Hướng Dẫn Cấu Hình VPN Clientless Access (RDP) Trên Sophos XGS Firewall

70 Giai Phong Street, Tan Son Nhat Ward, Ho Chi Minh City +84.28.7303.5399 sales@vacif.com |

I – Giới thiệu

Trong môi trường doanh nghiệp hiện đại, nhu cầu truy cập từ xa vào hệ thống nội bộ là rất phổ biến. Tuy nhiên, không phải lúc nào người dùng cũng có thể cài đặt phần mềm VPN. Vì vậy, tính năng Clientless VPN trên Sophos XGS Firewall là một giải pháp lý tưởng. Nó cho phép người dùng truy cập các dịch vụ nội bộ như Remote Desktop (RDP), HTTP/S, SSH… trực tiếp qua trình duyệt web, thông qua cổng VPN Portal bảo mật bằng SSL.

Bài viết này sẽ hướng dẫn cấu hình chức năng Clientless VPN với giao thức RDP, nhằm giúp người dùng từ xa có thể truy cập máy chủ nội bộ nhanh chóng và an toàn mà không cần cài thêm phần mềm.

II – Tình huống cấu hình

Mục tiêu: Cho phép người dùng truy cập máy chủ nội bộ (Windows Server) thông qua RDP bằng trình duyệt web, sử dụng tính năng Clientless VPN trên Sophos XGS.

Máy chủ cần truy cập: 192.168.20.21 – đã bật tính năng RDP

Người dùng: Nhân viên được cấp tài khoản (tài khoản local hoặc từ AD/LDAP)

Truy cập từ xa: Thông qua portal SSL VPN tại địa chỉ
https://<WAN_IP hoặc Domain>:445

Yêu cầu bảo mật:

Xác thực người dùng trước khi hiển thị bookmark RDP
Không cài đặt phần mềm, sử dụng giao diện HTML5
Giới hạn quyền truy cập theo user cụ thể

III – Hướng dẫn cấu hình

1 – Tạo Bookmarks

Vào menu: Remote Access VPN → Clientless SSL VPN policy → Bookmarks
Nhấn Add để tạo kết nối mới.

2 – Điền thông tin Bookmarks

Name: đặt tên (ví dụ: WINDOW_SERVERS)
Type: chọn RDP
URL: nhập IP máy cần truy cập (ví dụ: 192.168.20.21)
Port: 3389
Protocol security: chọn TLS
Nhấn Save.

3 – Tạo Policies

Chuyển sang tab: Policies
Nhấn Add để tạo chính sách truy cập.

4 – Điền thông tin Policies

Name: đặt tên cho policy (ví dụ: ALLOW_RDP_WIN_SVR)
Policy members: chọn user/group được cấp quyền
Published bookmarks: chọn bookmark đã tạo ở bước 2
Nhấn Save

5 – Mở truy cập WAN

Vào menu: Administration → Device Access → Local service ACL
Ở dòng VPN Protal, tick chọn zone WAN

6 – Truy cập vào VPN Portal

Trên trình duyệt, truy cập: https://<WAN-IP hoặc domain>:8443 (Mặc định port truy cập VPN Portal của Sophos là 445, ở đây do mình đã đổi port)

7 – Kiểm tra

Sau khi đăng nhập, chọn tab Clientless Access
Nhấn vào biểu tượng RDP tương ứng để kết nối từ trình duyệt

Chú ý:** Nếu khi thực hiện kết nối RDP xuất hiện lỗi:

“Error: protocol security negotiation failure”,
thì cần tắt xác thực NLA (Network Level Authentication) trên Windows Server.

Cách thực hiện:

Nhấn Windows + R
Gõ lệnh: SystemPropertiesRemote → nhấn Enter
Trong cửa sổ System Properties, tab Remote
Bỏ chọn dòng:
“Allow connections only from computers running Remote Desktop with Network Level Authentication”
Nhấn Apply → OK