UTM/VPN/ClientlessVPN: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 18. November 2025, 14:39 Uhr

Einrichtung und Einstellungen des Clientless VPN

Letzte Anpassung zur Version: 14.1.1 (11.2025)

Neu:

Beim Konfigurieren einer Verbindung können Benutzergruppen direkt mit ausgewählt und in der Tabelle angezeigt werden
Die Übersichts-Tabelle der CVPN-Verbindungen wurde um zahlreiche Informationen ergänzt
Wählbare Videoauflösungen wurden erhöht

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

14.0.9.2 12.7.0 12.2.5 11.7.6 11.6.11

Einleitung

Übersicht der Clientless VPN Verbindungen notempty

Neu ab v14.1.1: Zahlreiche zusätzliche Informationen ergänzt

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.

Die Übersicht zeigt zahlreiche Informationen an:

Servername
Typ
IP-Adresse
Port
Domain
Benutzername
Videomodus
Sicherheit

BenutzergruppenCVPN-Benutzer Zugeordnete Gruppe mit Clientless VPN-Berechtigung
CVPN-Benutzer Zugeordnete Gruppe ohne Clientless VPN-Berechtigung

Konfiguration der UTM

Clientless Host hinzufügen

Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Beschriftung	Wert	Beschreibung	Clientless VPN UTMbenutzer@firewall.name.fqdnVPN Server anlegen
Servername:	Windows Server 2012 RDP	Namen für Host vergeben
Typ:	RDPVNC	Dienst über den auf den Host zugegriffen werden soll
Typ:	notempty Bei VNC handelt es sich um ein unverschlüsseltes Protokoll. Wir empfehlen zusätzlich eine VPN Verbindung zwischen Server und der UTM. Um die Sicherheit von RDP zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.
Sicherheit:	NLA (empfohlen)TLSRDP (veraltet)	Sicherheitsprotokoll wählen NLA (Network Level Authentication) erfordert eine Authentifizierung vor dem Aufbau einer Verbindung TLS und RDP bauen zuerst die Verbindung auf und erfordern dann eine Authentifizierung. Das begünstigt z.B. DOS-Angriffe.
IP-Adresse:	10.10.10.10	IP-Adresse des Host Vorzugsweise wird die Verbindung zwischen UTM und Server per VPN hergestellt, so daß hier die Tunnel IP-Adresse des Servers angegeben wird
Port:	3389	Port der auf dem Host für den Zugriff freigeschaltet ist
Domain		Ist die Eingabe einer Domain erforderlich (z.B. in Windows Umgebungen) kann hier die Domain vorgegeben werden
Benutzername Kennwort		Benutzername und Kennwort werden für die Anmeldung direkt übergeben
Videoauflösung:	1024x600	Auflösung (wählbar von 320x200 bis 2540x1440 Pixel) notempty erweitert ab v14.1.1 320x200 320x240 640x480 720x480 768x576 800x600 854x480 1024x600 1024x768 1152x768 1280x720 1280x854 1280x960 1280x1024 1400x1050 1440x960 1600x1200 1680x1050 1920x1080 1920x1200 notempty Neu ab v14.1.1 2540x1440 notempty Neu ab v14.1.1
Farbtiefe:	24	Farbtiefe wählen (16 oder 24 bit)
Benutzergruppen notempty Neu ab v14.1.1		Die Verbindung kann direkt einer Benutzergruppe zugewiesen werden Die Gruppe benötigt die Berechtigung Userinterface und Clientless VPN
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden. Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.

Gruppenberechtigung

Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppen Berechtigungen

Authentifizierung Benutzer Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken oder bestehende Gruppe
Im Abschnitt Berechtigungen
- Userinterface Ein aktivieren und
- Clientless VPN Ein aktivieren
Ggf. im Feld Gruppenname: einen eindeutigen Namen vergeben

Nachträgliches Zuweisen der Gruppe

Server der Gruppe zuweisen

Unter Authentifizierung Benutzer Bereich Gruppen in den Abschnitt Clientless VPN wechseln
Gewünschte Clientless VPN Verbindung mit Ein aktivieren
Die Änderungen mit speichern

Zugriff erlauben

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Gruppen Berechtigungen

Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen.
Hierbei reicht es aus im Menü unter Firewall Implizite Regel Bereich VPN die VPN Regel User Interface Portal mit Ein zu aktivieren.

