Diese Anleitung führt Sie durch die Schritte zur Einrichtung eines OpenVPN-Servers auf einem Sophos XG-Host, der Ihnen den sicheren Zugriff auf Ihr Heim-/Büronetzwerk von einem entfernten Standort aus ermöglicht und optional Ihren gesamten Netzwerkverkehr durch ihn sendet, damit Sie auf das zugreifen können auch sicher im Internet.

Bevor Sie diese Anleitung verwenden, empfehlen wir Ihnen dringend, unseren Artikel „Einführung in den Betrieb eines OpenVPN-Servers“ zu lesen.

Vorbereitung

Für diese Anleitung gehen wir von Folgendem aus:

• Sie haben bereits die neueste Version von Sophos XG installiert (18.0.5 zum Zeitpunkt des Schreibens)
• Sophos XG wurde mit mindestens einer WAN-Schnittstelle und einer LAN-Schnittstelle eingerichtet
• Während dieser Anleitung sind Sie mit Ihrem Client-Gerät über dessen LAN-Schnittstelle mit dem Sophos XG-Server verbunden
• Sophos XG verwendet das Standard-LAN-Subnetz 172.16.16.0/24
• Diese Installation von Sophos XG ist eine Neuinstallation
• Sie haben bereits eine Kopie von Viscosity auf Ihrem Client-Gerät installiert

Wenn Sie eine Kopie von Sophos XG herunterladen und installieren müssen, finden Sie Informationen unter https://www.sophos.com/en-us/products.../sophos-xg-firewall-home-edition.aspx. Wir werden nicht auf die Details der Einrichtung einer Sophos XG-Instanz eingehen. Wenn Sie eine andere Version von Sophos XG verwenden, gelten sehr wahrscheinlich viele oder sogar alle der in diesem Handbuch beschriebenen Schritte weiterhin. Wenn Sie einen OpenVPN-Server auf einem anderen Betriebssystem einrichten möchten, lesen Sie bitte unsere anderen Anleitungen.

Ihr Client-Gerät muss über die LAN-Schnittstelle mit dem Sophos XG-Server verbunden sein. Dies ist erforderlich, damit Sie auf das Portal der Webkonsole zugreifen können, um die Sophos XG-Konfiguration einzurichten. Die Einzelheiten, wie Sie dies erreichen können, hängen von Ihrer speziellen Netzwerkkonfiguration ab.

Wenn Sie noch keine Kopie von Viscosity auf Ihrem Client-Rechner installiert haben, lesen Sie bitte diese Einrichtungsanleitung zur Installation von Viscosity (Mac | Windows).

Unterstützung

Leider können wir keinen direkten Support für die Einrichtung eines eigenen OpenVPN-Servers leisten. Wir stellen diesen Leitfaden höflich zur Verfügung, um Ihnen den Einstieg zu erleichtern und Ihre Kopie von Viscosity optimal zu nutzen. Wir haben die Schritte in diesem Handbuch gründlich getestet, um sicherzustellen, dass Sie, wenn Sie die unten aufgeführten Anweisungen befolgen, auf dem besten Weg sind, die Vorteile des Betriebs Ihres eigenen OpenVPN-Servers zu genießen.

Sophos bietet technische Dokumentation für XG unter https://docs.sophos.com/nsg/sophos-fi.../index.html

an

Erste Schritte

Zuerst müssen Sie sich von Ihrem Client-Gerät, das mit der LAN-Schnittstelle des Sophos XG-Servers verbunden ist, beim Web Console-Portal anmelden. Öffnen Sie einen Browser auf Ihrem Client und navigieren Sie zur IP-Adresse der LAN-Schnittstelle Ihres Sophos XG-Servers, https://172.16.16.16:4444 standardmäßig. Sie müssen sich anmelden. Das Passwort für den Admin-Benutzer sollte konfiguriert worden sein, als Sie Ihre Sophos XG-Instanz eingerichtet haben.

Gruppe und Benutzer erstellen

Wenn Sie kein Authentifizierungssystem verwenden, müssen Sie eine Gruppe für den SSL-VPN-Zugriff erstellen und Benutzer hinzufügen.

