Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 39: Zeile 39:
*Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
*Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
*Farbtiefe (16 oder 24 bit)
*Farbtiefe (16 oder 24 bit)


Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser  auf den Ziel Host zugegriffen werden.
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser  auf den Ziel Host zugegriffen werden.
Zeile 47: Zeile 48:


== Zuweisen der Gruppe==
== Zuweisen der Gruppe==
[[Datei:UTM116_AI_CVPN2.png|200px|thumb|right|Gruppen Berechtigungen]]
Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt ''Authentifizierung'' wird das Untermenü ''Benutzer'' ausgewählt. Im Reiter ''Gruppen'' kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für ''Clientless VPN'' und das ''Userinterface'' erhalten müssen.  
Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt ''Authentifizierung'' wird das Untermenü ''Benutzer'' ausgewählt. Im Reiter ''Gruppen'' kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für ''Clientless VPN'' und das ''Userinterface'' erhalten müssen.  






[[Datei:UTM116_AI_CVPN3.png|200px|thumb|right|Server der Gruppe zuweisen]]
Anschließend werden im jetzt zusätzlich angezeigten Reiter ''Clientless VPN'' die Server mit dem Plus Button hinzugefügt, auf die die Benutzer dieser Gruppe Zugriff haben sollen.
Anschließend werden im jetzt zusätzlich angezeigten Reiter ''Clientless VPN'' die Server mit dem Plus Button hinzugefügt, auf die die Benutzer dieser Gruppe Zugriff haben sollen.


[[Datei:Utm-v11-clientlessvpn2.png|center]]
 
 
 
 
 


==Zugriff erlauben==
==Zugriff erlauben==
Stellen Sie nun sicher, das sich der Browser auch zum Userinterface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.
[[Datei:UTM116_AI_CVPN4.png|200px|thumb|right|Gruppen Berechtigungen]]
[[Datei:Utm-v11-clientlessvpn3.png|center]]
Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.
 
Ab Version 11.6 reicht es aus im Menü unter ''Firewall'' den Menüpunkt Implizite Regel zu wählen und im Reiter VPN die Markierung bei ''User Interface Portal'' zu setzten. Hier wird dann der unter ''Netzwerk'' im Menü ''Servereinstellungen'' eingetragene Port für das User Webinterface automatisch berücksichtigt.
 
Bei Versionen vor 11.6 müssen die Ports des User Webinterfaces (bei Auslieferung Port 443) sowie die Socketports 2107/2907 freigegeben werden.
 
Bei Versionen vor 11.5 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.


=Anmelden=
=Anmelden=

Version vom 27. November 2015, 13:50 Uhr

Vorlage:V11

Einleitung

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.

Besonderheiten der Browser

Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https statt.

Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer Version 9 ist das nicht nötig, da reicht die Bestätigung des Zertifikats über den normalen https Port.

Der Internet Explorer Version 9 braucht das Flashplugin um die Websockets zu emulieren. Native Websockets werden vom Internet Explorer Version 9 nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert werden, damit der Websocket Verbindung vertraut werden kann.

Einrichtung der FW

Vorraussetzungen

Wir setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userinterface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie hier.

Clientless Host hinzufügen

Server anlegen

Der Menüpunkt zum Hinzufügen von Servern zum Clientless VPN befindet sich im Menü unter VPN. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Benötigt werden folgende Angaben:

  • Name des Host
  • Dienst über den auf den Host zugegriffen werden soll
  • IP-Adresse des Host
  • Port der auf dem Host für den Zugriff freigeschaltet ist
  • Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
  • Farbtiefe (16 oder 24 bit)


Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.

Die Einträge unter Domain, Benutzername und Passwort sind Optional. Werden diese Felder frei gelassen, erfolgt eine Abfrage des Benutzernamens und des Passwort wenn der Host über Clientless VPN aufgerufen wird.


Zuweisen der Gruppe

Gruppen Berechtigungen

Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt Authentifizierung wird das Untermenü Benutzer ausgewählt. Im Reiter Gruppen kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für Clientless VPN und das Userinterface erhalten müssen.




Server der Gruppe zuweisen

Anschließend werden im jetzt zusätzlich angezeigten Reiter Clientless VPN die Server mit dem Plus Button hinzugefügt, auf die die Benutzer dieser Gruppe Zugriff haben sollen.




Zugriff erlauben

Gruppen Berechtigungen

Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.

Ab Version 11.6 reicht es aus im Menü unter Firewall den Menüpunkt Implizite Regel zu wählen und im Reiter VPN die Markierung bei User Interface Portal zu setzten. Hier wird dann der unter Netzwerk im Menü Servereinstellungen eingetragene Port für das User Webinterface automatisch berücksichtigt.

Bei Versionen vor 11.6 müssen die Ports des User Webinterfaces (bei Auslieferung Port 443) sowie die Socketports 2107/2907 freigegeben werden.

Bei Versionen vor 11.5 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.

Anmelden

Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.

In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.

Utm-v11-clientlessvpn4.png


Ein Klick auf Clientless-VPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie erst einmal das Zetifikat auf dem Port akzeptieren.

Utm-v11-clientlessvpn5.png


Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.

Utm-v11-clientlessvpn6.png

Webinar