Version vom 31. Oktober 2012, 15:35 Uhr

Einleitung

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.

Besonderheiten der Browser

Bei der Verwendung von Chrome und Firefox wird eine native Websocket Verbindung verwendet. Beim Firefox muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer ist das nicht nötig, da reicht die Bestätigung des Zertifikats über den normalen https Port.

Der Internet Explorer braucht das Flashplugin um die Websockets zu emulieren. Native Websockets werden vom Internet Explorer nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert werden, damit der Websocket Verbindung vertraut werden kann.

Einrichtung der FW

Vorraussetzungen

Wie setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userintreface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie hier.

Clientless Host hinzufügen

Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier, die Server ein, die Sie den Benutzern verfügbar machen wollen.

Zuweisen der Gruppe

Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Server hinzu.

Zugriff erlauben

Stellen Sie nun sicher ob sich der Benutzer auch am Userinterface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.

Anmelden

Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.

In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.

Ein Klick auf Clientless-CPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie vorerst einmal das Zetifikat auf dem Port akzeptieren.

Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.

@@ Zeile 2: / Zeile 2: @@
 =Einleitung=
-Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.
+Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.
 ===Besonderheiten der Browser===
@@ Zeile 20: / Zeile 20: @@
 Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert
-werden damit der Websocket Verbindung vertraut werden kann.
+werden, damit der Websocket Verbindung vertraut werden kann.
 = Einrichtung der FW=
@@ Zeile 27: / Zeile 27: @@
 == Clientless Host hinzufügen==
-Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier nun die Server ein, die Sie den Benutzern verfügbar machen wollen.
+Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier, die Server ein, die Sie den Benutzern verfügbar machen wollen.
 [[Datei:Utm-v11-clientlessvpn1.png|center]]
 == Zuweisen der Gruppe==
-Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Hosts hinzu.
+Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Server hinzu.
 [[Datei:Utm-v11-clientlessvpn2.png|center]]
 ==Zugriff erlauben==
-Stellen Sie nun sicher ob sich der Benutzer auch am Userintreface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.
+Stellen Sie nun sicher ob sich der Benutzer auch am Userinterface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.
 [[Datei:Utm-v11-clientlessvpn3.png|center]]
+=Anmelden=
+Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.
+In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.
 [[Datei:Utm-v11-clientlessvpn4.png|center]]
+Ein Klick auf Clientless-CPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie vorerst einmal das Zetifikat auf dem Port akzeptieren.
 [[Datei:Utm-v11-clientlessvpn5.png|center]]
+Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.
 [[Datei:Utm-v11-clientlessvpn6.png|center]]

UTM/VPN/ClientlessVPN v11.7.6: Unterschied zwischen den Versionen