Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Remote Access SSL VPN設定 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》Remote Access SSL VPN設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG上的SSL VPN跟Cyberoam原理相同,但在Windows版本上的組態檔結構不同,
XG採用的是標準的 open vpn 檔案,而Cyberoam採用的是將憑證與組態檔壓縮打包後的 tgz 檔,
所以無法以Cyberoam的SSL VPN程式,匯入XG的組態檔來使用!
但相對的,卻是相容於標準的Open VPN撥接程式喔∼


以下我們就來看看在XG中如何設定Remote Access的SSL VPN。

  • 憑證設定
    既然是SSL VPN,憑證當然是VPN tunnel建立的主角,
    我們可以使用XG default的CA來簽發憑證。



    部署使用的憑證,以default CA核發的預設憑證 ApplianceCertificate 來使用即可。



    當然,若有申請正式的CA憑證,我們也可上傳來使用!

  • SSL VPN Global設定

    SSL VPN的global設定,請到 System > VPN > SSL VPN Settings 來進行。

    除了設定選用的憑證外,XG建議以UDP的protocol來增加performance,
    然後設定VPN user撥上來後配置的IP區段與DNS設定。



  • Remote Access SSL VPN個別設定
    在設定好SSL VPN的global設定後,
    接著我們就可以在 System > VPN > SSL VPN (Remote Access) 設定對應到前端user的個別設定。



    建立一個Remote Access SSL VPN時,最重要的就是選擇對應的VPN user帳號。



    然後在Tunnel Access中,可以設定連上XG後的路由方式。
    啟用 Use as Default Gateway,會將所有流量往遠端XG送,
    意味著VPN user的連外需求將繞到XG來進行,而不是透過user自己的外網下車。

    不論啟用 Use as Default Gateway 與否,允許VPN user連結的內部網段,均需於下方Permitted Network Resource進行設定,
    否則VPN撥入後,未定義的內部網段還是無法提供user連結的!



  • 確認是否賦予User VPN權限
    建立好Remote Access SSL VPN profile後,回頭確認一下user帳號堛搴SL VPN權限是否已開啟。
    請務必確認user中SSL VPN policy堛摧emote Access已對應到剛才建立的profile。



    嗯?有沒有注意到下方有一個Clientless選項?這是什麼?

  • Clientless Access Resource
    所謂的Clientless VPN Policy是指VPN使用者連上User portal後,
    在portal頁面上不用額外安裝程式,就可以直接使用遠端網路上的資源(還有另一種說法叫HTML5 VPN)。
    字面上 Clientless 所指的,就是不用額外裝client端的元件。



    Clientless Access支援多種協定,透過Bookmark來管理,
    在使用Clientless Access前,請先於 System > VPN > Bookmark 中建立網頁資源。



    然後在 System > VPN > Clientless Access 中,將user及Bookmark與Clientless Access連結起來。



  • 確認VPN連入權限是否開放
    SSL VPN的前置作業完成後,接下來請確認VPN使用上的接口是否放行。

    第一個要檢查的是 System > Administration > Settings 堛摻ser Portal HTTPS Port號是多少?
    選用的憑證是否一致!



    接著於 System > Administration > Device Access 中確認WAN的SSL VPN與User Portal是否啟用?
    若沒啟用,是無法在外界以SSL VPN進行撥入的!



    另外若撥入的帳號除了XG本機帳號外,還要包含AD上帳號的話,
    請在 System > Authentication > Authentication Services 中的 SSL VPN Authentication Methods 區塊中,將AD勾選做為驗證的sever,
    這樣AD上的帳號才能進行SSL VPN的撥入喔∼



  • 開放VPN zone權限
    VPN的權限設定正確後,記得要放行VPN所在區域VPN Zone的連線能力,
    若要開放對外,請記得開VPN to WAN的放行規則;
    若要開放對LAN的存取,就要開VPN to LAN的權限。



