Tato příručka vás provede kroky, které se týkají nastavení serveru OpenVPN na hostiteli Sophos XG, který vám umožňuje bezpečný přístup k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni posílá veškerý síťový provoz, abyste měli přístup k také internet bezpečně.

Před použitím této příručky důrazně doporučujeme přečíst si náš článek Úvod do provozu serveru OpenVPN.

Příprava

Pro tuto příručku předpokládáme:

• Již jste nainstalovali nejnovější verzi Sophos XG (18.0.5 v době psaní tohoto článku)
• Sophos XG byl nastaven minimálně s rozhraním WAN a LAN
• Během této příručky jste svým klientským zařízením připojeni k serveru Sophos XG prostřednictvím rozhraní LAN
• Sophos XG používá výchozí podsíť LAN 172.16.16.0/24
• Tato instalace Sophos XG je nová instalace
• Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii Sophos XG, informace naleznete na https://www.sophos.com/en-us/products.../sophos-xg-firewall-home-edition.aspx. Nebudeme se zabývat podrobnostmi nastavení instance Sophos XG. Pokud používáte jinou verzi Sophos XG, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Vaše klientské zařízení musí být připojeno k serveru Sophos XG přes rozhraní LAN. To je nezbytné, abyste měli přístup k portálu Web Console a nastavili konfiguraci Sophos XG. Specifika toho, jak toho můžete dosáhnout, závisí na konkrétní konfiguraci sítě.

Pokud ještě nemáte na svém klientském počítači nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a co nejlépe ji využít. Důkladně jsme otestovali kroky v této příručce, abychom zajistili, že pokud budete postupovat podle pokynů uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

Sophos nabízí technickou dokumentaci pro XG na https://docs.sophos.com/nsg/sophos-fi.../index.html

Začínáme

Nejprve se musíte přihlásit do portálu Web Console ze svého klientského zařízení připojeného k rozhraní LAN serveru Sophos XG. Otevřete prohlížeč na svém klientovi a přejděte na IP adresu rozhraní LAN vašeho serveru Sophos XG, https://172.16.16.16:4444 ve výchozím stavu. Budete se muset přihlásit. Heslo pro uživatele admin by mělo být nakonfigurováno při nastavování instance Sophos XG.

Vytvořit skupinu a uživatele

Pokud nepoužíváte ověřovací systém, budete muset vytvořit skupinu pro přístup SSL VPN a přidat uživatele.

Přidat skupinu

1. Na postranním panelu klikněte na Authentication v části KONFIGURACE nadpis.
2. V části Skupiny klikněte na Add .
3. Nastavte Název skupiny na SSL VPN .
4. Nastavte Kvótu pro surfování na Neomezený přístup k internetu .
5. Nastavte Čas přístupu na Povoleno po celou dobu .
6. Klikněte na Save .
   
   
   
   
   

Přidat uživatele

1. V nabídce Ověření klikněte na položku Uživatelé a poté klikněte na Add .
2. Vyplňte uživatelské jméno, jméno, heslo a e-mail.
3. Nastavte Skupinu na SSL VPN .
4. Až budete hotovi, klikněte na Save .

Uživatelské služby

1. V nabídce Ověření klikněte na položku Služby tab.
2. Přejděte dolů na Metody ověřování SSL VPN a ujistěte se, že je Local nastaven jako vybraný ověřovací server.
   
   
   
   
   

Nastavení síťového přístupu

Dále musíme nastavit naše podsítě pro použití ve zbytku této příručky se serverem VPN a firewallem. Použijeme výchozí IP adresy, které Sophos XG přiděluje.

Místní síť

Pokud již máte nastaveného hostitele IP místní sítě, můžete přeskočit na další nadpis.

1. Na postranním panelu klikněte na Hosts and services pod SYSTEM nadpis.
2. V hostiteli IP klikněte na Add .
3. Nastavte Název do Local Area Network .
4. Nastavte Typ do Sítě .
5. Nastavte IP adresu na 172.16.16.0 a Podsíť až /24 (255.255.255.0) .
6. Až budete hotovi, klikněte na Save .
   
   
   
   
   

Síť VPN

1. Stále v nabídce Hostitelé a služby v Hostitel IP klikněte na Add .
2. Nastavte Název do Sítě SSL VPN .
3. Nastavte Typ do Sítě .
4. Nastavte IP adresu na 10.81.234.0 a Podsíť až /24 (255.255.255.0) .
5. Až budete hotovi, klikněte na Save .
   
