Clientless VPN

Clientless VPN setup and settings

Last adaptation to the version: 14.1.1 (11.2025)

New:

Beim Konfigurieren einer Verbindung können Benutzergruppen direkt mit ausgewählt und in der Tabelle angezeigt werden
Die Übersichts-Tabelle der CVPN-Verbindungen wurde um zahlreiche Informationen ergänzt
Wählbare Videoauflösungen wurden erhöht

notempty

This article refers to a Beta version

14.0.9.2 12.7.0 12.2.5 11.7.6 11.6.11

Introduction

Übersicht der Clientless VPN Verbindungen notempty

Neu ab v14.1.1: Zahlreiche zusätzliche Informationen ergänzt

Clientless VPN provides the ability to connect to an RDP or VNC server on the corporate network via the browser. Users log in to the user interface and are then given the option to connect with a designated server. For this to work, the browser must have HTML5, Java or similar is not necessary.

Die Übersicht zeigt zahlreiche Informationen an:

Servername
Typ
IP-Adresse
Port
Domain
Benutzername
Videomodus
Sicherheit

BenutzergruppenCVPN-Benutzer Zugeordnete Gruppe mit Clientless VPN-Berechtigung
CVPN-Benutzer Zugeordnete Gruppe ohne Clientless VPN-Berechtigung

Configuration of the UTM

Add Clientless Host

Under VPN Clientless VPN click the + Add button.
All servers that are to be made available to users via the user interface using Clientless VPN are entered here.

Caption	Value	Description	Clientless VPN UTMuser@firewall.name.fqdnVPN Create server
Servername:	Windows Server 2012 RDP	Assign a name for the host
Type:	RDPVNC	Service through which the host is to be accessed
Type:	notempty VNC is an unencrypted protocol. We also recommend a VPN connection between the server and the UTM. In general, even when using RDP, it is recommended to protect the connection with a VPN to ensure authenticity.
Security:	NLA (recommended)TLSRDP (deprecated)	Choose the security protocol NLA (Network Level Authentication) erfordert eine Authentifizierung vor dem Aufbau einer Verbindung TLS und RDP bauen zuerst die Verbindung auf und erfordern dann eine Authentifizierung. Das begünstigt z.B. DOS-Angriffe.
IP address:	10.10.10.10	IP address of the host Vorzugsweise wird die Verbindung zwischen UTM und Server per VPN hergestellt, so daß hier die Tunnel IP-Adresse des Servers angegeben wird
Port:	3389	Port that is enabled for access on the host
Domain		Ist die Eingabe einer Domain erforderlich (z.B. in Windows Umgebungen) kann hier die Domain vorgegeben werden
Benutzername Kennwort		Benutzername und Kennwort werden für die Anmeldung direkt übergeben
Video resolution:	1024x600	Resolution (selectable from 320x200 to 2540x1440 pixels) notempty erweitert ab v14.1.1 320x200 320x240 640x480 720x480 768x576 800x600 854x480 1024x600 1024x768 1152x768 1280x720 1280x854 1280x960 1280x1024 1400x1050 1440x960 1600x1200 1680x1050 1920x1080 1920x1200 notempty New as of v14.1.1 2540x1440 notempty New as of v14.1.1
Color depth:	24	Choose color depth (16 or 24 bit)
Benutzergruppen notempty New as of v14.1.1		Die Verbindung kann direkt einer Benutzergruppe zugewiesen werden Die Gruppe benötigt die Berechtigung Userinterface und Clientless VPN
The resolution and color depth depends on the capabilities of the destination host and the clients from which the destination host is accessed via the browser. The entries Domain, Username and Password are optional, if these fields are left blank, the username and password will be requested when the host is accessed via Clientless VPN.

Gruppenberechtigung

Add group UTMuser@firewall.name.fqdnAuthenticationUser Group permissions

Click Authentication Users Area Groups button + Add Group or existing group
in the Permissions section:
- Enable Userinterface with the On button
- Enable Clientless VPN with the On button
Assign a unique name in the Group name: field.

Subsequent assignment of the group

Assign server to the group

Switch to the Clientless VPN tab.
Activate desired clientless VPN connection with On
Apply the changes with

Allow access

Implicit rules UTMuser@firewall.name.fqdnFirewall Group permissions

Now it must be ensured that the clientless VPN user is also allowed to log in to the user web interface via the browser. This can be done either by Implicit Rules or by manually creating a corresponding Packetfilter Rule on the interface.
In this case it is sufficient to activate the User Interface Portal VPN rule with On in the menu under Firewall Implizite Regel Area VPN.

CVPN anwenden

     | }}-->

Login to the user interface

The user login to the user interface is called up via the IP address or URL of the UTM, possibly followed by a port specification
Depending on the assigned permissions, various functions are made available
Click on the corresponding tile to access the desired function

Configured	Port	Example call with IP	Example call with URL
Default	443	i.e. https://192.168.175.1	i.e. https://utm.ttt-point.de
Port changed bei administrator Menu: Network / Appliance Settings / Appliance Settings / Webserver / User Webinterface Port	4443	i.e. https://192.168.175.1:4443	i.e. https://utm.ttt-point.de:4443

notempty

The responsible admin must provide the IP address or domain name and, if necessary, the port for the user web interface

After entering the IP address, the user login page of he Securepoint UTM is loaded. The login credentials are entered there.

Value	Description	The login window User Login with the two and the optional third input box.
User	Username
Password	The associated password
OTP Code Optional	If this input box is displayed, a one-time password (OTP) must be entered The one-time password (OTP) is an authentication mechanism that provides additional security when a user logs in. The code to create OTPs must be supplied by the administrator
Login	You can log in to the user interface by clicking on this button after entering all login data correctly.

CVPN starten

Clientless VPN Mit einem Klick auf die Kachel der gewünschten Verbindung wird diese aufgebaut.

CVPN ausführen

Ist kein Benutzername und Passwort in den Clientless VPN Einstellungen hinterlegt, werden diese nun abgefragt.		Dialog für Clientless VPN (CVPN) Verbindung
Sende Strg Alt Entf	Sendet die Tastenkombantion
Erweitertes Vollbild	Vollbild Anzeige mit Dialog-Header inkl. Schaltflächen
Vollbild	Vollbild Anzeige (Beenden mit Esc)
Verbindung trennen	Trennt die Verbindung
Zwischenablage	Innerhalb der Zwischenablage kann immer nur eine Datei gespeichert werden Eine neu hochgeladene Datei oder eingegebender Text wird den Inhalt des Clipboards überschreiben Dateien die auf dem Server in die Zwischenablage kopiert werden, können anschließend als komprimiertes ZIP-Archiv heruntergeladen werden Hochgeladende Dateien stehen auf dem Server in der Zwischenablage zur Verfügung. Der Austausch von Dateien wird bei VNC-Verbindungen nicht unterstützt
Cursor	Lokalen Cursor immer anzeigen:
Off	Bei Aktivierung An wird an der Positiion des entfernten Mauszeigers der lokale angezeigt. (Die Funktion auf dem entfernten Gerät bleibt davon unverändert)

Hints

Windows 2012R2 with enabled terminal services

Group policy dditor

If a 2012R2 server is to be used as the RDP server for the clientless VPN, the establishment of the RDP connection fails due to the "Authentication at network level".
When using the terminal services, this function can also no longer be deactivated via the familiar way.

However, it is possible to force the disabling of ""Authentication at network level"" via the GPO (Group Policy).

Adjusting the registry

However, it may also be necessary to adjust a registry entry. This must have a value of 1.
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp SecurityLayer

notempty

For Terra-Cloud machines it may be necessary to adjust the registry entry.