Attualmente al lavoro abbiamo 2 firewall, Cisco ASA per l’esterno e Sophos per il lavoro pesante (filtraggio web/applicazioni ecc.). Non è la mia configurazione, sono appena entrato quindi questa è più o meno la situazione attuale.
Sto cercando di implementare una VPN per consentire l’accesso remoto ai nostri server, vorrei che il Sophos gestisse questa cosa ma si trova all’interno. C’è qualche modo che vi consigliate di seguire? Sono ancora un po’ nuovo in tutto questo ma imparo strada facendo.
Ogni aiuto sarebbe molto apprezzato.
Basterebbe forse inoltrare le porte VPN necessarie dall’ASA al Sophos? Così il Sophos può agire come gateway VPN. Questa sarebbe la configurazione se il tuo Sophos si trovi proprio dietro l’ASA.
Tratta semplicemente la scatola Sophos come qualsiasi altro server e utilizza NAT sull’ASA per i servizi di cui hai bisogno.
Supponiamo che l’ASA abbia interfacce chiamate inside/outside/DMZ/dove vuoi e l’IP esterno sia 9.0.0.1/24, crea un oggetto per il servizio e aggiungi una voce NAT dove 10.0.0.20 è l’IP interno sul gateway Sophos per l’accesso remoto che traduce 9.0.0.50->10.0.0.20 tutte le porte.
oggetto di rete Sophos-RA-GW
host 10.0.0.20
nat (Outside,Inside) static 9.0.0.50
dove 172.16.34.150 è l’IP nel DMZ sul Sophos che inoltra alla tua Webapp traducendo 9.0.0.18->172.16.34.150 tutte le porte.
oggetto di rete Sophos-Webapp
host 172.16.34.150
nat (Outside,DMZ) static 9.0.0.18
Puoi e probabilmente dovresti fare un passo in più specificando le porte, esempio sotto, usando l’indirizzo IP dell’interfaccia esterna e qualcuno che si connette a 9.0.0.1:9999 verrà inoltrato alla Webapp sulla porta 443, cioè 9.0.0.1:9999->172.16.34.150:443.
oggetto di rete Sophos-Webapp
host 172.16.34.150
nat (Outside,DMZ) static interface service tcp 9999 443
Non ho lavorato con Sophos RA ma ho fatto configurazioni simili molte volte con Firepower FTD/Anyconnect dietro un ASA, dovrebbe essere abbastanza semplice.
Modifica* formato meno orribile 
Non sono sicuro se hai usato prima il client VPN di Sophos, ma rispetto a Cisco AnyConnect è absolutamente penoso, non scala affatto, per esempio ogni volta che fai un cambiamento di configurazione sul firewall non viene pushato ai client quando si connettono successivamente, per far sì che quella configurazione venga aggiornata i clienti devono passare attraverso il portale GUI web e riconfigurare il tutto, inoltre il client stesso non ti permette di inserire l’IP del firewall a cui vuoi connetterti, memorizza solo gli IP in un file di configurazione.
Se fosse una mia scelta, in un milione di anni non sceglierei il VPN di Sophos su AnyConnect, supporto entrambi quotidianamente e scelgo Always.
Facciamo lo stesso, ma c’è un costo di licenza per il VPN e le sedute che usi per quello. Mi chiedo se l’OP sta cercando una soluzione più economica.