Wechseln zu:Navigation, Suche
Wiki

Clientless VPN

Version vom 18. November 2025, 14:39 Uhr von Lauritzl (Diskussion | Beiträge) (1 Version importiert)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden



























































Einrichtung und Einstellungen des Clientless VPN

Letzte Anpassung zur Version: 14.1.1(11.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

14.0.9.2 12.7.0 12.2.5 11.7.6 11.6.11

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 VPN Clientless VPN


Einleitung

Clientless VPN UTMbenutzer@firewall.name.fqdnVPN Clientless VPN Log 42 Übersicht der Clientless VPN Verbindungen notempty
Neu ab v14.1.1: Zahlreiche zusätzliche Informationen ergänzt

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Die Benutzer melden sich am Userinterface an und erhalten dann die Möglichkeit, sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 besitzen, Java oder Ähnliches ist nicht nötig.

Die Übersicht zeigt zahlreiche Informationen an:

  • Servername
  • Typ
  • IP-Adresse
  • Port
  • Domain
  • Benutzername
  • Videomodus
  • Sicherheit
  • BenutzergruppenCVPN-Benutzer Zugeordnete Gruppe mit Clientless VPN-Berechtigung

    CVPN-Benutzer Zugeordnete Gruppe ohne Clientless VPN-Berechtigung


Konfiguration der UTM

Clientless Host hinzufügen

Unter VPN Clientless VPN Schaltfläche + Hinzufügen klicken.
Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Beschriftung Wert Beschreibung Clientless VPN UTMbenutzer@firewall.name.fqdnVPN Server anlegen
Servername: Windows Server 2012 RDP Namen für Host vergeben
Typ: RDPVNC Dienst über den auf den Host zugegriffen werden soll
notempty
Bei VNC handelt es sich um ein unverschlüsseltes Protokoll.
Wir empfehlen zusätzlich eine VPN Verbindung zwischen Server und der UTM.

Um die Sicherheit von RDP zwischen UTM und Server zu erhöhen, sollte auch diese Verbindung zusätzlich durch VPN geschützt werden.
Sicherheit: NLA (empfohlen)TLSRDP (veraltet)
Sicherheitsprotokoll wählen
  • NLA (Network Level Authentication) erfordert eine Authentifizierung vor dem Aufbau einer Verbindung
  • TLS und RDP bauen zuerst die Verbindung auf und erfordern dann eine Authentifizierung. Das begünstigt z.B. DOS-Angriffe.
    • IP-Adresse: 10.10.10.10 IP-Adresse des Host
  • Vorzugsweise wird die Verbindung zwischen UTM und Server per VPN hergestellt, so daß hier die Tunnel IP-Adresse des Servers angegeben wird
    • Port: 3389 Port der auf dem Host für den Zugriff freigeschaltet ist
    Domain     Ist die Eingabe einer Domain erforderlich (z.B. in Windows Umgebungen) kann hier die Domain vorgegeben werden
    Benutzername
    Kennwort    		     Benutzername und Kennwort werden für die Anmeldung direkt übergeben
    Videoauflösung: 1024x600 Auflösung (wählbar von 320x200 bis 2540x1440 Pixel) notempty
    erweitert ab v14.1.1
    • 320x200
    • 320x240
    • 640x480
    • 720x480
    • 768x576
    • 800x600
    • 854x480
    • 1024x600
    • 1024x768
    • 1152x768
    • 1280x720
    • 1280x854
    • 1280x960
    • 1280x1024
    • 1400x1050
    • 1440x960
    • 1600x1200
    • 1680x1050
    • 1920x1080
    • 1920x1200 notempty
      Neu ab v14.1.1
    • 2540x1440 notempty
      Neu ab v14.1.1
    Farbtiefe: 24 Farbtiefe wählen (16 oder 24 bit)
    Benutzergruppen notempty
    Neu ab v14.1.1
    		     Die Verbindung kann direkt einer Benutzergruppe zugewiesen werden

    Die Gruppe benötigt die Berechtigung Userinterface und Clientless VPN

    • Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.
    • Die Einträge Domain, Benutzername und Passwort sind Optional, werden diese Felder frei gelassen, so erfolgt eine Abfrage des Benutzernamens und des Passwortes wenn der Host über Clientless VPN aufgerufen wird.

