Clientabfangs konfigurieren
Sie konfigurieren Abfangregeln für Benutzerverbindungen auf NetScaler Gateway mithilfe von Intranet-Anwendungen. Standardmäßig werden Subnetz-Routen basierend auf diesen IP-Adressen erstellt, wenn Sie die System-IP-Adresse, eine zugeordnete IP-Adresse oder eine Subnetz-IP-Adresse auf der Appliance konfigurieren. Intranet-Anwendungen werden basierend auf diesen Routen automatisch erstellt und können an einen virtuellen Server gebunden werden. Wenn Sie Split-Tunneling aktivieren, müssen Sie Intranet-Anwendungen definieren, damit das Client-Abfangen erfolgen kann.
Sie können Intranet-Anwendungen mithilfe der GUI konfigurieren. Sie können Intranet-Anwendungen an Benutzer, Gruppen oder virtuelle Server binden.
Wenn Sie Split-Tunneling aktivieren und Benutzer mithilfe von WorxWeb oder WorxMail eine Verbindung herstellen, müssen Sie beim Konfigurieren des Clientabfangs die IP-Adressen für Citrix Endpoint Management und Ihren Exchange-Server hinzufügen. Wenn Sie kein Split-Tunneling aktivieren, müssen Sie die Endpoint Management- und Exchange-IP-Adressen in Intranet-Anwendungen nicht konfigurieren.
Informationen zur Konfiguration von Split-Tunneling finden Sie unter Konfiguration von Split-Tunneling.
Konfiguration von Intranetanwendungen für den Citrix Secure Access-Client
Sie erstellen Intranet-Anwendungen für den Benutzerzugriff auf Ressourcen, indem Sie Folgendes definieren:
- Eine IP-Adresse
- Ein Bereich von IP-Adressen
- Ein Hostname
Wenn Sie eine Intranetanwendung auf NetScaler Gateway definieren, fängt der Citrix Secure Access-Client für Windows den Benutzerverkehr ab, der für die Ressource bestimmt ist, und sendet den Datenverkehr über NetScaler Gateway.
Beachten Sie bei der Konfiguration von Intranet-Anwendungen Folgendes:
- Wenn der Split-Tunnel ON ist,
- Konfigurieren Sie die Intranetanwendungen.
- Weisen Sie jeder Authentifizierungs-, Autorisierungs- und Überwachungsgruppe Intranetanwendungen zu.
- Wenn der Split-Tunnel OFF ist,
- Der gesamte Verkehr wird durch den VPN-Tunnel abgefangen.
- Intranetanwendungen müssen nicht konfiguriert werden.
- Wenn der Split-Tunnel REVERSE ist,
- Konfigurieren Sie die Intranetanwendungen. Der Datenverkehr, der nicht von den Intranetanwendungen angegeben wird, durchläuft den VPN-Tunnel.
- Weisen Sie jeder Authentifizierungs-, Autorisierungs- und Überwachungsgruppe die Intranetanwendungen zu, die vom VPN ausgeschlossen werden sollen.
Wichtig:
Interception muss unabhängig von der Konfiguration des Split-Tunnels auf TRANSPARENT gesetzt werden.
Hinweis:
- Bei der Konfiguration einer Intranet-Anwendung müssen Sie einen Abfangmodus auswählen, der dem Typ der Plug-In-Software entspricht, mit der Verbindungen hergestellt werden.
- Sie können eine Intranet-Anwendung nicht sowohl für Proxy- als auch für transparentes Abfangen konfigurieren.
So erstellen Sie eine Intranet-Anwendung für eine IP-Adresse
- Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway-Ressourcen und klicken Sie dann auf Intranetanwendungen .
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für das Profil ein.
- Wählen Sie im Dialogfeld Intranetanwendung erstellen die Option TRANSPARENTaus.
- Wählen Sie unter Zieltyp die Option IP-Adresse und Netzwerkmaske aus.
- Wählen Sie unter Protokoll das Protokoll aus, das für die Netzwerkressource gilt.
- Geben Sie unter IP-Adressedie IP-Adresse ein.
- Geben Sie unter NetzmaskeSubnetzmaske ein, klicken Sie auf Erstellen und dann auf Schließen.
So konfigurieren Sie einen IP-Adressbereich
Wenn Sie mehrere Server in Ihrem Netzwerk haben, z. B. Web-, E-Mail- und Dateifreigaben, können Sie eine Netzwerkressource konfigurieren, die den IP-Bereich für Netzwerkressourcen umfasst. Diese Einstellung ermöglicht Benutzern den Zugriff auf die im IP-Adressbereich enthaltenen Netzwerkressourcen.
- Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway-Ressourcen und klicken Sie dann auf Intranetanwendungen.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für das Profil ein.
- Wählen Sie unter Protokoll das Protokoll aus, das für die Netzwerkressource gilt.
- Wählen Sie im Dialogfeld Intranetanwendung erstellen die Option TRANSPARENT aus.
- Wählen Sie unter ZieltypIP-Adressbereich aus.
- Geben Sie unter IP Startdie Start-IP-Adresse ein und geben Sie unter IP-Ende die End-IP-Adresse ein, klicken Sie auf Erstellen und dann auf Schließen.
So erstellen Sie eine Intranet-Anwendung für einen Hostnamen
- Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway-Ressourcen und klicken Sie dann auf Intranetanwendungen .
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für das Profil ein.
- Wählen Sie im Dialogfeld Intranetanwendung erstellen die Option TRANSPARENTaus.
- Wählen Sie unter Zieltypden Hostnamenaus.
- Wählen Sie unter Protokoll ANYaus, klicken Sie auf Erstellen und dann auf Schließen.
Wichtig:
- Ab Version 13.0 Build 36.27 und höher unterstützt das Windows VPN-Plug-In auf Hostnamen (FQDN) basierende Regeln für Split-Tunneling. Sie müssen sowohl die NetScaler Appliance als auch das Windows VPN-Plug-In aktualisieren, um 13.0 Build 36.27 oder höher zu veröffentlichen.
- Wildcard-Hostnamen werden ebenfalls unterstützt. Wenn beispielsweise eine Intranetanwendung mit dem Hostnamen “*.example.com” konfiguriert ist, werden
a1.example.com,b2.example.comusw. getunnelt.- Die auf dem Hostnamen basierende Intranetanwendung funktioniert nur, wenn Sie Split-Tunneling auf ON oder REVERSE eingestellt haben.