Konfigurieren der VPN-Benutzererfahrung

Aufbau des sicheren Tunnels

Wenn Benutzer eine Verbindung mit dem Citrix Gateway-Plug-In, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf Citrix Gateway) ein und sendet Authentifizierungsinformationen. Wenn der Tunnel eingerichtet ist, sendet Citrix Gateway Konfigurationsinformationen an das Citrix Gateway-Plug-In, Secure Hub oder die Citrix Workspace-App, in der die zu sichernden Netzwerke beschrieben werden und eine IP-Adresse enthalten, wenn Sie Adresspools aktivieren.

Tunneln des privaten Netzwerkverkehrs über sichere Verbindungen

Wenn das Citrix Gateway-Plug-In gestartet und der Benutzer authentifiziert wird, wird der gesamte Netzwerkdatenverkehr, der für bestimmte private Netzwerke bestimmt ist, erfasst und über den sicheren Tunnel zu Citrix Gateway umgeleitet. Die Citrix Workspace-App muss das Citrix Gateway-Plug-In unterstützen, um die Verbindung über den sicheren Tunnel herzustellen, wenn sich Benutzer anmelden.

Secure Hub, Secure Mail und WorxWeb verwenden Micro VPN, um den sicheren Tunnel für iOS- und Android-Mobilgeräte zu etablieren.

Citrix Gateway fängt alle Netzwerkverbindungen ab, die das Benutzergerät herstellt, und multipliziert sie über SSL (Secure Sockets Layer) mit Citrix Gateway, wobei der Datenverkehr demultiplexiert wird und die Verbindungen an die richtige Host- und Portkombination weitergeleitet werden.

Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien, die für eine einzelne Anwendung, eine Teilmenge von Anwendungen oder ein ganzes Intranet gelten. Sie geben die Ressourcen (Bereiche von IP-Adresse/Subnetzpaaren) an, auf die Remotebenutzer über die VPN-Verbindung zugreifen können.

Das Citrix Gateway-Plug-In fängt die folgenden Protokolle für die definierten Intranetanwendungen ab und tunnelt sie:

  • TCP (alle Ports)
  • UDP (alle Ports)
  • ICMP (Typen 8 und 0 - Echo-Anfrage/Antwort)

Verbindungen von lokalen Anwendungen auf dem Benutzergerät werden sicher mit Citrix Gateway getunnelt, wodurch die Verbindungen zum Zielserver wiederhergestellt werden. Zielserver zeigen Verbindungen als vom lokalen Citrix Gateway im privaten Netzwerk an, wodurch das Benutzergerät ausgeblendet wird. Dies wird auch als Reverse Network Address Translation (NAT) bezeichnet. Durch das Ausblenden von IP-Adressen wird der Quellspeicherort Sicherheit hinzugefügt.

Lokal wird auf dem Benutzergerät der gesamte verbindungsbezogene Datenverkehr wie SYN-ACK-, PUSH-, ACK- und FIN-Pakete vom Citrix Gateway-Plug-In neu erstellt, um vom privaten Server angezeigt zu werden.

Aufbau des sicheren Tunnels