Configurar o acesso remoto SSL VPN no Sophos XG Firewall
Atualizado: Jan 19
Definindo grupo e usuários SSL VPN
Vá para Authentication > Groups e crie um grupo para usuários remotos SSL VPN.
Vá para Authentication > Users e crie usuários VPN SSL remotos.
Definindo sub-rede local e intervalo de VPN SSL remoto
Vá para Hosts and Services > IP Host e defina a sub-rede local atrás do Sophos Firewall.
Vá para Hosts and Services> IP Host e defina o intervalo de SSL VPN remoto.
Nota: Verifique se as redes atribuídas à LAN e VPN não são as mesmas.
Definindo a política VPN SSL remota
Vá para VPN > SSL VPN (Remote Access) e selecione Add para criar uma política de VPN SSL.
Verificando os serviços de autenticação para SSL VPN
Vá para Authentication > Service e verifique se Servidor de autenticação local está selecionado na seção SSL VPN Authentication Methods .
Nota: Verifique também se oservidor de autenticação local está selecionado na seção Firewall Authentication Methods.Isso é necessário para que os usuários remotos efetuem logon no portal para baixar o software cliente VPN SSL posteriormente neste artigo.
Verificando as zonas permitidas para SSL VPN
Vá para Administration > Device Access e permita SSL VPN e User Portal para as zonas LAN e WAN na seção Local Service ACL . Adicione outras zonas, conforme necessário.
Nota: Se você precisar que a VPN SSL e o Portal do usuário estejam disponíveis na zona WAN, a Sophos recomenda a ativação do MFA / OTP .
Definindo configurações avançadas de VPN SSL
Vá para VPN e selecione Show VPN Settings .
Na guia VPN SSL, verifique o IPv4 Lease Range configurado anteriormente e defina as demais opções conforme necessário.
Nota: Se o XG Firewall não tiver um IP público atribuído na interface WAN, mas atrás de um dispositivo NAT, defina o IP público no campo Override Hostname . Isso define o arquivo de configuração do cliente SSL VPN para usar esse IP público ao estabelecer a conexão. O dispositivo NAT deve ser configurado para encaminhar a conexão VPN SSL ao XG Firewall.
Criando uma regra de firewall
Vá para Rules and policies > Firewall rules > Add new firewall rule > New firewall rule.
Notas:
Se houver várias regras de firewall da VPN para as zonas da LAN, coloque a regra de firewall acima no topo da lista, conforme descrito em Sophos XG Firewall: Como alterar a ordem das regras de firewall .
É possível que o host remoto acesse a Internet através do XG Firewall. Para fazer isso, crie uma regra de firewall com VPN como zona de origem e WAN como zona de destino.
Configurando o Cliente VPN SSL
Nota: A Sophos recomenda a habilitação de MFA / OTP para todos os portais voltados para WAN
Fazendo Download do Software Cliente VPN SSL
Em um navegador, faça logon no portal do usuário. Neste exemplo, o portal do usuário está acessível em https://172.20.120.15:4443
Nota:
Você pode encontrar o usuário do portal https porta configurada na Sophos Firewall, indo para Administration > Admin Settings em Port Settings for Admin Console seção.
Não recomendamos a ativação do portal do usuário ou do console administrativo da web nas interfaces externas (WAN). Isso pode permitir que os hackers identifiquem facilmente o fornecedor e o tipo do firewall e iniciem um ataque direcionado. Para restringir o portal do usuário do XG Firewall e o console administrativo da web às interfaces locais, vá para Administration > Device Access e desmarque o User Portal e os Admin Services da zona WAN .
Depois de fazer login no portal, faça o download do cliente VPN SSL para o terminal necessário de acordo.Neste artigo, baixaremos e instalaremos o cliente e a configuração do Windows 10.
Instalando o Software Cliente VPN SSL no Windows
Execute o cliente VPN SSL baixado.
Nota: Se você possui um software de controle de aplicativos, desbloqueie o OpenVPN e o SSL VPN Client para Windows para que a instalação seja bem-sucedida.
Clique em Next e siga o assistente.
Aceite o contrato de licença.
Escolha o local da pasta e clique em Install.
Clique em Finish para concluir a instalação.
Uma vez instalado, inicie a autenticação VPN clicando no símbolo do semáforo na barra de tarefas.
Efetue login usando as mesmas credenciais para o portal do usuário.
O semáforo mudará de vermelho (desconectado) para vermelho e âmbar (negociação / conexão).Assim que o semáforo mudar para verde, é exibida uma mensagem pop-up confirmando a conexão VPN SSL.
Resultados
Na sua máquina Windows, verifique se você recebeu um endereço IP do intervalo SSL VPN configurado anteriormente no Sophos Firewall.
Nota: Você também pode verificar a rota injetada pelo cliente SSL VPN executando o route print comando.
No Sophos Firewall, vá para Firewall e verifique se a regra de acesso remote SSL VPN permite tráfego de entrada e saída.
Vá para Report > VPN para verificar a lista de usuários remotos SSL VPN.