Hallo,
erstmal vielen vielen Dank für diese super Anleitung. Hat mir sehr geholfen einen Fehler zu finden. Welches mich zum nächsten gebracht hat.
Leider kann ich per VPN keine Verbindung zwischen Outlook 2016 und Exchange 2016 auf keinem Client herstellen. Die Clients sind auch alle Mitglied der Domäne. Habe auch eine Firewall Regel: VPN SSL -> Email Messaging -> Internen Exchange
Hast du hier noch einen Rat ür mich?
Hi,
danke für Deinen Kommentar. Ich vermute, dass Du https zum Exchange freigeben musst. Guckt Dir aber auch mal das Livelog in der Firewall an. Dort siehtst Du, welche Ports blockiert werden.
Lässt sich der Hostname des Exchange via VPN-Verbindung auflösen? Baut Outlook vielleicht über den externen Hostnamen des Exchange die Verbindung auf? Wenn eine Verbindung über die externe Adresse aufgebaut wird, kannst Du entweder via NAT oder via Webserverprotection den Exchange freigeben. Oder Du machst ein Splitdns.
Super vielen dank. Hatte hier eine Denkfehler in der NAT. Danke für den Tipp. Manchmal sieht man tatsächlich die Bäume vor lauter Wald nicht 😉
gibt es jemanden der via Teamviewer mein Sophos VPN wieder einrichten kann? Es funktioniert leider nicht mehr. Würde ich natürlich bezahlen
Moin, wäre es nicht sinnvoller sich an den eigenen EDV-Dienstleister zu wenden?
Moin Thorsten,
frohes neues Jahr!
Eine super Arbeit machst du hier !
Ich hätte eine Frage zum verwendeten OpenVPN Client V 2.1…
Ich kann leider keine Release History Informationen zu diesem finden.
Weißt du ob wann/ob ein Update geplant ist?
Danke vorab.
Moin, danke für Deinen Kommentar! Ich habe hierzu leider keine Informationen von Sophos. Tut mir leid. Werd mich mal umhören!
Moin Thorsten,
der Sophos Support konnte mir auch keine Info für Updates des OpenVPN Clients geben. Eine Roadmap dazu gibt es offiziell auch nicht. Es heißt nur in einer der nächsten Versionen gibt es ein Update. Auch die IKEv2 Unterstützung…
Gruß
Kleiner Nachtrag…Falls jemand den OpenVPN Client 2.4.8 mit dem Config File einer Sophos UTM verwenden möchte, muss eine Zeile der Config File anpassen…
Siehe https://community.sophos.com/products/unified-threat-management/f/network-protection-firewall-nat-qos-ips/93118/openvpn-tls-remote-deprecated-yet-used
Moin,
danke für Deine Kommentare und danke für die Info!