Konfigurieren der VPN-Benutzererfahrung

Konfigurieren des vollständigen VPN-Setups auf Citrix Gateway

In diesem Abschnitt wird beschrieben, wie Sie das vollständige VPN-Setup auf einer Citrix Gateway-Appliance konfigurieren. Es enthält Vernetzungsüberlegungen und den idealen Ansatz, um Probleme aus der Netzwerkperspektive zu lösen.

Voraussetzungen

Wenn Benutzer eine Verbindung mit dem Citrix Gateway-Plug-In, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf Citrix Gateway) ein und sendet Authentifizierungsinformationen. Nachdem der Tunnel eingerichtet wurde, sendet Citrix Gateway Konfigurationsinformationen an das Citrix Gateway-Plug-In, Citrix Secure Hub oder die Citrix Workspace-App, in denen die zu sichernden Netzwerke beschrieben werden. Diese Informationen enthalten auch eine IP-Adresse, wenn Sie Intranet-IPs aktivieren.

Sie konfigurieren Benutzergeräteverbindungen, indem Sie die Ressourcen definieren, auf die Benutzer im internen Netzwerk zugreifen können. Die Konfiguration von Benutzergeräteverbindungen umfasst Folgendes:

  • Split-Tunneling
  • IP-Adressen für Benutzer, einschließlich Adresspools (Intranet-IPs)
  • Verbindungen über einen Proxyserver
  • Definieren der Domänen, auf die Benutzer Zugriff haben
  • Timeout-Einstellungen
  • Single Sign-On
  • Benutzersoftware, die über Citrix Gateway eine Verbindung herstellt
  • Zugriff für mobile Geräte

Sie konfigurieren die meisten Benutzergeräteverbindungen über ein Profil, das Teil einer Sitzungsrichtlinie ist. Sie können auch Verbindungseinstellungen für Benutzergeräte definieren, indem Sie Richtlinien für Authentifizierung, Datenverkehr und Autorisierung verwenden. Sie können auch mit Intranetanwendungen konfiguriert werden.

Konfigurieren eines vollständigen VPN-Setups auf einer Citrix Gateway-Appliance

Gehen Sie folgendermaßen vor, um ein VPN-Setup auf der Citrix Gateway-Appliance zu konfigurieren:

  1. Navigieren Sie im NetScaler-Konfigurationsprogramm zu Traffic Management > DNS.

  2. Wählen Sie den Knoten Name Server, wie im folgenden Screenshot gezeigt. Stellen Sie sicher, dass der DNS-Namensserver aufgeführt ist. Wenn es nicht verfügbar ist, fügen Sie einen DNS-Namensserver hinzu.

    lokalisiertes Bild

  3. Erweitern Sie Citrix Gateway > Richtlinien.

  4. Wählen Sie den Knoten Sitzung aus.

  5. Aktivieren Sie die Registerkarte Profile der Seite Citrix Gateway-Sitzungsrichtlinien und -profile, und klicken Sie auf Hinzufügen.

    Stellen Sie für jede Komponente sicher, die Sie im Dialogfeld “Citrix Gateway-Sitzungsprofil konfigurieren” konfigurieren, dass Sie die Option “Global überschreiben” für die jeweilige Komponente auswählen.

  6. Aktivieren Sie die Registerkarte Client Experience.

  7. Geben Sie die URL des Intranetportals in das Feld Startseite ein, wenn Sie eine URL anzeigen möchten, wenn sich der Benutzer beim VPN anmeldet. Wenn der Parameter homepage auf “nohomepage.html” gesetzt ist, wird die Homepage nicht angezeigt. Wenn das Plug-In gestartet wird, startet eine Browserinstanz und wird automatisch beendet.

    lokalisiertes Bild

  8. Stellen Sie sicher, dass Sie die gewünschte Einstellung aus der Liste “Split-Tunneling” auswählen (weitere Informationen zu dieser Einstellung finden Sie oben).

  9. Wählen Sie aus der Liste Clientless Access die Option OFF aus, wenn Sie FullVPN möchten.

    lokalisiertes Bild

  10. Stellen Sie sicher, dass Windows/Mac OS X in der Liste Plug-In-Typ ausgewählt ist.

  11. Wählen Sie bei Bedarf die Option Single Sign-On to Web Applications aus.

  12. Stellen Sie sicher, dass bei Bedarf die Option Clientbereinigungsaufforderung ausgewählt ist, wie im folgenden Screenshot dargestellt:

    lokalisiertes Bild

  13. Aktivieren Sie die Registerkarte Sicherheit .

  14. Stellen Sie sicher, dass ALLOW aus der Liste Standardautorisierungsaktion ausgewählt ist, wie im folgenden Screenshot dargestellt:

