Citrix Gateway

Setup des vollständigen VPNs in Citrix Gateway

In diesem Abschnitt wird beschrieben, wie Sie das vollständige VPN-Setup auf einem Citrix Gateway-Gerät konfigurieren. Es enthält Netzwerküberlegungen und den idealen Ansatz zur Lösung von Problemen aus Netzwerkperspektive.

Voraussetzungen

Wenn Benutzer eine Verbindung mit Citrix Secure Access Agent, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf Citrix Gateway) ein und sendet Authentifizierungsinformationen. Sobald der Tunnel eingerichtet wurde, sendet Citrix Gateway Konfigurationsinformationen an Citrix Secure Access Agent, Citrix Secure Hub oder die Citrix Workspace-App, in denen die zu sichernden Netzwerke beschrieben werden. Diese Informationen enthalten auch eine IP-Adresse, wenn Sie Intranet-IPs aktivieren.

Sie konfigurieren Benutzergeräteverbindungen, indem Sie die Ressourcen definieren, auf die Benutzer im internen Netzwerk zugreifen können. Das Konfigurieren von Benutzergeräteverbindungen umfasst Folgendes:

  • Split-Tunnelbau
  • IP-Adressen für Benutzer, einschließlich Adresspools (Intranet-IPs)
  • Verbindungen über einen Proxyserver
  • Definieren der Domains, auf die Benutzer Zugriff haben
  • Timeout-Einstellungen
  • Single Sign-On
  • Benutzersoftware, die über Citrix Gateway eine Verbindung herstellt
  • Zugriff für mobile Geräte

Sie konfigurieren die meisten Benutzergeräteverbindungen mithilfe eines Profils, das Teil einer Sitzungsrichtlinie ist. Sie können auch Verbindungseinstellungen für Benutzergeräte definieren, indem Sie Per-Authentifizierungs-, Traffic- und Autorisierungsrichtlinien verwenden. Sie können auch mithilfe von Intranet-Anwendungen konfiguriert werden.

Konfigurieren eines vollständigen VPN-Setups auf einem Citrix Gateway-Gerät

Führen Sie das folgende Verfahren aus, um ein VPN-Setup auf dem Citrix Gateway-Gerät zu konfigurieren:

  1. Navigieren Sie zu Traffic Management > DNS.

  2. Wählen Sie den Knoten Nameserver aus, wie im folgenden Screenshot gezeigt. Stellen Sie sicher, dass der DNS-Nameserver aufgeführt ist. Wenn es nicht verfügbar ist, fügen Sie einen DNS-Nameserver hinzu.

    Nameserver wählen

  3. Erweitern Sie Citrix Gateway > Richtlinien.

  4. Wählen Sie den Knoten Session aus.

  5. Klicken Sie auf der Seite Citrix Gateway Sitzungsrichtlinien und -profile auf die Registerkarte Profile und klicken Sie auf Hinzufügen. Stellen Sie für jede Komponente, die Sie im Dialogfeld “Citrix Gateway-Sitzungsprofil konfigurieren” konfigurieren, sicher, dass Sie die Option Override Global für die entsprechende Komponente auswählen.

  6. Klicken Sie auf die Registerkarte Client Experience .

  7. Geben Sie die URL des Intranetportals in das Feld Startseite ein, wenn Sie eine URL angeben möchten, wenn sich der Benutzer beim VPN anmeldet. Wenn der Homepage-Parameter auf “nohomepage.html” eingestellt ist, wird die Homepage nicht angezeigt. Wenn das Plug-In startet, startet eine Browser-Instanz und wird automatisch getötet.

