SSL VPN Remote Access Step-by-Step

Trong môi trường làm việc hiện đại, truy cập từ xa an toàn là yêu cầu bắt buộc. VPN Client to Site Sophos cho phép người dùng kết nối vào hệ thống mạng nội bộ thông qua đường hầm SSL được mã hóa.

Trong bài viết này, bạn sẽ học cách cấu hình SSL VPN trên Sophos Firewall theo từng bước.

Chúng ta sẽ thực hiện:

• Tạo user VPN

• Cấu hình SSL VPN

• Kiểm tra firewall rule tự động sinh

• Thiết lập quyền truy cập portal

• Tải và cài đặt Sophos Connect Client

• Kiểm tra kết nối VPN

Cấu hình này phù hợp cho:

• Nhân viên làm việc từ xa

• IT Administrator

• Homelab

• Doanh nghiệp nhỏ và vừa

Việc cấu hình đúng VPN Client to Site Sophos đảm bảo kết nối mã hóa và an toàn tuyệt đối.

Vì Sao Nên Cấu Hình VPN Client to Site Sophos?

Khi triển khai VPN Client-to-Site, bạn sẽ có:

🔐 Kết nối mã hóa an toàn
🌍 Truy cập từ xa vào mạng nội bộ
🏢 Bảo vệ tài nguyên nội bộ
👨‍💻 Quản lý user tập trung
📊 Kiểm soát quyền truy cập chi tiết

SSL VPN là phương thức VPN phổ biến và ổn định trong hệ thống Sophos.

Step 1: Create VPN User/Group

Truy cập:

Authentication > Groups/Users

Thực hiện:

• Create user: vpnuser
• Assign to SSL VPN group

Đảm bảo user được gán vào đúng SSL VPN group để có quyền truy cập.

User authentication là nền tảng của hệ thống VPN Client to Site Sophos.

Step 2: Enable SSL VPN

Truy cập:

CONFIGURE > REMOTE ACCESS VPN > SSL VPN (Remote Access)

Cấu hình:

• Select the IP range assigned to the VPN client
Ví dụ: 10.81.0.0/24

• Select the network to be accessed
Ví dụ: LAN

• Select the allowed user or group of users

Allow access to which network (or host).

Xác định rõ network nội bộ nào được phép truy cập.

Sau khi tạo SSL VPN, hệ thống sẽ tự động sinh một Firewall Rule.

Firewall rule này cho phép traffic từ VPN zone truy cập vào LAN.

Luôn kiểm tra thứ tự rule sau khi hệ thống tạo tự động.

Step 3: Set Permissions for VPN Device Access

Thay đổi VPN Portal port (không dùng port 443).

Ví dụ:

Đổi sang 8443.

Việc thay đổi port giúp:

• Tránh xung đột HTTPS

• Tăng tính bảo mật

Thiết lập quyền cho VPN truy cập vào Firewall.

Đảm bảo cấu hình Device Access chính xác.

Bước này rất quan trọng trong hệ thống VPN Client to Site Sophos.

Step 4: Download Sophos Connect Client and Configuration File

Kiểm tra port mà portal đang sử dụng.

Ví dụ:

Portal link:
https://IP_FW:8443/

Từ mạng bên ngoài (không phải LAN), đăng nhập bằng:

vpnuser

Download:

• ✅ Sophos Connect Client
• ✅ .ovpn configuration file

Lưu ý:

Nếu trong Device Access chọn sai quyền portal user, user sẽ bị redirect sang portal page thay vì trang tải VPN.

Đây là lỗi phổ biến khi cấu hình lần đầu.

Step 5: Install the Client on the Remote Machine

Trên máy remote:

Install app msi → next → next → finish

Sau khi cài đặt:

• Import the .ovpn file
• Connect to the VPN

Khi kết nối thành công, máy sẽ được cấp IP private.

Ví dụ:

10.81.234.6

IP này thuộc dải VPN đã cấu hình trước đó.

Verify VPN Connectivity

Sau khi kết nối, kiểm tra truy cập nội bộ.

Bạn có thể truy cập:

o Internal printer
o Internal web server
o Internal Sophos interface

Kiểm tra kết nối:

• Ping
ping 192.168.x.x

• Truy cập giao diện web
http://192.168.x.x

Nếu ping thành công và truy cập GUI được, cấu hình VPN đã hoàn tất.

Lỗi Thường Gặp Khi Cấu Hình VPN Client to Site Sophos

❌ Sử dụng port 443 cho portal
❌ User không nằm trong SSL VPN group
❌ Dải IP VPN trùng với LAN
❌ Sai cấu hình Device Access
❌ Test từ mạng nội bộ thay vì mạng ngoài

Tránh các lỗi này để hệ thống hoạt động ổn định.

Best Practices Khi Triển Khai SSL VPN

✅ Sử dụng mật khẩu mạnh

✅ Giới hạn network được truy cập

✅ Đổi port portal mặc định

✅ Theo dõi VPN log thường xuyên

✅ Tắt dịch vụ không cần thiết

Bảo mật luôn là ưu tiên hàng đầu khi triển khai VPN.

Kết Luận

Trong bài hướng dẫn này, bạn đã hoàn tất cấu hình VPN Client to Site Sophos.

Bạn đã:

• Tạo user VPN

• Enable SSL VPN

• Cấu hình dải IP VPN

• Đổi port portal

• Download client và file .ovpn

• Cài đặt client trên máy remote

• Kiểm tra kết nối nội bộ

Cấu hình đúng VPN Client to Site Sophos giúp:

✔ Kết nối mã hóa an toàn
✔ Quản lý user tập trung
✔ Truy cập nội bộ từ xa ổn định
✔ Triển khai chuyên nghiệp

Firewall Sophos của bạn giờ đã sẵn sàng hỗ trợ truy cập từ xa trong môi trường thực tế.

Ở phần tiếp theo, bạn có thể triển khai thêm:

• Site-to-Site VPN

• MFA

• Policy nâng cao

• Segmentation mạng

Kết nối bảo mật bắt đầu từ cấu hình VPN đúng chuẩn — và bạn đã làm được điều đó. 🔐🚀