Ce guide vous guidera à travers les étapes de configuration d'un serveur OpenVPN sur un hôte Sophos XG qui vous permet d'accéder en toute sécurité à votre réseau domestique/bureau à partir d'un emplacement distant et éventuellement d'y envoyer tout votre trafic réseau afin que vous puissiez accéder au Internet en toute sécurité également.
Avant d'utiliser ce guide, nous vous recommandons vivement de lire notre article Introduction à l'exécution d'un serveur OpenVPN.
Préparation
Pour ce guide, nous supposons :
- Vous avez déjà installé la dernière version de Sophos XG (18.0.5 au moment de la rédaction)
- Sophos XG a été configuré avec au moins une interface WAN et une interface LAN
- Vous êtes connecté avec votre appareil client au serveur Sophos XG via son interface LAN pendant ce guide
- Sophos XG utilise le sous-réseau LAN par défaut 172.16.16.0/24
- Cette installation de Sophos XG est une nouvelle installation
- Vous avez déjà installé une copie de Viscosity sur votre appareil client
Si vous avez besoin de télécharger et d'installer une copie de Sophos XG, des informations sont disponibles sur https://www.sophos.com/en-us/products.../sophos-xg-firewall-home-edition.aspx. Nous ne couvrirons pas les détails de la configuration d'une instance Sophos XG. Si vous exécutez une version différente de Sophos XG, il est très probable que la plupart, voire la totalité, des étapes décrites dans ce guide s'appliqueront toujours. Si vous cherchez à configurer un serveur OpenVPN sur un système d'exploitation différent, veuillez consulter nos autres guides.
Votre appareil client doit être connecté au serveur Sophos XG via l'interface LAN. Cela est nécessaire pour que vous puissiez accéder au portail de la console Web pour configurer la configuration Sophos XG. Les spécificités de la manière dont vous pouvez y parvenir dépendent de votre configuration réseau particulière.
Si vous n'avez pas de copie de Viscosity déjà installée sur votre ordinateur client, veuillez consulter ce guide d'installation pour installer Viscosity (Mac | Windows).
Soutien
Malheureusement, nous ne pouvons fournir aucune assistance directe pour la configuration de votre propre serveur OpenVPN. Nous fournissons ce guide à titre gracieux pour vous aider à démarrer et à tirer le meilleur parti de votre copie de Viscosity. Nous avons soigneusement testé les étapes de ce guide pour nous assurer que, si vous suivez les instructions détaillées ci-dessous, vous devriez être sur la bonne voie pour profiter des avantages de l'exécution de votre propre serveur OpenVPN.
Sophos propose une documentation technique pour XG sur https://docs.sophos.com/nsg/sophos-fi.../index.html
Mise en route
Vous devez d'abord vous connecter au portail de la console Web à partir de votre appareil client connecté à l'interface LAN du serveur Sophos XG. Ouvrez un navigateur sur votre client et accédez à l'adresse IP de l'interface LAN de votre serveur Sophos XG, https://172.16.16.16:4444
par défaut. Vous devrez vous connecter. Le mot de passe de l'utilisateur admin doit avoir été configuré lors de la configuration de votre instance Sophos XG.
Créer un groupe et des utilisateurs
Si vous n'utilisez pas de système d'authentification, vous devrez créer un groupe pour l'accès VPN SSL et ajouter des utilisateurs.
Ajouter un groupe
- Dans la barre latérale, cliquez sur
Authentication
sous CONFIGURER titre. - Dans les groupes cliquez sur
Add
. - Définissez le nom du groupe au VPN SSL .
- Définir un quota de navigation à Accès Internet Illimité .
- Définir l'heure d'accès à Autorisé tout le temps .
- Cliquez sur
Save
.
Ajouter un utilisateur
- Toujours dans le menu Authentification, cliquez sur Utilisateurs puis cliquez sur
Add
. - Saisissez un nom d'utilisateur, un nom, un mot de passe et un e-mail.
- Définir le groupe au VPN SSL .
- Lorsque vous avez terminé, cliquez sur
Save
.
Services aux utilisateurs
- Toujours dans le menu Authentification, cliquez sur Services onglet.
- Faites défiler vers le bas jusqu'à Méthodes d'authentification SSL VPN et assurez-vous que Local est défini comme serveur d'authentification sélectionné.
Configurer l'accès au réseau
Ensuite, nous devons configurer nos sous-réseaux pour les utiliser dans le reste de ce guide avec le serveur VPN et le pare-feu. Nous utiliserons les adresses IP par défaut attribuées par Sophos XG.
Réseau local
Si vous avez déjà défini un hôte IP de réseau local, vous pouvez passer à l'en-tête suivant.
- Dans la barre latérale, cliquez sur
Hosts and services
sous le SYSTÈME titre. - Dans l'hôte IP cliquez sur
Add
. - Définissez le Nom au réseau local .
- Définissez le Type au Réseau .
