Gateway

So stellen Benutzer eine Verbindung mit dem Citrix Secure Access-Client her

NetScaler Gateway funktioniert wie folgt:

  • Wenn Benutzer versuchen, über den VPN-Tunnel auf Netzwerkressourcen zuzugreifen, verschlüsselt der Citrix Secure Access-Client den gesamten Netzwerkverkehr, der für das interne Netzwerk der Organisation bestimmt ist, und leitet die Pakete an NetScaler Gateway weiter.
  • NetScaler Gateway beendet den SSL-Tunnel, akzeptiert eingehenden Datenverkehr, der für das private Netzwerk bestimmt ist, und leitet den Datenverkehr an das private Netzwerk weiter. NetScaler Gateway sendet den Datenverkehr über einen sicheren Tunnel zurück zum Remotecomputer.

Wenn Benutzer die Webadresse eingeben, erhalten sie eine Anmeldeseite, auf der sie ihre Anmeldeinformationen eingeben und sich anmelden. Wenn die Anmeldeinformationen korrekt sind, beendet NetScaler Gateway den Handshake mit dem Benutzergerät.

Wenn Benutzer hinter einem Proxyserver sind, können sie den Proxyserver und die Authentifizierungsinformationen angeben. Weitere Informationen finden Sie unter Aktivieren der Proxy-Unterstützung für Benutzerverbindungen.

Der Citrix Secure Access Client ist auf dem Benutzergerät installiert. Wenn sich Benutzer nach der ersten Verbindung mit einem Windows-basierten Computer anmelden, können sie das Symbol im Infobereich verwenden, um die Verbindung herzustellen.

Stellen Sie den sicheren Tunnel her

Wenn Benutzer eine Verbindung mit dem Citrix Secure Access-Client, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf NetScaler Gateway) ein und sendet Authentifizierungsinformationen. Wenn der Tunnel eingerichtet ist, sendet NetScaler Gateway Konfigurationsinformationen an den Citrix Secure Access-Client, Secure Hub oder die Citrix Workspace-App, in denen die zu sichernden Netzwerke beschrieben werden und eine IP-Adresse enthalten, wenn Sie Adresspools aktivieren.

Tunnel des privaten Netzwerkverkehrs über sichere Verbindungen

Wenn der Citrix Secure Access-Client gestartet wird und der Benutzer authentifiziert wird, wird der gesamte Netzwerkverkehr, der für bestimmte private Netzwerke bestimmt ist, erfasst und über den sicheren Tunnel an NetScaler Gateway umgeleitet. Die Citrix Workspace-App muss den Citrix Secure Access-Client unterstützen, um die Verbindung über den sicheren Tunnel herzustellen, wenn sich Benutzer anmelden.

Secure Hub, Secure Mail und WorxWeb verwenden Micro VPN, um den sicheren Tunnel für iOS- und Android-Mobilgeräte einzurichten.

NetScaler Gateway fängt alle Netzwerkverbindungen ab, die das Benutzergerät herstellt, und multiplext sie über Secure Sockets Layer (SSL) zu NetScaler Gateway, wo der Datenverkehr demultiplext wird und die Verbindungen an die richtige Kombination aus Host und Port weitergeleitet werden.

Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien, die für eine einzelne Anwendung, eine Teilmenge von Anwendungen oder ein ganzes Intranet gelten. Sie geben die Ressourcen (Bereiche von IP-Adressen/Subnetzpaaren) an, auf die Remotebenutzer über die VPN-Verbindung zugreifen können.

Der Citrix Secure Access-Client fängt die folgenden Protokolle für die definierten Intranetanwendungen ab und tunnelt sie:

  • TCP (alle Ports)
  • UDP (alle Ports)
  • ICMP (Typen 8 und 0 - Echo Request/Reply)

Verbindungen von lokalen Anwendungen auf dem Benutzergerät werden sicher an NetScaler Gateway getunnelt, wodurch die Verbindungen zum Zielserver wiederhergestellt werden. Zielserver sehen Verbindungen als vom lokalen NetScaler Gateway im privaten Netzwerk stammend an und verbergen so das Benutzergerät. Dies wird auch als umgekehrte Netzwerkadressübersetzung (NAT) bezeichnet. Das Ausblenden von IP-Adressen erhöht die Sicherheit der Quellspeicherorte.

Lokal, auf dem Benutzergerät, wird der gesamte verbindungsbezogene Datenverkehr, wie SYN-ACK-, PUSH-, ACK- und FIN-Pakete, vom Citrix Secure Access-Client neu erstellt, sodass er vom privaten Server aus angezeigt wird.

Verbinden Sie sich über Firewalls und Proxys

Benutzer des Citrix Secure Access-Clients befinden sich manchmal innerhalb der Firewall einer anderen Organisation, wie in der folgenden Abbildung dargestellt:

Benutzerverbindung über zwei interne Firewalls

NAT-Firewalls verwalten eine Tabelle, die es ihnen ermöglicht, sichere Pakete von NetScaler Gateway zurück zum Benutzergerät zu leiten. Für leitungsorientierte Verbindungen verwaltet NetScaler Gateway eine Port-zugeordnete, umgekehrte NAT-Übersetzungstabelle. Mit der umgekehrten NAT-Übersetzungstabelle kann NetScaler Gateway Verbindungen abgleichen und Pakete mit den richtigen Portnummern über den Tunnel an das Benutzergerät zurücksenden, damit die Pakete zur richtigen Anwendung zurückkehren.

