Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:
=Einleitung=
=Einleitung=


Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.
Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.


===Besonderheiten der Browser===
===Besonderheiten der Browser===
Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https statt.
Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.<br>
Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.<br>
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell

Version vom 27. November 2015, 09:47 Uhr

Vorlage:V11

Einleitung

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.

Besonderheiten der Browser

Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https statt.

Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer Version 9 ist das nicht nötig, da reicht die Bestätigung des Zertifikats über den normalen https Port.

Der Internet Explorer Version 9 braucht das Flashplugin um die Websockets zu emulieren. Native Websockets werden vom Internet Explorer Version 9 nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert werden, damit der Websocket Verbindung vertraut werden kann.

Einrichtung der FW

Vorraussetzungen

Wir setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userinterface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie hier.

Clientless Host hinzufügen

Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier, die Server ein, die Sie den Benutzern verfügbar machen wollen.

Utm-v11-clientlessvpn1.png

Zuweisen der Gruppe

Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Server hinzu.

Utm-v11-clientlessvpn2.png

Zugriff erlauben

Stellen Sie nun sicher, das sich der Browser auch zum Userinterface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.

Utm-v11-clientlessvpn3.png

Anmelden

Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.

In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.

Utm-v11-clientlessvpn4.png


Ein Klick auf Clientless-VPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie erst einmal das Zetifikat auf dem Port akzeptieren.

Utm-v11-clientlessvpn5.png


Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.

Utm-v11-clientlessvpn6.png

Webinar