Neu ab v14.1.1: Zahlreiche zusätzliche Informationen ergänzt
Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.
Die Übersicht zeigt zahlreiche Informationen an:
Servername
Typ
IP-Adresse
Port
Domain
Benutzername
Videomodus
Sicherheit
TLS Angabe der Sicherheit
RDP (veraltet) Warnung bei veralteten Protokollen oder unverschlüsselten Verbindungen
Benutzergruppen
CVPN-Benutzer Zugeordnete Gruppe mit Clientless VPN-Berechtigung
CVPN-Benutzer Zugeordnete Gruppe ohneClientless VPN-Berechtigung
Konfiguration der UTM
Clientless Host hinzufügen
Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.
Dienst über den auf den Host zugegriffen werden soll
notempty
Bei VNC handelt es sich um ein unverschlüsseltes Protokoll. Wir empfehlen zusätzlich eine VPN Verbindung zwischen Server und der UTM.
Um die Sicherheit von RDP zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.
Sicherheit:
NLA (empfohlen)TLSRDP (veraltet)
Sicherheitsprotokoll wählen
NLA (Network Level Authentication) erfordert eine Authentifizierung vor dem Aufbau einer Verbindung
TLS und RDP bauen zuerst die Verbindung auf und erfordern dann eine Authentifizierung. Das begünstigt z.B. DOS-Angriffe.
IP-Adresse:
10.10.10.10
IP-Adresse des Host
Vorzugsweise wird die Verbindung zwischen UTM und Server per VPN hergestellt, so daß hier die Tunnel IP-Adresse des Servers angegeben wird
Port:
3389
Port, der auf dem Host für den Zugriff freigeschaltet ist
Domain
Ist die Eingabe einer Domain erforderlich (z.B. in Windows Umgebungen), kann hier die Domain vorgegeben werden
Benutzername Kennwort
Benutzername und Kennwort werden für die Anmeldung direkt übergeben
Videoauflösung:
1024x600
Auflösung (wählbar von 320x200 bis 2540x1440 Pixel)
notempty
erweitert ab v14.1.1
320x200
320x240
640x480
720x480
768x576
800x600
854x480
1024x600
1024x768
1152x768
1280x720
1280x854
1280x960
1280x1024
1400x1050
1440x960
1600x1200
1680x1050
1920x1080
1920x1200
notempty
Neu ab v14.1.1
2540x1440
notempty
Neu ab v14.1.1
Farbtiefe:
24
Farbtiefe wählen (16 oder 24 bit)
Benutzergruppen
notempty
Neu ab v14.1.1
Die Verbindung kann direkt einer Benutzergruppe zugewiesen werden
Die Gruppe benötigt die Berechtigung Userinterface und Clientless VPN
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.
Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.
Gruppenberechtigung
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdn Authentifizierung Benutzer
Gruppen Berechtigungen
Authentifizierung Benutzer Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken oder bestehende Gruppe
Im Abschnitt Berechtigungen
UserinterfaceEin aktivieren und
Clientless VPNEin aktivieren
Ggf. im Feld Gruppenname: einen eindeutigen Namen vergeben
Nachträgliches Zuweisen der Gruppe
Server der Gruppe zuweisen
Unter Authentifizierung Benutzer Bereich Gruppen in den Abschnitt Clientless VPN wechseln
Gewünschte Clientless VPN Verbindung mit Ein aktivieren
Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen. Hierbei reicht es aus im Menü unter Firewall Implizite Regel Bereich VPN die VPN Regel User Interface Portal mit Ein zu aktivieren.
CVPN anwenden
In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben
Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.
Wert
Beschreibung
Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer
Benutzername
Passwort
Das dazugehörige Passwort
OTP Code Optional
Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden
Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
Anmelden
Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.
CVPN starten
Clientless VPN Mit einem Klick auf die Kachel der gewünschten Verbindung wird diese aufgebaut.
CVPN ausführen
Ist kein Benutzername und Passwort in den Clientless VPN Einstellungen hinterlegt, werden diese nun abgefragt.
Dialog für Clientless VPN (CVPN) Verbindung
Sende Strg Alt Entf
Sendet die Tastenkombantion
Erweitertes Vollbild
Vollbild Anzeige mit Dialog-Header inkl. Schaltflächen
Vollbild
Vollbild Anzeige (Beenden mit Esc)
Verbindung trennen
Trennt die Verbindung
Zwischenablage
Innerhalb der Zwischenablage kann immer nur eine Datei gespeichert werden
Eine neu hochgeladene Datei oder eingegebender Text wird den Inhalt des Clipboards überschreiben
Dateien die auf dem Server in die Zwischenablage kopiert werden, können anschließend als komprimiertes ZIP-Archiv heruntergeladen werden
Hochgeladende Dateien stehen auf dem Server in der Zwischenablage zur Verfügung.
Der Austausch von Dateien wird bei VNC-Verbindungen nicht unterstützt
Cursor
Lokalen Cursor immer anzeigen:
Aus
Bei Aktivierung An wird an der Positiion des entfernten Mauszeigers der lokale angezeigt. (Die Funktion auf dem entfernten Gerät bleibt davon unverändert)
Hinweise
Windows 2012R2 mit aktivierten Terminaldiensten
Gruppenrichtlinien Editor
Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“. Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.
Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.
Anpassung der Registry
Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten. Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
SecurityLayer
notempty
Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.