    Gruppenberechtigung

    Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppen Berechtigungen

    • Authentifizierung Benutzer  Bereich Gruppen Schaltfläche + Gruppe hinzufügen klicken oder bestehende Gruppe
    • Im Abschnitt Berechtigungen
      • Userinterface Ein aktivieren und
      • Clientless VPN Ein aktivieren
    • Ggf. im Feld Gruppenname: einen eindeutigen Namen vergeben


    Nachträgliches Zuweisen der Gruppe

    Server der Gruppe zuweisen
    • Unter Authentifizierung Benutzer  Bereich Gruppen in den Abschnitt Clientless VPN wechseln
    • Gewünschte Clientless VPN Verbindung mit Ein aktivieren
    • Die Änderungen mit speichern



    Zugriff erlauben

    Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Gruppen Berechtigungen

    Nun muss sichergestellt werden, dass sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch Implizite Regeln oder aber durch eine entsprechend manuell erstellte Paketfilter-Regel auf das Interface geschehen.
    Hierbei reicht es aus im Menü unter Firewall Implizite Regel  Bereich VPN die VPN Regel User Interface Portal mit Ein zu aktivieren.


    CVPN anwenden




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden
















         | }}-->

    Anmeldung am Userinterface

    • Der Aufruf des Benutzer Login zum Userinterface erfolgt über die IP-Adresse oder URL der UTM ggf. gefolgt von einer Portangabe
    • Abhängig von den vergebenen Berechtigungen werden verschiedene Funktionen bereit gestellt
    • Mit Klick auf die entsprechende Kachel gelangt man dann zur gewünschten Funktion

    Einstellung Port Aufruf mit Beispiel-IP Aufruf mit Beispiel URL
    Default 443 z.B. https://192.168.175.1 z.B. https://utm.ttt-point.de
    Port vom Admininstator geändert
    Menü: Netzwerk / Servereinstellungen / Servereinstellungen / Webserver / User Webinterface Port
    		4443 z.B. https://192.168.175.1:4443 z.B. https://utm.ttt-point.de:4443


    notempty
    Der zuständige Administrator muss die IP-Adresse bzw. den Domainnamen und ggf. den Port für das User Webinterface bekannt geben

    Nach der Eingabe der IP-Adresse wird die Benutzer Login Seite der Securepoint UTM geladen. Dort werden die Anmeldedaten eingetragen.

    Wert Beschreibung
    Das Anmeldefenster Benutzer Login mit den zwei und dem optionalen dritten Eingabefeld.
    Benutzer Benutzername
    Passwort Das dazugehörige Passwort
    OTP Code
    Optional    		 Wenn dieses Eingabefeld angezeigt wird, muss ein One-Time-Password (OTP) eingetragen werden
    Das One-Time-Password (OTP) ist ein Authentifizierungs-Mechanismus, der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
  • Der Code zum Erstellen von OTPs muss vom Administrator bekannt geben werden
    •  Anmelden Das Anmelden am Userinterface erfolgt durch einen Klick auf diese Schaltfläche nach korrekter Eingabe aller Anmeldedaten.


    CVPN starten

    Clientless VPN Mit einem Klick auf die Kachel der gewünschten Verbindung wird diese aufgebaut.

    CVPN ausführen

    Ist kein Benutzername und Passwort in den Clientless VPN Einstellungen hinterlegt, werden diese nun abgefragt.
    Dialog für Clientless VPN (CVPN) Verbindung
    Sende Strg Alt Entf Sendet die Tastenkombantion
    Erweitertes Vollbild Vollbild Anzeige mit Dialog-Header inkl. Schaltflächen
    Vollbild Vollbild Anzeige (Beenden mit Esc)
    Verbindung trennen Trennt die Verbindung
    Zwischenablage
    • Innerhalb der Zwischenablage kann immer nur eine Datei gespeichert werden
    • Eine neu hochgeladene Datei oder eingegebender Text wird den Inhalt des Clipboards überschreiben
    • Dateien die auf dem Server in die Zwischenablage kopiert werden, können anschließend als komprimiertes ZIP-Archiv heruntergeladen werden
    • Hochgeladende Dateien stehen auf dem Server in der Zwischenablage zur Verfügung.
    • Der Austausch von Dateien wird bei VNC-Verbindungen nicht unterstützt
    Cursor Lokalen Cursor immer anzeigen:
    Aus Bei Aktivierung An wird an der Positiion des entfernten Mauszeigers der lokale angezeigt.
    (Die Funktion auf dem entfernten Gerät bleibt davon unverändert)



    Hinweise

    Windows 2012R2 mit aktivierten Terminaldiensten

    Gruppenrichtlinien Editor

    Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
    Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

    Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.



    Anpassung der Registry

    Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser muss den Wert 1 erhalten.
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

    notempty
    Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/ClientlessVPN&oldid=99364