Gateway

Setup des vollständigen VPNs in NetScaler Gateway

In diesem Abschnitt wird beschrieben, wie Sie das vollständige VPN-Setup auf einem NetScaler Gateway-Gerät konfigurieren. Es enthält Netzwerküberlegungen und den idealen Ansatz zur Lösung von Problemen aus Netzwerkperspektive.

Voraussetzungen

Wenn Benutzer eine Verbindung mit dem Citrix Secure Access-Client, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf NetScaler Gateway) ein und sendet Authentifizierungsinformationen. Sobald der Tunnel eingerichtet wurde, sendet NetScaler Gateway Konfigurationsinformationen an den Citrix Secure Access-Client, Citrix Secure Hub oder die Citrix Workspace-App, in denen die zu sichernden Netzwerke beschrieben werden. Diese Informationen enthalten auch eine IP-Adresse, wenn Sie Intranet-IPs aktivieren.

Sie konfigurieren Benutzergeräteverbindungen, indem Sie die Ressourcen definieren, auf die Benutzer im internen Netzwerk zugreifen können. Das Konfigurieren von Benutzergeräteverbindungen umfasst Folgendes:

  • Split-Tunneling
  • IP-Adressen für Benutzer, einschließlich Adresspools (Intranet-IPs)
  • Verbindungen über einen Proxyserver
  • Definieren der Domains, auf die Benutzer Zugriff haben
  • Timeout-Einstellungen
  • Single Sign-On
  • Benutzersoftware, die über NetScaler Gateway eine Verbindung herstellt
  • Zugriff für mobile Geräte

Sie konfigurieren die meisten Benutzergeräteverbindungen mithilfe eines Profils, das Teil einer Sitzungsrichtlinie ist. Sie können auch Verbindungseinstellungen für Benutzergeräte definieren, indem Sie Per-Authentifizierungs-, Traffic- und Autorisierungsrichtlinien verwenden. Sie können auch mithilfe von Intranet-Anwendungen konfiguriert werden.

Konfigurieren eines vollständigen VPN-Setups auf einem NetScaler Gateway-Gerät

Führen Sie das folgende Verfahren aus, um ein VPN-Setup auf dem NetScaler Gateway-Gerät zu konfigurieren:

  1. Navigieren Sie zu Traffic Management > DNS.

  2. Wählen Sie den Knoten Nameserver aus, wie im folgenden Screenshot gezeigt. Stellen Sie sicher, dass der DNS-Nameserver aufgeführt ist. Wenn es nicht verfügbar ist, fügen Sie einen DNS-Nameserver hinzu.

    Nameserver wählen

  3. Erweitern Sie NetScaler Gateway > Richtlinien.

  4. Wählen Sie den Knoten Session aus.

  5. Klicken Sie auf der Seite NetScaler Gateway Sitzungsrichtlinien und -profile auf die Registerkarte Profile und klicken Sie auf Hinzufügen. Stellen Sie für jede Komponente, die Sie im Dialogfeld “NetScaler Gateway-Sitzungsprofil konfigurieren” konfigurieren, sicher, dass Sie die Option Override Global für die entsprechende Komponente auswählen.

  6. Klicken Sie auf den Tab „ Kundenerlebnis “.

  7. Geben Sie die URL des Intranetportals in das Feld Startseite ein, wenn Sie eine URL angeben möchten, wenn sich der Benutzer beim VPN anmeldet. Wenn der Homepage-Parameter auf “nohomepage.html” eingestellt ist, wird die Homepage nicht angezeigt. Wenn das Plug-In startet, startet eine Browser-Instanz und wird automatisch getötet.