Kontrollieren Sie das Upgrade von Citrix Secure Access-Clients

Systemadministratoren steuern, wie das NetScaler-Plug-In funktioniert, wenn seine Version nicht mit der NetScaler Gateway-Revision übereinstimmt. Die neuen Optionen steuern das Plug-In-Upgrade-Verhalten für Mac und Windows oder Betriebssysteme.

Für VPN-Plug-Ins kann die Upgrade-Option an zwei Stellen in der Benutzeroberfläche der NetScaler Appliance festgelegt werden:

  • Bei den globalen Einstellungen
  • Auf der Ebene des Sitzungsprofils

Anforderungen

  • Windows EPA- und VPN-Plug-In-Version muss größer als 11.0.0.0 sein

  • Die Mac EPA-Plug-In-Version muss größer als 3.0.0.31 sein

  • Die Mac-VPN-Plug-In-Version muss größer als 3.1.4 sein (357)

Hinweis:

Wenn die NetScaler Appliance auf die Version 11.0 aktualisiert wird, werden alle vorherigen VPN (und EPA) -Plug-Ins unabhängig von der Konfiguration der Upgrade-Steuerung auf die neueste Version aktualisiert. Bei nachfolgenden Upgrades respektieren sie die vorherige Konfiguration der Upgrade-Steuerung.

Plug-In-Verhalten

Für jeden Clienttyp ermöglicht NetScaler Gateway die folgenden drei Optionen zur Steuerung des Plug-In-Upgrade-Verhaltens:

  • Immer

Das Plug-In wird immer dann aktualisiert, wenn die Plug-In-Version des Endbenutzers nicht mit dem mit der NetScaler Appliance gelieferten Plug-In übereinstimmt. Dies ist das Standardverhalten. Wählen Sie diese Option, wenn Sie nicht möchten, dass mehrere Plug-In-Versionen in Ihrem Unternehmen ausgeführt werden.

  • Wesentlich (und Sicherheit)

Das Plug-In wurde nur aktualisiert, wenn es für notwendig erachtet wird. Upgrades werden unter den folgenden beiden Umständen als notwendig erachtet:

  • Das installierte Plug-In ist nicht mit der aktuellen NetScaler Appliance-Version kompatibel.

  • Das installierte Plug-In muss für die notwendige Sicherheitskorrektur aktualisiert werden.

Wählen Sie diese Option, wenn Sie die Anzahl der Plug-In-Upgrades minimieren möchten, aber keine Plug-In-Sicherheitsupdates verpassen möchten

  • Nie

Das Plug-In wird nicht aktualisiert.

CLI-Parameter zur Steuerung des VPN-Plug-In-Upgrades

NetScaler Gateway unterstützt zwei Arten von Plug-Ins (EPA und VPN) für Windows- und Mac-Betriebssysteme. Um die Upgrade-Steuerung des VPN-Plug-Ins auf Sitzungsebene zu unterstützen, unterstützt NetScaler Gateway zwei Sitzungsprofilparameter mit den Namen WindowsInPluginUpgrade und MacPluginUpgrade.

Diese Parameter sind auf globaler, virtueller Server-, Gruppen- und Benutzerebene verfügbar. Jeder Parameter kann den Wert Always, Essential oder Never haben. Eine Beschreibung dieser Parameter finden Sie unter Plug-In-Verhalten.

CLI-Parameter zur Steuerung des EPA-Plug-In-Upgrades

NetScaler Gateway unterstützt EPA-Plug-Ins für Windows- und Mac-Betriebssysteme. Zur Unterstützung der EPA-Plug-In-Upgrade-Steuerung auf virtueller Serverebene unterstützt NetScaler Gateway zwei virtuelle Serverparameter mit den Namen windowsEPAPluginUpgrade und macEPAPluginUpgrade.

Die Parameter sind auf der Ebene des virtuellen Servers verfügbar. Jeder Parameter kann den Wert Always, Essential oder Never haben. Eine Beschreibung dieser Parameter finden Sie unter Plug-In-Verhalten.

VPN-Konfiguration

Folgen Sie diesen Schritten für die VPN-Konfiguration von Windows-, Linux- und Mac-Plug-ins.

  1. Wechseln Sie zu NetScaler > Richtlinien > Sitzung.

  2. Wählen Sie die gewünschte Sitzungsrichtlinie aus und klicken Sie dann auf Bearbeiten.

  3. Wählen Sie die Registerkarte Kundenerlebnis

  4. Diese Optionen in den Dialogfeldern beeinflussen das Upgrade-Verhalten.

    • Immer
    • Wesentlich
    • Nie

    Die Standardeinstellung ist Immer.

  5. Aktivieren Sie das Kontrollkästchen rechts neben jeder Option. Wählen Sie die Häufigkeit für die Anwendung des Upgrade-Verhaltens

Upgrade-Option

EPA-Konfiguration

Befolgen Sie diese Schritte für die EPA-Konfiguration von Windows-, Linux- und Apple-Plug-Ins.

  1. Wechseln Sie zu NetScaler Gateway > Virtuelle Server.

  2. Wählen Sie einen Server aus und klicken Sie auf die Schaltfläche Bearbeiten.

  3. Klicken Sie auf das Stiftsymbol.

    Bleistift-Symbol

  4. Klicken Sie auf Mehr

  5. Die angezeigten Dialogfelder wirken sich auf das Upgrade-Verhalten aus. Es gibt folgende Optionen:

    • Immer
    • Wesentlich
    • Nie
So stellen Benutzer eine Verbindung mit dem Citrix Secure Access-Client her