Zuletzt geändert von Adrian Hömann am 2024/03/07 16:42
Zeige letzte Bearbeiter
1 Der Rangee Thin Client Management Server (TCMS) kann als Gateway zur Anbindung extern betriebener Rangee Thin Clients in ihr Netzwerk verwendet werden. In diesem HowTo werden die erforderlichen Konfigurationsschritte beschrieben.
2
3 {{info title="Zuletzt getestet mit folgenden Ständen"}}
4 **Firmware und Software:**
5
6 **RangeeOS**
7
8 * firmware x64 - 11.00 Build 358
9
10 **TCMS**
11
12 * firmware x64 - 11.00 Build 358
13 * TCMS 1.8 x64 11.00 Build 033
14 {{/info}}
15
16 {{toc/}}
17
18 = Voraussetzungen =
19
20 Um die TCMS VPN Funktionalität nutzen zu können, müssen folgende Voraussetzungen gegeben sein bzw. erfüllt werden:
21
22 1. Der Thin Client mit RangeeOS muss über die Lizenz "tcmsclient-vpn" verfügen. Wenn noch keine Lizenz für das Modul besitzen, können Sie über unseren [[Vertrieb >>path:mailto:vertrieb@rangee.com]]oder unser [[Kontaktformular >>https://rangee.com/kontakt/]] eine Lizenz erwerben oder eine [[30-tägige Demo Lizenz>>https://rangee.com/kontakt/]] anfragen.
23 1. Der TCMS muss über eine feste IP oder einen Hostnamen erreichbar sein
24 1. Der TCMS muss sowohl über den gewählten Registrierungsport und den gewählten VPN Port für die Clients erreichbar sein.
25 1. Die Server die für die Clients über den TCMS erreichbar sein sollen, müssen für den TCMS erreichbar sein.
26
27 = Konfiguration =
28
29 {{warning}}
30 Über die hier vorgestellte Konfiguration muss der TCMS aus dem Internet für Ihre Clients verfügbar gemacht werden. In diesem Zusammenhang empfehlen wir die Verwendung der [[TCMS - Signaturprüfung>>https://kb.rangee.com/HowTos/TCMS%20-%20Signaturpr%C3%BCfung/]] um die Registrierung am TCMS von unberechtigten Clients zu unterbinden.
31 {{/warning}}
32
33 == TCMS ==
34
35 === Konfiguration eines zusätzlichen TCMS API Ports ===
36
37 Mit der Konfiguration eines zusätzlichen TCMS API Ports können Sie einen Port definieren über den sich lediglich Thin Clients mit dem TCMS Verbinden können, das Webinterface jedoch nicht verfügbar ist. Die Verwendung des zusätzlichen API Ports wird bei Verfügbarmachung des TCMS über das Internet **dringlichst empfohlen**.
38
39 Sie Konfigurieren des zusätzlichen API Port im TCMS unter {{status title="Bearbeiten"/}} -> {{status title="Einstellungen"/}} -> {{status title="Basiseinstellungen"/}}. Hier finden Sie die Optionen:
40
41 {{warning}}
42 Änderungen welche an diesen Optionen vorgenommen werden, erfordern einen Neustart des TCMS
43 {{/warning}}
44
45 * **Zusätzlicher API Port** - Frei wählbarer TCP Port, in unserem Beispiel 8888
46 * **Erlaube Repositoryzugriff über zusätzlichen API Port** (optional) - Ermöglicht den Clients Updates über das TCMS-Repository über diesen Port zu beziehen
47
48 [[TCMS - Basiseinstellungen>>image:01_tcms_vpn.png||alt="TCMS - Basiseinstellungen" height="208" width="800"]]
49
50 === Konfiguration der TCMS VPN Verbindung ===
51
52 {{info}}
53 In diesem Abschnitt definierte Netzwerke werden in CIDR Form (x.x.x.x/y -> x.x.x.x = IP, y = Subnetz) dargestellt. Informationen zu dieser Notation finden Sie z.B.: hier:
54
55 [[Wikipedia - Classless Inter-Domain Routing>>https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing]]
56 {{/info}}
57
58 Sie finden die TCMS VPN Konfiguration unter (% id="cke_bm_9924S" style="display:none" %) (%%) {{status title="Bearbeiten"/}} -> {{status title="Einstellungen"/}} -> {{status title="TCMS VPN Einstellungen"/}}(% id="cke_bm_9924E" style="display:none" %) (%%). Hier finden Sie die folgenden Optionen:
59
60 {{warning}}
61 Änderungen welche an diesen Optionen vorgenommen werden, erfordern einen Neustart des TCMS
62 {{/warning}}
63
64 * **Starte TCMS VPN** - Aktiviert den TCMS VPN Service
65 * **VPN Subnetz** - Definiert ein internes TCMS-VPN-CLIENT Subnetz in CIDR Form. Dieses Netzwerk sollte sich **auf keinen Fall** mit ihrem Internen Netzwerk überschneiden.
