NetScaler Gatewayでの完全VPNのセットアップ
このセクションでは、NetScaler Gateway アプライアンスで完全VPNセットアップを構成する方法について説明します。ネットワークに関する考慮事項と、ネットワーキングの観点から問題を解決するための理想的なアプローチが含まれています。
前提条件
-
SSL 証明書をインストールし、VPN 仮想サーバーにバインドします。
-
CTX109260- NetScalerアプライアンスでパブリックSSL証明書を生成してインストールする方法
-
CTX122521- NetScalerアプライアンスのデフォルト証明書を、アプライアンスのホスト名と一致する信頼できるCA証明書に置き換える方法
-
Citrix ドキュメント- SSLベースの仮想サーバーへの証明書とキーのペアのバインド
-
-
NetScaler Gateway の認証プロファイルを作成します。
-
詳しくは、Citrix のドキュメント- 外部ユーザー認証の構成を参照してください。
-
詳細については、「チェックリスト: AD FS を使用してシングルサインオンを実装および管理する」を参照してください。
-
-
完全な VPN 接続を許可するセッションポリシーを作成します。
ユーザーがNetScaler Gateway プラグイン、Secure Hub、またはCitrix Workspace アプリで接続すると、クライアントソフトウェアはポート443(またはNetScaler Gateway の構成済みポート)を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、NetScaler Gateway は、NetScaler Gateway プラグイン、Citrix Secure Hub、またはCitrix Workspace アプリに、セキュリティで保護されるネットワークを記述する構成情報を送信します。イントラネット IP を有効にすると、この情報には IP アドレスも含まれます。
ユーザーデバイス接続を構成するには、内部ネットワークでユーザーがアクセスできるリソースを定義します。ユーザーデバイス接続の設定には、次の作業が含まれます。
- 分割トンネリング
- アドレスプール (イントラネット IP) を含むユーザーの IP アドレス
- プロキシサーバーを介した接続
- ユーザーがアクセスを許可されるドメインの定義
- タイムアウト設定
- シングルサインオン
- NetScaler Gateway を介して接続するユーザーソフトウェア
- モバイルデバイスへのアクセス
ほとんどのユーザーデバイス接続は、セッションポリシーの一部であるプロファイルを使用して構成します。また、認証ごとのポリシー、トラフィックポリシー、および認可ポリシーを使用して、ユーザーデバイスの接続設定を定義することもできます。また、イントラネットアプリケーションを使用して構成することもできます。
NetScaler Gateway アプライアンスで完全VPNセットアップを構成する
NetScaler Gateway アプライアンスでVPNセットアップを構成するには、次の手順を実行します。
-
[ トラフィック管理] > [DNS] に移動します。
-
次のスクリーンショットに示すように、[ネームサーバー] ノードを選択します。DNS ネームサーバーが一覧表示されていることを確認します。使用できない場合は、DNS ネームサーバーを追加します。
-
NetScaler Gateway >[ポリシー]を展開
-
[ セッション ] ノードを選択します。
-
[NetScaler Gateway セッションポリシーとプロファイル]ページで、[ プロファイル ]タブをクリックし、[ 追加]をクリックします。 [NetScaler Gateway セッションプロファイルの構成]ダイアログボックスで構成する各コンポーネントについて、それぞれのコンポーネントの[ グローバルを上書き ]オプションを選択します。
-
[ クライアントエクスペリエンス ] タブをクリックします。
-
ユーザが VPN にログインするときに任意の URL を表示する場合は、[ホームページ] フィールドにイントラネットポータルの URL を入力します。ホームページパラメータが「nohomepage.html」に設定されている場合、ホームページは表示されません。プラグインが起動すると、ブラウザインスタンスが起動し、自動的に強制終了されます。
-
[分割トンネル(Split Tunnel)] リストから目的の設定を選択します。
-
FullVPN を使用する場合は、[ クライアントレスアクセス ] リストから [ OFF ] を選択します。
-
[ プラグインのタイプ ] リストから [ Windows/Mac OS X ] が選択されていることを確認します。
-
必要に応じて、「 Web アプリケーションへのシングルサインオン 」オプションを選択します。
-
