NetScaler Gateway で完全な VPN セットアップを構成する
このセクションでは、NetScaler Gateway アプライアンスで完全VPNセットアップを構成する方法について説明します。ネットワークに関する考慮事項と、ネットワーキングの観点から問題を解決するための理想的なアプローチが含まれています。
前提条件
-
SSL 証明書をインストールし、VPN 仮想サーバーにバインドします。
-
CTX109260- NetScalerアプライアンスでパブリックSSL証明書を生成してインストールする方法
-
CTX122521- NetScalerアプライアンスのデフォルト証明書を、アプライアンスのホスト名と一致する信頼できるCA証明書に置き換える方法
-
Citrix ドキュメント- SSLベースの仮想サーバーへの証明書とキーのペアのバインド
-
-
NetScaler Gateway の認証プロファイルを作成します。
-
詳しくは、Citrix のドキュメント- 外部ユーザー認証の構成を参照してください。
-
詳細については、「チェックリスト: AD FS を使用してシングルサインオンを実装および管理する」を参照してください。
-
-
完全な VPN 接続を許可するセッションポリシーを作成します。
ユーザーがNetScaler Gateway プラグイン、Secure Hub、またはCitrix Receiverを使用して接続すると、クライアントソフトウェアはポート443(またはNetScaler Gatewayで構成された任意のポート)を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、NetScaler Gateway は、保護するネットワークを説明する構成情報をNetScaler Gateway プラグイン、Secure Hub、またはReceiverに送信します。イントラネット IP を有効にすると、この情報には IP アドレスも含まれます。
ユーザーデバイス接続を構成するには、内部ネットワークでユーザーがアクセスできるリソースを定義します。ユーザーデバイス接続の設定には、次の作業が含まれます。
- 分割トンネリング
- アドレスプール (イントラネット IP) を含むユーザーの IP アドレス
- プロキシサーバーを介した接続
- ユーザーがアクセスを許可されるドメインの定義
- タイムアウト設定
- シングルサインオン
- NetScaler Gateway を介して接続するユーザーソフトウェア
- モバイルデバイスへのアクセス
ほとんどのユーザーデバイス接続は、セッションポリシーの一部であるプロファイルを使用して構成します。また、認証ごとのポリシー、トラフィックポリシー、および認可ポリシーを使用して、ユーザーデバイスの接続設定を定義することもできます。また、イントラネットアプリケーションを使用して構成することもできます。
NetScaler Gateway アプライアンスで完全な VPN セットアップを構成する
NetScaler Gateway アプライアンスでVPNセットアップを構成するには、次の手順を実行します:
-
[ トラフィック管理] > [DNS] に移動します。
-
次のスクリーンショットに示すように、[ネームサーバー] ノードを選択します。DNS ネームサーバーが表示されていることを確認します。使用できない場合は、DNS ネームサーバーを追加します。
-
NetScaler Gateway >[ポリシー]を展開
-
[ セッション ] ノードを選択します。
-
[NetScaler Gateway セッションポリシーとプロファイル]ページで、[ プロファイル ]タブをクリックし、[ 追加]をクリックします。 [NetScaler Gateway セッションプロファイルの構成]ダイアログボックスで構成する各コンポーネントについて、それぞれのコンポーネントの[ グローバルを上書き ]オプションを選択します。
-
[ クライアントエクスペリエンス ] タブをクリックします。
-
ユーザが VPN にログインするときに任意の URL を表示する場合は、[ホームページ] フィールドにイントラネットポータルの URL を入力します。ホームページパラメータが「nohomepage.html」に設定されている場合、ホームページは表示されません。プラグインが起動すると、ブラウザインスタンスが起動し、自動的に強制終了されます。
-
[分割トンネル(Split Tunnel)] リストから目的の設定を選択します。
-
FullVPN を使用する場合は、[ クライアントレスアクセス ] リストから [ OFF ] を選択します。
-
[ プラグインのタイプ ] リストから [ Windows/Mac OS X ] が選択されていることを確認します。
-
必要に応じて、「 Web アプリケーションへのシングルサインオン 」オプションを選択します。
-
次のスクリーンショットに示すように、必要に応じて [ クライアントクリーンアッププロンプト ] オプションが選択されていることを確認します。
-
[セキュリティ] タブをクリックします。
-
次のスクリーンショットに示すように、[ デフォルトの承認アクション ] リストから [ 許可 ] が選択されていることを確認します。
-
[Published Applications] タブをクリックします。
-
[ 公開アプリケーション ]オプションの[ ICAプロキシ ]リストで[ OFF ]が選択されていることを確認します。
-
[Create] をクリックします。
-
[閉じる] をクリックします。
-
仮想サーバーの[NetScaler Gateway セッションポリシーとプロファイル]ページの[ポリシー]タブをクリックするか、必要に応じてグループ/ユーザーレベルでセッションポリシーを有効にします。
-
次のスクリーンショットに示すように、必要な式または ns_true を使用してセッションポリシーを作成します。
-
セッションポリシーを VPN 仮想サーバーにバインドします。詳細については、 セッションポリシーのバインドを参照してください。
