Gateway

NetScaler Gateway VPN-Split-Tunnel für Office365 optimieren

Da sich Unternehmen schneller als zuvor an die Remote-Arbeitsoptionen anpassen, muss die Fernzugriffsinfrastruktur optimiert werden, um eine nahtlose Konnektivität bei erhöhter Verkehrsbelastung zu ermöglichen.

Wichtig:

Microsoft empfiehlt, Datenverkehr, der für wichtige Office 365-Dienste bestimmt ist, vom Umfang der VPN-Verbindung auszuschließen, indem Split-Tunneling mithilfe veröffentlichter IPv4- und IPv6-Adressbereiche konfiguriert wird. Für eine optimale Leistung und die effizienteste Nutzung der VPN-Kapazität muss der Datenverkehr zu den dedizierten IP-Adressbereichen, die den folgenden Anwendungen zugeordnet sind, direkt außerhalb des VPN-Tunnels weitergeleitet werden:

  • Office 365 Exchange Online
  • SharePoint Online
  • Microsoft Teams (in der Microsoft-Dokumentation als Optimize-Kategorie bezeichnet)

Weitere Informationen zu dieser Empfehlung finden Sie in den Microsoft-Anleitungen.

Die Empfehlung von Microsoft in NetScaler Gateway wird erreicht, indem die von Microsoft bereitgestellte Liste der IP-Adressen mithilfe der Split-Tunnel-Reverse-Konfiguration direkt an das Internet für den O365-Verkehr weitergeleitet wird.

Die Konfiguration umfasst Folgendes, das manuell über die GUI oder die CLI durchgeführt werden kann:

  • Konfigurieren Sie den geteilten Tunnel für die umgekehrte Konfiguration. Einzelheiten finden Sie unter Split-Tunneling-Optionen.
  • Konfigurieren Sie Intranetanwendungen für den Benutzerzugriff auf Ressourcen.

Konfiguration über die GUI

So konfigurieren Sie Split-Tunneling über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu NetScaler Gateway > Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Client Experience in Split Tunneldie Option Umkehrenaus.
  4. Klicken Sie auf OK.

    Stellen Sie den geteilten Tunnel auf rückwärts

So erstellen Sie eine VPN-Intranet-Anwendung über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zuCitrix Gateway > Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Intranet-Anwendungenauf den Link.
  3. Klicken Sie auf der Seite VPN-Intranet-Anwendung konfigurieren auf Hinzufügenund dann auf Neu.

    klicken, um eine Intranet-Anwendung hinzuzufügen

    Zum Hinzufügen auf "Neu" klicken

  4. Geben Sie im Feld Name einen Namen für das Profil ein.
  5. Wählen Sie unter Protokoll das Protokoll aus, das für die Netzwerkressource gilt.
  6. Wählen Sie unter Zieltypdie Option IP-Adresse und Netzwerkmaskeaus.
  7. Geben Sie unter IP-Adressedie IP-Adresse ein, die für den O365-Verkehr direkt ins Internet geleitet werden muss. Eine Liste der IP-Adressen finden Sie unter Liste der IP-Adressen.
  8. Geben Sie unter Netzwerkmaskedie IP-Adresse der Netzmaske ein.

    Intranet-Anwendung hinzufügen

  9. Klicken Sie auf Create und dann auf Close.

Hinweis: Wiederholen Sie diesen Vorgang für alle IP-Adressen.

Konfiguration über die CLI

  • Um den geteilten Tunnel auf Rückwärtsgang zu setzen, geben Sie an der Eingabeaufforderung;
set vpn parameter -splitTunnel REVERSE
<!--NeedCopy-->
  • Um eine VPN-Intranet-Anwendung hinzuzufügen, geben Sie an der Eingabeaufforderung;
add vpn intranetApplication intranetapp1 ANY 13.107.6.152 -netmask 255.255.255.254 -destPort 1-65535 -interception TRANSPARENT
<!--NeedCopy-->

Hinweis: Wiederholen Sie diesen Vorgang für alle IP-Adressen.

  • Um die Intranet-Anwendung zu binden, geben Sie an der Eingabeaufforderung ein;
bind vpn global -intranetApplication intranetapp1
<!--NeedCopy-->

Liste der IP-Adressen der Office 365-Dienste (EXO, SPO und Microsoft Teams)

Referenz: https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

Hinweis von Microsoft:

Als Reaktion von Microsoft auf die COVID-19-Situation hat Microsoft ein vorübergehendes Moratorium für einige geplante URL- und IP-Adressänderungen ausgerufen. Dieses Moratorium soll IT-Teams von Kunden Vertrauen und Einfachheit bei der Implementierung empfohlener Netzwerkoptimierungen für Office 365-Szenarien für das Homeoffice bieten. 24. März 2020 bis 30. Juni 2020 wird dieses Moratorium Änderungen für wichtige Office 365-Dienste (Exchange Online, SharePoint Online und Microsoft Teams) an IP-Bereichen und URLs in der Kategorie Optimize stoppen.

IPv4-Adressbereich

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14|

IPv6-Adressbereich

2603:1006::/40
2603:1016::/36
2603:1026::/36
2603:1036::/36
2603:1046::/36
2603:1056::/36
2603:1096::/38
2603:1096:400::/40
2603:1096:600::/40
2603:1096:a00::/39
2603:1096:c00::/40
2603:10a6:200::/40
2603:10a6:400::/40
2603:10a6:600::/40
2603:10a6:800::/40
2603:10d6:200::/40
2620:1ec:4::152/128
2620:1ec:4::153/128
2620:1ec:c::10/128
2620:1ec:c::11/128
2620:1ec:d::10/128
2620:1ec:d::11/128
2620:1ec:8f0::/46
2620:1ec:900::/46
2620:1ec:a92::152/128
2620:1ec:a92::153/128
2a01:111:f400::/48
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

NetScaler Gateway VPN-Split-Tunnel für Office365 optimieren