  • User端下載安裝程式
    萬事俱全,只剩東風,後端都設定好了,接下來就剩user端撥接程式的安裝設定。
    請以 System > Administration > Settings 堛摻ser Portal HTTPS Port號,登入VPN user portal。



    登入後,即可下載SSL VPN client端程式來進行安裝。



    而在設定VPN時,若有設定Clientless Access Bookmark,則會顯示在Clientless Access Connections區塊供直接使用。



    點開建立的Bookmark時,就會以XG做為proxy然後連結到指定的資源。
    當user在外部無法安裝VPN,又要連結到內部環境存取HTTP/RDP等資源時,非常好用喔∼


    ↑以XG做為proxy連結到內部網站。


    ↑以XG做為proxy連結到內部遠端桌面RDP主機。

    不過Clientless VPN不是免費的喔...
    它需要Network Protection授權才能使用,更多的Clientless VPN相關資訊可以參考 這篇

  • 狀態確認
    安裝client端VPN程式後,在右下角常駐列中可以看到亮燈的Sophos SSL VPN撥接程式圖示。
    以滑鼠右鍵呼叫出功能表,點選“連接”即可進行撥接。



    輸入帳/密進行撥接。



    開始撥接,圖示會加亮燈。



    撥接成功後,燈消失,改亮燈,代表撥接成功∼



    在XG上,可以看到user成功撥入的log。



    也可以透過“顯示狀態”來查看撥接過程狀態。



    另外透過“顯示紀錄”則可以查看完整log。



    如果下載了多個user的組態檔行安裝,那麼撥接程式會顯示多個user帳號來進行區別。



    而在VPN成功建立後,在XG上的憑證管理頁面,也能看到user端所產生的憑證。


另外,user在透過SSL VPN撥入後,身份驗證機制是持續有效的,
意思是說,若需針對不同user進行權限區分,
例如user A可進DMZ,而user B不可進DMZ,
那我們可以建一條VPN to DMZ的規則,並套用到身份A上,這樣就可以輕鬆達到目的∼

Sophos XG的SSL VPN設定到此告一段落。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-09-22, 15:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》XP適用的SSL VPN軟體引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Windows XP上安裝好Sophos XG的SSL VPN軟體後,卻是怎麼撥也撥不通?
查看log後,發現有如下的錯誤!

Thu Sep 22 10:25:23 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Sep 22 10:25:23 2016 MANAGEMENT: >STATE:1474511123,ASSIGN_IP,,10.20.30.5,,,,
Thu Sep 22 10:25:23 2016 open_tun, tt->ipv6=0
Thu Sep 22 10:25:23 2016 CreateFile failed on TAP device: \\.\Global\{35E4E288-5187-4F92-84C7-472AB9062A21}.tap
Thu Sep 22 10:25:23 2016 MANAGEMENT: Client disconnected
Thu Sep 22 10:25:23 2016 All TAP-Windows adapters on this system are currently in use.
Thu Sep 22 10:25:23 2016 Exiting due to fatal error

同時於裝置管理員中,看到了Sophos SSL VPN Adapter異常的訊息。



看來是Sophos驅動程式並不支援XP,
那麼有其它解法嗎?

有的,一開始順子就有提到XG的SSL VPN組態檔是Open VPN標準格式,
Open VPN網站去下載 XP版本的Open VPN軟體 應該有機會成功。

安裝好後,把組態檔移到Open VPN路徑中的config目錄下啟動程式。
Open VPN果然可以在XP中成功運行∼




事後順子也有把XP的相容性問題在 Community 上跟Sophos反映,
沒想到原廠也是建議XP直接使用Open VPN來替代。

Windows XP已經在2014年8月停止後續的支援服務,
如果非得使用XP,那麼在SSL VPN的軟體選擇上,請改用Open VPN吧∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-09-22, 21:40 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》SSL VPN行動裝置上的bug引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

今天客戶回報SSL VPN在iOS上會報錯,無法正常連線,訊息如下。

PolarSSL: error parsing cert
certificate: X508 - The date tag or value is invalid



順子在Android手機上進行測試也有相同結果,
看來這是一個bug...

