Le Rangee Thin Client Management Server (TCMS) peut être utilisé comme passerelle pour connecter des Thin Clients Rangee exploités à l’extérieur à votre réseau. Ce guide décrit les étapes de configuration nécessaires.

• Prérequis
• Configuration :
  • TCMS
    • Configuration d’un port API TCMS supplémentaire
    • Configuration de la connexion VPN TCMS
    • 
      
      Définir les clients VPN
  • Thin Client
  • Firewall

Prérequis

Pour pouvoir utiliser la fonctionnalité VPN du TCMS, les conditions suivantes doivent être remplies :

1. Le Thin Client avec RangeeOS doit disposer de la licence « tcmsclient-vpn ». Si vous ne possédez pas encore de licence pour ce module, vous pouvez en acquérir une via notre service commercial ou notre formulaire de contact Kontaktformular , ou demander une licence de démonstration de 30 jours 30-tägige Demo Lizenz.
2. Le TCMS doit être accessible via une IP fixe ou un nom d’hôte.
3. Le TCMS doit être accessible pour les clients à la fois via le port d’enregistrement choisi et le port VPN choisi.
4. Les serveurs auxquels les clients doivent accéder via le TCMS doivent être accessibles depuis le TCMS.

Configuration :

TCMS

Configuration d’un port API TCMS supplémentaire

En configurant un port API TCMS supplémentaire, vous pouvez définir un port par lequel seuls les Thin Clients peuvent se connecter au TCMS, tandis que l’interface web n’est pas accessible. L’utilisation du port API supplémentaire est fortement recommandée lorsque le TCMS est rendu accessible via Internet.

Vous configurez le port API supplémentaire dans le TCMS sous  Modifier -> Paramètres -> Paramètres de base . Vous y trouverez les options suivantes :

• Port API supplémentaire – Port TCP librement choisissable, dans notre exemple 8888
  Autoriser l’accès au Repository via le port API supplémentaire (optionnel) – Permet aux clients de récupérer les mises à jour depuis le TCMS Repository via ce port

Configuration de la connexion VPN TCMS

Vous trouverez la configuration VPN TCMS sous   Modifier -> Paramètres -> Paramètres VPN TCMS  . Vous y trouverez les options suivantes :

• Démarrer TCMS VPN – Active le service VPN TCMS
• Sous-réseau VPN – Définit un sous-réseau interne TCMS-VPN-CLIENT au format CIDR. Ce réseau ne doit en aucun cas chevaucher votre réseau interne.
• Adresse TCMS VPN – Adresse du serveur TCMS dans le sous-réseau VPN
• Port VPN – Port UDP utilisé pour établir la connexion VPN. Doit être accessible depuis l’extérieur.
• Métrique des routes VPN – Détermine la métrique utilisée pour établir la connexion VPN côté client
• Autoriser le routage NAT VPN – Si activé, cette option permet aux clients connectés via VPN d’accéder aux serveurs définis comme accessibles depuis l’extérieur
• Objectifs accessibles depuis l’extérieur – Dans ce champ texte, vous pouvez rendre disponibles n’importe quels objectifs pour les clients connectés via VPN. La notation suivante doit être utilisée, seule l’indication du serveur/sous-réseau est obligatoire : #Serveur/Sous-réseau en forme CIDR#:#Port#,#Port2#|#Protocole1#,#Protocole2#

Exemples :

• 192.168.10.30/32 oder 192.168.10.30
  Permet l’accès à tous les ports du serveur avec l’IP 192.168.10.30
• 192.168.10.0/24
  Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24
• 192.168.10.30/32:3389
  Permet l’accès au serveur avec l’IP 192.168.10.30 uniquement sur le port 3389
• 192.168.10.30/32:443,4712
  Permet l’accès au serveur avec l’IP 192.168.10.30 sur les ports 443 et 4712
• 192.168.10.0/24:3389|tcp
  Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24 sur le port 3389 TCP
• 192.168.0.0/16:443|tcp,udp,icmp 
  Permet l’accès à toutes les machines du sous-réseau 192.168.0.0/16 sur le port 443 TCP, UDP et ICMP (Ping)

Définir les clients VPN

La sélection des clients devant utiliser la configuration VPN TCMS se fait via un paramètre de groupe.

Pour ce faire, dans l’onglet Groupes , choisissez le groupe pour lequel vous souhaitez activer le TCMS VPN. Activez ensuite, dans l’onglet Paramètres du groupe, l’option « Allow TCMS VPN for this group ».

Thin Client

Du côté du Thin Client, aucune configuration particulière n’est nécessaire pour utiliser la connexion VPN TCMS. Toutes les informations requises sont automatiquement reçues via la configuration TCMS du client.

Veillez toutefois à ce que le client établisse sa connexion au TCMS via le port API supplémentaire ainsi que via le nom d’hôte externe résolvable ou l’adresse IP fixe. Vous trouverez ce paramètre dans la Kommbox du client sous : Administration à distance -> Paramètres TCMS

Firewall

Du côté pare-feu, il est nécessaire de définir les règles correspondantes pour les ports que vous avez choisis.

Exemple de configuration pour l’ouverture d’un serveur RDP :

• TCMS:
  • IP in DMZ : 10.10.10.5
  • Api Port 8888
  • VPN Port 4713
• Serveur RDP :
  • IP dans le réseau interne : 192.168.10.30

Pour cette configuration d’exemple, les règles suivantes doivent être créées dans votre/vos pare-feu :

• DNAT / Autoriser depuis Internet vers le port 8888 (TCP) à destination du TCMS (DMZ / 10.10.10.5)
• DNAT / Autoriser depuis Internet vers le port 4713 (UDP) à destination du TCMS (DMZ / 10.10.10.5)
• DNAT / Autoriser depuis le TCMS vers le port 3389 (TCP/UDP) à destination du serveur RDP (Interne / 192.168.10.30)