次のスクリーンショットに示すように、必要に応じて [ クライアントクリーンアッププロンプト ] オプションが選択されていることを確認します。
-
[セキュリティ] タブをクリックします。
-
「デフォルト認証アクション」リストから「許可」が選択されていることを確認します。
-
[Published Applications] タブをクリックします。
-
[ 公開アプリケーション ]オプションの[ ICAプロキシ ]リストで[ OFF ]が選択されていることを確認します。
-
[Create] をクリックします。
-
[閉じる] をクリックします。
-
仮想サーバーの[NetScaler Gateway セッションポリシーとプロファイル]ページの[ポリシー]タブをクリックするか、必要に応じてグループ/ユーザーレベルでセッションポリシーを有効にします。
-
次のスクリーンショットに示すように、必須の式または true を使用してセッションポリシーを作成します。
-
セッションポリシーを VPN 仮想サーバーにバインドします。詳細については、「 バインドセッションポリシー」を参照してください。
分割トンネルが ON に設定されている場合は、VPN に接続したときにユーザがアクセスするイントラネットアプリケーションを設定する必要があります。イントラネットアプリケーションについて詳しくは、「 Citrix Secure Accessクライアントのイントラネットアプリケーションの構成」を参照してください。
-
[NetScaler Gateway]>[リソース]>[イントラネットアプリケーション]に移動します。
-
イントラネットアプリケーションを作成します。Windows クライアントを使用した FullVPN の場合は、[透明] を選択します。許可するプロトコル (TCP、UDP、または ANY)、宛先タイプ (IP アドレスとマスク、IP アドレス範囲、またはホスト名) を選択します。
-
必要に応じて、次の式を使用して iOS と Android の VPN の新しいポリシーを設定します。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")
-
必要に応じて、ユーザー/グループ/VSERVER レベルで作成されたイントラネットアプリケーションをバインドします。
-
その他のパラメーター
以下に、設定可能なパラメータの一部と、それぞれの簡単な説明を示します。
分割トンネルオフ
分割トンネルがオフに設定されている場合、NetScaler Gateway プラグインはユーザーデバイスから発信されるすべてのネットワークトラフィックをキャプチャし、VPNトンネルを介してNetScaler Gateway にトラフィックを送信します。つまり、VPNクライアントは、クライアントPCからNetScaler Gateway VIPを指すデフォルトルートを確立します。つまり、宛先に到達するには、すべてのトラフィックをトンネル経由で送信する必要があります。すべてのトラフィックがトンネルを介して送信されるため、許可ポリシーは、トラフィックが内部ネットワークリソースへの通過を許可されるか、拒否されるかを決定する必要があります。
「オフ」に設定すると、Web サイトへの標準 Web トラフィックを含むすべてのトラフィックがトンネルを通過します。このWebトラフィックを監視および制御することが目的の場合は、NetScaler ADCアプライアンスを使用してこれらの要求を外部プロキシに転送する必要があります。ユーザーデバイスは、プロキシサーバーを介して接続し、内部ネットワークにアクセスすることもできます。
NetScaler Gateway は、HTTP、SSL、FTP、およびSOCKSプロトコルをサポートしています。ユーザー接続のプロキシサポートを有効にするには、NetScaler Gateway でこれらの設定を指定する必要があります。NetScaler Gateway 上のプロキシサーバーで使用されるIPアドレスとポートを指定できます。プロキシサーバーは、内部ネットワークへのその後のすべての接続のフォワードプロキシとして使用されます。
詳細については、「 ユーザー接続のプロキシサポートの有効化」を参照してください
分割トンネル ON
分割トンネリングを有効にして、NetScaler Gateway プラグインがNetScaler Gateway に不要なネットワークトラフィックを送信しないようにすることができます。分割トンネルが有効な場合、NetScaler Gateway プラグインは、NetScaler Gateway によって保護されたネットワーク(イントラネットアプリケーション)宛てのトラフィックのみをVPNトンネル経由で送信します。NetScaler Gateway プラグインは、保護されていないネットワークを宛先とするネットワークトラフィックをNetScaler Gateway に送信しません。