Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
(13 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{v11}}
{{DISPLAYTITLE:Clientless VPN}}
=Einleitung=


Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.
== Informationen ==
Letzte Anpassung zur Version: '''11.7.6.1'''
<br>
Bemerkung: Hinweis für Terra-Cloud Maschinen hinzugefügt
<br>
Vorherige Versionen: [[UTM/VPN/ClientlessVPN_v11.7.6 | 11.7.6]]
<br>
 
==Einleitung==
 
Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.


===Besonderheiten der Browser===
===Besonderheiten der Browser===
Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https statt.
Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https mit dem entsprechenden User Webinterface Port statt.


Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.<br>
Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.<br>
Zeile 22: Zeile 31:


Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert
Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert
werden, damit der Websocket Verbindung vertraut werden kann.  
werden, damit der Websocket Verbindung vertraut werden kann.
 
= Einrichtung der FW=
==Vorraussetzungen==
Wir setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userinterface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie [http://wiki.securepoint.de/index.php/Benutzergruppen_Anbindung-AD ''hier.'']


== Clientless Host hinzufügen==
== Einrichtung der FW==
=== Clientless Host hinzufügen===
[[Datei:UTM116_AI_CVPN1.png|200px|thumb|right|Server anlegen]]
[[Datei:UTM116_AI_CVPN1.png|200px|thumb|right|Server anlegen]]
Der Menüpunkt zum Hinzufügen von Servern zum ''Clientless VPN'' befindet sich im Menü unter ''VPN''. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.
Der Menüpunkt zum Hinzufügen von Servern zum ''Clientless VPN'' befindet sich im Menü unter ''VPN''. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.
Zeile 39: Zeile 45:
*Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
*Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
*Farbtiefe (16 oder 24 bit)
*Farbtiefe (16 oder 24 bit)
<!--
{{bild|UTM_v11.8.5_Authentifizierung_Benutzer_Clientless-VPN_Verwaltung.png | 100px}}
{| class="sptable striped"
! Beschriftung !! Wert !! Beschreibung
|-
| {{b|Servername}} || {{ic| }} ||  || class="bild" rowspan="10" |{{bild|UTM_v11.8.5_Authentifizierung_Benutzer_Clientless-VPN_Host-hinzufügen.png}}
|-
| {{b| Typ: }} || {{Button|RDP|blau}} || Verbindungsprotokoll<br/>alternativ {{Button|VNC}}
|-
| {{b| IP-Adresse: }} || {{ic| }} || IP-Adresse des VPN-Hosts
|-
| {{b| Port: }} || {{ic|3389|c }} || Port, über den die Verbindung hergestellt wird
|-
| {{b| Domain: }} || {{ic| }} || Domain, an der sich der Benutzer anmeldet
|-
| {{b| Benutzername: }} || {{ic| }} ||
|-
| {{b| Passwort: }} || {{ic| }} ||
|-
| {{b| Auflösung: }} || {{Button|1024x600 |dr}} ||
|-
| {{b| Farbtiefe:  }} || {{Button|24 |dr}} || bit
|-
| {{b| Sicherheit: }} ||  ||
|}
-->




Zeile 47: Zeile 79:




== Zuweisen der Gruppe==
=== Zuweisen der Gruppe===
[[Datei:UTM116_AI_CVPN2.png|200px|thumb|right|Gruppen Berechtigungen]]
[[Datei:UTM116_AI_CVPN2.png|200px|thumb|right|Gruppen Berechtigungen]]
Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt ''Authentifizierung'' wird das Untermenü ''Benutzer'' ausgewählt. Im Reiter ''Gruppen'' kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für ''Clientless VPN'' und das ''Userinterface'' erhalten müssen.  
Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt ''Authentifizierung'' wird das Untermenü ''Benutzer'' ausgewählt. Im Reiter ''Gruppen'' kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für ''Clientless VPN'' und das ''Userinterface'' erhalten müssen.  
Zeile 66: Zeile 98:




==Zugriff erlauben==
===Zugriff erlauben===
[[Datei:UTM116_AI_CVPN4.png|200px|thumb|right|Gruppen Berechtigungen]]
[[Datei:UTM116_AI_CVPN4.png|200px|thumb|right|Gruppen Berechtigungen]]
Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.
Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.
Zeile 76: Zeile 108:
Bei Versionen vor 11.4 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.
Bei Versionen vor 11.4 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.


