Configurar o acesso remoto SSL VPN no Sophos XG Firewall

Atualizado: Jan 19



Definindo grupo e usuários SSL VPN

Vá para Authentication > Groups e crie um grupo para usuários remotos SSL VPN.


Vá para Authentication > Users e crie usuários VPN SSL remotos.

Definindo sub-rede local e intervalo de VPN SSL remoto

Vá para Hosts and Services > IP Host e defina a sub-rede local atrás do Sophos Firewall.

Vá para Hosts and Services> IP Host e defina o intervalo de SSL VPN remoto.

Nota: Verifique se as redes atribuídas à LAN e VPN não são as mesmas.

Definindo a política VPN SSL remota

Vá para VPN > SSL VPN (Remote Access) e selecione Add para criar uma política de VPN SSL.

Verificando os serviços de autenticação para SSL VPN

Vá para Authentication > Service  e verifique se Servidor de autenticação local está selecionado na seção SSL VPN Authentication Methods .

Nota: Verifique também se oservidor de autenticação local está selecionado na seção Firewall Authentication Methods.Isso é necessário para que os usuários remotos efetuem logon no portal para baixar o software cliente VPN SSL posteriormente neste artigo.

Verificando as zonas permitidas para SSL VPN

Vá para Administration > Device Access e permita SSL VPN e User Portal para as zonas LAN e WAN na seção Local Service ACL . Adicione outras zonas, conforme necessário.


Nota: Se você precisar que a VPN SSL e o Portal do usuário estejam disponíveis na zona WAN, a Sophos recomenda a ativação do MFA / OTP .

Definindo configurações avançadas de VPN SSL

Vá para VPN e selecione Show VPN Settings .

Na guia VPN SSL, verifique o IPv4 Lease Range configurado anteriormente e defina as demais opções conforme necessário.

Nota: Se o XG Firewall não tiver um IP público atribuído na interface WAN, mas atrás de um dispositivo NAT, defina o IP público no campo Override Hostname . Isso define o arquivo de configuração do cliente SSL VPN para usar esse IP público ao estabelecer a conexão. O dispositivo NAT deve ser configurado para encaminhar a conexão VPN SSL ao XG Firewall.


Criando uma regra de firewall

Vá para Rules and policies > Firewall rules > Add new firewall rule > New firewall rule.

Notas:

  • Se houver várias regras de firewall da VPN para as zonas da LAN, coloque a regra de firewall acima no topo da lista, conforme descrito em  Sophos XG Firewall: Como alterar a ordem das regras de firewall .

  • É possível que o host remoto acesse a Internet através do XG Firewall. Para fazer isso, crie uma regra de firewall com VPN como zona de origem e WAN como zona de destino.

Configurando o Cliente VPN SSL

Nota: A Sophos recomenda a habilitação de MFA / OTP para todos os portais voltados para WAN


Fazendo Download do Software Cliente VPN SSL

Em um navegador, faça logon no portal do usuário. Neste exemplo, o portal do usuário está acessível em https://172.20.120.15:4443


Nota:

  • Você pode encontrar o usuário do portal https porta configurada na Sophos Firewall, indo para Administration > Admin Settings em Port Settings for Admin Console seção.

  • Não recomendamos a ativação do portal do usuário ou do console administrativo da web nas interfaces externas (WAN). Isso pode permitir que os hackers identifiquem facilmente o fornecedor e o tipo do firewall e iniciem um ataque direcionado. Para restringir o portal do usuário do XG Firewall e o console administrativo da web às interfaces locais, vá para Administration > Device Access e desmarque o User Portal e os  Admin Services da zona WAN .

Depois de fazer login no portal, faça o download do cliente VPN SSL para o terminal necessário de acordo.Neste artigo, baixaremos e instalaremos o cliente e a configuração do Windows 10.

Instalando o Software Cliente VPN SSL no Windows

Execute o cliente VPN SSL baixado.

Nota:  Se você possui um software de controle de aplicativos, desbloqueie o OpenVPN e o SSL VPN Client para Windows para que a instalação seja bem-sucedida.


Clique em Next e siga o assistente.

Aceite o contrato de licença.

Escolha o local da pasta e clique em Install.

Clique em Finish para concluir a instalação.

Uma vez instalado, inicie a autenticação VPN clicando no símbolo do semáforo na barra de tarefas.

Efetue login usando as mesmas credenciais para o portal do usuário.

O semáforo mudará de vermelho (desconectado) para vermelho e âmbar (negociação / conexão).Assim que o semáforo mudar para verde, é exibida uma mensagem pop-up confirmando a conexão VPN SSL.


Resultados

Na sua máquina Windows, verifique se você recebeu um endereço IP do intervalo SSL VPN configurado anteriormente no Sophos Firewall.

Nota: Você também pode verificar a rota injetada pelo cliente SSL VPN executando o route print comando.

No Sophos Firewall, vá para Firewall e verifique se a regra de acesso remote SSL VPN permite tráfego de entrada e saída.

Vá para Report > VPN para verificar a lista de usuários remotos SSL VPN.

Fonte: https://community.sophos.com/kb/en-us/122769

#Sophos #SSL #VPN #XGfirewall #firewall