NetScaler Gateway プラグインが起動すると、NetScaler Gateway からイントラネットアプリケーションの一覧を取得し、クライアントPCのイントラネットアプリケーションタブで定義されている各サブネットのルートを確立します。NetScaler Gateway プラグインは、ユーザーデバイスから送信されるすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリスト(VPN接続の開始時に作成されたルーティングテーブル)と比較します。パケット内の宛先アドレスがイントラネットアプリケーションの1つ内にある場合、NetScaler Gateway プラグインはVPNトンネルを介してNetScaler Gateway にパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはクライアント PC で最初に定義された既定のルーティングを使用してパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションは、インターセプトされ、トンネルを介して送信されるネットワークトラフィックを定義します。
リバース分割トンネル
NetScaler Gateway は、NetScaler Gateway が傍受しないネットワークトラフィックを定義するリバース分割トンネリングもサポートしています。分割トンネリングをリバースに設定すると、イントラネットアプリケーションは、NetScaler Gateway が傍受しないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレスに向けられたすべてのネットワークトラフィックはVPNトンネルをバイパスし、他のトラフィックはNetScaler Gateway を経由します。リバース分割トンネリングを使用して、すべての非ローカル LAN トラフィックをログに記録できます。たとえば、ユーザーがホームワイヤレスネットワークを持ち、NetScaler Gateway プラグインを使用してログオンしている場合、NetScaler Gateway は、ワイヤレスネットワーク内のプリンターまたは別のデバイス宛てのネットワークトラフィックを傍受しません。
分割トンネリングの設定
-
[ 構成 ]>[ Citrix Gateway]>[ポリシー]>[セッション]に移動します。
-
詳細ペインの [プロファイル] タブで、プロファイルを選択し、[ 編集] をクリックします。
-
[ クライアントエクスペリエンス ]タブで、[ 分割トンネル]の横にある[ グローバルオーバーライド]を選択し、オプションを選択して[ OK]をクリックします。
分割トンネリングおよび認可の設定
NetScaler Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。
たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがオンに設定されており、NetScaler Gateway 経由でネットワークトラフィックを送信するようにイントラネットアプリケーションを構成していない。NetScaler Gateway にこの種類の構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。
承認ポリシーがネットワークリソースへのアクセスを拒否した場合、NetScaler Gateway プラグインはトラフィックをNetScaler Gateway に送信しますが、次の条件でリソースへのアクセスは拒否されます。
- 分割トンネリングが ON に設定されている。
- イントラネットアプリケーションは、ネットワークトラフィックをNetScaler Gateway 経由でルーティングするように構成されている
承認ポリシーの詳細については、以下を参照してください:
内部ネットワークリソースへのネットワークアクセスを構成するには
-
構成 > NetScaler Gateway > リソース > イントラネットアプリケーションの順に移動します。
-
詳細ペインで、[ 追加] をクリックします。
-
ネットワークアクセスを許可するためのパラメータを入力し、[ 作成]、[ 閉じる] の順にクリックします。
VPNユーザーのイントラネットIPを設定しない場合、ユーザーはトラフィックをNetScaler Gateway VIPに送信し、そこからNetScaler ADCアプライアンスは内部LAN上のイントラネットアプリケーションリソースに新しいパケットを作成します。この新しいパケットは、SNIP からイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元(この場合は SNIP)への応答を試みます。SNIP はパケットを取得し、要求を行ったクライアントに応答を送信します。