    lokalisiertes Bild

  15. Aktivieren Sie die Registerkarte Veröffentlichte Anwendungen.

  16. Stellen Sie sicher, dass in der ICA-Proxy-Liste unter “Veröffentlichte Anwendungen” die Option “OFF” ausgewählt ist.

    lokalisiertes Bild

  17. Klicken Sie auf Erstellen.

  18. Klicken Sie auf Schließen.

  19. Aktivieren Sie die Registerkarte “Richtlinien” der Seite “Citrix Gateway-Sitzungsrichtlinien und -profile” im Vserver oder aktivieren Sie die Sitzungsrichtlinien auf GROUP-/USER -Ebene nach Bedarf.

  20. Erstellen Sie eine Sitzungsrichtlinie mit einem erforderlichen Ausdruck oder ns_true, wie im folgenden Screenshot gezeigt:

    lokalisiertes Bild

  21. Binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server.

    Wechseln Sie zu Citrix Gateway-Server > Richtlinie. Wählen Sie die erforderliche Sitzungsrichtlinie (in diesem Beispiel Session_Policy) aus der Dropdown-Liste aus.

  22. Wenn Split Tunnel auf ON konfiguriert wurde, sollten Sie die Intranetanwendungen konfigurieren, auf die die Benutzer zugreifen sollen, wenn sie mit dem VPN verbunden sind. Gehen Sie zu Citrix Gateway > Ressourcen > Intranetanwendungen.

    lokalisiertes Bild

  23. Erstellen Sie eine neue Intranetanwendung. Wählen Sie Transparent für FullVPN mit Windows-Client. Wählen Sie das Protokoll aus, das Sie zulassen möchten (TCP, UDP oder ANY), Zieltyp (IP-Adresse und Maske, IP-Adressbereich oder Hostname).

    lokalisiertes Bild

  24. Legen Sie eine neue Richtlinie für Citrix VPN unter iOS und Android unter Verwendung des folgenden Ausdrucks fest:

  25. Legen Sie eine neue Richtlinie für Citrix VPN auf iOS und Android mit folgendem Ausdruck fest: REQ.HTTP.HEADER User-Agent CONTAINS CitrixVPN && (REQ.HTTP.HEADER User-Agent CONTAINS NSGiOSplugin || REQ.HTTP.HEADER User-Agent CONTAINS Android)

    localized image

  26. Binden Sie die auf der USER/GROUP/VSERVER -Ebene erstellten Intranetanwendungen nach Bedarf an.

    Zusätzliche Parameter

    Im Folgenden sind einige der Parameter, die wir konfigurieren können, und eine kurze Beschreibung von jedem:

    Split-Tunnel

    lokalisiertes Bild

Split-Tunneling aus

Wenn der geteilte Tunnel deaktiviert ist, erfasst das Citrix Gateway-Plug-In den gesamten Netzwerkverkehr, der von einem Benutzergerät stammt, und sendet den Datenverkehr über den VPN-Tunnel an Citrix Gateway. Mit anderen Worten, der VPN-Client erstellt eine Standardroute vom Client-PC, die auf den Citrix Gateway-VIP verweist, was bedeutet, dass der gesamte Datenverkehr über den Tunnel gesendet werden muss, um zum Ziel zu gelangen. Da der gesamte Datenverkehr über den Tunnel gesendet wird, müssen Autorisierungsrichtlinien bestimmen, ob der Datenverkehr an interne Netzwerkressourcen weitergeleitet oder verweigert werden darf.

Während die Option “off” eingestellt ist, wird der gesamte Datenverkehr durch den Tunnel einschließlich des Standard-Webverkehrs zu Sites durchlaufen. Wenn das Ziel ist, diesen Webverkehr zu überwachen und zu kontrollieren, dann sollten wir diese Anfragen an einen externen Proxy mit NetScaler weiterleiten. Benutzergeräte können sich auch über einen Proxyserver für den Zugriff auf interne Netzwerke verbinden.
Citrix Gateway unterstützt die Protokolle HTTP, SSL, FTP und SOCKS. Um die Proxy-Unterstützung für Benutzerverbindungen zu aktivieren, müssen Sie diese Einstellungen auf Citrix Gateway angeben. Sie können die IP-Adresse und den Port angeben, der vom Proxyserver auf Citrix Gateway verwendet wird. Der Proxyserver dient als Forward-Proxy für alle weiteren Verbindungen zum internen Netzwerk.