=Anmelden=
==Anmelden==
Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.
Die Anmeldung am Userinterface der UTM erfolgt über die Eingabe der URL  
https://<UTM-IP>
im Browser wenn das User Webinterface noch auf dem Standardport 443 läuft. Sollte der User Webinterface Port geändert worden sein wird die URL durch Eingabe eines Doppelpunkt und des Port erweitert:
https://<UTM-IP>:<Port>
 
Es erscheint nun ein Button ''Clientless VPN''.
[[Datei:UTM116_UI_CVPN1.png|300px|center]]
 
 
Ein Klick auf Clientless-VPN öffnet den folgenden Dialog.
Bei Firefox muss in den Versionen vor 11.6 erst einmal das Zertifikat auf dem Port akzeptiert werden.
[[Datei:UTM116_UI_CVPN2.png|300px|center]]
 


In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.  
Mit einen Klick auf den entsprechenden Server wird die Verbindung zu diesem aufgebaut. Ist kein Benutzername und Passwort in den Servereinstellungen unter Clientless VPN hinterlegt, werden diese nun abgefragt.
[[Datei:Utm-v11-clientlessvpn4.png|center]]
[[Datei:UTM116_UI_CVPN3.png|600px|center]]


==Hinweise==
===Windows 2012R2 mit aktivierten Terminaldiensten===
[[Datei:GPO_network_auth.png|200px|thumb|right|Gruppenrichtlinien Editor]]
Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“. <br>
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.


Ein Klick auf Clientless-VPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie erst einmal das Zetifikat auf dem Port akzeptieren.
Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.
[[Datei:Utm-v11-clientlessvpn5.png|center]]




Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.
===Anpassung der Registry===
[[Datei:Utm-v11-clientlessvpn6.png|center]]
Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser Muss den Wert 1 erhalten.
<pre>Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
SecurityLayer</pre>


=Webinar=


{{#ev:youtube|ZeXozM3_bIw|600|center}}
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.</span></div>
</div>
<div style="clear: both;"></div>

Version vom 23. August 2019, 07:58 Uhr


Informationen

Letzte Anpassung zur Version: 11.7.6.1
Bemerkung: Hinweis für Terra-Cloud Maschinen hinzugefügt
Vorherige Versionen: 11.7.6

Einleitung

Das Clientless-VPN bietet die Möglichkeit, sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und bei UTM Versionen vor 11.6 auch Websockets verstehen, Java oder ähnliches ist nicht nötig.

Besonderheiten der Browser

Diese Vorgaben gelten nur für die Nutzung des Clientless VPN vor UTM Version 11.6. Ab Version 11.6 findet die Kommunikation nur noch über den Dienst https mit dem entsprechenden User Webinterface Port statt.

Bei der Verwendung von Chrome, Firefox und Internet Explorer ab Version 10 wird eine native Websocket Verbindung verwendet.
Beim Firefox und IE ab V10 muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer Version 9 ist das nicht nötig, da reicht die Bestätigung des Zertifikats über den normalen https Port.

Der Internet Explorer Version 9 braucht das Flashplugin um die Websockets zu emulieren. Native Websockets werden vom Internet Explorer Version 9 nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert werden, damit der Websocket Verbindung vertraut werden kann.

Einrichtung der FW

Clientless Host hinzufügen

Server anlegen

Der Menüpunkt zum Hinzufügen von Servern zum Clientless VPN befindet sich im Menü unter VPN. Hier werden alle Server eingetragen, die den Benutzern über das Userinterface per Clientless VPN verfügbar gemacht werden sollen.