イントラネットIPアドレスが使用されると、ユーザーはトラフィックをNetScaler Gateway VIPに送信し、そこからNetScaler ADCアプライアンスはクライアントIPをプールの構成されたイントラネットIPの1つにマップします。NetScaler ADCアプライアンスはイントラネットIPプールを所有することになるため、これらの範囲を内部ネットワークで使用しないでください。NetScaler ADCアプライアンスは、DHCPサーバーが行うように、着信VPN接続にイントラネットIPを割り当てます。NetScaler ADCアプライアンスは、ユーザーがアクセスするLAN上のイントラネットアプリケーションへの新しいパケットを構築します。この新しいパケットは、イントラネット IP の 1 つからイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元(イントラネット IP)への応答を試みます。この場合、応答パケットは、イントラネットIPが配置されているNetScaler ADCアプライアンスにルーティングする必要があります(NetScaler ADCアプライアンスはイントラネットIPサブネットを所有しています)。このタスクを実行するには、ネットワーク管理者が SNIP のいずれかを指すイントラネット IP へのルートを持っている必要があります。非対称トラフィックを回避するために、パケットがNetScaler ADCアプライアンスを最初に送信するルートを保持するSNIPにトラフィックをポイントバックすることをお勧めします。
分割トンネリングオプション
次に、さまざまな分割トンネリングオプションを示します。
分割トンネルオフ
分割トンネルがオフに設定されている場合、Citrix Secure Accessクライアントはユーザーデバイスから送信されるすべてのネットワークトラフィックをキャプチャし、そのトラフィックをVPNトンネルを介してNetScaler Gatewayに送信します。つまり、VPNクライアントは、クライアントPCからNetScaler Gateway VIPを指すデフォルトルートを確立します。つまり、宛先に到達するには、すべてのトラフィックをトンネル経由で送信する必要があります。すべてのトラフィックがトンネルを介して送信されるため、許可ポリシーは、トラフィックが内部ネットワークリソースへの通過を許可されるか、拒否されるかを決定する必要があります。
「オフ」に設定すると、Web サイトへの標準 Web トラフィックを含むすべてのトラフィックがトンネルを通過します。このWebトラフィックを監視および制御することが目的の場合は、NetScaler Gateway アプライアンスを使用してこれらの要求を外部プロキシに転送する必要があります。ユーザーデバイスは、プロキシサーバーを介して接続し、内部ネットワークにアクセスすることもできます。
NetScaler Gateway は、HTTP、SSL、FTP、およびSOCKSプロトコルをサポートしています。ユーザー接続のプロキシサポートを有効にするには、NetScaler Gateway でこれらの設定を指定する必要があります。NetScaler Gateway 上のプロキシサーバーで使用されるIPアドレスとポートを指定できます。プロキシサーバーは、内部ネットワークへのその後のすべての接続のフォワードプロキシとして使用されます。
詳細については、次のリンクを参照してください。
分割トンネル ON
分割トンネリングを有効にして、Citrix Secure AccessクライアントがNetScaler Gateway に不要なネットワークトラフィックを送信しないようにすることができます。分割トンネルが有効になっている場合、Citrix Secure Accessクライアントは、NetScaler Gatewayによって保護されているネットワーク(イントラネットアプリケーション)宛てのトラフィックのみをVPNトンネル経由で送信します。Citrix Secure Accessクライアントは、保護されていないネットワーク宛てのネットワークトラフィックをNetScaler Gatewayに送信しません。Citrix Secure Accessクライアントが起動すると、NetScaler Gateway からイントラネットアプリケーションのリストを取得し、クライアントPCのイントラネットアプリケーションタブで定義された各サブネットのルートを確立します。Citrix Secure Accessクライアントは、ユーザーデバイスから送信されたすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリスト(VPN接続の開始時に作成されたルーティングテーブル)と比較します。パケットの宛先アドレスがイントラネットアプリケーションの1つ内にある場合、Citrix Secure AccessクライアントはVPNトンネルを介してNetScaler Gatewayにパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはクライアント PC で最初に定義された既定のルーティングを使用してパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションは、インターセプトされ、トンネルを介して送信されるネットワークトラフィックを定義します。
