Konfigurieren Sie das vollständige VPN-Setup auf Citrix Gateway
In diesem Abschnitt wird beschrieben, wie Sie das vollständige VPN-Setup auf einem Citrix Gateway-Gerät konfigurieren. Es enthält Netzwerküberlegungen und den idealen Ansatz zur Lösung von Problemen aus Netzwerkperspektive.
Voraussetzungen
-
Installieren Sie ein SSL-Zertifikat und binden Sie es an den virtuellen VPN-Server.
-
Erstellen Sie ein Authentifizierungsprofil für Citrix Gateway.
-
Weitere Informationen finden Sie in der Citrix Documentation - Configuring Externe Benutzerauthentifizierung
-
Weitere Informationen finden Sie in Checkliste: Verwenden Sie AD FS, um Single Sign-On zu implementieren und zu verwalten
-
-
Laden Sie den Citrix VPN Clientherunter.
-
Erstellen Sie eine Sitzungsrichtlinie, die vollständige VPN-Verbindungen ermöglicht.
Wenn Benutzer eine Verbindung mit dem Citrix Gateway-Plug-In, Secure Hub oder Citrix Receiver herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf Citrix Gateway) ein und sendet Authentifizierungsinformationen. Sobald der Tunnel eingerichtet wurde, sendet Citrix Gateway Konfigurationsinformationen an das Citrix Gateway-Plug-In, Secure Hub oder Receiver, in denen die zu sichernden Netzwerke beschrieben werden. Diese Informationen enthalten auch eine IP-Adresse, wenn Sie Intranet-IPs aktivieren.
Sie konfigurieren Benutzergeräteverbindungen, indem Sie die Ressourcen definieren, auf die Benutzer im internen Netzwerk zugreifen können. Das Konfigurieren von Benutzergeräteverbindungen umfasst Folgendes:
- Split-Tunneling
- IP-Adressen für Benutzer, einschließlich Adresspools (Intranet-IPs)
- Verbindungen über einen Proxyserver
- Definieren der Domains, auf die Benutzer Zugriff haben
- Timeout-Einstellungen
- Single Sign-On
- Benutzersoftware, die über Citrix Gateway eine Verbindung herstellt
- Zugriff für mobile Geräte
Sie konfigurieren die meisten Benutzergeräteverbindungen mithilfe eines Profils, das Teil einer Sitzungsrichtlinie ist. Sie können auch Verbindungseinstellungen für Benutzergeräte definieren, indem Sie Per-Authentifizierungs-, Traffic- und Autorisierungsrichtlinien verwenden. Sie können auch mithilfe von Intranet-Anwendungen konfiguriert werden.
Konfigurieren Sie ein vollständiges VPN-Setup auf einer Citrix Gateway-Appliance
Gehen Sie wie folgt vor, um ein VPN-Setup auf einer Citrix Gateway-Appliance zu konfigurieren:
-
Navigieren Sie zu Traffic Management > DNS.
-
Wählen Sie den Knoten Nameserver aus, wie im folgenden Screenshot gezeigt. Stellen Sie sicher, dass der DNS-Nameserver aufgeführt ist. Wenn es nicht verfügbar ist, fügen Sie einen DNS-Nameserver hinzu.
-
Erweitern Sie Citrix Gateway > Richtlinien.
-
Wählen Sie den Knoten Session aus.
-
Klicken Sie auf der Seite Citrix Gateway Sitzungsrichtlinien und -profile auf die Registerkarte Profile und klicken Sie auf Hinzufügen. Stellen Sie für jede Komponente, die Sie im Dialogfeld “Citrix Gateway-Sitzungsprofil konfigurieren” konfigurieren, sicher, dass Sie die Option Override Global für die entsprechende Komponente auswählen.
-
Klicken Sie auf den Tab „ Kundenerlebnis “.
-
Geben Sie die URL des Intranetportals in das Feld Startseite ein, wenn Sie eine URL angeben möchten, wenn sich der Benutzer beim VPN anmeldet. Wenn der Homepage-Parameter auf “nohomepage.html” eingestellt ist, wird die Homepage nicht angezeigt. Wenn das Plug-In startet, startet eine Browser-Instanz und wird automatisch getötet.
-
Stellen Sie sicher, dass Sie die gewünschte Einstellung aus der Liste Split-Tunnel auswählen.
-
Wählen Sie OFF aus der Liste Clientless Access aus, wenn Sie FullVPN wünschen.
-
Stellen Sie sicher, dass Windows/Mac OS X aus der Liste Plug-In-Typ ausgewählt ist.
