Bài viết này hướng dẫn cấu hình SSL VPN Client-to-Site trên Sophos Firewall firmware v22, cho phép người dùng từ xa (remote user) sử dụng máy Windows kết nối an toàn vào mạng nội bộ doanh nghiệp thông qua Internet.
Sau khi hoàn thành, người dùng có thể:
- Truy cập tài nguyên nội bộ (Server, NAS, RDP, Web nội bộ…)
- Mã hóa kết nối đảm bảo an toàn dữ liệu
- Xác thực bằng tài khoản người dùng trên Sophos Firewall
Doanh nghiệp cần:
- Nhân viên truy cập từ xa (WFH)
- Kết nối vào LAN nội bộ
- Đảm bảo bảo mật và kiểm soát truy cập
Yêu cầu:
- Chỉ user hợp lệ mới được VPN
- Truy cập server nội bộ (RDP, File Server)
- Có thể mở rộng MFA sau này
Tổng quan các bước:
- Tạo User và Group
- Cấu hình SSL VPN Profile
- Cấu hình SSL VPN Global Settings
- Tạo Firewall Rule cho phép truy cập từ VPN vào vùng LAN
- Tải VPN Client và file cấu hình
- Cài đặt phần mềm Sophos Connect
- Import cấu hình VPN vào Sophos Connect
- Test kết nối SSL VPN
Authentication → Groups → Add
- Group Name: VACIF GROUP
- Surfing quota: Unlimited Internet Access
- Access time: Allowed all the time
Authentication → Users → Add
- Username: VACIF
- Password: ****
- Group: VACIF GROUP
VPN → Remote Access VPN → SSL VPN → Add → Configure manually
Thực hiện cấu hình các thông số sau:
- Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
- Policy members: Chọn user hoặc group đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
- Use as default gateway:
- Bật khi muốn toàn bộ lưu lượng của VPN Client đi qua Sophos Firewall (Full Tunnel)
- Không bật khi chỉ định tuyến lưu lượng truy cập vào mạng nội bộ qua VPN (Split Tunnel)
- Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà người dùng VPN được phép truy cập (ví dụ: 10.10.10.0/24)
- Disconnect idle clients: Tự động ngắt kết nối VPN khi người dùng không có hoạt động trong một khoảng thời gian nhất định
→ Nhấn Apply để lưu cấu hình
VPN → Remote Access VPN → SSL VPN → Global Settings
- Protocol: Chọn UDP để tối ưu hiệu suất và giảm độ trễ khi kết nối VPN
- SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định của thiết bị)
- Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ sử dụng để kết nối (ví dụ: 123.20.173.178 hoặc vpn.company.com)
- Port: Giữ mặc định 8443 hoặc thay đổi nếu có yêu cầu riêng (Ở đây mình đặt 10443)
- Assign IPv4 addresses: Khai báo dải IP cấp phát cho VPN Client (ví dụ: 10.121.10.0/24)
- IPv4 DNS: Cấu hình DNS để client có thể phân giải tên miền khi kết nối VPN (ví dụ: 8.8.8.8, 1.1.1.1 hoặc DNS nội bộ)
- Disconnect dead peer after: Thiết lập thời gian (giây) để tự động ngắt kết nối khi client không phản hồi
- Disconnect idle peer after: Thiết lập thời gian ngắt kết nối khi người dùng không có hoạt động Có thể để trống – nên để trống nếu không giới hạn
→ Nhấn Apply để lưu cấu hình
Rules and Policies → Firewall Rules
Thực hiện cấu hình các thông số sau:
| Mục cấu hình | Giá trị đề xuất |
| Rule Name | VACIF RULE VPN |
| Action | Accept |
| Log firewal traffic | On |
| Source zone | VPN |
| Source networks and devices | Any |
| During scheduled time | All the time |
| Destination zones | LAN |
| Destination networks | Lớp mạng local bạn muốn truy cập |
| Services | Any |
→ Nhấn Save để lưu cấu hình
Để biết được port VPN là bao nhiêu thì bạn cần phải vào:
Administrator → Admin and user settings
- Tiếp theo, truy cập VPN Portal bằng trình duyệt: https://<WAN-IP hoặc tên miền>:8443
- Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.
Tại giao diện Portal:
- Nhấn Download for Windows trong mục Sophos Connect client để tải phần mềm
- Nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN (.ovpn)
- Chạy file cài đặt: SophosConnect_<version>.exe
- Tại màn hình cài đặt: Tick chọn “I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy”
- Mở phần mềm Sophos Connect
- Tại giao diện chính: Nhấn Import connection
- Chọn file cấu hình đã tải: sslvpn-vacif-client-config.ovpn
- Sau khi import thành công: Kết nối VPN sẽ hiển thị trong danh sách
Lúc này bạn có thể truy cập vào trong lớp mạng LAN nội bộ đã cấu hình. Ngoài ra bạn có thể vào mục Current activities để kiểm tra xem user nào đang đăng nhập SSL VPN.
