Erweiterter clientloser VPN-Zugriff mit NetScaler Gateway
Clientless VPN sieht eine Möglichkeit, Fernzugriff auf die Intranetressourcen des Unternehmens über NetScaler Gateway ohne eine VPN-Clientanwendung auf dem Clientcomputer bereitzustellen. Clientless VPN bietet Remotezugriff auf Unternehmens-Webanwendungen, Portale und andere Ressourcen über einen Webbrowser am Ende des Kunden. Die fortschrittliche clientlose VPN-Lösung beseitigt die folgenden Einschränkungen in Bezug auf clientloses VPN:
-
Relative URLs können manchmal nicht identifiziert werden.
-
Dynamisch generierte relative URLs können nicht identifiziert werden.
Das fortschrittliche clientlose VPN identifiziert die absolute URL und die Hostnamen und schreibt sie auf neue und einzigartige Weise um, anstatt zu versuchen, relative URLs auf den HTTP-Antworten/Webseiten neu zu schreiben. SharePoint muss den Standardordner nicht mehr zum Umschreiben von URLs verwenden, und ein benutzerdefinierter SharePoint-Zugriff wird unterstützt.
Voraussetzungen
Im Folgenden sind die Voraussetzungen für die Konfiguration des erweiterten clientlosen VPN aufgeführt.
-
Wildcard-Serverzertifikat — Das erweiterte clientlose VPN schreibt URLs auf einzigartige Weise um. Diese Eindeutigkeit wird für jede URL pro Benutzer beibehalten. Wenn beispielsweise die Webanwendung auf
https://webapp.customer.com
gehostet wird und der virtuelle VPN-Server gehostet wirdhttps://vpn.customer.com
, schreibt das erweiterte clientlose VPN sie als neuhttps://cvpneqwerty.vpn.customer.com
. Das bedeutet, dass jede URL als Subdomain des virtuellen VPN-Servers umgeschrieben wird. In dieser neuen URL kanncvpneqwerty
wieder zuhttps://webapp.customer.com
entschlüsselt werden. Die Zeichenfolgecvpneqwerty
ist dynamisch und daher müssen Sie für SSL den virtuellen VPN-Server mit einem Platzhalterzertifikat binden.Wenn der Server mit gehostet wird
https://vpn.customer.com
, muss das Serverzertifikat nun Einträge für (vpn.customer.com und.vpn.customer.com) als Teil der Zertifikate CN oder SAN (wobei CN = allgemeiner Name, SAN = Subject Alternative Name) haben. Das Binden dieses Zertifikats bleibt auf NetScaler Gateway gleich. Hinweis: Platzhalterzertifikate unterstützen nur eine Ebene (d. h..customer.com ist nicht erlaubt). Wenn Sie bereits ein Wildcard-Zertifikat (für*.customer.com) und Hosting verwendenhttps://vpn.customer.com
, funktioniert dies nicht für das erweiterte clientlose VPN. Sie müssen ein neues Zertifikat mit bekommen*.vpn.customer.com
. -
WildCard-DNS-Eintrag - Die Clients (Webbrowser) müssen den FQDN der erweiterten clientlosen VPN-App auflösen. Beim Einrichten des NetScaler Gateway-Servers müssen Sie einen DNS-Eintrag konfiguriert haben, um vpn.customer.com aufzulösen. Auf diese Weise kann der Browser vpn.customer.com auf die IP-Adresse Ihres virtuellen VPN-Servers auflösen. Um URLs wie
https://cvpnqwerty.vpn.customer.com
dieselbe IP-Adresse aufzulösen (VPN virtueller Server), müssen Sie einen neuen Datensatz für die Domäne vonvpn.customer.com
hinzufügen. Finden Sie die Domain-Einstellung auf Ihrem DNS-Server und fügen Sie einen neuen Host-Eintrag für “*” mit derselben IP-Adresse wie zuvor hinzu. Nachdem Sie den Host-Datensatz hinzugefügt haben, müssen Sie erfolgreiche Ping-Antworten für sehenhttps://cpvnanything.vpn.customer.com
.
Konfigurieren des erweiterten clientlosen VPN-Zugriffs
Um den erweiterten clientlosen VPN-Zugriff über die Befehlszeilenschnittstelle zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:
set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->
Wenn eine Sitzungsaktion an den virtuellen Server gebunden ist, müssen Sie auch die erweiterte clientlose VPN-Modusoption für diese Sitzungsaktion aktivieren.
Beispiel:
set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->
So konfigurieren Sie erweiterten clientlosen VPN-Zugriff mithilfe der NetScaler GUI:
-
Navigieren Sie in der NetScaler-GUI zu Konfiguration> NetScalerGlobale Einstellungen.
-
Klicken Sie auf der Seite Globale Einstellungenauf Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrungaus.
-
Klicken Sie auf der Registerkarte Client Experience in der Liste Clientless Accessauf An.
-
Klicken Sie auf der Registerkarte Client Experience in der Liste Erweiterter clientloser VPN-Modus auf Aktiviert. Wenn Sie STRICT aus der Liste Erweiterter clientloser VPN-Modus auswählen, reagiert die NetScaler Appliance nur auf StoreFront-URLs in klassischer clientloser VPN-Form und blockiert alle anderen klassischen clientlosen VPN-Anfragen. Diese Option bietet eine sicherere Konfiguration auf der Appliance für die Bereitstellung interner Webressourcen.
Hinweis:
- Wenn eine Sitzungsaktion an den virtuellen Server gebunden ist, müssen Sie die Option Erweiterter clientloser VPN-Modus für diese Sitzungsaktion auch auf der Registerkarte Clienterfahrung auf der Seite NetScaler Gateway-Sitzungsprofil konfigurieren aktivieren.
- Sie können die Option Global überschreiben auswählen, um die globalen Einstellungen zu überschreiben.
- Sie können die erweiterte clientlose VPN-Funktion auch auf Sitzungsebene konfigurieren.
Vorbehalte
Das fortschrittliche clientlose VPN zielt darauf ab, Zugriff auf Enterprise Web Apps zu ermöglichen. Solche Apps haben nur einen FQDN für jede Art von Ressource, die sie benötigen (JavaScript, CSS, Bilder usw.). Da wir den kompletten FQDN interner Apps in ein einziges Oktett (clientloses VPN) codieren, verlieren wir die Subdomain-Beziehung. Wenn eine Enterprise WebApp mit CORS konfiguriert ist, kann es daher manchmal zu Problemen kommen, wenn Sie über das erweiterte clientlose VPN darauf zugreifen.