  8. Stellen Sie sicher, dass Sie die gewünschte Einstellung aus der Liste Split-Tunnel auswählen.

  9. Wählen Sie OFF aus der Liste Clientless Access aus, wenn Sie FullVPN wünschen.

  10. Stellen Sie sicher, dass Windows/Mac OS X aus der Liste Plug-In-Typ ausgewählt ist.

  11. Wählen Sie bei Bedarf die Option Single Sign-On bei Webanwendungen.

  12. Stellen Sie sicher, dass die Option Clientbereinigungsaufforderung bei Bedarf ausgewählt ist, wie im folgenden Screenshot gezeigt:

    Client-Säuberung

  13. Klicken Sie auf die Registerkarte Sicherheit.

  14. Stellen Sie sicher, dass ALLOW aus der Liste der Standardautorisierungsaktionen ausgewählt ist.

    Festlegen der standardmäßigen Autorisierungsaktion auf Zulassen

  15. Klicken Sie auf die Registerkarte Published Applications.

  16. Stellen Sie sicher, dass OFF aus der ICA-Proxy-Liste unter der Option Veröffentlichte Anwendungen ausgewählt ist.

    Stellen Sie den ICA-Proxy auf aus

  17. Klicken Sie auf Erstellen.

  18. Klicken Sie auf Schließen.

  19. Klicken Sie auf der Seite NetScaler Gateway-Sitzungsrichtlinien und -profile im virtuellen Server auf die Registerkarte Richtlinien oder aktivieren Sie die Sitzungsrichtlinien nach Bedarf auf GRUPPE-/BENUTZER-Ebene.

  20. Erstellen Sie eine Sitzungsrichtlinie mit einem erforderlichen Ausdruck oder true, wie im folgenden Screenshot gezeigt:

    Erstellen einer Sitzungsrichtlinie

  21. Binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server. Einzelheiten finden Sie unter Bind-Sitzungsrichtlinien.

    Wenn Split Tunnel auf ON konfiguriert wurde, müssen Sie die Intranet-Anwendungen konfigurieren, auf die die Benutzer zugreifen sollen, wenn sie mit dem VPN verbunden sind. Einzelheiten zu Intranetanwendungen finden Sie unter Konfigurieren von Intranetanwendungen für den Citrix Secure Access Client.

    1. Wechseln Sie zu NetScaler Gateway > Ressourcen > Intranet-Anwendungen.

    2. Erstellen Sie eine Intranet-Anwendung. Wählen Sie Transparent für FullVPN mit Windows Client. Wählen Sie das Protokoll aus, das Sie zulassen möchten (TCP, UDP oder ANY), Zieltyp (IP-Adresse und Maske, IP-Adressbereich oder Hostname).

      Erstellen Sie eine Intranet-Anwendung

    3. Legen Sie bei Bedarf eine neue Richtlinie für VPN unter iOS und Android mithilfe des folgenden Ausdrucks fest: HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")

    4. Binden Sie die auf USER/GROUP/VSERVER-Ebene erstellten Intranet-Anwendungen nach Bedarf.

Split-Tunneling konfigurieren

  1. Navigieren Sie zu Konfiguration > NetScaler Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Bearbeiten.

  3. Wählen Sie auf der Registerkarte Client Experience neben Split Tunneldie Option Global Overrideaus, wählen Sie eine Option aus, und klicken Sie dann auf OK.

    Konfigurieren von Split-Tunneling und Autorisierung

    Bei der Planung Ihrer NetScaler Gateway-Bereitstellung ist es wichtig, Split-Tunneling sowie die Standard-Autorisierungsaktion und Autorisierungsrichtlinien in Betracht zu ziehen.

    Beispielsweise haben Sie eine Autorisierungsrichtlinie, die den Zugriff auf eine Netzwerkressource ermöglicht. Sie haben Split-Tunneling auf ON eingestellt und konfigurieren Intranet-Anwendungen nicht so, dass Netzwerkverkehr über NetScaler Gateway gesendet wird. Wenn NetScaler Gateway über diese Art von Konfiguration verfügt, ist der Zugriff auf die Ressource zulässig, Benutzer können jedoch nicht auf die Ressource zugreifen.

    Konfigurieren Sie volles VPN

Wenn die Autorisierungsrichtlinie den Zugriff auf eine Netzwerkressource verweigert, sendet der Citrix Secure Access-Client Datenverkehr an NetScaler Gateway, aber der Zugriff auf die Ressource wird unter den folgenden Bedingungen verweigert.