Community 上查看後,確定它是V15韌體版本上的一個bug,
會在XG韌體版本V16上進行修復。

經升級到V16後,行動裝置已確認可以透過OpenVPN來進行SSL VPN的撥接,
只是V16的介面跟V15差好多!

看來又要花一點時間去適應了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-10-05, 21:56 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》Android設定SSL VPN引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在門號續約換了一隻手機後,
總算可以順利進行Android的SSL VPN操作流程擷圖。

  1. 首先在市集下載OpenVPN。









  2. 然後開啟瀏覽器登入User Portal下載行動裝置的設定檔。



    下載後開啟剛才下載的設定檔會直接呼叫OpenVPN來執行,
    請接受匯入設定檔。



    設定檔匯入完成後,輸入密碼,按下Connect連結。



    若輸入的密碼是正確的話,OpenVPN就能成功連線。



    行動裝置設定SSL VPN就是這麼簡單∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-03-13, 17:12 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》MAC上如何設定SSL VPN引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

MAC上如何設定SSL VPN?
經查 OPENVPN 官網後發現,OPENVPN在MAC上最佳軟體為Tunnelblick。



所以請到 Tunnelblick 下載DMG安裝檔。



下載後DMG檔後,點擊該檔進行安裝。




安裝時,請按圖示兩下,同意進行安裝。



然後按下“打開”以確認安裝。



若因安全性問題,導致無法安裝,
請安全性與隱私設定頁面中,允許從任何來源進行應用程式的安裝。



安裝完成,請按下“檢查變化”按鈕。



完成後回到Tunnelblick主頁面,
可以到XG的User Portal來下載SSLVPN的設定檔了。




開啟瀏覽器,連入user portal後,,請下載第4個設定檔。




OVPN設定檔下載後,可以直接點擊此設定檔呼叫Tunnelblick APP。



或是在Tunnelblick功能頁面中,拖曳此設定檔到設定檔管理頁面中,
然後按下連接,進行SSLVPN的撥接。



設定檔在建立時,請依需求選擇使用對象。



連接時,請輸入SSLVPN的帳號密碼。
帳號密碼務必與User Portal一樣正確輸入。




帳密正確的話,會進行交涉、溝通與分配IP。



成功連線後,會顯示綠色已連線字串通知使用者。



MAC上設定SSL VPN到此順利完成∼


*****2017/10/16更新*****
MAC更新到10.13 high sierra版本後,tunnelblick無法連線!?

User反映,在MAC更新到10.13 high sierra版本後,tunnelblick無法連線,
錯誤訊息如下。

2017-10-05 16:48:29 Socket Buffers: R=[131072->131072] S=[131072->131072]
2017-10-05 16:48:29 Attempting to establish TCP connection with [AF_INET]2XX.XX.XX.XX:8443 [nonblock]
2017-10-05 16:48:29 MANAGEMENT: >STATE:1507193309,TCP_CONNECT,,,
2017-10-05 16:48:30 TCP connection established with [AF_INET]2XX.XX.XX.XX:8443
2017-10-05 16:48:30 TCPv4_CLIENT link local: [undef]
2017-10-05 16:48:30 TCPv4_CLIENT link remote: [AF_INET]2XX.XX.XX.XX:8443
2017-10-05 16:48:30 MANAGEMENT: >STATE:1507193310,WAIT,,,
2017-10-05 16:48:30 MANAGEMENT: >STATE:1507193310,AUTH,,,
2017-10-05 16:48:30 TLS: Initial packet from [AF_INET]2XX.XX.XX.XX:8443, sid=963f2931 a91478c5
2017-10-05 16:48:30 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2017-10-05 16:48:30 VERIFY OK: depth=1, C=TW, ST=NA, L=NA, O=SOPHOS, OU=OU, CN=Sophos_CA_S2201765C73F887, emailAddress=XXX.YY@demo.com
2017-10-05 16:48:30 VERIFY ERROR: depth=0, error=format error in certificate's notBefore field: C=TW, ST=NA, L=NA, O=DEMO, OU=OU, CN=SophosApplianceCertificate_S2201765C73F887, emailAddress=XXX.YY@demo.com
2017-10-05 16:48:30 OpenSSL: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
2017-10-05 16:48:30 TLS_ERROR: BIO read tls_read_plaintext error
2017-10-05 16:48:30 TLS Error: TLS object -> incoming plaintext read error
2017-10-05 16:48:30 TLS Error: TLS handshake failed
2017-10-05 16:48:30 Fatal TLS error (check_tls_errors_co), restarting

