Citrix Gateway

Erweiterter clientloser VPN-Zugriff mit Citrix Gateway

Clientless VPN sieht eine Möglichkeit, Fernzugriff auf die Intranetressourcen des Unternehmens über Citrix Gateway ohne eine VPN-Clientanwendung auf dem Clientcomputer bereitzustellen. Clientless VPN bietet Remotezugriff auf Unternehmens-Webanwendungen, Portale und andere Ressourcen über einen Webbrowser am Ende des Kunden. Die fortschrittliche clientlose VPN-Lösung beseitigt die folgenden Einschränkungen in Bezug auf clientloses VPN:

  • Relative URLs können manchmal nicht identifiziert werden.

  • Dynamisch generierte relative URLs können nicht identifiziert werden.

Das fortschrittliche clientlose VPN identifiziert die absolute URL und die Hostnamen und schreibt sie auf neue und einzigartige Weise um, anstatt zu versuchen, relative URLs auf den HTTP-Antworten/Webseiten neu zu schreiben. SharePoint muss den Standardordner nicht mehr zum Umschreiben von URLs verwenden, und ein benutzerdefinierter SharePoint-Zugriff wird unterstützt.

Voraussetzungen

Im Folgenden sind die Voraussetzungen für die Konfiguration des erweiterten clientlosen VPN aufgeführt.

  • Platzhalter-Serverzertifikat - Das erweiterte clientlose VPN schreibt URLs auf einzigartige Weise neu. Diese Eindeutigkeit wird für jede URL pro Benutzer beibehalten. Wenn beispielsweise die Webanwendung auf https://webapp.customer.comgehostet wird und der virtuelle VPN-Server gehostet wird https://vpn.customer.com, schreibt das erweiterte clientlose VPN sie als neu https://cvpneqwerty.vpn.customer.com. Das bedeutet, dass jede URL als Subdomain des virtuellen VPN-Servers umgeschrieben wird. In dieser neuen URL cvpneqwerty kann wieder entschlüsselt werden https://webapp.customer.com. Die Zeichenfolge cvpneqwerty ist dynamisch und daher müssen Sie für SSL den virtuellen VPN-Server mit einem Platzhalterzertifikat binden.

    Wenn der Server mit gehostet wird https://vpn.customer.com, muss das Serverzertifikat nun Einträge für (vpn.customer.com und.vpn.customer.com) als Teil der Zertifikate CN oder SAN (wobei CN = allgemeiner Name, SAN = Subject Alternative Name) haben. Das Binden dieses Zertifikats bleibt auf Citrix Gateway gleich. Hinweis: Platzhalterzertifikate unterstützen nur eine Ebene (d. h..customer.com ist nicht erlaubt). Wenn Sie bereits ein Wildcard-Zertifikat (für*.customer.com) und Hosting verwenden https://vpn.customer.com, funktioniert dies nicht für das erweiterte clientlose VPN. Sie müssen ein neues Zertifikat mit bekommen *.vpn.customer.com.

  • WildCard-DNS-Eintrag - Die Clients (Webbrowser) müssen den FQDN der erweiterten clientlosen VPN-App auflösen. Beim Einrichten des Citrix Gateway-Servers müssen Sie einen DNS-Eintrag konfiguriert haben, um vpn.customer.com aufzulösen. Auf diese Weise kann der Browser vpn.customer.com auf die IP-Adresse Ihres virtuellen VPN-Servers auflösen. Um URLs wie https://cvpnqwerty.vpn.customer.com dieselbe IP-Adresse aufzulösen (VPN virtueller Server), müssen Sie einen neuen Datensatz für die Domäne von hinzufügen vpn.customer.com. Finden Sie die Domain-Einstellung auf Ihrem DNS-Server und fügen Sie einen neuen Host-Eintrag für “*” mit derselben IP-Adresse wie zuvor hinzu. Nachdem Sie den Host-Datensatz hinzugefügt haben, müssen Sie erfolgreiche Ping-Antworten für sehen https://cpvnanything.vpn.customer.com.

Konfigurieren des erweiterten clientlosen VPN-Zugriffs

Um den erweiterten clientlosen VPN-Zugriff über die Befehlszeilenschnittstelle zu konfigurieren, geben Sie an der Eingabeaufforderung Folgendes ein:

set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->

Wenn eine Sitzungsaktion an den virtuellen Server gebunden ist, müssen Sie auch die erweiterte clientlose VPN-Modusoption für diese Sitzungsaktion aktivieren.

Beispiel:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->

So konfigurieren Sie erweiterten clientlosen VPN-Zugriff mithilfe der Citrix ADC GUI:

  1. Navigieren Sie in der NetScaler GUI zu Configuration> Citrix NetScaler> Globale Einstellungen.

  2. Klicken Sie auf der Seite Globale Einstellungenauf Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.

  3. Klicken Sie auf der Registerkarte Client Experience in der Liste Clientless Accessauf An.

  4. Klicken Sie auf der Registerkarte Client Experience in der Liste Erweiterter clientloser VPN-Modus auf Aktiviert. Wenn Sie STRICT aus der Liste Erweiterter clientloser VPN-Modus auswählen, reagiert die Citrix ADC Appliance nur auf StoreFront-URLs in klassischer clientloser VPN-Form und blockiert alle anderen klassischen clientlosen VPN-Anfragen. Diese Option bietet eine sicherere Konfiguration auf der Appliance für die Bereitstellung interner Webressourcen.

Hinweis:

  • Wenn eine Sitzungsaktion an den virtuellen Server gebunden ist, müssen Sie die Option Erweiterter clientloser VPN-Modus für diese Sitzungsaktion auch auf der Registerkarte Clienterfahrung auf der Seite Citrix Gateway-Sitzungsprofil konfigurieren aktivieren.
  • Sie können die Option Global überschreiben auswählen, um die globalen Einstellungen zu überschreiben.
  • Sie können die erweiterte clientlose VPN-Funktion auch auf Sitzungsebene konfigurieren.

Vorbehalte

Das fortschrittliche clientlose VPN zielt darauf ab, Zugriff auf Enterprise Web Apps zu ermöglichen. Solche Apps haben nur einen FQDN für jede Art von Ressource, die sie benötigen (JavaScript, CSS, Bilder usw.). Da wir den kompletten FQDN interner Apps in ein einziges Oktett (clientloses VPN) codieren, verlieren wir die Subdomain-Beziehung. Wenn eine Enterprise WebApp mit CORS konfiguriert ist, kann es daher manchmal zu Problemen kommen, wenn Sie über das erweiterte clientlose VPN darauf zugreifen.

Erweiterter clientloser VPN-Zugriff mit Citrix Gateway