Citrix Gateway

Optimieren des Citrix Gateway VPN-Split-Tunnels für Office365

Da sich Unternehmen schneller als zuvor an die Remote-Arbeitsoptionen anpassen, muss die Fernzugriffsinfrastruktur optimiert werden, um eine nahtlose Konnektivität bei erhöhter Verkehrsbelastung zu ermöglichen.

*Microsoft recommends excluding traffic destined to key Office 365 services from the scope of VPN connection by configuring split tunneling using published IPv4 and IPv6 address ranges. For best performance and most efficient use of VPN capacity, traffic to this dedicated IP address ranges associated with Office 365 Exchange Online, SharePoint Online, and Microsoft Teams (referred to as Optimize category in Microsoft documentation) must be routed directly, outside of the VPN tunnel. Please refer to [Microsoft guidance] <https://docs.microsoft.com/en-us/Office365/Enterprise/office-365-vpn-split-tunnel> for more detailed information about this recommendation.*

Die Empfehlung von Microsoft in Citrix Gateway wird erreicht, indem die von Microsoft bereitgestellte Liste der IP-Adressen mithilfe der Split-Tunnel-Reverse-Konfiguration direkt an das Internet für den O365-Verkehr weitergeleitet wird.

Die Konfiguration umfasst Folgendes, das über die GUI- oder CLI-Befehle manuell ausgeführt werden kann.

  • Konfigurieren Sie den Split-Tunnel für
  • Konfigurieren von Intranet-Anwendungen für den Benutzerzugriff auf Ressourcen

Konfiguration über die GUI

So konfigurieren Sie Split-Tunneling über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Client Experience in Split Tunneldie Option Umkehrenaus.
  4. Klicken Sie auf OK.

    Stellen Sie den geteilten Tunnel auf rückwärts

So erstellen Sie eine VPN-Intranet-Anwendung über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu CCitrix Gateway > Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Intranet-Anwendungenauf den Link.
  3. Klicken Sie auf der Seite VPN-Intranet-Anwendung konfigurieren auf Hinzufügenund dann auf Neu.

    klicken, um eine Intranet-Anwendung hinzuzufügen

    Zum Hinzufügen auf "Neu" klicken

  4. Geben Sie unter Name einen Namen für das Profil ein.
  5. Wählen Sie unter Protokolldas Protokoll aus, das für die Netzwerkressource gilt.
  6. Wählen Sie unter ZieltypIP-Adresse und Netzwerkmaskeaus.
  7. Geben Sie unter IP-Adressedie IP-Adresse ein, die für den O365-Verkehr direkt ins Internet geleitet werden muss. Eine Liste der IP-Adressen finden Sie unter Liste der IP-Adressen.
  8. Geben Sie unter Netzwerkmaskedie IP-Adresse der Netzmaske ein.

    Intranet-Anwendung hinzufügen

  9. Klicken Sie auf Create und dann auf Close.

Hinweis: Wiederholen Sie diesen Vorgang für alle IP-Adressen.

Konfiguration über die CLI

  • Um den geteilten Tunnel auf Rückwärtsgang zu setzen, geben Sie an der Eingabeaufforderung;
set vpn parameter -splitTunnel REVERSE
<!--NeedCopy-->
  • Um eine VPN-Intranet-Anwendung hinzuzufügen, geben Sie an der Eingabeaufforderung;
add vpn intranetApplication intranetapp1 ANY 13.107.6.152 -netmask 255.255.255.254 -destPort 1-65535 -interception TRANSPARENT
<!--NeedCopy-->

Hinweis: Wiederholen Sie diesen Vorgang für alle IP-Adressen.

  • Um die Intranet-Anwendung zu binden, geben Sie an der Eingabeaufforderung ein;
bind vpn global -intranetApplication intranetapp1
<!--NeedCopy-->

Liste der IP-Adressen von Office 365-Diensten (EXO, SPO und Teams)

Referenz: https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

Hinweis von Microsoft: Als Teil der Reaktion von Microsoft auf die COVID-19-Situation hat Microsoft ein vorübergehendes Moratorium für einige geplante URL- und IP-Adressänderungen erklärt. Dieses Moratorium soll IT-Teams den Kunden Vertrauen und Einfachheit bei der Implementierung empfohlener Netzwerkoptimierungen für Office 365-Szenarien bieten, die von zu Hause aus arbeiten. 24. März 2020 bis 30. Juni 2020 wird dieses Moratorium Änderungen für wichtige Office 365-Dienste (Exchange Online, SharePoint Online und Microsoft Teams) an IP-Bereichen und URLs in der Kategorie Optimize stoppen.

IPv4-Adressbereich

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14|

IPv6-Adressbereich

2603:1006::/40
2603:1016::/36
2603:1026::/36
2603:1036::/36
2603:1046::/36
2603:1056::/36
2603:1096::/38
2603:1096:400::/40
2603:1096:600::/40
2603:1096:a00::/39
2603:1096:c00::/40
2603:10a6:200::/40
2603:10a6:400::/40
2603:10a6:600::/40
2603:10a6:800::/40
2603:10d6:200::/40
2620:1ec:4::152/128
2620:1ec:4::153/128
2620:1ec:c::10/128
2620:1ec:c::11/128
2620:1ec:d::10/128
2620:1ec:d::11/128
2620:1ec:8f0::/46
2620:1ec:900::/46
2620:1ec:a92::152/128
2620:1ec:a92::153/128
2a01:111:f400::/48
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

Optimieren des Citrix Gateway VPN-Split-Tunnels für Office365