Gruppe hinzufügen

1. Klicken Sie in der Seitenleiste auf Authentication unter KONFIGURIEREN Überschrift.
2. In den Gruppen Klicken Sie auf der Registerkarte Add .
3. Legen Sie den Gruppennamen fest zu SSL-VPN .
4. Legen Sie eine Surfquote fest zum unbegrenzten Internetzugang .
5. Legen Sie die Zugriffszeit fest auf Immer erlaubt .
6. Klicken Sie auf Save .
   
   
   
   
   

Benutzer hinzufügen

1. Klicken Sie, während Sie sich noch im Authentifizierungsmenü befinden, auf Benutzer und klicken Sie dann auf Add .
2. Geben Sie einen Benutzernamen, einen Namen, ein Passwort und eine E-Mail ein.
3. Gruppe festlegen zu SSL-VPN .
4. Wenn Sie fertig sind, klicken Sie auf Save .

Benutzerdienste

1. Klicken Sie, während Sie sich noch im Authentifizierungsmenü befinden, auf Dienste Registerkarte.
2. Scrollen Sie nach unten zu SSL-VPN-Authentifizierungsmethoden und stellen Sie sicher, dass Lokal als Ausgewählter Authentifizierungsserver festgelegt ist.
   
   
   
   
   

Netzwerkzugriff einrichten

Als nächstes müssen wir unsere Subnetze für die Verwendung durch den Rest dieses Handbuchs mit dem VPN-Server und der Firewall einrichten. Wir verwenden die Standard-IP-Adressen, die Sophos XG zuweist.

Lokales Netzwerk

Wenn Sie bereits einen IP-Host für das lokale Netzwerk eingerichtet haben, können Sie mit der nächsten Überschrift fortfahren.

1. Klicken Sie in der Seitenleiste auf Hosts and services unter SYSTEM Überschrift.
2. Im IP-Host Klicken Sie auf der Registerkarte Add .
3. Legen Sie den Namen fest zum Lokalen Netzwerk .
4. Legen Sie den Typ fest zum Netzwerk .
5. Legen Sie die IP-Adresse fest zu 172.16.16.0 und Subnetz zu /24 (255.255.255.0) .
6. Wenn Sie fertig sind, klicken Sie auf Save .
   
   
   
   
   

VPN-Netzwerk

1. Immer noch im Menü Hosts und Dienste im IP-Host Klicken Sie auf der Registerkarte Add .
2. Legen Sie den Namen fest zum SSL-VPN-Netzwerk .
3. Legen Sie den Typ fest zum Netzwerk .
4. Legen Sie die IP-Adresse fest bis 10.81.234.0 und Subnetz zu /24 (255.255.255.0) .
5. Wenn Sie fertig sind, klicken Sie auf Save .
   
   
   
   
   

Firewall &ACL

Als nächstes müssen wir die Firewall und die ACLs für den Zugriff einrichten. Wir werden nur den Zugang für das VPN zum LAN einrichten.

Firewall

1. Klicken Sie in der Seitenleiste auf Firewall unter SCHÜTZEN Überschrift.
2. Klicken Sie auf + Add firewall rule dann User/network rule in der Dropdown-Liste, die angezeigt wird.
3. Legen Sie den Regelnamen fest zu VPN zu LAN
4. Regelgruppe festlegen auf Keine
5. Legen Sie Quellzonen fest zu VPN
6. Legen Sie Quellnetzwerke und -geräte fest zum SSL-VPN-Netzwerk
7. Legen Sie Zielzonen fest zu LAN
8. Legen Sie Zielnetzwerke fest zum Lokalen Netzwerk
9. Wenn Sie fertig sind, klicken Sie auf Save .
   