    Geben Sie die Intranetportal-URL ein

  8. Stellen Sie sicher, dass Sie die gewünschte Einstellung aus der Liste Split-Tunnel auswählen.

  9. Wählen Sie OFF aus der Liste Clientless Access aus, wenn Sie FullVPN wünschen.

    setze clientlosen Zugriff auf off

  10. Stellen Sie sicher, dass Windows/Mac OS X aus der Liste Plug-In-Typ ausgewählt ist.

  11. Wählen Sie bei Bedarf die Option Single Sign-On bei Webanwendungen .

  12. Stellen Sie sicher, dass die Option Clientbereinigungsaufforderung bei Bedarf ausgewählt ist, wie im folgenden Screenshot gezeigt:

    Client-Säuberung

  13. Klicken Sie auf die Registerkarte Sicherheit.

  14. Stellen Sie sicher, dass “ ZULASSEN “ aus der Liste “Standardermächtigungsaktion “ ausgewählt ist, wie im folgenden Screenshot gezeigt:

    Festlegen der standardmäßigen Autorisierungsaktion auf Zulassen

  15. Klicken Sie auf die Registerkarte Published Applications.

  16. Stellen Sie sicher, dass OFF aus der ICA-Proxy-Liste unter der Option Veröffentlichte Anwendungen ausgewählt ist.

    Stellen Sie den ICA-Proxy auf aus

  17. Klicken Sie auf Erstellen.

  18. Klicken Sie auf Schließen.

  19. Klicken Sie auf der Seite Citrix Gateway-Sitzungsrichtlinien und -profile im virtuellen Server auf die Registerkarte Richtlinien oder aktivieren Sie die Sitzungsrichtlinien nach Bedarf auf GRUPPE-/BENUTZER-Ebene.

  20. Erstellen Sie eine Sitzungsrichtlinie mit einem erforderlichen Ausdruck oder true, wie im folgenden Screenshot gezeigt:

    Erstellen einer Sitzungsrichtlinie

  21. Binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server. Einzelheiten finden Sie unter Verbindliche Sitzungsrichtlinien.

    Wenn Split Tunnel auf ON konfiguriert wurde, müssen Sie die Intranet-Anwendungen konfigurieren, auf die die Benutzer zugreifen sollen, wenn sie mit dem VPN verbunden sind. Einzelheiten zu Intranetanwendungen finden Sie unter Konfigurieren von Intranetanwendungen für Citrix Secure Access Agent.

    Intranet-Anwendungen

    1. Wechseln Sie zu Citrix Gateway > Ressourcen > Intranet-Anwendungen.

    2. Erstellen Sie eine Intranet-Anwendung. Wählen Sie Transparent für FullVPN mit Windows Client. Wählen Sie das Protokoll aus, das Sie zulassen möchten (TCP, UDP oder ANY), Zieltyp (IP-Adresse und Maske, IP-Adressbereich oder Hostname).

      Erstellen Sie eine Intranet-Anwendung

    3. Legen Sie bei Bedarf eine neue Richtlinie für Citrix VPN auf iOS und Android mit dem folgenden Ausdruck HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android") fest: Legen Sie eine Richtlinie für VPNfest

    4. Binden Sie die auf USER/GROUP/VSERVER-Ebene erstellten Intranet-Anwendungen nach Bedarf.

Konfigurieren von Split-Tunneling

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Bearbeiten.

  3. Wählen Sie auf der Registerkarte Client Experience neben Split Tunneldie Option Global Overrideaus, wählen Sie eine Option aus, und klicken Sie dann auf OK.

    Konfigurieren von Split-Tunneling und Autorisierung

    Bei der Planung Ihrer Citrix Gateway-Bereitstellung ist es wichtig, Split-Tunneling sowie die Standard-Autorisierungsaktion und Autorisierungsrichtlinien in Betracht zu ziehen.

    Beispielsweise haben Sie eine Autorisierungsrichtlinie, die den Zugriff auf eine Netzwerkressource ermöglicht. Sie haben Split-Tunneling auf ON eingestellt und konfigurieren Intranet-Anwendungen nicht so, dass Netzwerkverkehr über Citrix Gateway gesendet wird. Wenn Citrix Gateway über diese Art von Konfiguration verfügt, ist der Zugriff auf die Ressource zulässig, Benutzer können jedoch nicht auf die Ressource zugreifen.

    Konfigurieren Sie volles VPN

Wenn die Autorisierungsrichtlinie den Zugriff auf eine Netzwerkressource verweigert, sendet Citrix Secure Access Agent Datenverkehr an Citrix Gateway, aber der Zugriff auf die Ressource wird unter den folgenden Bedingungen verweigert.