  • Sie haben Split-Tunneling auf ON eingestellt.
  • Intranet-Anwendungen sind so konfiguriert, dass sie den Netzwerkverkehr über NetScaler Gateway weiterleiten

Weitere Informationen zu Autorisierungsrichtlinien finden Sie im Folgenden:

So konfigurieren Sie den Netzwerkzugriff auf interne Netzwerkressourcen

  1. Navigieren Sie zu Konfiguration > NetScaler Gateway > Ressourcen > Intranet-Anwendungen.

  2. Klicken Sie im Detailbereich auf Hinzufügen.

  3. Füllen Sie die Parameter für das Zulassen des Netzwerkzugriffs aus, klicken Sie auf Erstellenund dann auf Schließen.

Wenn wir die Intranet-IPs für die VPN-Benutzer nicht einrichten, sendet der Benutzer den Datenverkehr an das NetScaler Gateway VIP, und von dort erstellt die NetScaler Appliance ein neues Paket an die Intranet-Anwendungsressource im internen LAN. Dieses neue Paket wird vom SNIP zur Intranet-Anwendung bezogen. Von hier aus erhält die Intranet-Anwendung das Paket, verarbeitet es und versucht dann, auf die Quelle dieses Pakets zu antworten (in diesem Fall das SNIP). Das SNIP erhält das Paket und sendet die Antwort an den Client, der die Anfrage gestellt hat.

Wenn eine Intranet-IP-Adresse verwendet wird, sendet der Benutzer den Datenverkehr an das NetScaler Gateway VIP, und von dort aus wird die NetScaler Appliance die Client-IP einer der konfigurierten INTRANET-IPs aus dem Pool zuordnen. Beachten Sie, dass die NetScaler Appliance den Intranet-IP-Pool besitzen wird und diese Bereiche aus diesem Grund nicht im internen Netzwerk verwendet werden dürfen. Die NetScaler Appliance weist eine Intranet-IP für die eingehenden VPN-Verbindungen zu, wie es ein DHCP-Server tun würde. Die NetScaler Appliance erstellt ein neues Paket für die Intranetanwendung im LAN, auf das der Benutzer zugreifen würde. Dieses neue Paket wird von einem der Intranet-IPs für die Intranet-Anwendung bezogen. Von hier aus erhalten Intranet-Anwendungen das Paket, verarbeiten es und versuchen dann, auf die Quelle dieses Pakets (die INTRANET-IP) zu antworten. In diesem Fall muss das Antwortpaket an die NetScaler Appliance zurückgeleitet werden, wo sich die INTRANET-IPs befinden (Denken Sie daran, dass die NetScaler Appliance die Intranet-IPs-Subnetze besitzt). Um diese Aufgabe zu erfüllen, muss der Netzwerkadministrator über eine Route zur INTRANET-IP verfügen, die auf einen der SNIPs verweist. Es wird empfohlen, den Datenverkehr zurück auf das SNIP zu verweisen, das die Route enthält, von der aus das Paket die NetScaler Appliance zum ersten Mal verlässt, um asymmetrischen Datenverkehr zu vermeiden.

Split-Tunneling-Optionen

Im Folgenden sind die verschiedenen Split-Tunneling-Optionen aufgeführt.

Konfiguration des Split-Tunnels

Split-Tunnel AUS

Wenn der Split-Tunnel ausgeschaltet ist, erfasst der Citrix Secure Access-Client den gesamten Netzwerkverkehr, der von einem Benutzergerät stammt, und sendet den Datenverkehr über den VPN-Tunnel an NetScaler Gateway. Mit anderen Worten, der VPN-Client richtet eine Standardroute vom Client-PC ein, die auf den NetScaler Gateway VIP zeigt, was bedeutet, dass der gesamte Datenverkehr durch den Tunnel gesendet werden muss, um zum Ziel zu gelangen. Da der gesamte Verkehr durch den Tunnel gesendet wird, müssen Autorisierungsrichtlinien festlegen, ob der Verkehr zu internen Netzwerkressourcen geleitet oder verweigert werden darf.

