Code source wiki de TCMS - Thin Client Access Gateway (VPN)
Modifié par Taha Gabdouri le 2025/12/08 14:42
Masquer les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
 |
33.1 | 1 | Le Rangee Thin Client Management Server (TCMS) peut être utilisé comme passerelle pour connecter des Thin Clients Rangee exploités à l’extérieur à votre réseau. Ce guide décrit les étapes de configuration nécessaires. |
| |
4.1 | 2 | |
| |
33.1 | 3 | {{info title="Testé pour la dernière fois avec les versions suivantes"}} |
| 4 | **Firmware et Software:** | ||
| |
4.1 | 5 | |
| |
20.1 | 6 | **RangeeOS** |
| |
4.1 | 7 | |
| |
20.1 | 8 | * firmware x64 - 11.00 Build 358 |
| |
4.1 | 9 | |
| |
20.1 | 10 | **TCMS** |
| |
4.1 | 11 | |
| |
20.1 | 12 | * firmware x64 - 11.00 Build 358 |
| |
21.1 | 13 | * TCMS 1.8 x64 11.00 Build 033 |
| |
20.1 | 14 | {{/info}} |
| |
4.1 | 15 | |
| |
20.1 | 16 | {{toc/}} |
| |
4.1 | 17 | |
| |
33.1 | 18 | = Prérequis = |
| |
4.1 | 19 | |
| |
33.1 | 20 | Pour pouvoir utiliser la fonctionnalité VPN du TCMS, les conditions suivantes doivent être remplies : |
| |
4.1 | 21 | |
| |
33.1 | 22 | 1. Le Thin Client avec RangeeOS doit disposer de la licence **« tcmsclient-vpn »**. Si vous ne possédez pas encore de licence pour ce module, vous pouvez en acquérir une via notre [[service commercial>>path:mailto:vertrieb@rangee.com]] ou notre formulaire de contact [[Kontaktformular >>https://rangee.com/kontakt/]], ou demander une licence de démonstration de 30 jours [[30-tägige Demo Lizenz>>https://rangee.com/kontakt/]]. |
| 23 | 1. Le TCMS doit être accessible via une IP fixe ou un nom d’hôte. | ||
| 24 | 1. Le TCMS doit être accessible pour les clients à la fois via le port d’enregistrement choisi et le port VPN choisi. | ||
| 25 | 1. Les serveurs auxquels les clients doivent accéder via le TCMS doivent être accessibles depuis le TCMS. | ||
| |
4.1 | 26 | |
| |
33.1 | 27 | = **Configuration :** = |
| |
20.1 | 28 | |
| 29 | {{warning}} | ||
| |
33.1 | 30 | La configuration présentée ici permet de rendre le TCMS accessible depuis Internet pour vos clients. Dans ce contexte, nous recommandons l’utilisation de la [[vérification de signature TCMS>>https://kb.rangee.com/HowTos/TCMS%20-%20Signaturpr%C3%BCfung/]] afin d’empêcher l’enregistrement sur le TCMS par des clients non autorisés. |
| |
20.1 | 31 | {{/warning}} |
| 32 | |||
| 33 | == TCMS == | ||
| 34 | |||
| |
33.1 | 35 | === **Configuration d’un port API TCMS supplémentaire** === |
| |
20.1 | 36 | |
| |
33.1 | 37 | En configurant un port API TCMS supplémentaire, vous pouvez définir un port par lequel seuls les Thin Clients peuvent se connecter au TCMS, tandis que l’interface web n’est pas accessible. L’utilisation du port API supplémentaire est fortement recommandée lorsque le TCMS est rendu accessible via Internet. |
| |
20.1 | 38 | |
| |
33.1 | 39 | Vous configurez le port API supplémentaire dans le TCMS sous {{status title="Modifier"/}} -> {{status title="Paramètres"/}} -> {{status title="Paramètres de base"/}}. Vous y trouverez les options suivantes : |
| |
20.1 | 40 | |
| 41 | {{warning}} | ||
| |