   
   
   
   

Firewall a ACL

Dále musíme nastavit firewall a ACL pro přístup. Nastavíme pouze přístup pro VPN do LAN.

Firewall

1. Na postranním panelu klikněte na Firewall pod PROTECT nadpis.
2. Klikněte na + Add firewall rule pak User/network rule v rozbalovací nabídce, která se zobrazí.
3. Nastavte Název pravidla do VPN do LAN
4. Nastavte Skupinu pravidel na Žádné
5. Nastavte Zóna zdroje na VPN
6. Nastavte Zdrojové sítě a zařízení do Sítě SSL VPN
7. Nastavte Cílové zóny do LAN
8. Nastavte Cílové sítě do Local Area Network
9. Až budete hotovi, klikněte na Save .
   
   
   
   
   

ACL

1. Na postranním panelu klikněte na Administration pod SYSTEM nadpis.
2. Klikněte na Přístup k zařízení tab.
3. V části Local Service ACL , zajistěte SSL VPN je zaškrtnuto v WAN řádek, můžete také zaškrtnout toto pro LAN a WiFi pokud se chcete připojit lokálně.
4. Zajistěte DNS je zaškrtnuto pod VPN řádek, doporučujeme také zaškrtnout Ping/Ping6 .
5. Zajistěte Portál uživatele je zaškrtnuto pod LAN a WiFi řádky.
6. Klikněte na Apply .
   
   
   
   
   

Nastavení serveru VPN

Nakonec můžeme nastavit SSL VPN server, ke kterému se Viscosity může připojit.

Nastavení VPN

1. Na postranním panelu klikněte na VPN v části KONFIGURACE nadpis.
2. Vpravo nahoře klikněte na Show VPN settings a poté vyberte SSL VPN tab. Doporučujeme změnit následující:
3. Nastavte Protokol na UDP
4. Nastavte IPv4 DNS na 172.16.16.16
5. Nastavte Šifrovací algoritmus na AES-256-CBC
6. Zrušte zaškrtnutí/vypněte Komprimovat provoz SSL VPN
7. Až budete hotovi, klikněte na Save .
   
   
   
   
   

SSL VPN

1. Stále v nabídce VPN v SSL VPN (vzdálený přístup) klikněte na Add .
2. Nastavte Název
3. Nastavte Členy zásad na SSL VPN
4. Nastavte Povolené síťové zdroje (IPv4) do Local Area Network
5. Až budete hotovi, klikněte na Apply .
   
   
   
   
   

V tomto okamžiku jsme s nastavením serveru hotovi. Protože jsme se tolik změnili, důrazně doporučujeme restartovat Sophos XG tak, že přejdete na uživatelskou rozbalovací nabídku vpravo nahoře a vyberete Restartovat zařízení.

Nastavení viskozity

Abychom se mohli připojit k našemu serveru OpenVPN, musíme si stáhnout konfiguraci klienta pro našeho uživatele. Na klientském počítači:

1. Otevřete prohlížeč a přejděte na https://172.16.16.16 .
2. Zadejte uživatelské jméno a heslo pro uživatele a přihlaste se.
3. Klikněte na SSL VPN karta vlevo.
4. Klikněte na Download configuration for other OSs odkaz.
5. Měl by stáhnout soubor s názvem „username__ssl_vpn_config.ovpn“.
   
   
   
   
   

Importujte tento soubor do Viscosity a budete se moci okamžitě připojit!

(Volitelné) Povolení přístupu k internetu

Ve výchozím nastavení připojení VPN umožňuje přístup k souborovému serveru a dalším počítačům v domácí/kancelářské (LAN) síti. Pokud však také chcete, aby byl veškerý internetový provoz odesílán prostřednictvím připojení VPN, je nutné provést konečnou úpravu připojení:

1. Poklepáním na připojení v okně Předvolby viskozity otevřete editor připojení
2. Klikněte na Networking tab.
3. Klikněte na rozbalovací nabídku „Veškerý provoz“ a vyberte možnost „Odeslat veškerý provoz přes připojení VPN“. Není nutné zadávat výchozí bránu.
4. Klikněte na tlačítko Save tlačítko.

Budete také muset přidat nové pravidlo brány firewall do vašeho Sophos XG. Jednoduše postupujte podle výše uvedeného nadpisu Firewall, kromě nastavení Cílových zón na WAN namísto LAN a Cílové sítě na Libovolné.