-
Wählen Sie bei Bedarf die Option Single Sign-On bei Webanwendungen.
-
Stellen Sie sicher, dass die Option Clientbereinigungsaufforderung bei Bedarf ausgewählt ist, wie im folgenden Screenshot gezeigt:
-
Klicken Sie auf die Registerkarte Sicherheit.
-
Stellen Sie sicher, dass “ ZULASSEN “ aus der Liste “Standardermächtigungsaktion “ ausgewählt ist, wie im folgenden Screenshot gezeigt:
-
Klicken Sie auf die Registerkarte Published Applications.
-
Stellen Sie sicher, dass OFF aus der ICA-Proxy-Liste unter der Option Veröffentlichte Anwendungen ausgewählt ist.
-
Klicken Sie auf Erstellen.
-
Klicken Sie auf Schließen.
-
Klicken Sie auf der Seite Citrix Gateway-Sitzungsrichtlinien und -profile im virtuellen Server auf die Registerkarte Richtlinien oder aktivieren Sie die Sitzungsrichtlinien nach Bedarf auf GRUPPE-/BENUTZER-Ebene.
-
Erstellen Sie eine Sitzungsrichtlinie mit einem erforderlichen Ausdruck oder ns_true, wie im folgenden Screenshot gezeigt:
-
Binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server. Einzelheiten finden Sie unter Verbindliche Sitzungsrichtlinien.
Wenn Split Tunnel auf ON konfiguriert wurde, müssen Sie die Intranet-Anwendungen konfigurieren, auf die die Benutzer zugreifen sollen, wenn sie mit dem VPN verbunden sind. Einzelheiten zu Intranet-Anwendungen finden Sie unter Konfigurieren von Intranet-Anwendungen für das Citrix Gateway-Plug-in.
-
Wechseln Sie zu Citrix Gateway > Ressourcen > Intranet-Anwendungen.
-
Erstellen Sie eine Intranet-Anwendung. Wählen Sie Transparent für FullVPN mit Windows Client. Wählen Sie das Protokoll aus, das Sie zulassen möchten (TCP, UDP oder ANY), Zieltyp (IP-Adresse und Maske, IP-Adressbereich oder Hostname).
-
Legen Sie bei Bedarf eine neue Richtlinie für Citrix VPN auf iOS und Android mit dem folgenden Ausdruck fest:
REQ.HTTP.HEADER("User-Agent").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("User-Agent").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("User-Agent").CONTAINS("Android"))
-
Binden Sie die auf USER/GROUP/VSERVER-Ebene erstellten Intranet-Anwendungen nach Bedarf.
-
Andere Parameter
Im Folgenden sind einige der Parameter aufgeführt, die Sie konfigurieren können.
Split-Tunnel AUS
Wenn der Split-Tunnel auf Aus eingestellt ist, erfasst das Citrix Gateway Plug-in den gesamten Netzwerkverkehr, der von einem Benutzergerät stammt, und sendet den Datenverkehr durch den VPN-Tunnel an Citrix Gateway. Mit anderen Worten, der VPN-Client richtet eine Standardroute vom Client-PC ein, die auf den Citrix Gateway VIP zeigt, was bedeutet, dass der gesamte Datenverkehr durch den Tunnel gesendet werden muss, um zum Ziel zu gelangen. Da der gesamte Verkehr durch den Tunnel gesendet wird, müssen Autorisierungsrichtlinien festlegen, ob der Verkehr zu internen Netzwerkressourcen geleitet oder verweigert werden darf.
Während auf “Aus” gestellt, läuft der gesamte Datenverkehr durch den Tunnel, einschließlich des Standard-Webverkehrs zu Websites. Wenn das Ziel darin besteht, diesen Webverkehr zu überwachen und zu steuern, müssen Sie diese Anfragen mithilfe von NetScaler an einen externen Proxy weiterleiten. Benutzergeräte können über einen Proxyserver eine Verbindung herstellen, um auch auf interne Netzwerke zuzugreifen.
Citrix Gateway unterstützt die Protokolle HTTP, SSL, FTP und SOCKS. Um die Proxy-Unterstützung für Benutzerverbindungen zu aktivieren, müssen Sie diese Einstellungen auf Citrix Gateway angeben. Sie können die IP-Adresse und den Port angeben, die vom Proxyserver auf Citrix Gateway verwendet werden. Der Proxyserver wird als Forward-Proxy für alle weiteren Verbindungen zum internen Netzwerk verwendet.
Weitere Informationen finden Sie unter Proxyunterstützung für Benutzerverbindungen aktivieren.
