UTM/VPN/ClientlessVPN: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 5. November 2025, 16:32 Uhr

Einrichtung und Einstellungen des Clientless VPN

Letzte Anpassung zur Version: 14.0.9.2

Neu:

Die Verwendung von NLA als Sicherheitsprotokoll wird empfohlen

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.7 12.2.5 11.7.6 11.6.11

Einleitung

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.

Konfiguration der UTM

Clientless Host hinzufügen

Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Beschriftung	Wert	Beschreibung	Clientless VPN UTMbenutzer@firewall.name.fqdnVPN Server anlegen
Servername:	Windows Server 2012 RDP	Namen für Host vergeben
Typ:	RDPVNC	Dienst über den auf den Host zugegriffen werden soll
Typ:	notempty Bei VNC handelt es sich um ein unverschlüsseltes Protokoll. Wir empfehlen zusätzlich eine VPN Verbindung zwischen Server und der UTM. Um die Sicherheit von RDP zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.
Sicherheit:	NLA (empfohlen)TLSRDP (veraltet)	Sicherheitsprotokoll wählen NLA (Network Level Authentication) erfordert eine Authentifizierung vor dem Aufbau einer Verbindung TLS und RDP bauen zuerst die Verbindung auf und erfordern dann eine Authentifizierung. Das begünstigt z.B. DOS-Angriffe.
IP-Adresse:	10.10.10.10	IP-Adresse des Hosts Vorzugsweise wird die Verbindung zwischen UTM und Server per VPN hergestellt, so daß hier die Tunnel IP-Adresse des Servers angegeben wird
Port:	3389	Port der auf dem Host für den Zugriff freigeschaltet ist
Domain		Ist die Eingabe einer Domain erforderlich (z.B. in Windows Umgebungen) kann hier die Domain vorgegeben werden
Benutzername Kennwort		Benutzername und Kennwort werden für die Anmeldung direkt übergeben
Videoauflösung:	1024x600	Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
Farbtiefe:	24	Farbtiefe wählen (16 oder 24 bit)
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden. Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.

Zuweisen der Gruppe

Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppen Berechtigungen

Authentifizierung Benutzer Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken
Im Reiter Berechtigungen Userinterface und Clientless VPN mit Ein aktivieren
Im Feld Gruppenname: einen eindeutigen Namen vergeben
Daraufhin erscheint der Reiter Clientless VPN

Server der Gruppe zuweisen

In den Reiter Clientless VPN wechseln
Den Clientless VPN mit Ein aktivieren
Die Änderungen mit speichern

Zugriff erlauben

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Gruppen Berechtigungen

Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen.
Hierbei reicht es aus im Menü unter Firewall Implizite Regel Bereich VPN die VPN Regeln mit Ein zu aktivieren.

     | }}-->

Anmeldung am Userinterface

Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

Einstellung	Port	Aufruf mit Beispiel-IP	Aufruf mit Beispiel URL
Default	443	z.B. https://192.168.175.1	z.B. https://utm.ttt-point.de
Port vom Admininstator geändert Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port	4443	z.B. https://192.168.175.1:4443	z.B. https://utm.ttt-point.de:4443

notempty

Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

Wert	Beschreibung	Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer	Benutzername
Passwort	Das dazugehörige Passwort
OTP Code Optional	Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
Anmelden	Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.

Das Fenster von Clientless VPN

Ein Klick auf Clientless-VPN öffnet den folgenden Dialog.

Mit einen Klick auf den entsprechenden Server wird die Verbindung zu diesem aufgebaut. Ist kein Benutzername und Passwort in den Servereinstellungen unter Clientless VPN hinterlegt, werden diese nun abgefragt.

Hinweise

Windows 2012R2 mit aktivierten Terminaldiensten

Gruppenrichtlinien Editor

Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.

Anpassung der Registry

Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

notempty

Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.

@@ Zeile 159: / Zeile 159: @@
 		| For Terra-Cloud machines it may be necessary to adjust the registry entry. }}
 {{var	| VPN-Hinweis
-		| Bei '''VNC''' handelt es sich um ein <u>unverschlüsseltes Protokoll.</u> <br>'''Wir empfehlen zusätzlich eine VPN Verbindung''' zwischen Server und der UTM. <p>Generell ist auch bei Verwendung von '''RDP''' zu empfehlen die Verbindung durch VPN zu schützen, um die Authentizität zu gewährleisten.
+		| Bei '''VNC''' handelt es sich um ein <u>unverschlüsseltes Protokoll.</u> <br>'''Wir empfehlen zusätzlich eine VPN Verbindung''' zwischen Server und der UTM. <p><!-- Generell ist auch bei Clientless VPN-Verbindungen mit '''RDP''' zu empfehlen, die Verbindung zwischen Server und UTM durch VPN zu schützen, um die Authentizität zu gewährleisten.
+Bei VNC handelt es sich um ein unverschlüsseltes Protokoll. Daher wird empfohlen, die Verbindung zwischen dem Server und dieser Appliance zusätzlich durch eine VPN Verbindung zu tunneln.
+Auch bei Verwendung von RDP wird empfohlen, die Verbindung durch ein VPN zu schützen, um die Authentizität zu gewährleisten.
+Um die Sicherheit von '''RDP''' unter Linux zu erhöhen, sollte auch bei diesem Typ die Verbindung zwischen Server und UTM durch VPN geschützt werden.
+-->
+Um die Sicherheit von '''RDP''' zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.</p>
 		| '''VNC''' is an <u>unencrypted protocol.</u> <br>'''We also recommend a VPN connection''' between the server and the UTM. <p>In general, even when using '''RDP''', it is recommended to protect the connection with a VPN to ensure authenticity. }}