CVPN anwenden

     | }}-->

Anmeldung am Userinterface

Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

Einstellung	Port	Aufruf mit Beispiel-IP	Aufruf mit Beispiel URL
Default	443	z.B. https://192.168.175.1	z.B. https://utm.ttt-point.de
Port vom Admininstator geändert Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port	4443	z.B. https://192.168.175.1:4443	z.B. https://utm.ttt-point.de:4443

notempty

Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

Wert	Beschreibung	Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer	Benutzername
Passwort	Das dazugehörige Passwort
OTP Code Optional	Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
Anmelden	Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.

CVPN starten

Clientless VPN Mit einem Klick auf die Kachel der gewünschten Verbindung wird diese aufgebaut.

CVPN ausführen

Ist kein Benutzername und Passwort in den Clientless VPN Einstellungen hinterlegt, werden diese nun abgefragt.		Dialog für Clientless VPN (CVPN) Verbindung
Sende Strg Alt Entf	Sendet die Tastenkombantion
Erweitertes Vollbild	Vollbild Anzeige mit Dialog-Header inkl. Schaltflächen
Vollbild	Vollbild Anzeige (Beenden mit Esc)
Verbindung trennen	Trennt die Verbindung
Zwischenablage	Innerhalb der Zwischenablage kann immer nur eine Datei gespeichert werden Eine neu hochgeladene Datei oder eingegebender Text wird den Inhalt des Clipboards überschreiben Dateien die auf dem Server in die Zwischenablage kopiert werden, können anschließend als komprimiertes ZIP-Archiv heruntergeladen werden Hochgeladende Dateien stehen auf dem Server in der Zwischenablage zur Verfügung. Der Austausch von Dateien wird bei VNC-Verbindungen nicht unterstützt
Cursor	Lokalen Cursor immer anzeigen:
Aus	Bei Aktivierung An wird an der Positiion des entfernten Mauszeigers der lokale angezeigt. (Die Funktion auf dem entfernten Gerät bleibt davon unverändert)

Hinweise

Windows 2012R2 mit aktivierten Terminaldiensten

Gruppenrichtlinien Editor

Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.