Benötigt werden folgende Angaben:

  • Name des Host
  • Dienst über den auf den Host zugegriffen werden soll
  • IP-Adresse des Host
  • Port der auf dem Host für den Zugriff freigeschaltet ist
  • Auflösung (wählbar von 320x200 bis 1920x1080 Pixel)
  • Farbtiefe (16 oder 24 bit)


Die Auflösung und Farbtiefe ist abhängig von den Möglichkeiten des Ziel Host und der Clients von denen über den Browser auf den Ziel Host zugegriffen werden.

Die Einträge unter Domain, Benutzername und Passwort sind Optional. Werden diese Felder frei gelassen, erfolgt eine Abfrage des Benutzernamens und des Passwort wenn der Host über Clientless VPN aufgerufen wird.


Zuweisen der Gruppe

Gruppen Berechtigungen

Nun können die Hosts den entsprechenden Benutzergruppe zugewiesen werden. Unter dem Menüpunkt Authentifizierung wird das Untermenü Benutzer ausgewählt. Im Reiter Gruppen kann eine neue Gruppe hinzugefügt werden, dessen Benutzer die Berechtigungen für Clientless VPN und das Userinterface erhalten müssen.




Server der Gruppe zuweisen

Anschließend werden im jetzt zusätzlich angezeigten Reiter Clientless VPN die Server mit dem Plus Button hinzugefügt, auf die die Benutzer dieser Gruppe Zugriff haben sollen.




Zugriff erlauben

Gruppen Berechtigungen

Nun muss sichergestellt werden, das sich der Clientless VPN Benutzer auch über den Browser am User Webinterface anmelden darf. Dies kann entweder durch implizite Regeln oder aber durch eine entsprechend manuell erstellte Portfilter-Regel auf das Interface geschehen.

Ab Version 11.6 reicht es aus im Menü unter Firewall den Menüpunkt Implizite Regel zu wählen und im Reiter VPN die Markierung bei User Interface Portal zu setzten. Hier wird dann der unter Netzwerk im Menü Servereinstellungen eingetragene Port für das User Webinterface automatisch berücksichtigt.

Bei Versionen vor 11.6 müssen die Ports des User Webinterfaces (bei Auslieferung Port 443) sowie die Socketports 2107/2907 freigegeben werden.

Bei Versionen vor 11.4 muss bei einer Änderung des User Webinterface Ports manuell eine Freigabe über die Portfilterregeln erstellt werden.

Anmelden

Die Anmeldung am Userinterface der UTM erfolgt über die Eingabe der URL

https://<UTM-IP>

im Browser wenn das User Webinterface noch auf dem Standardport 443 läuft. Sollte der User Webinterface Port geändert worden sein wird die URL durch Eingabe eines Doppelpunkt und des Port erweitert:

https://<UTM-IP>:<Port>

Es erscheint nun ein Button Clientless VPN.

UTM116 UI CVPN1.png


Ein Klick auf Clientless-VPN öffnet den folgenden Dialog. Bei Firefox muss in den Versionen vor 11.6 erst einmal das Zertifikat auf dem Port akzeptiert werden.

UTM116 UI CVPN2.png


Mit einen Klick auf den entsprechenden Server wird die Verbindung zu diesem aufgebaut. Ist kein Benutzername und Passwort in den Servereinstellungen unter Clientless VPN hinterlegt, werden diese nun abgefragt.

UTM116 UI CVPN3.png

Hinweise

Windows 2012R2 mit aktivierten Terminaldiensten

Gruppenrichtlinien Editor

Soll als RDP-Server für das Clientless VPN ein Server 2012R2 verwendet werden, scheitert der Aufbau der RDP-Verbindung an der „Authentifizierung auf Netzwerkebene“.
Bei Verwendung der Terminal-Dienste kann diese Funktion auch nicht mehr über den bekannten Weg deaktiviert werden.

Allerdings ist es möglich über die GPO (Gruppenrichtlinien) die Deaktivierung der „Authentifizierung auf Netzwerkebene“ zu erzwingen.


Anpassung der Registry

Es kann aber auch notwendig sein ein Registry Eintrag anzupassen. Dieser Muss den Wert 1 erhalten.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
SecurityLayer


Alert-yellow.png
Bei Terra-Cloud Maschinen kann es notwendig sein den Registry Eintrag anzupassen.