2017-10-05 16:48:30 SIGUSR1[soft,tls-error] received, process restarting


查詢 Tunnelblick and macOS High Sierra (10.13) 後,發現狀況與第二點吻合。
#2 Tunnelblick is unable to connect and the log in the VPN Details… window mentions problems with a certificate.
According to this post, you need to set the configuration to use a version of OpenVPN with OpenSSL, not a version with LibreSSL.
You can choose which version of OpenVPN/SSL on the "Settings" tab of the "Configurations" panel of Tunnelblick's "VPN Details" window.
By default, Tunnelblick uses a version of OpenVPN with OpenSSL.
Tip: If you select multiple configurations in the list on the left side using the Shift or Command keys,
then when you change a setting the change will be applied to all of the selected configurations.


依照上述說明,請使用者調整組態設定,從預設的 LibreSSL 改選用 OpenSSL 後,





tunnelblick的撥接連線就恢復正常,可以順利連線了∼

由 shunze 在 2017-10-16, 11:59 最後修改.



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-08-08, 16:38 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》Android OpenVPN改版後無法使用?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

這幾天陸續有客戶反映Android行動裝置上的OpenVPN無法使用!?
經瞭解,原來行動裝置上的OpenVPN APP有進行改版(3.0.1),導致原來的操作方式無法順利使用。

原本在User Portal下載使用者ovpn組態檔後,可以直接點選此組態檔,呼叫OpenVPN來執行;
但新版本已無法直接呼叫了...




以順子的Android為例,新版APP匯入ovpn組態檔方式如下,
安裝好OpenVPN後,請執行它並點選OVPN profile功能。



找到下載的組態檔並選擇後(該組態檔後面會出現勾勾),
再選右上方的IMPORT功能。



接著會出現該組態檔的設定,
請於此輸入使用者的帳號密碼。



完成後,按下右上方的ADD功能,增加此組態檔。



組態檔成功儲存後.可按下開關撥鈕來連通及斷掉VPN連線。




另外在User Portal下載組態檔時,有部分user反映無法順利下載...
順子建議Android使用Chrome瀏覽器,iOS系統則建議使用Safari瀏覽器來進行下載。
若依然發生無法下載的情況,請再換個瀏覽器來測試。

以上更新給大家∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2018-02-22, 15:41 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2292

shunze 線上
《分享》iPhone設定SSL VPN引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

剛剛Sam哥借了他的iPhone X手機給我進行SSL VPN的操作擷圖,
iPhone終於有了SSL VPN操作畫面,金架揪感心∼

首先先在市集安裝好OpenVPN。



然後以Safari瀏覽器到User Portal下載組態檔。



下載完成後,可以在Safari中直接點選“在「OpenVPN」中打開”。



呼叫OpenVPN開啟後,請點 + 號,把此設定檔加入。



並允許OpenVPN增加此組態檔。



組態檔加入後,輸入使用者的帳號/密碼,按下連線按鈕就完成了!



iPhone上的操作也相當簡單呢∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2018-02-22, 17:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR