Remote Access über SSL

Share

Remote Access über SSL VPN mit AD-Usern Auth

Remote Access mit SSL Port 443 bietet sichere und zuverlässige
Technik, um eine mobile Einwahl zu realisieren,

in der Sophos UTM kann man den Zugang auch über AD-Grupen steuern.
Der Port 443/ HTTPS kann auf der öffentlichen IP Adresse aber nur einmal genutzt werden, entweder für SSL Remote Access oder User Portal, Webserver mit HTTPS  oder NAT. Für die SSL Einwahl und User Portal kann man den Port ändern, für Webserver mit SSL geht das auch, macht aber keinen Sinn.
.
.

 

balken-obenFolgende Konfigurationen sind Grundlage:
Sophos UTM DNS
Sophos UTM AD

balken-unten

 

.
.
Als erstes wird im AD eine Gruppe angelegt, der Remote Access gestattet werden soll. Diese nenne ich UTM-”Funktion”, also UTM-Remote-SSL
Aus dem AD wird dann die Gruppe mit der Gruppe in der UTM verknüpft unter
Definitions & Users -> Users & Groups |Groups| "+New group..."

Group Name: AD-Remote-SSL (um zu wissen, woher die User diese Gruppe kommen), Typ ist 'Backend membership'

AD Remote Access-SSL Sophos UTM

 

.
.
Unter
Remote Access -> SSL |Settings| wird die öffentliche IP Adresse hinterlegt, welche die SSL Einwahl annimmt, in "Override hostname:" wird die externe Namesauflösung der IP eingetragen. Die DynDNS Auflösung ist immer für die erste öffentliche IP, wenn Sie eine andere IP Adresse benutzen, sollte eine Subdomain angelegt werden.

SSL Remote Sophos UTM IP

 

.
.
Danach wird unter |Profiles| ein neues Remote Access Profil angelegt und der Gruppe AD-Remote-SSL zugeordnet:
SSL Remote Profil-Sophos UTM

Hier wird zu dem Servernetzwerk auch noch der Intranetserver aus einem anderem Netz mit verbunden.
Mit 'Any' kann man den gesamten Traffic des Eingewählten über die UTM lenken, einschließlich Internet, dann muss aber das Netzwerk 'VPN Pool (SSL)' unter
Web Protection -> Web Filtering |Global| "Allowed networks" hinzugefügt werden.

-
Man kann auch nur einzelne Netzwerke/Subnetze  und/oder Hosts verbinden.

Den Internetzugriff über die UTM routen indem man  Sophos-UTM-internet-zu den "Local networks" hinzufügt.

.
Wer den Zugriff auf bestimmte Dienste beschränken will, kann 'Automatic Firewall Rules' deaktivieren und unter
Network Protection -> Firewall Rules| eine neue Regel anlegen

.
.

Für die Einwahluser müssen DNS Server festgelegt werden
Remote Access -> Advanced "Client options"

Dort als #1 DNS den DC der Domäne angeben und als #2 die UTM.
Domain Name ist gleich der AD Domäne, z.B. MeineDomain.local.
Alternativ kann man auch eine eigene Domäne für die SSL Einwahl verwenden.

Damit DNS funktioniert muss man unter Networks Services -> DNS -> Allowed Networks den „VPN Pool (SSL)“ auch hinzufügen

.
.

Unter Definitions & Users -> Users & Groups
kann man den für den angewählten User eine Zip downloaden die den Clienten für Windows enthält und die Einwahl durchführt, dieser ist schon fertig konfiguriert

Download-SSL-Software

Alternativ kann man den Usern auch über das User Portal den Download freigeben.

 

Münster AD 2014

Share