- Définissez l'adresse IP à 172.16.16.0 et Sous-réseau à /24 (255.255.255.0) .
- Lorsque vous avez terminé, cliquez sur
Save
.
Réseau VPN
- Toujours dans le menu Hôtes et services, dans l'onglet Hôte IP cliquez sur
Add
. - Définissez le Nom au réseau VPN SSL .
- Définissez le Type au Réseau .
- Définissez l'adresse IP à 10.81.234.0 et Sous-réseau à /24 (255.255.255.0) .
- Lorsque vous avez terminé, cliquez sur
Save
.
Pare-feu et ACL
Ensuite, nous devons configurer le pare-feu et les ACL pour l'accès. Nous allons uniquement configurer l'accès du VPN au réseau local.
Pare-feu
- Dans la barre latérale, cliquez sur
Firewall
sous la rubrique PROTÉGER titre. - Cliquez sur
+ Add firewall rule
puisUser/network rule
dans le menu déroulant qui s'affiche. - Définir le nom de la règle vers VPN vers LAN
- Définir le groupe de règles à Aucun
- Définir les zones sources vers VPN
- Définir les réseaux et appareils sources au réseau VPN SSL
- Définir des zones de destination vers LAN
- Définir les réseaux de destination au réseau local
- Lorsque vous avez terminé, cliquez sur
Save
.
ACL
- Dans la barre latérale, cliquez sur
Administration
sous le SYSTÈME titre. - Cliquez sur Accès à l'appareil onglet.
- Sous Local Service ACL , assurez-vous que VPN SSL est coché dans le WAN ligne, vous pouvez également cocher cette case pour LAN et Wi-Fi si vous souhaitez vous connecter localement.
- Assurez-vous que le DNS est coché sous le VPN ligne, nous vous recommandons également de cocher Ping/Ping6 .
- Assurez-vous du portail utilisateur est coché sous LAN et Wi-Fi lignes.
- Cliquez sur
Apply
.
Configurer le serveur VPN
Enfin, nous pouvons configurer le serveur VPN SSL auquel Viscosity peut se connecter.
Paramètres VPN
- Dans la barre latérale, cliquez sur
VPN
sous CONFIGURER titre. - En haut à droite, cliquez sur
Show VPN settings
puis sélectionnez le VPN SSL languette. Nous vous recommandons de modifier les éléments suivants : - Définir le protocole vers UDP
- Définir le DNS IPv4 à 172.16.16.16
- Définir l'algorithme de chiffrement à AES-256-CBC
- Décochez/Désactivez Compresser le trafic VPN SSL
- Lorsque vous avez terminé, cliquez sur
Save
.
VPN SSL
- Toujours dans le menu VPN, dans le VPN SSL (accès à distance) cliquez sur
Add
. - Définissez le Nom
- Définir les règles des membres au VPN SSL
- Définir les ressources réseau autorisées (IPv4) au réseau local
- Lorsque vous avez terminé, cliquez sur
Apply
.
À ce stade, nous avons terminé la configuration du serveur. Comme nous avons tellement changé, nous vous recommandons vivement de redémarrer votre Sophos XG en accédant au menu déroulant de l'utilisateur en haut à droite et en sélectionnant Redémarrer l'appareil.
Configuration de la viscosité
Pour se connecter à notre serveur OpenVPN, nous devons télécharger la configuration client pour notre utilisateur. Sur la machine client :
- Ouvrez un navigateur et accédez à
https://172.16.16.16
. - Saisissez le nom d'utilisateur et le mot de passe de l'utilisateur et connectez-vous.
- Cliquez sur le VPN SSL onglet sur la gauche.
- Cliquez sur
Download configuration for other OSs
lien. - Il devrait télécharger un fichier nommé "username__ssl_vpn_config.ovpn".
Importez ce fichier dans Viscosity et vous pourrez vous connecter immédiatement !
(Facultatif) Autoriser l'accès à Internet
Par défaut, la connexion VPN permettra l'accès au serveur de fichiers et aux autres ordinateurs du réseau domestique/bureau (LAN). Cependant, si vous souhaitez également que tout le trafic Internet soit envoyé via la connexion VPN, il est nécessaire d'apporter une dernière modification à la connexion :
- Double-cliquez sur votre connexion dans la fenêtre Préférences de viscosité pour ouvrir l'éditeur de connexion
- Cliquez sur Réseau onglet.
- Cliquez sur le menu déroulant "Tout le trafic" et sélectionnez l'option "Envoyer tout le trafic via une connexion VPN". Il n'est pas nécessaire d'entrer une passerelle par défaut.
- Cliquez sur
Save
bouton.
Vous devrez également ajouter une nouvelle règle de pare-feu sur votre Sophos XG. Suivez simplement l'en-tête Pare-feu ci-dessus, mais définissez les zones de destination sur WAN au lieu de LAN et les réseaux de destination sur Tout.