33.1 | 42 | **Les modifications apportées à ces options nécessitent un redémarrage du TCMS.** |
| |
20.1 | 43 | {{/warning}} |
| 44 | |||
| |
33.1 | 45 | * **Port API supplémentaire** – Port TCP librement choisissable, dans notre exemple **8888** |
| 46 | **Autoriser l’accès au Repository via le port API supplémentaire (optionnel)** – Permet aux clients de récupérer les mises à jour depuis le TCMS Repository via ce port | ||
| |
20.1 | 47 | |
| 48 | [[TCMS - Basiseinstellungen>>image:01_tcms_vpn.png||alt="TCMS - Basiseinstellungen" height="208" width="800"]] | ||
| 49 | |||
| |
33.1 | 50 | === Configuration de la connexion VPN TCMS === |
| |
20.1 | 51 | |
| 52 | {{info}} | ||
| |
33.1 | 53 | Les réseaux définis dans cette section sont représentés au format (x.x.x.x/y -> x.x.x.x = IP, y = Subnetz) Des informations sur cette notation sont disponibles, par exemple, ici : |
| |
20.1 | 54 | |
| 55 | [[Wikipedia - Classless Inter-Domain Routing>>https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing]] | ||
| 56 | {{/info}} | ||
| 57 | |||
| |
33.1 | 58 | Vous trouverez la configuration VPN TCMS sous (% id="cke_bm_9924S" style="display:none" %) (%%) {{status title="Modifier"/}} -> {{status title="Paramètres"/}} -> {{status title="Paramètres VPN TCMS"/}}(% id="cke_bm_9924E" style="display:none" %) (%%). Vous y trouverez les options suivantes : |
| |
20.1 | 59 | |
| 60 | {{warning}} | ||
| |
33.1 | 61 | **Les modifications apportées à ces options nécessitent un redémarrage du TCMS.** |
| |
20.1 | 62 | {{/warning}} |
| 63 | |||
| |
33.1 | 64 | * **Démarrer TCMS VPN** – Active le service VPN TCMS |
| 65 | * **Sous-réseau VPN** – Définit un sous-réseau interne **TCMS-VPN-CLIENT** au format CIDR. Ce réseau ne doit en aucun cas chevaucher votre réseau interne. | ||
| 66 | * **Adresse TCMS VPN** – Adresse du serveur TCMS dans le sous-réseau VPN | ||
| 67 | * **Port VPN** – Port UDP utilisé pour établir la connexion VPN. Doit être accessible depuis l’extérieur. | ||
| 68 | * **Métrique des routes VPN** – Détermine la métrique utilisée pour établir la connexion VPN côté client | ||
| 69 | * **Autoriser le routage NAT VPN** – Si activé, cette option permet aux clients connectés via VPN d’accéder aux serveurs définis comme accessibles depuis l’extérieur | ||
| 70 | * **Objectifs accessibles depuis l’extérieur** – Dans ce champ texte, vous pouvez rendre disponibles n’importe quels objectifs pour les clients connectés via VPN. La notation suivante doit être utilisée, seule l’indication du serveur/sous-réseau est obligatoire : **#Serveur/Sous-réseau en forme CIDR#:#Port#,#Port2#|#Protocole1#,#Protocole2#** | ||
| |
20.1 | 71 | |
| |
33.1 | 72 | Exemples : |
| |
20.1 | 73 | |
| |
33.1 | 74 | * **192.168.10.30/32 **oder **192.168.10.30** |
| 75 | Permet l’accès à tous les ports du serveur avec l’IP 192.168.10.30 | ||
| 76 | * **192.168.10.0/24** | ||
| 77 | Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24 | ||
| 78 | * **192.168.10.30/32:3389** | ||
| 79 | Permet l’accès au serveur avec l’IP 192.168.10.30 uniquement sur le port 3389 | ||
| 80 | * **192.168.10.30/32:443,4712** | ||
