UTM/VPN/ClientlessVPN: Unterschied zwischen den Versionen

Zum nächsten Versionsunterschied →

Version vom 30. Januar 2023, 16:24 Uhr

Einrichtung und Einstellungen des Clientless VPN

Letzte Anpassung zur Version: 12.2.5.1

Neu:

Layoutaktualisierungen

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

11.7.6 11.6.11

Einleitung

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.

Konfiguration der UTM

Clientless Host hinzufügen

Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Beschriftung	Wert	Beschreibung	Server anlegen
\|\| Windows Server 2012 RDP \|\| Namen für Host vergeben
Typ:	RDPVNC	Dienst über den auf den Host zugegriffen werden soll
IP-Adresse:	203.0.113.203	IP-Adresse des Host
\|\| 3389 \|\| Port der auf dem Host für den Zugriff freigeschaltet ist
\|\| 1024x600 \|\| Auflösung (wählbar von 320x200 bis 2540x1440 Pixel)
Farbtiefe:	24	Farbtiefe wählen (16 oder 24 bit)
Sicherheit:	RDPTLSNLA	Sicherheitsprotokoll wählen
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden. Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.

Nachträgliches Zuweisen der Gruppe

Authentifizierung Benutzer Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken oder bestehende Gruppe
Im Abschnitt Berechtigungen
- Userinterface Ein aktivieren und
- Clientless VPN Ein aktivieren
Ggf. im Feld Gruppenname: einen eindeutigen Namen vergeben

Unter Authentifizierung Benutzer Bereich Gruppen in den Abschnitt Clientless VPN wechseln
Gewünschte Clientless VPN Verbindung mit Ein aktivieren
Die Änderungen mit speichern

Zugriff erlauben

Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen.
Hierbei reicht es aus im Menü unter Firewall Implizite Regel Bereich VPN die VPN Regel User Interface Portal mit Ein zu aktivieren.

     | }}-->

Anmeldung am Userinterface

Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

Einstellung	Port	Aufruf mit Beispiel-IP	Aufruf mit Beispiel URL
Default	443	z.B. https://192.168.175.1	z.B. https://utm.ttt-point.de
Port vom Admininstator geändert Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port	4443	z.B. https://192.168.175.1:4443	z.B. https://utm.ttt-point.de:4443

notempty

Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

Wert	Beschreibung	Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer	Benutzername
Passwort	Das dazugehörige Passwort
OTP Code Optional	Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
Anmelden	Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.

[[Datei: |hochkant=2|mini|]]

Hinweise

Windows 2012R2 mit aktivierten Terminaldiensten

[[Datei: |hochkant=2|mini|Gruppenrichtlinien Editor ]]

Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.

Anpassung der Registry

Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.

Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.

@@ Zeile 1: / Zeile 1: @@
-#WEITERLEITUNG [[UTM/VPN/ClientlessVPN v11.7.6]]
+{{Set_lang}}
+{{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/VPN/ClientlessVPN.lang}}
+</div> {{TOC2}}
+{{Header|12.2.5.1|
+* {{#var:Layoutaktualisierungen}}
+|[[UTM/VPN/ClientlessVPN_v11.7.6 | 11.7.6]]
+[[UTM/VPN/ClientlessVPN_v11.6.11 | 11.6.11]]
+|{{Menu|VPN|Clientless VPN}}
+}}
+----
+== {{#var:Einleitung}} ==
+<div class="Einrücken">
+{{#var:Einleitung--desc}}
+</div><br clear=all>
+== {{#var:Konfiguration der UTM}} ==
+=== {{#var:Clientless Host hinzufügen}} ===
+<div class="Einrücken">
+{{#var:Clientless Host hinzufügen--desc}}
+</div><br clear=all>
+{| class="sptable2 pd5 zh1 Einrücken"
+|- class="Leerzeile"
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
+| class="Bild" rowspan="9" | {{Bild| {{#var:Clientless Host hinzufügen--Bild}} |{{#var:Clientless Host hinzufügen--cap}} }}
+|-
+| {{b|{{#var:Servername}}:}} || {{ic|Windows Server 2012 RDP|class=available}} || {{#var:Servername--desc}}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|RDP|blau}}{{Button|VNC}} || {{#var:Typ--desc}}
+|-
+| {{b|{{#var:IP-Adresse}}:}} || {{ic|203.0.113.203|class=available}} || {{#var:IP-Adresse--desc}}
+|-
+| {{b|{{#var:Port}}:}} || {{ic|3389|c|class=available}} || {{#var:Port--desc}}
+|-
+| {{b|{{#var:Auflösung}}:}} || {{Button|1024x600|dr|class=available}} || {{#var:Auflösung--desc}}
+|-
+| {{b|{{#var:Farbtiefe}}:}} || {{Button|24|dr|class=available}} || {{#var:Farbtiefe--desc}}
+|-
+| {{b|{{#var:Sicherheit}}:}} || {{Button|RDP|blau}}{{Button|TLS}}{{Button|NLA}} || {{#var:Sicherheit--desc}}
+|- class="Leerzeile"
+| colspan="3" | {{#var:Clientless Host weitere Eingaben}}
+|- class="Leerzeile"
+|
+|}
+=== {{#var:Zuweisen der Gruppe}} ===
+{{pt3| {{#var:Zuweisen der Gruppe--Bild}} |{{#var:Gruppen Berechtigungen}} }}
+<div class="Einrücken">
+{{#var:Zuweisen der Gruppe--desc}}
+</div><br clear=all>
+{{pt3| {{#var:Server der Gruppe zuweisen--Bild}} |{{#var:Server der Gruppe zuweisen}} }}
+<div class="Einrücken">
+{{#var:Server der Gruppe zuweisen--desc}}
+</div><br clear=all>
+=== {{#var:Zugriff erlauben}} ===
+{{pt3| {{#var:Zugriff erlauben--Bild}} |{{#var:Gruppen Berechtigungen}} }}
+<div class="Einrücken">
+{{#var:Zugriff erlauben--desc}}
+</div><br clear=all>
+{{:UTM/UI/AnmeldungUserinterface|collapsed=true}}
+<br>
+<div class="Einrücken">
+{{#var:Anmelden1--desc}}
+<br clear=all>
+{{pt3| Clientless VPN Windows Server 2012 RDP.png | {{#var:Firefox Zertifikat--cap}} }}
+{{#var:Firefox Zertifikat--desc}}
+<br clear=all>
+{{pt3| {{#var:Servereinstellungen--Bild}} }}
+{{#var:Servereinstellungen--desc}}
+</div><br clear=all>
+== {{#var:Hinweise}} ==
+=== {{#var:Windows 2012R2 mit aktivierten Terminaldiensten}} ===
+{{pt3| {{#var:Windows 2012R2 mit aktivierten Terminaldiensten--Bild}} |{{#var:Gruppenrichtlinien Editor}} }}
+<div class="Einrücken">
+{{#var:Windows 2012R2 mit aktivierten Terminaldiensten--desc}}
+</div><br clear=all>
+=== {{#var:Anpassung der Registry}} ===
+<div class="Einrücken">
+{{#var:Anpassung der Registry--desc}}
+<br>
+{{Hinweis-neu|! {{#var:Anpassung der Registry-Hinweis}}|g}}
+</div><br clear=all>