Wechseln zu:Navigation, Suche
Wiki

Vorlage:V11

Einleitung

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.

Besonderheiten der Browser

Bei der Verwendung von Chrome und Firefox wird eine native Websocket Verbindung verwendet. Beim Firefox muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer ist das nicht nötig, da reicht die Bestätigung des Zertifikats über den normalen https Port.

Der Internet Explorer braucht das Flashplugin um die Websockets zu emulieren. Native Websockets werden vom Internet Explorer nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert werden damit der Websocket Verbindung vertraut werden kann.

Einrichtung der FW

Vorraussetzungen

Wie setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userintreface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie hier.

Clientless Host hinzufügen

Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier nun die Server ein, die Sie den Benutzern verfügbar machen wollen.

Utm-v11-clientlessvpn1.png

Zuweisen der Gruppe

Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Hosts hinzu.

Utm-v11-clientlessvpn2.png

Zugriff erlauben

Stellen Sie nun sicher ob sich der Benutzer auch am Userintreface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.

Utm-v11-clientlessvpn3.png
Utm-v11-clientlessvpn4.png
Utm-v11-clientlessvpn5.png
Utm-v11-clientlessvpn6.png