Split-Tunnel EIN
Sie können Split-Tunneling aktivieren, um zu verhindern, dass das Citrix Gateway Plug-in unnötigen Netzwerkverkehr an Citrix Gateway sendet. Wenn der Split-Tunnel aktiviert ist, sendet das Citrix Gateway-Plug-In nur Datenverkehr, der für Netzwerke bestimmt ist, die von Citrix Gateway geschützt sind (Intranetanwendungen), über den VPN-Tunnel. Das Citrix Gateway Plug-in sendet keinen Netzwerkverkehr, der für ungeschützte Netzwerke bestimmt ist, an Citrix Gateway. Wenn das Citrix Gateway-Plug-in gestartet wird, erhält es die Liste der Intranetanwendungen von Citrix Gateway und legt eine Route für jedes Subnetz fest, das auf der Registerkarte Intranetanwendung auf dem Client-PC definiert ist. Das Citrix Gateway Plug-in untersucht alle vom Benutzergerät übertragenen Pakete und vergleicht die Adressen in den Paketen mit der Liste der Intranetanwendungen (Routingtabelle, die beim Start der VPN-Verbindung erstellt wurde). Wenn sich die Zieladresse im Paket in einer der Intranet-Anwendungen befindet, sendet das Citrix Gateway-Plug-in das Paket durch den VPN-Tunnel an Citrix Gateway. Wenn sich die Zieladresse nicht in einer definierten Intranet-Anwendung befindet, wird das Paket nicht verschlüsselt, und das Benutzergerät leitet das Paket dann entsprechend mithilfe des ursprünglich auf dem Client-PC definierten Standard-Routing weiter. “Wenn Sie Split-Tunneling aktivieren, definieren Intranet-Anwendungen den Netzwerkverkehr, der abgefangen und durch den Tunnel gesendet wird”.
Umgekehrter Splittunnel
Citrix Gateway unterstützt auch Reverse-Split-Tunneling, das den Netzwerkverkehr definiert, den Citrix Gateway nicht abfängt. Wenn Sie Split-Tunneling auf Rückwärtsgang einstellen, definieren Intranetanwendungen den Netzwerkverkehr, den Citrix Gateway nicht abfängt. Wenn Sie Reverse-Split-Tunneling aktivieren, umgeht der gesamte Netzwerkverkehr, der an interne IP-Adressen gerichtet ist, den VPN-Tunnel, während anderer Datenverkehr über Citrix Gateway fließt. Reverse-Split-Tunneling kann verwendet werden, um den gesamten nicht lokalen LAN-Verkehr zu protokollieren. Wenn Benutzer beispielsweise über ein drahtloses Heimnetzwerk verfügen und mit dem Citrix Gateway Plug-in angemeldet sind, fängt Citrix Gateway keinen Netzwerkverkehr ab, der für einen Drucker oder ein anderes Gerät im drahtlosen Netzwerk bestimmt ist.
So konfigurieren Sie Split-Tunneling
-
Navigieren Sie zu Konfiguration > Citrix Gateway > Richtlinien > Sitzung.
-
Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Bearbeiten.
-
Wählen Sie auf der Registerkarte Client Experience neben Split Tunneldie Option Global Overrideaus, wählen Sie eine Option aus, und klicken Sie dann auf OK.
Konfigurieren von Split-Tunneling und Autorisierung
Bei der Planung Ihrer Citrix Gateway-Bereitstellung ist es wichtig, Split-Tunneling sowie die Standard-Autorisierungsaktion und Autorisierungsrichtlinien in Betracht zu ziehen.
Beispielsweise haben Sie eine Autorisierungsrichtlinie, die den Zugriff auf eine Netzwerkressource ermöglicht. Sie haben Split-Tunneling auf ON eingestellt und konfigurieren Intranet-Anwendungen nicht so, dass Netzwerkverkehr über Citrix Gateway gesendet wird. Wenn Citrix Gateway über diese Art von Konfiguration verfügt, ist der Zugriff auf die Ressource zulässig, Benutzer können jedoch nicht auf die Ressource zugreifen.
Wenn die Autorisierungsrichtlinie den Zugriff auf eine Netzwerkressource verweigert, haben Sie Split-Tunneling auf ON eingestellt, und Intranetanwendungen sind so konfiguriert, dass sie Netzwerkverkehr über Citrix Gateway weiterleiten. Das Citrix Gateway-Plug-in sendet Datenverkehr an Citrix Gateway, der Zugriff auf die Ressource wird jedoch verweigert.
