Ich habe das nur lokal getestet, aber es sollte auch beim VPS Hoster gehen.
Auf der Konsole des VPS kann man sich nach der Installation der Sophos XG Firewall mit dem Passwort "admin" einloggen und dann unter "Device Management" mit "Advanced Shell" eine Kommandozeile öffnen.
Wenn man die Netzwerkinterfaces nicht passend so zuordnen kann, dass das zweite Interface (WAN) automatisch mit Internetzugang konfiguriert wird, kann man auf der Kommandozeile manuell nachhelfen:
- iptables -I INPUT ! -s 127.0.0.1 -j REJECT
- ip addr add 300.301.302.303/21 dev Port1
- ip route add default via 300.301.302.1
Der iptables-Befehl sperrt alle ankommenden Verbindungen außer vom VPS selbst, weil mit den nächsten Befehlen die LAN-Schnittstelle konfiguriert wird und damit das Webinterface aus dem Internet erreichbar würde.
Der ip addr Befehl fügt die IP Adresse, die man vom Hoster für den VPS bekommen hat, der ersten Netzwerkschnittstelle hinzu (Port1 ist die "LAN"-Schnittstelle). "300.301.302.303/21" also entsprechend durch IP Adresse und Subnetzgröße ersetzen.
Der ip route Befehl fügt das Default-Gateway hinzu. "300.301.302.1" durch die Adresse des Gateways ersetzen.
Nach diesem Eingriff sollte man z.B. den Google DNS Server 8.8.8.8 anpingen können. Dann kann man mit den weiteren Schritten fortfahren:
Per ssh macht man eine Portweiterleitung zum Webserver der Sophos XG: ssh user@jumphost -R *:65003:127.0.0.1:65003
Anschließend ist das Webinterface unter https://jumphost:65003 erreichbar, wobei jumphost jeweils die IP-Adresse oder der DNS Name eines Hosts ist, auf dem man sich vom VPS aus per ssh mit Username und Passwort einloggen können muss. Der Jumphost muss "GatewayPorts yes" in der sshd-Konfiguration haben und auf dessen Port 65003 muss man mit einem Webbrowser zugreifen können.
Mit dieser Portweiterleitung kann man den Rest der Installation durchführen. Wenn im Webinterface die LAN-Schnittstellenkonfiguration abgefragt wird, dann 172.16.16.16 mit Netzgröße /24 eingeben und den DHCP-Server abschalten. Die richtige Einstellung kommt erst später, wenn Port1 zum WAN-Port gemacht worden ist.
Nach dem Reboot muss man die manuelle Netzwerkkonfiguration und die Weiterleitung wie oben einmal neu aufbauen. Sollte man eine Meldung bekommen, dass die Portweiterleitung fehlgeschlagen ist, einfach einen anderen Port als ersten Port im SSH-Befehl und in der Web-URL verwenden.
Danach kann man im Webinterface den HTTPS Zugang über das WAN Interface einschalten (gutes Admin-Passwort setzen...), Port1 zum WAN-Port mit der richtigen Konfiguration machen und die restlichen Einstellungen vornehmen. Dauerhaft sollte man den Admin-Zugang nur über VPN erlauben.