クライアント傍受を構成する
NetScaler Gateway のユーザー接続の傍受ルールは、イントラネットアプリケーションを使用して構成します。デフォルトでは、アプライアンス上でシステム IP アドレス、マッピング IP アドレス、またはサブネット IP アドレスを設定すると、これらの IP アドレスに基づいてサブネットルートが作成されます。イントラネットアプリケーションは、これらのルートに基づいて自動的に作成され、仮想サーバーにバインドできます。分割トンネリングを有効にする場合は、クライアント傍受が発生するイントラネットアプリケーションを定義する必要があります。
構成ユーティリティを使用して、イントラネットアプリケーションを構成できます。イントラネットアプリケーションは、ユーザー、グループ、または仮想サーバーにバインドできます。
分割トンネリングを有効にし、ユーザーがWorxWebまたはWorxMailを使用して接続する場合、クライアント傍受を構成するときに、Citrix Endpoint ManagementとExchangeサーバーのIPアドレスを追加する必要があります。分割トンネリングを有効にしない場合、イントラネットアプリケーションでEndpoint ManagementおよびExchange IPアドレスを構成する必要はありません。
分割トンネリング設定の詳細については、「 分割トンネリングの設定」を参照してください。
NetScaler Gateway プラグイン用のイントラネットアプリケーションを構成する
リソースへのユーザーアクセス用のイントラネットアプリケーションを作成するには、以下を定義します:
- 1 つの IP アドレス
- IP アドレスの範囲
- ホスト名
NetScaler Gateway でイントラネットアプリケーションを定義すると、Windows向けCitrix Secure Accessエージェントは、リソース宛てのユーザートラフィックを傍受し、そのトラフィックをNetScaler Gateway 経由で送信します。
イントラネットアプリケーションを構成するときは、次の点を考慮してください:
- 分割トンネルがオンの場合、
- イントラネットアプリケーションを構成します。
- イントラネットアプリケーションをすべての認証、承認、および監査グループに割り当てます。
- 分割トンネルがオフの場合、
- すべてのトラフィックは VPN トンネルを傍受します。
- イントラネットアプリケーションを構成する必要はありません。
- 分割トンネルが逆の場合、
- イントラネットアプリケーションを構成します。イントラネットアプリケーションで指定されていないトラフィックは、VPN トンネルを通過します。
- VPN から除外するイントラネットアプリケーションをすべての認証、承認、および監査グループに割り当てます。
重要:
分割トンネルの設定に関係なく、インターセプションは TRANSPARENT に設定する必要があります。
注:
- イントラネットアプリケーションを構成するときは、接続に使用するプラグインソフトウェアのタイプに対応するインターセプトモードを選択する必要があります。
- イントラネットアプリケーションをプロキシインターセプトとトランスペアレントインターセプトの両方に設定することはできません。
1 つの IP アドレス用のイントラネットアプリケーションを作成するには
- [構成]タブのナビゲーションペインで、[ Citrix Gateway リソース] を展開し、[ イントラネットアプリケーション]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 「イントラネットアプリケーションの作成」ダイアログボックスで、「TRANSPARENT」を選択します。
- [ 宛先タイプ] で、[ IP アドレス ] と [ ネットマスク] を選択します。
- 「 プロトコル」で、ネットワークリソースに適用するプロトコルを選択します。
- [ IP アドレス] に IP アドレスを入力します。
- [ ネットマスク] に「サブネットマスク」と入力し、[ 作成 ]、[ 閉じる] の順にクリックします。
IP アドレス範囲を設定するには
Web、電子メール、ファイル共有など、ネットワークに複数のサーバがある場合は、ネットワークリソースの IP 範囲を含むネットワークリソースを設定できます。この設定により、ユーザーは IP アドレス範囲に含まれるネットワークリソースにアクセスできます。
- [ 構成 ]タブのナビゲーションペインで、[ NetScaler Gateway リソース] を展開し、[ イントラネットアプリケーション]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 「 プロトコル」で、ネットワークリソースに適用するプロトコルを選択します。
- 「 イントラネットアプリケーションの作成 」ダイアログボックスで、「TRANSPARENT」を選択します。
- [ 送信先の種類] で、[ IP アドレスの範囲] を選択します。
- [ IP Start] に開始IP アドレスを入力し、[IP End] に終了 IP アドレスを入力し、[ 作成 ]、[ 閉じる] の順にクリックします。
ホスト名のイントラネットアプリケーションを作成するには
- [構成]タブのナビゲーションペインで、[ Citrix Gateway リソース] を展開し、[ イントラネットアプリケーション]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 「イントラネットアプリケーションの作成」ダイアログボックスで、「TRANSPARENT」を選択します。
- [ 送信先のタイプ] で、[ ホスト名] を選択します。
- [プロトコル] で [ 任意] を選択し、[ 作成]、[ 閉じる] の順にクリックします。
重要:
- リリース 13.0 ビルド 36.27 以降では、Windows VPN プラグインは、分割トンネリングのホスト名(FQDN)ベースのルールをサポートします。NetScaler ADCアプライアンスとWindows VPNプラグインの両方をリリース13.0ビルド36.27以降にアップグレードする必要があります。
- ワイルドカードホスト名もサポートされています。たとえば、ホスト名が「*.example.com」のイントラネットアプリケーションが構成されている場合、
a1.example.com、b2.example.comなどがトンネリングされます。- ホスト名ベースのイントラネットアプリケーションは、分割トンネリングが ON または REVERSE に設定されている場合にのみ機能します。
- ホスト名ベースのルールは、リバース分割トンネリングではサポートされていません。
Java向けNetScaler Gateway プラグインのイントラネットアプリケーションを構成する
ユーザーがJava向けNetScaler Gateway プラグインを使用して接続する場合は、イントラネットアプリケーションを構成し、傍受モードをプロキシに設定する必要があります。Java向けNetScaler Gateway プラグインは、プロファイルで指定されたユーザーデバイスのループバックIPアドレスとポート番号を使用してトラフィックを傍受します。
ユーザーがWindowsベースのデバイスから接続している場合、NetScaler Gateway Plug-in for Javaは、プロファイルで指定されたループバックIPアドレスとポートにアクセスするようにアプリケーションホスト名を設定して、ホストファイルの変更を試みます。ユーザーは、HOST ファイルを変更するためのユーザーデバイスに対する管理者権限を持っている必要があります。
ユーザーが Windows 以外のデバイスから接続している場合は、イントラネットアプリケーションプロファイルで指定された送信元 IP アドレスとポート値を使用して、アプリケーションを手動で構成する必要があります。
Java向けNetScaler Gateway プラグインのイントラネットアプリケーションを構成するには
- [ 構成 ]タブのナビゲーションペインで、[ NetScaler Gateway リソース] を展開し、[ イントラネットアプリケーション]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 「 プロキシ」をクリックします。
- [ 宛先 IP アドレス ] と [ 宛先ポート] に、宛先 IP アドレスとポートを入力します。
-
[送信元 IP アドレス ] と [ 送信元ポート] に、送信元 IP アドレスとポートを入力します。
注:
送信元 IP アドレスを 127.0.0.1 のループバック IP アドレスに設定して下さい。IP アドレスを指定しない場合、ループバック IP アドレスが使用されます。ポート値を入力しない場合、宛先ポートの値が使用されます。