SSL VPN Client to Site là một phương thức kết nối an toàn cho phép người dùng từ xa truy cập vào mạng nội bộ doanh nghiệp thông qua Internet bằng cách sử dụng phần mềm VPN client. Với SSL VPN, dữ liệu được mã hóa qua giao thức SSL/TLS giúp đảm bảo tính bảo mật trong quá trình truyền tải.
Trên Sophos Firewall, SSL VPN thường được triển khai để hỗ trợ nhân viên làm việc từ xa (Work from Home), kỹ thuật viên hỗ trợ hoặc các nhà cung cấp dịch vụ truy cập vào hệ thống nội bộ để thực hiện công việc một cách an toàn và linh hoạt.
- Không yêu cầu IP tĩnh từ phía client.
- Dễ dàng triển khai và sử dụng thông qua phần mềm Sophos Connect.
- Có thể kiểm soát, giới hạn quyền truy cập dựa trên user/group.
- Hỗ trợ xác thực hai lớp (Two-Factor Authentication).
- TÌNH HUỐNG CẤU HÌNH
Cấu hình SSL VPN trên Sophos Firewall để người dùng ở ngoài công ty có thể kết nối về mạng LAN nội bộ thông qua phần mềm Sophos Connect Client.
- Dải mạng nội bộ (LAN): 10.10.10.0/24
- IP của Sophos Firewall (port WAN): 123.20.173.178
- Dải IP cấp cho client VPN: 10.102.10.0/24
- Người dùng VPN: vpnuser01, thuộc group SSLVPN-Users
Người dùng có thể truy cập các tài nguyên trong LAN khi kết nối VPN
Vào menu Authentication → chuyển sang tab Groups → nhấn Add để tạo nhóm người dùng mới.
- Group name: Đặt tên cho nhóm (ví dụ: SSLVPN-Users)
- Group type: Chọn Normal
- Surfing quota: Chọn Unlimited Internet Access hoặc chọn quota giới hạn nếu cần
- Access time: Chọn Allowed all the time hoặc cấu hình khung thời gian truy cập tùy ý
→ Nhấn Save để lưu lại nhóm vừa tạo.
- Chuyển sang tab Users → nhấn Add
- Username: Đặt tên người dùng (ví dụ: vpnuser01)
- User type: Chọn User
- Password: Nhập mật khẩu cho người dùng
- Email: Nhập địa chỉ email của quản trị viên (hoặc của người dùng nếu cần gửi thông tin qua email)
- Group: Chọn nhóm SSLVPN-Users đã tạo ở bước trước
→ Nhấn Save để hoàn tất tạo user.
- Vào menu Remote access VPN → chọn tab SSL VPN → nhấn Add → nhấn Configure manually
- Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
- Policy members: Chọn user hoặc group mà bạn đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
- Use as default gateway:
- Bật nếu bạn muốn tất cả lưu lượng của client đi qua firewall (full tunnel).
- Không bật nếu bạn chỉ muốn lưu lượng truy cập nội bộ đi qua VPN (split tunnel).
- Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà bạn muốn cấp quyền truy cập cho người dùng VPN (ví dụ: 10.10.10.0/24)
→ Nhấn Apply để lưu cấu hình.
Tại menu Remote access VPN, chọn mục SSL VPN global settings.
- Protocol: Chọn UDP để có hiệu suất tốt hơn.
- SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định).
- Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ kết nối tới (ví dụ: 123.20.173.178)
- Port: Để mặc định là 8443 hoặc thay đổi nếu có yêu cầu riêng.
- Assign IPv4 addresses: Nhập dải IP cấp phát cho client VPN (ví dụ: 10.121.10.0/24).
- IPv4 DNS: Nên cấu hình DNS như 8.8.8.8 và 1.1.1.1 để client có thể phân giải tên miền khi kết nối VPN.
- Disconnect dead peer after: Có thể đặt là 180 giây để tự động ngắt kết nối khi client không phản hồi.
- Disconnect idle peer after: (có thể cấu hình thời gian ngắt nếu người dùng không hoạt động – nên để trống nếu không giới hạn) → Nhấn Apply để lưu cấu hình.
- Vào Rules and Policies → chọn tab Firewall Rules
- Nhấn Add firewall rule → chọn New Rule
- Cấu hình các thông số sau:
| Mục cấu hình | Giá trị đề xuất |
| Rule Status | ON |
| Rule name | SSLVPN_TO_SERVER (đặt tên dễ nhận biết) |
| Action | Accept |
| Rule Position | Top (ưu tiên cao nhất) |
| Rule Group | None |
| Log firewall traffic | Tích chọn để ghi log |
| Source zones | LAN và VPN |
| Source networks and devices | SSL VPN REMOTE và 10.10.10.0/24 |
| During scheduled time | All the time |
| Destination zones | LAN và VPN |
| Destination networks | SSL VPN REMOTE và 10.10.10.0/24 |
| Services | Any (hoặc giới hạn theo nhu cầu bảo mật) |
- Nhấn Save để lưu rule.
- Truy cập VPN Portal bằng cách mở trình duyệt và truy cập địa chỉ: https://<WAN-IP hoặc tên miền >:445
- Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.
Nhấn Download for Windows trong mục Sophos Connect client để tải file cài đặt phần mềm.
Sau đó, nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN.
- Chạy file cài đặt SophosConnect_<version>.exe vừa tải về.
- Tại màn hình cài đặt, tick chọn ô:
“I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy” - Nhấn Install để bắt đầu cài đặt.
- Chờ quá trình cài đặt hoàn tất, sau đó nhấn Finish.
- Mở phần mềm Sophos Connect sau khi cài đặt.
- Tại giao diện chính, nhấn Import connection.
- Chọn file cấu hình sslvpn-vpnuser01-client-config.ovpn đã tải trước đó từ VPN Portal.
- Sau khi import thành công, kết nối VPN sẽ hiển thị trên danh sách.