Während auf “Aus” gestellt, läuft der gesamte Datenverkehr durch den Tunnel, einschließlich des Standard-Webverkehrs zu Websites. Wenn das Ziel darin besteht, diesen Webverkehr zu überwachen und zu steuern, müssen Sie diese Anforderungen mithilfe der NetScaler Appliance an einen externen Proxy weiterleiten. Benutzergeräte können über einen Proxyserver eine Verbindung herstellen, um auch auf interne Netzwerke zuzugreifen.
NetScaler Gateway unterstützt die Protokolle HTTP, SSL, FTP und SOCKS. Um die Proxy-Unterstützung für Benutzerverbindungen zu aktivieren, müssen Sie diese Einstellungen auf NetScaler Gateway angeben. Sie können die IP-Adresse und den Port angeben, die vom Proxyserver auf NetScaler Gateway verwendet werden. Der Proxyserver wird als Forward-Proxy für alle weiteren Verbindungen zum internen Netzwerk verwendet.

Weitere Informationen finden Sie unter den folgenden Links:

Split-Tunnel EIN

Sie können Split-Tunneling aktivieren, um zu verhindern, dass der Citrix Secure Access-Client unnötigen Netzwerkverkehr an NetScaler Gateway sendet. Wenn der Split-Tunnel aktiviert ist, sendet der Citrix Secure Access-Client nur Datenverkehr, der für Netzwerke bestimmt ist, die von NetScaler Gateway geschützt sind (Intranetanwendungen), über den VPN-Tunnel. Der Citrix Secure Access-Client sendet keinen Netzwerkverkehr, der für ungeschützte Netzwerke bestimmt ist, an NetScaler Gateway. Wenn der Citrix Secure Access-Client gestartet wird, ruft er die Liste der Intranetanwendungen von NetScaler Gateway ab und erstellt eine Route für jedes Subnetz, das auf der Registerkarte Intranetanwendung auf dem Client-PC definiert ist. Der Citrix Secure Access-Client untersucht alle vom Benutzergerät übertragenen Pakete und vergleicht die Adressen in den Paketen mit der Liste der Intranetanwendungen (Routingtabelle, die beim Starten der VPN-Verbindung erstellt wurde). Wenn sich die Zieladresse im Paket in einer der Intranetanwendungen befindet, sendet der Citrix Secure Access-Client das Paket über den VPN-Tunnel an NetScaler Gateway. Wenn sich die Zieladresse nicht in einer definierten Intranet-Anwendung befindet, wird das Paket nicht verschlüsselt, und das Benutzergerät leitet das Paket dann entsprechend mithilfe des ursprünglich auf dem Client-PC definierten Standard-Routing weiter. “Wenn Sie Split-Tunneling aktivieren, definieren Intranet-Anwendungen den Netzwerkverkehr, der abgefangen und durch den Tunnel gesendet wird”.

Rückwärtsgeteilter

NetScaler Gateway unterstützt auch Reverse-Split-Tunneling, das den Netzwerkverkehr definiert, den NetScaler Gateway nicht abfängt. Wenn Sie Split-Tunneling auf Rückwärtsgang einstellen, definieren Intranetanwendungen den Netzwerkverkehr, den NetScaler Gateway nicht abfängt. Wenn Sie Reverse-Split-Tunneling aktivieren, umgeht der gesamte Netzwerkverkehr, der an interne IP-Adressen gerichtet ist, den VPN-Tunnel, während anderer Datenverkehr über NetScaler Gateway fließt. Reverse-Split-Tunneling kann verwendet werden, um den gesamten nicht lokalen LAN-Verkehr zu protokollieren. Wenn Benutzer beispielsweise über ein drahtloses Heimnetzwerk verfügen und mit dem Citrix Secure Access-Client angemeldet sind, fängt NetScaler Gateway keinen Netzwerkverkehr ab, der an einen Drucker oder ein anderes Gerät innerhalb des drahtlosen Netzwerks gerichtet ist.