Weitere Informationen zu Autorisierungsrichtlinien finden Sie im Folgenden:
So konfigurieren Sie den Netzwerkzugriff auf interne Netzwerkressourcen
-
Navigieren Sie zu Konfiguration > Citrix Gateway > Ressourcen > Intranet-Anwendungen.
-
Klicken Sie im Detailbereich auf Hinzufügen.
-
Füllen Sie die Parameter für das Zulassen des Netzwerkzugriffs aus, klicken Sie auf Erstellenund dann auf Schließen.
Wenn wir die Intranet-IPs für die VPN-Benutzer nicht einrichten, sendet der Benutzer den Datenverkehr an den Citrix Gateway VIP und von dort aus erstellt der NetScaler ein neues Paket an die Intranetanwendungsressource im internen LAN. Dieses neue Paket wird vom SNIP zur Intranet-Anwendung bezogen. Von hier aus erhält die Intranet-Anwendung das Paket, verarbeitet es und versucht dann, auf die Quelle dieses Pakets zu antworten (in diesem Fall das SNIP). Das SNIP erhält das Paket und sendet die Antwort an den Client, der die Anfrage gestellt hat.
Wenn die Intranet-IP-Adresse verwendet wird, sendet der Benutzer den Datenverkehr an den Citrix Gateway VIP und von dort aus ordnet der NetScaler die Client-IP einer der konfigurierten INTRANET-IPs aus dem Pool zu. Beachten Sie, dass der NetScaler den Intranet-IP-Pool besitzen wird. Aus diesem Grund dürfen diese Bereiche nicht im internen Netzwerk verwendet werden. Der Citrix ADC weist den eingehenden VPN-Verbindungen eine Intranet-IP zu, wie es ein DHCP-Server tun würde. Der NetScaler erstellt ein neues Paket für die Intranetanwendung in dem LAN, auf das der Benutzer zugreifen würde. Dieses neue Paket wird von einem der Intranet-IPs für die Intranet-Anwendung bezogen. Von hier aus erhalten Intranet-Anwendungen das Paket, verarbeiten es und versuchen dann, auf die Quelle dieses Pakets (die INTRANET-IP) zu antworten. In diesem Fall muss das Antwortpaket zurück zum NetScaler geleitet werden, wo sich die INTRANET-IPs befinden (denken Sie daran, dass der NetScaler die Intranet-IP-Subnetze besitzt). Um diese Aufgabe zu erfüllen, muss der Netzwerkadministrator über eine Route zur INTRANET-IP verfügen, die auf einen der SNIPs verweist. Es wird empfohlen, den Datenverkehr auf das SNIP zurückzuleiten, das die Route enthält, von der aus das Paket den NetScaler zum ersten Mal verlässt, um asymmetrischen Verkehr zu vermeiden.
Name Service-Auflösung konfigurieren
Während der Installation von Citrix Gateway können Sie den Citrix Gateway-Assistenten verwenden, um andere Einstellungen zu konfigurieren, einschließlich Namensdienstanbieter. Die Namensdienstanbieter übersetzen den vollqualifizierten Domainnamen (FQDN) in eine IP-Adresse. Im Citrix Gateway-Assistenten können Sie einen DNS- oder WINS-Server konfigurieren, die Priorität der DNS-Suche festlegen und wie oft die Verbindung zum Server erneut versucht wird.
Wenn Sie den Citrix Gateway-Assistenten ausführen, können Sie dann einen DNS-Server hinzufügen. Sie können Citrix Gateway mithilfe eines Sitzungsprofils weitere DNS-Server und einen WINS-Server hinzufügen. Sie können dann Benutzer und Gruppen anweisen, eine Verbindung zu einem Namensauflösungsserver herzustellen, der sich von dem unterscheidet, den Sie ursprünglich mit dem Assistenten konfiguriert haben.
Erstellen Sie vor dem Konfigurieren eines anderen DNS-Servers auf Citrix Gateway einen virtuellen Server, der als DNS-Server für die Namensauflösung fungiert.
So fügen Sie einen DNS- oder WINS-Server innerhalb eines Sitzungsprofils hinzu
-
Im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration > Citrix Gateway > Richtlinien > Sitzung.
-
Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Öffnen.
-
Führen Sie auf der Registerkarte Netzwerkkonfiguration einen der folgenden Schritte aus:
-
Um einen DNS-Server zu konfigurieren, klicken Sie neben Virtueller DNS-Serverauf Override Global, wählen Sie den Server aus, und klicken Sie dann auf OK.
-
Um einen WINS-Server zu konfigurieren, klicken Sie neben WINS-Server-IPauf Override Global, geben Sie die IP-Adresse ein und klicken Sie dann auf OK.
-