  • Sie haben Split-Tunneling auf ON eingestellt.
  • Intranet-Anwendungen sind so konfiguriert, dass sie den Netzwerkverkehr über Citrix Gateway weiterleiten

Weitere Informationen zu Autorisierungsrichtlinien finden Sie im Folgenden:

So konfigurieren Sie den Netzwerkzugriff auf interne Netzwerkressourcen

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Ressourcen > Intranet-Anwendungen.

  2. Klicken Sie im Detailbereich auf Hinzufügen.

  3. Füllen Sie die Parameter für das Zulassen des Netzwerkzugriffs aus, klicken Sie auf Erstellenund dann auf Schließen.

Wenn wir die Intranet-IPs für die VPN-Benutzer nicht einrichten, sendet der Benutzer den Datenverkehr an das Citrix Gateway VIP, und von dort erstellt die Citrix ADC Appliance ein neues Paket an die Intranet-Anwendungsressource im internen LAN. Dieses neue Paket wird vom SNIP zur Intranet-Anwendung bezogen. Von hier aus erhält die Intranet-Anwendung das Paket, verarbeitet es und versucht dann, auf die Quelle dieses Pakets zu antworten (in diesem Fall das SNIP). Das SNIP erhält das Paket und sendet die Antwort an den Kunden, der die Anfrage gestellt hat.

Weitere Informationen finden Sie unter folgendem Link:

Keine Intranet-IPs

Wenn eine Intranet-IP-Adresse verwendet wird, sendet der Benutzer den Datenverkehr an das Citrix Gateway VIP, und von dort aus wird die Citrix ADC Appliance die Client-IP einer der konfigurierten INTRANET-IPs aus dem Pool zuordnen. Beachten Sie, dass die Citrix ADC Appliance den Intranet-IP-Pool besitzen wird und diese Bereiche aus diesem Grund nicht im internen Netzwerk verwendet werden dürfen. Die Citrix ADC Appliance weist eine Intranet-IP für die eingehenden VPN-Verbindungen zu, wie es ein DHCP-Server tun würde. Die Citrix ADC Appliance erstellt ein neues Paket für die Intranetanwendung im LAN, auf das der Benutzer zugreifen würde. Dieses neue Paket wird von einem der Intranet-IPs für die Intranet-Anwendung bezogen. Von hier aus erhalten Intranet-Anwendungen das Paket, verarbeiten es und versuchen dann, auf die Quelle dieses Pakets (die INTRANET-IP) zu antworten. In diesem Fall muss das Antwortpaket an die Citrix ADC Appliance zurückgeleitet werden, wo sich die INTRANET-IPs befinden (Denken Sie daran, dass die Citrix ADC Appliance die Intranet-IPs-Subnetze besitzt). Um diese Aufgabe zu erfüllen, muss der Netzwerkadministrator über eine Route zur INTRANET-IP verfügen, die auf einen der SNIPs verweist. Es wird empfohlen, den Datenverkehr zurück auf das SNIP zu verweisen, das die Route enthält, von der aus das Paket die Citrix ADC Appliance zum ersten Mal verlässt, um asymmetrischen Datenverkehr zu vermeiden.

Weitere Informationen finden Sie unter dem folgenden Link:

Intranet-IPs

Split-Tunneling-Optionen

Im Folgenden sind die verschiedenen Split-Tunneling-Optionen aufgeführt.

Konfiguration des Split-Tunnels

Split-Tunnel AUS

Wenn der Split-Tunnel ausgeschaltet ist, erfasst Citrix Secure Access Agent den gesamten Netzwerkverkehr, der von einem Benutzergerät stammt, und sendet den Datenverkehr durch den VPN-Tunnel an Citrix Gateway. Mit anderen Worten, der VPN-Client richtet eine Standardroute vom Client-PC ein, die auf den Citrix Gateway VIP zeigt, was bedeutet, dass der gesamte Datenverkehr durch den Tunnel gesendet werden muss, um zum Ziel zu gelangen. Da der gesamte Verkehr durch den Tunnel gesendet wird, müssen Autorisierungsrichtlinien festlegen, ob der Verkehr zu internen Netzwerkressourcen geleitet oder verweigert werden darf.