Hinweis:

Der Citrix Secure Access-Client für Windows unterstützt auch einen FQDN-basierten Reverse-Split-Tunnel von Citrix Secure Access Version 22.6.1.5 und höher.

Wichtige Hinweise

IP-basiertes Reverse-Split-Tunneling:

  • Die Anzahl der auf IP-Adressen basierenden Regeln ist auf 1024 begrenzt.
  • Wird sowohl von DNE- als auch von WFP-Treibern unterstützt.

Auf Hostnamen basierendes Reverse-Split-Tunneling:

  • Die Anzahl der Hostnamen, auf die während einer VPN-Sitzung zugegriffen werden kann, ist durch die Anzahl der verwendbaren IP-Adressen begrenzt, die im FQDN-Spoofing-Bereich angegeben sind. Dies liegt daran, dass jeder Hostname eine IP-Adresse aus dem FQDN-Spoofing-Bereich belegt. Sobald der IP-Bereich erschöpft ist, wird die zuletzt zugewiesene IP-Adresse für den nächsten neuen Hostnamen wiederverwendet.
  • DNS-Suffixe müssen konfiguriert werden.

    Hinweis:

    Für Windows-Clients wird das auf Hostnamen basierende Reverse-Split-Tunneling nur mit dem WFP-Treiber unterstützt. Aktivieren Sie den WFP-Treibermodus, indem Sie den Registrierungswert „EnableWFP“ auf setzen. 1 Weitere Informationen finden Sie unter Windows Citrix Secure Access Client mit Windows Filtering Platform.

IP-basiertes und hostnamenbasiertes Reverse-Split-Tunneling:

  • Wird nur mit dem WFP-Treiber unterstützt. Alle anderen Richtlinien, die in IP-basiertem Reverse-Split-Tunneling und Hostnamen-basiertem Reverse-Split-Tunneling erwähnt werden, gelten.

Name Service-Auflösung konfigurieren

Während der Installation von NetScaler Gateway können Sie den NetScaler Gateway-Assistenten verwenden, um andere Einstellungen zu konfigurieren, einschließlich Namensdienstanbieter. Die Namensdienstanbieter übersetzen den vollqualifizierten Domainnamen (FQDN) in eine IP-Adresse. Im NetScaler Gateway-Assistenten können Sie auch Folgendes ausführen:

  • Konfigurieren Sie einen DNS- oder WINS-Server
  • Legen Sie die Priorität des DNS-Lookup fest
  • Legen Sie fest, wie oft die Verbindung zum Server erneut versucht werden soll.

Wenn Sie den NetScaler Gateway-Assistenten ausführen, können Sie dann einen DNS-Server hinzufügen. Sie können NetScaler Gateway mithilfe eines Sitzungsprofils weitere DNS-Server und einen WINS-Server hinzufügen. Sie können dann Benutzer und Gruppen anweisen, eine Verbindung zu einem Namensauflösungsserver herzustellen, der sich von dem unterscheidet, den Sie ursprünglich mit dem Assistenten konfiguriert haben.

Erstellen Sie vor dem Konfigurieren eines anderen DNS-Servers auf NetScaler Gateway einen virtuellen Server, der als DNS-Server für die Namensauflösung fungiert.

So fügen Sie einen DNS- oder WINS-Server innerhalb eines Sitzungsprofils hinzu

  1. Im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration > NetScaler Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Öffnen.

  3. Führen Sie auf der Registerkarte Netzwerkkonfiguration einen der folgenden Schritte aus:

    • Um einen DNS-Server zu konfigurieren, klicken Sie neben Virtueller DNS-Serverauf Override Global, wählen Sie den Server aus, und klicken Sie dann auf OK.

    • Um einen WINS-Server zu konfigurieren, klicken Sie neben WINS-Server-IPauf Override Global, geben Sie die IP-Adresse ein und klicken Sie dann auf OK.

Referenzen

Setup des vollständigen VPNs in NetScaler Gateway