分割トンネルが ON に設定されている場合は、VPN に接続したときにユーザがアクセスするイントラネットアプリケーションを設定する必要があります。イントラネットアプリケーションについて詳しくは、「 NetScaler Gateway プラグインのイントラネットアプリケーションの構成」を参照してください。
-
[NetScaler Gateway]>[リソース]>[イントラネットアプリケーション]に移動します。
-
イントラネットアプリケーションを作成します。Windows クライアントを使用した FullVPN の場合は、[透明] を選択します。許可するプロトコル (TCP、UDP、または ANY)、宛先タイプ (IP アドレスとマスク、IP アドレス範囲、またはホスト名) を選択します。
-
必要に応じて、次の式を使用して、iOSおよびAndroid上のCitrix VPNの新しいポリシーを設定します。
REQ.HTTP.HEADER("User-Agent").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("User-Agent").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("User-Agent").CONTAINS("Android"))
-
必要に応じて、ユーザー/グループ/VSERVER レベルで作成されたイントラネットアプリケーションをバインドします。
-
その他のパラメーター
設定できるパラメータの一部を次に示します。
分割トンネルオフ
分割トンネルがオフに設定されている場合、NetScaler Gateway プラグインはユーザーデバイスから発信されるすべてのネットワークトラフィックをキャプチャし、VPNトンネルを介してNetScaler Gateway にトラフィックを送信します。つまり、VPNクライアントは、クライアントPCからNetScaler Gateway VIPを指すデフォルトルートを確立します。つまり、宛先に到達するには、すべてのトラフィックをトンネル経由で送信する必要があります。すべてのトラフィックがトンネルを介して送信されるため、許可ポリシーは、トラフィックが内部ネットワークリソースへの通過を許可されるか、拒否されるかを決定する必要があります。
「オフ」に設定すると、Web サイトへの標準 Web トラフィックを含むすべてのトラフィックがトンネルを通過します。このWebトラフィックの監視と制御が目的の場合は、NetScalerを使用してこれらのリクエストを外部プロキシに転送する必要があります。ユーザーデバイスは、プロキシサーバーを介して接続し、内部ネットワークにアクセスすることもできます。
NetScaler Gateway は、HTTP、SSL、FTP、およびSOCKSプロトコルをサポートしています。ユーザー接続のプロキシサポートを有効にするには、NetScaler Gateway でこれらの設定を指定する必要があります。NetScaler Gateway 上のプロキシサーバーで使用されるIPアドレスとポートを指定できます。プロキシサーバーは、内部ネットワークへのその後のすべての接続のフォワードプロキシとして使用されます。
詳細については、「 ユーザー接続のプロキシサポートの有効化」を参照してください
分割トンネル ON
分割トンネリングを有効にして、NetScaler Gateway プラグインがNetScaler Gateway に不要なネットワークトラフィックを送信しないようにすることができます。分割トンネルが有効になっている場合、NetScaler Gateway プラグインは、NetScaler Gateway によって保護されているネットワーク(イントラネットアプリケーション)宛てのトラフィックのみをVPNトンネル経由で送信します。NetScaler Gateway プラグインは、保護されていないネットワークを宛先とするネットワークトラフィックをNetScaler Gateway に送信しません。NetScaler Gateway プラグインが起動すると、NetScaler Gateway からイントラネットアプリケーションの一覧を取得し、クライアントPCのイントラネットアプリケーションタブで定義されている各サブネットのルートを確立します。 NetScaler Gateway プラグインは、ユーザーデバイスから送信されるすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリスト(VPN接続の開始時に作成されたルーティングテーブル)と比較します。パケット内の宛先アドレスがイントラネットアプリケーションの1つ内にある場合、NetScaler Gateway プラグインはVPNトンネルを介してNetScaler Gateway にパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはクライアント PC で最初に定義された既定のルーティングを使用してパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションは、インターセプトされ、トンネルを介して送信されるネットワークトラフィックを定義します。
リバース分割トンネル
NetScaler Gateway は、NetScaler Gateway が傍受しないネットワークトラフィックを定義するリバース分割トンネリングもサポートしています。分割トンネリングをリバースに設定すると、イントラネットアプリケーションは、NetScaler Gateway が傍受しないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレスに向けられたすべてのネットワークトラフィックはVPNトンネルをバイパスし、他のトラフィックはNetScaler Gateway を経由します。リバース分割トンネリングを使用して、すべての非ローカル LAN トラフィックをログに記録できます。たとえば、ユーザーがホームワイヤレスネットワークを持ち、NetScaler Gateway プラグインを使用してログオンしている場合、NetScaler Gateway は、ワイヤレスネットワーク内のプリンターまたは別のデバイス宛てのネットワークトラフィックを傍受しません。