Weitere Informationen finden Sie unter den folgenden Links:

Split-Tunnel ON

Sie können Split-Tunneling aktivieren, um zu verhindern, dass das Citrix Gateway-Plug-In unnötigen Netzwerkverkehr an Citrix Gateway sendet. Wenn der Split-Tunnel aktiviert ist, sendet das Citrix Gateway-Plug-In nur Datenverkehr, der für Netzwerke bestimmt ist, die von Citrix Gateway über den VPN-Tunnel geschützt sind (Intranetanwendungen). Das Citrix Gateway-Plug-In sendet keinen Netzwerkdatenverkehr, der für ungeschützte Netzwerke bestimmt ist, an Citrix Gateway. Wenn das Citrix Gateway-Plug-In gestartet wird, ruft es die Liste der Intranetanwendungen von Citrix Gateway ab und legt eine Route für jedes Subnetz fest, das auf der Registerkarte Intranetanwendung im Client-PC definiert ist. Das Citrix Gateway-Plug-In untersucht alle vom Benutzergerät übertragenen Pakete und vergleicht die Adressen innerhalb der Pakete mit der Liste der Intranetanwendungen (Routingtabelle, die beim Starten der VPN-Verbindung erstellt wurde). Wenn sich die Zieladresse im Paket innerhalb einer der Intranetanwendungen befindet, sendet das Citrix Gateway-Plug-In das Paket über den VPN-Tunnel an Citrix Gateway. Wenn sich die Zieladresse nicht in einer definierten Intranetanwendung befindet, wird das Paket nicht verschlüsselt und das Benutzergerät leitet das Paket dann entsprechend mit dem Standardrouting, das ursprünglich auf dem Client-PC definiert wurde, weiter. “Wenn Sie Split-Tunneling aktivieren, definieren Intranetanwendungen den Netzwerkverkehr, der abgefangen und durch den Tunnel gesendet wird”.

Weitere Informationen finden Sie unter folgendem Link:

Reverse Split Tunnel

Citrix Gateway unterstützt auch Reverse-Split-Tunneling, wodurch der Netzwerkverkehr definiert wird, den Citrix Gateway nicht abfängt. Wenn Sie Split-Tunneling auf reverse festlegen, definieren Intranetanwendungen den Netzwerkverkehr, den Citrix Gateway nicht abfängt. Wenn Sie Reverse-Split-Tunneling aktivieren, umgeht der gesamte Netzwerkverkehr, der an interne IP-Adressen geleitet wird, den VPN-Tunnel, während anderer Datenverkehr über Citrix Gateway erfolgt. Reverse Split-Tunneling kann verwendet werden, um den gesamten nicht-lokalen LAN-Verkehr zu protokollieren. Wenn Benutzer beispielsweise über ein drahtloses Heimnetzwerk verfügen und mit dem Citrix Gateway-Plug-In angemeldet sind, fängt Citrix Gateway keinen Netzwerkverkehr ab, der für einen Drucker oder ein anderes Gerät im drahtlosen Netzwerk bestimmt ist.

So konfigurieren Sie Split-Tunneling

  1. Navigieren Sie im Konfigurationsdienstprogramm zur Registerkarte Konfiguration > Citrix Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus, und klicken Sie dann auf Öffnen.

  3. Wählen Sie auf der Registerkarte Client Experience neben Split Tunnel die Option Global Override aus, wählen Sie eine Option aus, und klicken Sie dann zweimal auf OK.

    Konfigurieren von Split-Tunneling und Autorisierung

    Bei der Planung der Citrix Gateway-Bereitstellung ist es wichtig, Split-Tunneling sowie die Standardautorisierungsaktion und Autorisierungsrichtlinien in Betracht zu ziehen.

    Beispielsweise verfügen Sie über eine Autorisierungsrichtlinie, die den Zugriff auf eine Netzwerkressource ermöglicht. Sie haben Split-Tunneling auf ON gesetzt, und Sie konfigurieren keine Intranetanwendungen, um Netzwerkverkehr über Citrix Gateway zu senden. Wenn Citrix Gateway über diesen Konfigurationstyp verfügt, ist der Zugriff auf die Ressource zulässig, Benutzer können jedoch nicht auf die Ressource zugreifen.

    lokalisiertes Bild

Wenn die Autorisierungsrichtlinie den Zugriff auf eine Netzwerkressource verweigert, Sie Split-Tunneling auf ON gesetzt haben und Intranetanwendungen so konfiguriert sind, dass der Netzwerkverkehr über Citrix Gateway weitergeleitet wird, sendet das Citrix Gateway-Plug-In Datenverkehr an Citrix Gateway, der Zugriff auf die Ressource wird jedoch verweigert.

Weitere Informationen zu Autorisierungsrichtlinien finden Sie im Folgenden:

So konfigurieren Sie den Netzwerkzugriff auf interne Netzwerkressourcen

  1. Klicken Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration > Citrix Gateway > Ressourcen > Intranetanwendungen.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Vervollständigen Sie die Parameter zum Zulassen des Netzwerkzugriffs, klicken Sie auf Erstellen und dann auf Schließen.

