Wechseln zu:Navigation, Suche
Wiki

Clientless VPN

(Weitergeleitet von ClientlessVPN-v11)
Aus Securepoint Wiki

























































De.png
En.png
Fr.png








Einrichtung und Einstellungen des Clientless VPN
Letzte Anpassung zur Version: 12.2.5.1
Neu:
  • Layoutaktualisierungen
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7.6 11.6.11

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →Clientless VPN


Einleitung

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.



Konfiguration der UTM

Clientless Host hinzufügen

Unter → VPN →Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.


Beschriftung Wert Beschreibung UTM v12.2.5.1 VPN Clientless VPN hinzufügen.png
Server anlegen
Servername: Windows Server 2012 RDP Namen für Host vergeben
Typ: RDPVNC Dienst über den auf den Host zugegriffen werden soll
IP-Adresse: 203.0.113.203 IP-Adresse des Host
Port: 3389Link= Port der auf dem Host für den Zugriff freigeschaltet ist
Auflösung: 1024x600 Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
Farbtiefe: 24 Farbtiefe wählen (16 oder 24 bit)
Sicherheit: RDPTLSNLA Das Sicherheitsprotokoll auswählen
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.
Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.


Zuweisen der Gruppe

Gruppen Berechtigungen
  • → Authentifizierung →BenutzerReiter Gruppen Schaltfläche + Gruppe hinzufügen klicken
  • Im Reiter Berechtigungen Userinterface und Clientless VPN mit Ein aktivieren
  • Im Feld Gruppenname: einen eindeutigen Namen vergeben
  • Daraufhin erscheint der Reiter Clientless VPN


Server der Gruppe zuweisen
  • In den Reiter Clientless VPN wechseln
  • Den Clientless VPN mit Ein aktivieren
  • Die Änderungen mit Speichern übernehmen



Zugriff erlauben

Gruppen Berechtigungen

Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.
Hierbei reicht es aus im Menü unter → Firewall →Implizite RegelReiter VPN die VPN Regeln mit Ein zu aktivieren. 
















































     | }}-->

Anmeldung am Userinterface

  • Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
  • Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
  • Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

Einstellung Port Aufruf mit Beispiel-IP Aufruf mit Beispiel URL
Default 443 z.B. https://192.168.175.1 z.B. https://utm.ttt-point.de
Port vom Admininstator geändert
Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port
4443 z.B. https://192.168.175.1:4443 z.B. https://utm.ttt-point.de:4443


Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

Wert Beschreibung UTM-v12.2.3-Benutzer-Login-OTP.png
Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer Benutzername
Passwort Das dazugehörige Passwort
OTP Code
Optional		 Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden
Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
  • Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
    •  Anmelden Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.


    Es erscheint die Kachel Clientless VPN Windows Server 2012 RDP.png

    Das Fenster von Clientless VPN

    Ein Klick auf Clientless-VPN öffnet den folgenden Dialog.

    UTM116 UI CVPN3.png

    Mit einen Klick auf den entsprechenden Server wird die Verbindung zu diesem aufgebaut. Ist kein Benutzername und Passwort in den Servereinstellungen unter Clientless VPN hinterlegt, werden diese nun abgefragt.



    Hinweise

    Windows 2012R2 mit aktivierten Terminaldiensten

    Gruppenrichtlinien Editor

    Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
    Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

    Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.



    Anpassung der Registry

    Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

    Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.


    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/ClientlessVPN&oldid=84744