TCMS – Passerelle d’accès Thin Client (VPN)

Modifié par Taha Gabdouri le 2025/12/08 14:41

Le Rangee Thin Client Management Server (TCMS) peut être utilisé comme passerelle pour connecter des Thin Clients Rangee exploités à l’extérieur à votre réseau. Ce guide décrit les étapes de configuration nécessaires.

Testé pour la dernière fois avec les versions suivantes

Firmware et Software:

RangeeOS

firmware x64 - 11.00 Build 358

TCMS

firmware x64 - 11.00 Build 358
TCMS 1.8 x64 11.00 Build 033

Prérequis
Configuration :

Prérequis

Pour pouvoir utiliser la fonctionnalité VPN du TCMS, les conditions suivantes doivent être remplies :

Le Thin Client avec RangeeOS doit disposer de la licence « tcmsclient-vpn ». Si vous ne possédez pas encore de licence pour ce module, vous pouvez en acquérir une via notre service commercial ou notre formulaire de contact Kontaktformular , ou demander une licence de démonstration de 30 jours 30-tägige Demo Lizenz.
Le TCMS doit être accessible via une IP fixe ou un nom d’hôte.
Le TCMS doit être accessible pour les clients à la fois via le port d’enregistrement choisi et le port VPN choisi.
Les serveurs auxquels les clients doivent accéder via le TCMS doivent être accessibles depuis le TCMS.

Configuration :

La configuration présentée ici permet de rendre le TCMS accessible depuis Internet pour vos clients. Dans ce contexte, nous recommandons l’utilisation de la vérification de signature TCMS afin d’empêcher l’enregistrement sur le TCMS par des clients non autorisés.

TCMS

Configuration d’un port API TCMS supplémentaire

En configurant un port API TCMS supplémentaire, vous pouvez définir un port par lequel seuls les Thin Clients peuvent se connecter au TCMS, tandis que l’interface web n’est pas accessible. L’utilisation du port API supplémentaire est fortement recommandée lorsque le TCMS est rendu accessible via Internet.

Vous configurez le port API supplémentaire dans le TCMS sous Modifier -> Paramètres -> Paramètres de base . Vous y trouverez les options suivantes :

Les modifications apportées à ces options nécessitent un redémarrage du TCMS.

Port API supplémentaire – Port TCP librement choisissable, dans notre exemple 8888
Autoriser l’accès au Repository via le port API supplémentaire (optionnel) – Permet aux clients de récupérer les mises à jour depuis le TCMS Repository via ce port

Configuration de la connexion VPN TCMS

Les réseaux définis dans cette section sont représentés au format (x.x.x.x/y -> x.x.x.x = IP, y = Subnetz) Des informations sur cette notation sont disponibles, par exemple, ici :

Wikipedia - Classless Inter-Domain Routing

Vous trouverez la configuration VPN TCMS sous Modifier -> Paramètres -> Paramètres VPN TCMS . Vous y trouverez les options suivantes :

Les modifications apportées à ces options nécessitent un redémarrage du TCMS.

Démarrer TCMS VPN – Active le service VPN TCMS
Sous-réseau VPN – Définit un sous-réseau interne TCMS-VPN-CLIENT au format CIDR. Ce réseau ne doit en aucun cas chevaucher votre réseau interne.
Adresse TCMS VPN – Adresse du serveur TCMS dans le sous-réseau VPN
Port VPN – Port UDP utilisé pour établir la connexion VPN. Doit être accessible depuis l’extérieur.
Métrique des routes VPN – Détermine la métrique utilisée pour établir la connexion VPN côté client
Autoriser le routage NAT VPN – Si activé, cette option permet aux clients connectés via VPN d’accéder aux serveurs définis comme accessibles depuis l’extérieur
Objectifs accessibles depuis l’extérieur – Dans ce champ texte, vous pouvez rendre disponibles n’importe quels objectifs pour les clients connectés via VPN. La notation suivante doit être utilisée, seule l’indication du serveur/sous-réseau est obligatoire : #Serveur/Sous-réseau en forme CIDR#:#Port#,#Port2#|#Protocole1#,#Protocole2#

Exemples :

192.168.10.30/32 oder 192.168.10.30
Permet l’accès à tous les ports du serveur avec l’IP 192.168.10.30
192.168.10.0/24
Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24
192.168.10.30/32:3389
Permet l’accès au serveur avec l’IP 192.168.10.30 uniquement sur le port 3389
192.168.10.30/32:443,4712
Permet l’accès au serveur avec l’IP 192.168.10.30 sur les ports 443 et 4712
192.168.10.0/24:3389|tcp
Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24 sur le port 3389 TCP
192.168.0.0/16:443|tcp,udp,icmp
Permet l’accès à toutes les machines du sous-réseau 192.168.0.0/16 sur le port 443 TCP, UDP et ICMP (Ping)

Définir les clients VPN

La sélection des clients devant utiliser la configuration VPN TCMS se fait via un paramètre de groupe.

Pour ce faire, dans l’onglet Groupes , choisissez le groupe pour lequel vous souhaitez activer le TCMS VPN. Activez ensuite, dans l’onglet Paramètres du groupe, l’option « Allow TCMS VPN for this group ».

Thin Client

Du côté du Thin Client, aucune configuration particulière n’est nécessaire pour utiliser la connexion VPN TCMS. Toutes les informations requises sont automatiquement reçues via la configuration TCMS du client.

Veillez toutefois à ce que le client établisse sa connexion au TCMS via le port API supplémentaire ainsi que via le nom d’hôte externe résolvable ou l’adresse IP fixe. Vous trouverez ce paramètre dans la Kommbox du client sous : Administration à distance -> Paramètres TCMS

TCMS-Einstellungen auf Thin Client Seite

Firewall

Du côté pare-feu, il est nécessaire de définir les règles correspondantes pour les ports que vous avez choisis.

Exemple de configuration pour l’ouverture d’un serveur RDP :

TCMS:
- IP in DMZ : 10.10.10.5
- Api Port 8888
- VPN Port 4713
Serveur RDP :
- IP dans le réseau interne : 192.168.10.30

Pour cette configuration d’exemple, les règles suivantes doivent être créées dans votre/vos pare-feu cancel :

DNAT / Autoriser depuis Internet vers le port 8888 (TCP) à destination du TCMS (DMZ / 10.10.10.5)
DNAT / Autoriser depuis Internet vers le port 4713 (UDP) à destination du TCMS (DMZ / 10.10.10.5)
DNAT / Autoriser depuis le TCMS vers le port 3389 (TCP/UDP) à destination du serveur RDP (Interne / 192.168.10.30)

Schaubild TCMS VPN Netzwerkkonfiguration