   
   
   
   

ACL

1. Klicken Sie in der Seitenleiste auf Administration unter SYSTEM Überschrift.
2. Klicken Sie auf Gerätezugriff Registerkarte.
3. Unter Lokaler Service-ACL , sorgen Sie für SSL VPN ist im WAN angehakt Zeile, können Sie dies auch für LAN ankreuzen und WLAN wenn Sie sich lokal verbinden möchten.
4. Stellen Sie DNS sicher ist unter VPN angekreuzt Zeile empfehlen wir außerdem, Ping/Ping6 anzukreuzen .
5. Stellen Sie das Benutzerportal sicher ist unter LAN angekreuzt und WLAN Zeilen.
6. Klicken Sie auf Apply .
   
   
   
   
   

VPN-Server einrichten

Schließlich können wir den SSL-VPN-Server einrichten, mit dem sich Viscosity verbinden kann.

VPN-Einstellungen

1. Klicken Sie in der Seitenleiste auf VPN unter KONFIGURIEREN Überschrift.
2. Klicken Sie oben rechts auf Show VPN settings und wählen Sie dann das SSL-VPN aus Tab. Wir empfehlen, Folgendes zu ändern:
3. Legen Sie das Protokoll fest zu UDP
4. Legen Sie IPv4-DNS fest bis 172.16.16.16
5. Legen Sie den Verschlüsselungsalgorithmus fest zu AES-256-CBC
6. Deaktivieren/deaktivieren Sie SSL-VPN-Verkehr komprimieren
7. Wenn Sie fertig sind, klicken Sie auf Save .
   
   
   
   
   

SSL-VPN

1. Noch im VPN-Menü, im SSL VPN (Fernzugriff) Klicken Sie auf der Registerkarte Add .
2. Legen Sie den Namen fest
3. Legen Sie Richtlinienmitglieder fest zu SSL-VPN
4. Legen Sie zugelassene Netzwerkressourcen (IPv4) fest zum Lokalen Netzwerk
5. Wenn Sie fertig sind, klicken Sie auf Apply .
   
   
   
   
   

An dieser Stelle sind wir mit der Servereinrichtung fertig. Da wir so viele Änderungen vorgenommen haben, empfehlen wir dringend, Ihr Sophos XG neu zu starten, indem Sie zum Benutzer-Dropdown oben rechts gehen und Gerät neu starten auswählen.

Einrichten der Viskosität

Um eine Verbindung zu unserem OpenVPN-Server herzustellen, müssen wir die Client-Konfiguration für unseren Benutzer herunterladen. Auf dem Client-Rechner:

1. Öffnen Sie einen Browser und navigieren Sie zu https://172.16.16.16 .
2. Geben Sie den Benutzernamen und das Passwort für den Benutzer ein und melden Sie sich an.
3. Klicken Sie auf das SSL-VPN Tab auf der linken Seite.
4. Klicken Sie auf Download configuration for other OSs verlinken.
5. Es sollte eine Datei namens "username__ssl_vpn_config.ovpn" herunterladen.
   
   
   
   
   

Importieren Sie diese Datei in Viscosity und Sie können sich sofort verbinden!

(Optional) Zulassen des Zugriffs auf das Internet

Standardmäßig erlaubt die VPN-Verbindung den Zugriff auf den Dateiserver und andere Computer im Heim-/Büronetzwerk (LAN). Wenn Sie jedoch auch den gesamten Internetverkehr über die VPN-Verbindung senden möchten, müssen Sie die Verbindung abschließend bearbeiten:

1. Doppelklicken Sie im Fenster Viskositätseinstellungen auf Ihre Verbindung, um den Verbindungseditor zu öffnen
2. Klicken Sie auf Netzwerk Registerkarte.
3. Klicken Sie auf das Dropdown-Menü "Gesamter Datenverkehr" und wählen Sie die Option "Gesamten Datenverkehr über VPN-Verbindung senden". Es ist nicht erforderlich, ein Standard-Gateway einzugeben.
4. Klicken Sie auf Save Schaltfläche.

Sie müssen außerdem eine neue Firewall-Regel auf Ihrem Sophos XG hinzufügen. Folgen Sie einfach der obigen Firewall-Überschrift, außer dass Sie die Zielzonen auf WAN statt LAN und die Zielnetzwerke auf Beliebig einstellen.