66 * **TCMS VPN Adresse** - Adresse des TCMS Servers innerhalb des VPN Subnetz
67 * **VPN Port** - UDP-Port über den die VPN Verbindung aufgebaut werden soll. Muss extern Verfügbar gemacht werden.
68 * **VPN Routen Metrik** - Bestimmt die Metrik mit der die VPN Verbindung auf Clientseite aufgebaut wird
69 * **Erlaube VPN NAT routing** - Wenn aktiviert erlaubt die Option den Zugriff der per VPN angebundenen Clients auf die unter **Extern erreichbare Ziele** definierten Server
70 * **Extern erreichbare Ziele** - In diesem Textfeld können beliebige Ziele für die per VPN angebundenen Client Verfügbar gemacht werden. Hierbei ist folgende Notationen zu verwenden wobei nur die Angabe des Server/Subnetz zwingend erforderlich ist:
71 #Server/Subnetz in CIDR Form#:#Port#,#Port2#|#Protokoll1#,#Protokoll2#
72 **Beispiele**:
73 ** **192.168.10.30/32 **oder **192.168.10.30**
74 Erlaubt den Zugriff auf Sämtlichen Ports auf den Server mit der IP 192.168.10.30
75 ** **192.168.10.0/24**
76 Erlaubt den Zugriff auf sämtliche Maschinen im Subnetz 192.168.10.0/24
77 ** **192.168.10.30/32:3389**
78 Erlaubt den Zugriff auf den Server mit der IP 192.168.10.30 nur auf Port 3389
79 ** **192.168.10.30/32:443,4712**
80 Erlaubt den Zugriff auf den Server mit der IP 192.168.10.30 auf Port 443 und 4712
81 ** **192.168.10.0/24:3389|tcp**
82 Erlaubt den Zugriff auf sämtliche Maschinen im Subnetz 192.168.10.0/24 auf Port 3389 TCP
83 ** **192.168.0.0/16:443|tcp,udp,icmp **
84 Erlaubt den Zugriff auf sämtliche Maschinen im Subnetz 192.168.0.0/16 auf Port 443 TCP, UDP und ICMP (Ping)
85
86 [[TCMS VPN Einstellungen>>image:02_tcms_vpn.png||alt="TCMS VPN Einstellungen" height="473" width="800"]]
87
88 === Festlegen der VPN Clients ===
89
90 Die Vorgabe welche Clients die TCMS VPN Konfiguration nutzen sollten erfolgt über eine Gruppeneinstellung.
91
92 Wählen Sie hierzu im Tab {{status title="Gruppen"/}} die Gruppe aus für die Sie TCMS-VPN aktivieren möchten. Aktivieren Sie anschließend in dem {{status title="Einstellungen"/}} Tab der Gruppe die Option **"Allow TCMS VPN for this group"**.
93
94 [[VPN Verbindung für Gruppe aktivieren>>image:03_tcms_vpn.png||alt="VPN Verbindung für Gruppe aktivieren" height="606" width="400"]]
95
96 == Thin Client ==
97
98 Auf Thin Client Seite ist für die Verwendung der TCMS VPN Verbindung keine besondere Konfiguration erforderlich. Sämtliche hierzu notwendigen Daten, erhält der Client über seine TCMS Konfiguration.
99
100 Achten Sie jedoch darauf, dass der Client seine Verbindung zum TCMS über den **Zusätzlichen API Port **und den **extern auflösbaren Hostnamen oder die feste IP Adresse** aufbaut. Sie finden die Einstellung in der Kommbox des Clients unter {{status title="Remote-Administration"/}} -> {{status title="TCMS-Einstellungen"/}}
101
102 [[TCMS-Einstellungen auf Thin Client Seite>>image:04_tcms_vpn.png||alt="TCMS-Einstellungen auf Thin Client Seite" height="205" width="600"]]
103
104 == Firewall ==
105
106 Auf Firewall Seite müssen entsprechende Regeln für die von Ihnen gewählten Ports definiert werden.
107
108 Beispielkonfiguration für die Freigabe eines RDP Servers:
109
110 * TCMS:
111 ** IP in DMZ: 10.10.10.5
112 ** Api Port 8888
113 ** VPN Port 4713
114 * RDP Server:
115 ** IP im Internen Netz: 192.168.10.30
116
117 Für diese Beispielkonfiguration müssten Folgende Regeln in Ihre(n) Firewall(s) angelegt werden:
118
119 1. **DNAT/Zulassen** von **Internet **auf **Port 8888 (TCP)** zu **TCMS** (DMZ/10.10.10.5)
120 1. **DNAT/Zulassen** von **Internet **auf **Port 4713 (UDP)** zu **TCMS** (DMZ/10.10.10.5)
121 1. **DNAT/Zulassen** von **TCMS **auf **Port 3389 (TCP/UDP**) zu **RDP Server **(Intern/192.168.10.30)
122
123 [[Schaubild TCMS VPN Netzwerkkonfiguration>>image:tcms-vpn.png||alt="Schaubild TCMS VPN Netzwerkkonfiguration"]]
Rangee GmbH ©2022