分割トンネリングを設定するには
-
[ 構成 ]>[ Citrix Gateway]>[ポリシー]>[セッション]に移動します。
-
詳細ペインの [プロファイル] タブで、プロファイルを選択し、[ 編集] をクリックします。
-
[ クライアントエクスペリエンス ]タブで、[ 分割トンネル]の横にある[ グローバルオーバーライド]を選択し、オプションを選択して[ OK]をクリックします。
分割トンネリングおよび認可の設定
NetScaler Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。
たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがオンに設定されており、NetScaler Gateway 経由でネットワークトラフィックを送信するようにイントラネットアプリケーションを構成していない。NetScaler Gateway にこの種類の構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。
承認ポリシーがネットワークリソースへのアクセスを拒否し、分割トンネリングがオンに設定されており、イントラネットアプリケーションがネットワークトラフィックをNetScaler Gateway 経由でルーティングするように構成されている場合、NetScaler Gateway プラグインはトラフィックをNetScaler Gateway に送信しますが、リソースへのアクセスは拒否されます。
承認ポリシーの詳細については、以下を参照してください:
内部ネットワークリソースへのネットワークアクセスを構成するには
-
構成 > NetScaler Gateway > リソース > イントラネットアプリケーションの順に移動します。
-
詳細ペインで、[ 追加] をクリックします。
-
ネットワークアクセスを許可するためのパラメータを入力し、[ 作成]、[ 閉じる] の順にクリックします。
VPNユーザーのイントラネットIPを設定しない場合、ユーザーはトラフィックをNetScaler Gateway VIPに送信し、そこからNetScalerは内部LAN上のイントラネットアプリケーションリソースへの新しいパケットを作成します。この新しいパケットは、SNIP からイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元(この場合は SNIP)への応答を試みます。SNIP はパケットを取得し、要求を行ったクライアントに応答を送信します。
イントラネットIPアドレスを使用する場合、ユーザーはトラフィックをNetScaler Gateway VIPに送信し、そこからNetScalerはクライアントIPをプールから構成済みのイントラネットIPの1つにマップします。NetScalerはイントラネットIPプールを所有することになるため、これらの範囲を内部ネットワークで使用しないでください。Citrix ADCは、DHCPサーバーと同様に、着信VPN接続にイントラネットIPを割り当てます。NetScalerは、ユーザーがアクセスするLAN上のイントラネットアプリケーションへの新しいパケットを作成します。この新しいパケットは、イントラネット IP の 1 つからイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元(イントラネット IP)への応答を試みます。この場合、応答パケットは、イントラネットIPが配置されているNetScalerにルーティングする必要があります(NetScalerがイントラネットIPサブネットを所有していることを忘れないでください)。このタスクを実行するには、ネットワーク管理者が SNIP のいずれかを指すイントラネット IP へのルートを持っている必要があります。トラフィックが非対称にならないように、NetScalerから最初にパケットが送信されるルートを保持するSNIPにトラフィックを戻すことをお勧めします。
ネームサービス解決を構成する
NetScaler Gateway のインストール中に、NetScaler Gateway ウィザードを使用して、ネームサービスプロバイダーなどのその他の設定を構成できます。ネームサービスプロバイダーは、完全修飾ドメイン名 (FQDN) を IP アドレスに変換します。NetScaler Gateway ウィザードでは、DNSサーバーまたはWINSサーバーの構成、DNSルックアップの優先順位、およびサーバーへの接続を再試行する回数を設定できます。
NetScaler Gateway ウィザードを実行すると、DNSサーバーを追加できます。セッションプロファイルを使用して、別のDNSサーバーとWINSサーバーをNetScaler Gateway に追加できます。その後、ウィザードで最初に構成した名前解決サーバーとは異なる名前解決サーバーに接続するようにユーザーおよびグループに指示できます。
NetScaler Gateway で別のDNSサーバーを構成する前に、名前解決用のDNSサーバーとして機能する仮想サーバーを作成します。
セッションプロファイル内に DNS サーバーまたは WINS サーバーを追加するには
-
構成ユーティリティで、[構成]タブ >[ NetScaler Gateway]>[ポリシー]>[セッション]
-
詳細ペインの [ プロファイル ] タブで、プロファイルを選択し、[ 開く] をクリックします。
-
[ネットワーク構成] タブで、次のいずれかの操作を行います。
-
DNSサーバーを構成するには、「 DNS仮想サーバー」の横にある「 グローバル上書き」をクリックし、サーバーを選択して、「 OK」をクリックします。
-
WINS サーバーを構成するには、「 WINS Server IP」の横にある「 グローバル上書き」をクリックし、IP アドレスを入力して「 OK」をクリックします。
-