| 81 | Permet l’accès au serveur avec l’IP 192.168.10.30 sur les ports 443 et 4712 | ||
| 82 | * **192.168.10.0/24:3389|tcp** | ||
| 83 | Permet l’accès à toutes les machines du sous-réseau 192.168.10.0/24 sur le port 3389 TCP | ||
| 84 | * **192.168.0.0/16:443|tcp,udp,icmp ** | ||
| 85 | Permet l’accès à toutes les machines du sous-réseau 192.168.0.0/16 sur le port 443 TCP, UDP et ICMP (Ping) | ||
| |
20.1 | 86 | |
| |
33.1 | 87 | === [[image:1731060111963-172.png]] |
| 88 | \\**Définir les clients VPN** === | ||
| |
20.1 | 89 | |
| |
33.1 | 90 | La sélection des clients devant utiliser la configuration VPN TCMS se fait via un paramètre de groupe. |
| |
20.1 | 91 | |
| |
33.1 | 92 | Pour ce faire, dans l’onglet {{status title="Groupes"/}}, choisissez le groupe pour lequel vous souhaitez activer le TCMS VPN. Activez ensuite, dans l’onglet {{status title="Paramètres"/}} du groupe, l’option **« Allow TCMS VPN for this group »**. |
| 93 | |||
| |
20.1 | 94 | [[VPN Verbindung für Gruppe aktivieren>>image:03_tcms_vpn.png||alt="VPN Verbindung für Gruppe aktivieren" height="606" width="400"]] |
| 95 | |||
| 96 | == Thin Client == | ||
| 97 | |||
| |
33.1 | 98 | Du côté du Thin Client, aucune configuration particulière n’est nécessaire pour utiliser la connexion VPN TCMS. Toutes les informations requises sont automatiquement reçues via la configuration TCMS du client. |
| |
20.1 | 99 | |
| |
33.1 | 100 | Veillez toutefois à ce que le client établisse sa connexion au TCMS via le **port API supplémentaire** ainsi que via le **nom d’hôte externe résolvable** ou l’**adresse IP fixe**. Vous trouverez ce paramètre dans la **Kommbox** du client sous : {{status title="Administration à distance"/}} -> {{status title="Paramètres TCMS"/}} |
| |
20.1 | 101 | |
| 102 | [[TCMS-Einstellungen auf Thin Client Seite>>image:04_tcms_vpn.png||alt="TCMS-Einstellungen auf Thin Client Seite" height="205" width="600"]] | ||
| 103 | |||
| 104 | == Firewall == | ||
| 105 | |||
| |
33.1 | 106 | Du côté pare-feu, il est nécessaire de définir les règles correspondantes pour les ports que vous avez choisis. |
| |
20.1 | 107 | |
| |
33.1 | 108 | **Exemple de configuration pour l’ouverture d’un serveur RDP :** |
| |
20.1 | 109 | |
| 110 | * TCMS: | ||
| |
33.1 | 111 | ** IP in DMZ : 10.10.10.5 |
| |
20.1 | 112 | ** Api Port 8888 |
| 113 | ** VPN Port 4713 | ||
| |
33.1 | 114 | * Serveur RDP : |
| 115 | ** IP dans le réseau interne : 192.168.10.30 | ||
| |
20.1 | 116 | |
| |
33.1 | 117 | Pour cette configuration d’exemple, les règles suivantes doivent être créées dans votre/vos pare-feu(x) : |
| |
20.1 | 118 | |
| 119 | |||
| |
33.1 | 120 | * **DNAT / Autoriser** depuis Internet vers le port **8888 (TCP)** à destination du **TCMS (DMZ / 10.10.10.5)** |
| 121 | * **DNAT / Autoriser** depuis Internet vers le port **4713 (UDP)** à destination du **TCMS (DMZ / 10.10.10.5)** | ||
| 122 | * **DNAT / Autoriser** depuis le **TCMS** vers le port **3389 (TCP/UDP)** à destination du **serveur RDP (Interne / 192.168.10.30)** | ||
| 123 | |||
| |
20.1 | 124 | [[Schaubild TCMS VPN Netzwerkkonfiguration>>image:tcms-vpn.png||alt="Schaubild TCMS VPN Netzwerkkonfiguration"]] |