Clientless VPN

Einrichtung und Einstellungen des Clientless VPN

Letzte Anpassung zur Version: 12.7.0

Neu:

Layoutaktualisierungen

Zuletzt aktualisiert:

Hinweis, die Verbindung zusätzlich in einem VPN zu tunneln

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.2.5 11.7.6 11.6.11

Einleitung

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.

Konfiguration der UTM

Clientless Host hinzufügen

Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Beschriftung	Wert	Beschreibung	Clientless VPN UTMbenutzer@firewall.name.fqdnVPN Server anlegen
Servername:	Windows Server 2012 RDP	Namen für Host vergeben
Typ:	RDPVNC	Dienst über den auf den Host zugegriffen werden soll
Typ:	notempty Bei VNC handelt es sich um ein unverschlüsseltes Protokoll. Wir empfehlen zusätzlich eine VPN Verbindung zwischen Server und der UTM. Um die Sicherheit von RDP zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.
IP-Adresse:	203.0.113.203	IP-Adresse des Host
Port:	3389	Port der auf dem Host für den Zugriff freigeschaltet ist
Videoauflösung:	1024x600	Auflösung (wählbar von 320x200 bis 2540x1440 Pixel)
Farbtiefe:	24	Farbtiefe wählen (16 oder 24 bit)
Sicherheit:	RDPTLSNLA	Sicherheitsprotokoll wählen
Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden. Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird. Werden diese Zugangsdaten hinterlegt, sind sie durch den Clientless VPN Benutzer auch auslesbar.

Nachträgliches Zuweisen der Gruppe

Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppen Berechtigungen

Authentifizierung Benutzer Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken oder bestehende Gruppe
Im Abschnitt Berechtigungen
- Userinterface Ein aktivieren und
- Clientless VPN Ein aktivieren
Ggf. im Feld Gruppenname: einen eindeutigen Namen vergeben

Server der Gruppe zuweisen

Unter Authentifizierung Benutzer Bereich Gruppen in den Abschnitt Clientless VPN wechseln
Gewünschte Clientless VPN Verbindung mit Ein aktivieren
Die Änderungen mit speichern

Zugriff erlauben

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Gruppen Berechtigungen

Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen.
Hierbei reicht es aus im Menü unter Firewall Implizite Regel Bereich VPN die VPN Regel User Interface Portal mit Ein zu aktivieren.

     | }}-->

Anmeldung am Userinterface

Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

Einstellung	Port	Aufruf mit Beispiel-IP	Aufruf mit Beispiel URL
Default	443	z.B. https://192.168.175.1	z.B. https://utm.ttt-point.de
Port vom Admininstator geändert Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port	4443	z.B. https://192.168.175.1:4443	z.B. https://utm.ttt-point.de:4443

notempty

Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

Wert	Beschreibung	Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
Benutzer	Benutzername
Passwort	Das dazugehörige Passwort
OTP Code Optional	Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt. Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
Anmelden	Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.

[[Datei: ]]

Hinweise

Windows 2012R2 mit aktivierten Terminaldiensten

Gruppenrichtlinien Editor

Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.

Anpassung der Registry

Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

notempty

Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.