Wenn wir keine Intranet-IPs für die VPN-Benutzer einrichten, sendet der Benutzer den Datenverkehr an den Citrix Gateway VIP und dann erstellt NetScaler ein neues Paket an die Intranetanwendungsressource im internen LAN. Dieses neue Paket wird vom SNIP in Richtung Intranetanwendung bezogen werden. Von hier aus erhält die Intranetanwendung das Paket, verarbeitet es und versucht dann, auf die Quelle dieses Pakets zu antworten (in diesem Fall das SNIP). Das SNIP erhält das Paket und sendet die Antwort zurück an den Client, der die Anfrage gestellt hat. Weitere Informationen finden Sie unter folgendem Link:

Keine Intranet-IPs

Wenn Intranet-IP verwendet wird, sendet der Benutzer den Datenverkehr an den Citrix Gateway VIP und von dort aus wird der NetScaler die Client-IP einem der konfigurierten INTRANET-IPs aus dem Pool zuordnen. Beachten Sie, dass der NetScaler den Intranet-IP-Pool besitzt und diese Bereiche daher nicht im internen Netzwerk verwendet werden sollten. Der NetScaler weist den eingehenden VPN-Verbindungen eine Intranet-IP zu, wie es ein DHCP-Server tun würde. Der NetScaler erstellt ein neues Paket für die Intranetanwendung, die sich im LAN befindet, auf das der Benutzer zugreifen würde. Dieses neue Paket wird von einer der Intranet-IPs in Richtung Intranet-Anwendung bezogen werden. Von hier aus erhalten Intranetanwendungen das Paket, verarbeiten es und versuchen dann, auf die Quelle dieses Pakets zu antworten (die INTRANET-IP). In diesem Fall muss das Antwortpaket an den NetScaler zurückgeleitet werden, wo die INTRANET-IPs sind (Beachten Sie, dass der NetScaler Eigentümer der Intranet-IPs-Subnetze ist). Um diese Aufgabe zu erfüllen, sollte der Netzwerkadministrator eine Route zur INTRANET IP haben, die auf eines der SNIPs verweist (es wird empfohlen, den Datenverkehr auf das SNIP zurückzuweisen, das die Route enthält, von der das Paket den NetScaler zum ersten Mal verlässt, um asymmetrischen Datenverkehr zu vermeiden).

Weitere Informationen finden Sie unter folgendem Link:

Intranet-IPs

Konfigurieren der Namensdienstauflösung

Während der Installation von Citrix Gateway können Sie mit dem Citrix Gateway-Assistenten zusätzliche Einstellungen konfigurieren, einschließlich Namensdienstanbieter. Die Namensdienstanbieter übersetzen den vollqualifizierten Domänennamen (FQDN) in eine IP-Adresse. Im Citrix Gateway-Assistenten können Sie einen DNS- oder WINS-Server konfigurieren, die Priorität des DNS-Lookups und die Anzahl der Wiederholungen der Verbindung zum Server festlegen.

Wenn Sie den Citrix Gateway-Assistenten ausführen, können Sie zu diesem Zeitpunkt einen DNS-Server hinzufügen. Sie können Citrix Gateway mithilfe eines Sitzungsprofils zusätzliche DNS-Server und einen WINS-Server hinzufügen. Sie können dann Benutzer und Gruppen anweisen, eine Verbindung zu einem Namensauflösungsserver herzustellen, der sich von dem unterscheidet, den Sie ursprünglich mit dem Assistenten konfiguriert haben.

Bevor Sie einen zusätzlichen DNS-Server auf Citrix Gateway konfigurieren, erstellen Sie einen virtuellen Server, der als DNS-Server für die Namensauflösung fungiert.

So fügen Sie einen DNS- oder WINS-Server in einem Sitzungsprofil hinzu

  1. Klicken Sie im Konfigurationsdienstprogramm auf die Registerkarte Konfiguration > Citrix Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus, und klicken Sie dann auf Öffnen.

  3. Führen Sie auf der Registerkarte Netzwerkkonfiguration einen der folgenden Schritte aus:

    • Um einen DNS-Server zu konfigurieren, klicken Sie neben DNS Virtual Server auf Global überschreiben, wählen Sie den Server aus, und klicken Sie dann auf OK.

    • Um einen WINS-Server zu konfigurieren, klicken Sie neben WINS-Server-IP auf Global überschreiben, geben Sie die IP-Adresse ein, und klicken Sie dann auf OK.

Konfigurieren des vollständigen VPN-Setups auf Citrix Gateway