使用 NetScaler Gateway 进行高级无客户端 VPN 访问
无客户端 VPN 提供了一种通过 NetScaler Gateway 提供对公司内部网资源的远程访问的方法,而无需在客户端计算机上安装 VPN 客户端应用程序。无客户端 VPN 使用客户端的 Web 浏览器提供对企业 Web 应用程序、门户和其他资源的远程访问。 高级无客户端 VPN 解决方案消除了以下与无客户端 VPN 有关的限制:
-
有时无法识别相对 URL。
-
无法识别动态生成的相对 URL。
先进的无客户端 VPN 可以识别绝对 URL 和主机名,并以全新且独特的方式重写它们,而不是尝试重写 HTTP 响应/网页中存在的相对 URL。SharePoint 不再需要使用默认文件夹来重写 URL,并且支持自定义 SharePoint 访问权限。
必备条件
以下是配置高级无客户端 VPN 的先决条件。
-
通配符服务器证书 - 高级无客户端 VPN 以独特的方式重写 URL。每个用户的每个 URL 都会保持这种唯一性。例如,如果 Web 应用程序托管在上
https://webapp.customer.com,VPN 虚拟服务器托管在上https://vpn.customer.com,则高级无客户端 VPN 会将其重写为https://cvpneqwerty.vpn.customer.com。这意味着,每个 URL 都被重写为 VPN 虚拟服务器的子域。在这个新的 URL 中,cvpneqwerty可以解密回https://webapp.customer.com。字符串cvpneqwerty是动态的,因此对于 SSL,必须使用通配符证书绑定 VPN 虚拟服务器。如果服务器使用托管
https://vpn.customer.com,那么服务器证书现在必须包含(vpn.customer.com 和 .vpn.customer.com)的条目作为 CN 或 SAN 证书的一部分(其中 CN = 普通名称,SAN= 使用者备用名称)。在 NetScaler Gateway 上,绑定此证书的过程保持不变。 注意: 通配符证书只支持一级证书(即 ..customer.com 是不允许的)。如果您已经在使用通配符证书(用于 *.customer.com)并进行托管https://vpn.customer.com,则这不适用于高级无客户端 VPN。您必须使用获得新证书*.vpn.customer.com。 -
通配符 DNS 条目 -客户端(Web 浏览器)必须解析高级无客户端 VPN 应用程序的 FQDN。在设置 NetScaler Gateway 服务器时,您必须已配置 DNS 条目才能解析 vpn.customer.com。这允许浏览器将 vpn.customer.com 解析为您的 VPN 虚拟服务器的 IP 地址。要将诸如
https://cvpnqwerty.vpn.customer.com等的 URL 解析为相同 IP(VPN 虚拟服务器的 IP 地址),必须为vpn.customer.com的域添加新记录。在 DNS 服务器中找到域设置,然后使用与之前相同的 IP 地址为“*”添加新的主机记录。添加主机记录后,您必须看到成功的 ping 响应https://cpvnanything.vpn.customer.com。
配置高级无客户端 VPN 访问
要使用命令行界面配置高级无客户端 VPN 访问,请在命令提示符下键入:
set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->
如果会话操作绑定到虚拟服务器,则还必须为该会话操作启用高级无客户端 VPN 模式选项。
示例:
set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->
要使用 NetScaler GUI 配置高级无客户端 VPN 访问,请执行以下操作:
-
在 NetScaler GUI 中,导航到“配置”>“NetScaler”>“全局设置”。
-
在“全局设置”页面上,单击“更改全局设置”,然后选择“客户体验”选项卡。
-
在“客户端体验”选项卡上的“无客户端访问”列表中,单 击“开”。
-
在“客户端体验”选项卡上的“高级无客户端 VPN 模式”列表中,单击“启用”。 如果从“高级无客户端 VPN 模式”列表中选择“严格”,NetScaler 设备将仅响应经典无客户端 VPN 形式的 StoreFront URL,并阻止所有其他经典的无客户端 VPN 请求。此选项在设备上提供了更安全的配置,用于交付内部 Web 资源。
注意:
- 如果会话操作绑定到虚拟服务器,则必须为该会话操作以及从 配置 NetScaler Gateway 会话配置文件页面的“客 户端体验”选项卡启用“高级无客户端 VPN 模式”选项 卡。
- 您可以选择 覆盖全局 选项来覆盖全局设置。
- 您也可以在会话级别配置高级无客户端 VPN 功能。
注意事项
高级无客户端 VPN 旨在提供对企业 Web 应用程序的访问权限。此类应用对于所需的每种资源(JavaScript、css、图像等)只有一个 FQDN。由于我们将内部应用程序的完整 FQDN 编码为单八位字节(无客户端 VPN),因此我们失去了子域关系。因此,每当使用 CORS 配置企业 WebApp 时,有时您在通过高级无客户端 VPN 访问它时可能会注意到问题。