分割トンネリングの構成
分割トンネリングを有効にすると、Citrix GatewayプラグインがCitrix Gatewayに不要なネットワークトラフィックを送信しないようにできます。
分割トンネリングを有効にしない場合、Citrix Gateway プラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャし、VPNトンネル経由でCitrix Gatewayに送信します。
分割トンネリングを有効にすると、Citrix Gateway プラグインは、VPNトンネルを介してCitrix Gatewayによって保護されたネットワーク宛てのトラフィックのみを送信します。Citrix Gateway プラグインは、保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gateway に送信しません。
Citrix Gateway プラグインが起動すると、Citrix Gatewayからイントラネットアプリケーションのリストを取得します。Citrix Gateway プラグインは、ユーザーデバイスからネットワーク上で送信されるすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリストと比較します。パケット内の宛先アドレスがイントラネットアプリケーションのいずれか内にある場合、Citrix Gateway プラグインはVPNトンネルを介してCitrix Gatewayにパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションによってインターセプトされるネットワークトラフィックが定義されます。
注: ユーザーがCitrix Workspace アプリを使用してサーバーファーム内の公開アプリケーションに接続する場合、分割トンネリングを構成する必要はありません。
Citrix Gateway では、リバース分割トンネリングもサポートされています。リバース分割トンネリングは、Citrix Gateway が傍受しないネットワークトラフィックを定義します。分割トンネリングを逆方向に設定すると、イントラネットアプリケーションは、Citrix Gateway がインターセプトしないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレス宛てのネットワークトラフィックはすべてVPNトンネルをバイパスし、その他のトラフィックはCitrix Gateway を通過します。リバース分割トンネリングは、すべての非ローカル LAN トラフィックをログに記録するために使用できます。たとえば、ユーザーがホームワイヤレスネットワークを持っていて、Citrix Gateway プラグインを使用してログオンしている場合、Citrix Gatewayは、ワイヤレスネットワーク内のプリンターまたは他のデバイス宛てのネットワークトラフィックを傍受しません。
イントラネットアプリケーションの詳細については、クライアントインターセプションの設定を参照してください。
分割トンネリングは、セッションポリシーの一部として設定します。
分割トンネリングを設定するには
- 構成ユーティリティの[構成]タブのナビゲーションペインで [Citrix Gatewayポリシー] を展開し、[ セッション]をクリックします。
- 詳細ペインの [ プロファイル ] タブでプロファイルを選択し、[ 開く] をクリックします。
- [ クライアントエクスペリエンス ] タブで、[ 分割トンネル ] の横にある [ グローバル上書き ] を選択し、オプションを選択して [ OK ] を 2 回クリックします。
分割トンネリングおよび認可の設定
Citrix Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。
たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがONに設定されており、イントラネットアプリケーションがCitrix Gateway 経由でネットワークトラフィックを送信するように構成していない。Citrix Gateway にこのような構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。
認証ポリシーによってネットワークリソースへのアクセスが拒否され、分割トンネリングがONに設定されていて、イントラネットアプリケーションがCitrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合、Citrix Gateway atewayプラグインはCitrix Gatewayにトラフィックを送信しますが、リソースへのアクセスは拒否されます。