Anpassung der Registry

Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

notempty

Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/VPN/ClientlessVPN.lang}}
-{{var	| neu--VPN-Empfehlung
+{{var	| neu--Gruppenzuweisung
-		| [[#{{#var:Clientless Host hinzufügen}} | Hinweis, die Verbindung zusätzlich in einem VPN zu tunneln]]
+		| Beim [[#Clientless_Host_hinzufügen | Konfigurieren einer Verbindung können Benutzergruppen direkt mit ausgewählt]] und in der Tabelle angezeigt werden
 		|  }}
+{{var	| neu--Übersicht erweitert
+		| Die [[#Einleitung | Übersichts-Tabelle der CVPN-Verbindungen]] wurde um zahlreiche Informationen ergänzt
+		|  }}
+{{var	| neu--Videoauflösung
+		| [[#Video | Wählbare Videoauflösungen wurden erhöht]]
+		|  }}
+{{var	| erweitert ab
+		| erweitert ab
+		|  }}
 </div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-{{Header|12.7.0|
+{{Header|14.1.1|
-* {{#var:Layoutaktualisierungen}}
+* {{#var:neu--Gruppenzuweisung}}
-|[[UTM/VPN/ClientlessVPN_v12.2.5 | 12.2.5]]
+* {{#var:neu--Übersicht erweitert}}
+* {{#var:neu--Videoauflösung}}
+| [[UTM/VPN/ClientlessVPN_v14.0.9.2 | 14.0.9.2]]
+[[UTM/VPN/ClientlessVPN_v12.7 | 12.7.0]]
+[[UTM/VPN/ClientlessVPN_v12.2.5 | 12.2.5]]
 [[UTM/VPN/ClientlessVPN_v11.7.6 | 11.7.6]]
 [[UTM/VPN/ClientlessVPN_v11.6.11 | 11.6.11]]
 | {{Menu-UTM|VPN|Clientless VPN}}
-| zuletzt=10.2025
-* {{#var:neu--VPN-Empfehlung}}
 }}
 ----
@@ Zeile 22: / Zeile 34: @@
 == {{#var:Einleitung}} ==
+{{Bild| {{#var:CVPN-Übersicht--Bild}} | {{#var:CVPN-Übersicht--cap}} ||Clientless VPN|VPN|icon=fa-chart-bar |icon-text=Clientless VPN Log | Alerts=true | class=Bild-t}}
 <div class="Einrücken">
 {{#var:Einleitung--desc}}
+<p>{{#var:CVPN-Übersicht--desc}}</p>
 </div>
 == {{#var:Konfiguration der UTM}} ==
 === {{#var:Clientless Host hinzufügen}} ===
@@ Zeile 37: / Zeile 52: @@
 |- class="Leerzeile"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="9" | {{Bild| {{#var:Clientless Host hinzufügen--Bild}} |{{#var:Clientless Host hinzufügen--cap}}||Clientless VPN|VPN|icon=fa-chart-bar}}
+| class="Bild" rowspan="10" | {{Bild| {{#var:Clientless Host hinzufügen--Bild}} |{{#var:Clientless Host hinzufügen--cap}}||Clientless VPN|VPN|icon=fa-chart-bar}}
 |-
 | {{b|Servername:}} || {{ic|Windows Server 2012 RDP|class=available}} || {{#var:Servername--desc}}
@@ Zeile 44: / Zeile 59: @@
 |-
 | colspan="2" | {{Hinweis-box | {{#var:VPN-Hinweis}} | g | fs__icon=em2 }}
+|- id=Sicherheit
+| {{b|{{#var:Sicherheit}}:}} || {{Button|{{#var:NLA}}|class=aktiv}}{{Button|TLS}}{{Button|{{#var:RDP}}}} {{Hinweis-box||gr|14.1.1|status=update}}|| {{#var:Sicherheit--desc}}
+<li class="list--element__alert list--element__positiv">{{#var:NLA--desc}}</li>
+<li class="list--element__alert list--element__hint">{{#var:TLS--desc}}</li>
 |-
-| {{b|{{#var:IP-Adresse}}:}} || {{ic|203.0.113.203|class=available}} || {{#var:IP-Adresse--desc}}
+| {{b|{{#var:IP-Adresse}}:}} || {{ic|10.10.10.10|class=available}} || {{#var:IP-Adresse--desc}}
+<li class="list--element__alert list--element__hint">{{#var:IP-Adresse--Hinweis}}</li>
 |-
 | {{b|Port:}} || {{ic|3389|c|class=mw6}} || {{#var:Port--desc}}
 |-
-| {{b|{{#var:Videoauflösung}}:}} || {{Button|1024x600|dr|class=available}} || {{#var:Auflösung--desc}}
+| {{b|{{#var:Domain}} }} || {{ic| |class=available}} || {{#var:Domain--desc}}
+|-
+| {{b|{{#var:Benutzername}} }}<br>{{b|{{#var:Kennwort}} }} || {{ic| | class=available}} || {{#var:Benutzername--desc}}