リバース分割トンネル
NetScaler Gateway は、NetScaler Gateway が傍受しないネットワークトラフィックを定義するリバース分割トンネリングもサポートしています。分割トンネリングをリバースに設定すると、イントラネットアプリケーションは、NetScaler Gateway が傍受しないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレスに向けられたすべてのネットワークトラフィックはVPNトンネルをバイパスし、他のトラフィックはNetScaler Gateway を経由します。リバース分割トンネリングを使用して、すべての非ローカル LAN トラフィックをログに記録できます。たとえば、ユーザーが自宅のワイヤレスネットワークを使用してCitrix Secure Accessクライアントでログオンしている場合、NetScaler Gateway はワイヤレスネットワーク内のプリンターまたは別のデバイス宛のネットワークトラフィックを傍受しません。
注:
Windows向けCitrix Secure Accessクライアントは、Citrix Secure Accessバージョン22.6.1.5以降のFQDNベースのリバース分割トンネルもサポートしています。
注意事項
IP ベースのリバース分割トンネリング:
- IP アドレスベースのルールの数は 1024 に制限されています。
- DNE ドライバーと WFP ドライバーの両方でサポートされています。
ホスト名ベースのリバース分割トンネリング:
- VPN セッション中にアクセスできるホスト名の数は、FQDN スプーフィング範囲で指定された使用可能な IP アドレスの数によって制限されます。これは、すべてのホスト名が FQDN スプーフィング範囲から 1 つの IP アドレスを占めるためです。IP 範囲がなくなると、最後に割り当てられた IP アドレスが次の新しいホスト名に再利用されます。
-
DNS サフィックスを設定する必要があります。
注:
Windows クライアントの場合、ホスト名ベースのリバース分割トンネリングは WFP ドライバーでのみサポートされます。WFP ドライバモードを有効にし、レジストリ値として「EnableWFP」を設定します。詳しくは、「 Windows フィルタリングプラットフォームを使用する Windows Citrix Secure Access クライアント」を参照してください。
IPベースおよびホスト名ベースのリバース分割トンネリング:
- WFP ドライバーでのみサポートされます。IP ベースのリバース分割トンネリングとホスト名ベースのリバース分割トンネリングに記載されているその他のガイドラインはすべて適用されます。
ネームサービス解決を構成する
NetScaler Gateway のインストール中に、NetScaler Gateway ウィザードを使用して、ネームサービスプロバイダーなどのその他の設定を構成できます。ネームサービスプロバイダーは、完全修飾ドメイン名 (FQDN) を IP アドレスに変換します。NetScaler Gateway ウィザードでは、次の操作も実行できます。
- DNS サーバーまたは WINS サーバーを構成する
- DNS ルックアップの優先度を設定する
- サーバーへの接続を再試行する回数を設定します。
NetScaler Gateway ウィザードを実行すると、DNSサーバーを追加できます。セッションプロファイルを使用して、別のDNSサーバーとWINSサーバーをNetScaler Gateway に追加できます。その後、ウィザードで最初に構成した名前解決サーバーとは異なる名前解決サーバーに接続するようにユーザーおよびグループに指示できます。
NetScaler Gateway で別のDNSサーバーを構成する前に、名前解決用のDNSサーバーとして機能する仮想サーバーを作成します。
セッションプロファイル内に DNS サーバーまたは WINS サーバーを追加するには
-
構成ユーティリティで、[構成]タブ >[ NetScaler Gateway]>[ポリシー]>[セッション]
-
詳細ペインの [ プロファイル ] タブで、プロファイルを選択し、[ 開く] をクリックします。
-
[ネットワーク構成] タブで、次のいずれかの操作を行います。
-
DNSサーバーを構成するには、「 DNS仮想サーバー」の横にある「 グローバル上書き」をクリックし、サーバーを選択して、「 OK」をクリックします。
-
WINS サーバーを構成するには、「 WINS Server IP」の横にある「 グローバル上書き」をクリックし、IP アドレスを入力して「 OK」をクリックします。
-