+|-
+| <span id=Video>{{b|{{#var:Videoauflösung}}:}}</span> || {{Button|1024x600|dr|class=available}} || {{#var:Auflösung--desc}} {{Hinweis-box|{{#var:erweitert ab}} v14.1.1|gr|14.1.2|status=update}} {{info|{{#var:Aufloesungen}} }}
 |-
 | {{b|{{#var:Farbtiefe}}:}} || {{Button|24|dr|class=available}} || {{#var:Farbtiefe--desc}}
 |-
-| {{b|{{#var:Sicherheit}}:}} || {{Button|RDP|class=aktiv}}{{Button|TLS}}{{Button|NLA}} || {{#var:Sicherheit--desc}}
+| {{b|{{#var:Benutzergruppen}} }} {{Hinweis-box|{{#var:neu ab}} v14.1.1|gr|14.1.2|status=update}} || {{ic| |cb | class=available}} || {{#var:Benutzergruppen--desc}}
 |- class="Leerzeile"
 | colspan="3" | {{#var:Clientless Host weitere Eingaben}}
-<li class="list--element__alert list--element__hint">{{#var:Clientless Host weitere Eingaben--Hinweis}}</li>
 |- class="Leerzeile"
 |
 |}
+=== {{#var:Gruppenberechtigung}} ===
-=== {{#var:Zuweisen der Gruppe}} ===
 {{Bild| {{#var:Zuweisen der Gruppe--Bild}} |{{#var:Gruppen Berechtigungen}}||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
 <div class="Einrücken">
@@ Zeile 68: / Zeile 89: @@
 </div><br clear=all>
+=== {{#var:Zuweisen der Gruppe}} ===
 {{Bild| {{#var:Server der Gruppe zuweisen--Bild}} |{{#var:Server der Gruppe zuweisen}}|class=Bild-t}}
 <div class="Einrücken">
@@ Zeile 75: / Zeile 97: @@
 === {{#var:Zugriff erlauben}} ===
-{{Bild| {{#var:Zugriff erlauben--Bild}} |{{#var:Gruppen Berechtigungen}}||{{#var:Implizite Regeln}}|Firewall|icon=fa-save|class=Bild-t}}
+{{Bild| {{#var:Zugriff erlauben--Bild}} |{{#var:Gruppen Berechtigungen}}||{{#var:Implizite Regeln}}|Firewall|icon=fa-save|class=Bild-t width-xs }}
 <div class="Einrücken">
 {{#var:Zugriff erlauben--desc}}
 </div><br clear=all>
+== {{#var:CVPN anwenden}} ==
+<div class="Einrücken">
 {{:UTM/UI/AnmeldungUserinterface|collapsed=true}}
 <br clear=all>
-{{Bild| {{#var:Firefox Zertifikat--Bild}} |{{#var:Firefox Zertifikat--cap}}|class=Bild-t}}
+=== {{#var:CVPN Userinterface}} ===
 <div class="Einrücken">
-{{#var:Firefox Zertifikat--desc}}
+{{Bild| {{#var:CVPN Userinterface--Bild}} | {{#var:CVPN Userinterface--cap}} |class=Bild-t }}
+{{#var:CVPN Userinterface--desc}}
+<br clear=all>
+</div>
+=== {{#var:CVPN ausführen}} ===
+{| class="sptable2 noborder zh1 Einrücken"
+|-
+| colspan="2" | {{#var:CVPN ausführen--desc}}
+| rowspan="9" |{{Bild|{{#var:CVPN ausführen--Bild}} | {{#var:CVPN ausführen--cap}}  }}
+|-
+| class=mw12 | {{Button-dialog| {{#var:Sende Strg Alt Entf}}|fa-keyboard}} || {{#var:Sende Strg Alt Entf--desc}}
+|-
+| {{Button-dialog| {{#var:Erweitertes Vollbild}} | fa-expand }} || {{#var:Erweitertes Vollbild--desc}}
+|-
+| {{Button-dialog| {{#var:Vollbild}} | fa-up-right-and-down-left-from-center }} || {{#var:Vollbild--desc}}
+|-
+| {{Button-dialog| {{#var:Verbindung trennen}} | fa-signal-stream-slash }} || {{#var:Verbindung trennen--desc}}
+|-
+| {{Reiter | {{#var:Zwischenablage}} }} || {{#var:Zwischenablage--desc}}<li class="list--element__alert list--element__hint">{{#var:Zwischenablage VNC--Hinweis}}</li>
+|-
+| {{Reiter| {{#var:Cursor}} }} || {{b|{{#var:Cursor--cap}} }}
+|-
+| {{ButtonAus|{{#var:aus}} }} ||  {{#var:Cursor--desc}}
+|- class="Leerzeile"
+|
+|}
 <br clear=all>
-{{Bild|UTM116_UI_CVPN3.png|{{f|Dieser Screenshot muss noch aktualisiert werden}} | class=Bild-t}}
+</div>
-{{#var:Servereinstellungen--desc}}
-</div><br clear=all>