Während auf “Aus” gestellt, läuft der gesamte Datenverkehr durch den Tunnel, einschließlich des Standard-Webverkehrs zu Websites. Wenn das Ziel darin besteht, diesen Webverkehr zu überwachen und zu steuern, müssen Sie diese Anforderungen mithilfe der Citrix ADC Appliance an einen externen Proxy weiterleiten. Benutzergeräte können über einen Proxyserver eine Verbindung herstellen, um auch auf interne Netzwerke zuzugreifen.
Citrix Gateway unterstützt die Protokolle HTTP, SSL, FTP und SOCKS. Um die Proxy-Unterstützung für Benutzerverbindungen zu aktivieren, müssen Sie diese Einstellungen auf Citrix Gateway angeben. Sie können die IP-Adresse und den Port angeben, die vom Proxyserver auf Citrix Gateway verwendet werden. Der Proxyserver wird als Forward-Proxy für alle weiteren Verbindungen zum internen Netzwerk verwendet.

Weitere Informationen finden Sie unter den folgenden Links:

Split-Tunnel EIN

Sie können Split-Tunneling aktivieren, um zu verhindern, dass Citrix Secure Access Agent unnötigen Netzwerkverkehr an Citrix Gateway sendet. Wenn der geteilte Tunnel aktiviert ist, sendet Citrix Secure Access Agent nur Datenverkehr, der für Netzwerke bestimmt ist, die von Citrix Gateway geschützt sind (Intranetanwendungen) durch den VPN-Tunnel. Citrix Secure Access Agent sendet keinen Netzwerkverkehr, der für ungeschützte Netzwerke bestimmt ist, an Citrix Gateway. Wenn Citrix Secure Access Agent gestartet wird, ruft er die Liste der Intranetanwendungen von Citrix Gateway ab und richtet eine Route für jedes Subnetz ein, das auf der Registerkarte Intranetanwendung auf dem Client-PC definiert ist. Citrix Secure Access Agent untersucht alle vom Benutzergerät übertragenen Pakete und vergleicht die Adressen innerhalb der Pakete mit der Liste der Intranetanwendungen (Routingtabelle, die beim Start der VPN-Verbindung erstellt wurde). Wenn sich die Zieladresse im Paket in einer der Intranetanwendungen befindet, sendet Citrix Secure Access Agent das Paket durch den VPN-Tunnel an Citrix Gateway. Wenn sich die Zieladresse nicht in einer definierten Intranet-Anwendung befindet, wird das Paket nicht verschlüsselt, und das Benutzergerät leitet das Paket dann entsprechend mithilfe des ursprünglich auf dem Client-PC definierten Standard-Routing weiter. “Wenn Sie Split-Tunneling aktivieren, definieren Intranet-Anwendungen den Netzwerkverkehr, der abgefangen und durch den Tunnel gesendet wird”.

Weitere Informationen finden Sie unter folgendem Link:

Rückwärtsgeteilter

Citrix Gateway unterstützt auch Reverse-Split-Tunneling, das den Netzwerkverkehr definiert, den Citrix Gateway nicht abfängt. Wenn Sie Split-Tunneling auf Rückwärtsgang einstellen, definieren Intranetanwendungen den Netzwerkverkehr, den Citrix Gateway nicht abfängt. Wenn Sie Reverse-Split-Tunneling aktivieren, umgeht der gesamte Netzwerkverkehr, der an interne IP-Adressen gerichtet ist, den VPN-Tunnel, während anderer Datenverkehr über Citrix Gateway fließt. Reverse-Split-Tunneling kann verwendet werden, um den gesamten nicht lokalen LAN-Verkehr zu protokollieren. Wenn Benutzer beispielsweise über ein drahtloses Heimnetzwerk verfügen und mit Citrix Secure Access Agent angemeldet sind, fängt Citrix Gateway den Netzwerkverkehr nicht ab, der für einen Drucker oder ein anderes Gerät innerhalb des drahtlosen Netzwerks bestimmt ist.

Hinweis: Der

Citrix Secure Access Agent für Windows unterstützt auch FQDN-basierten Reverse-Split-Tunnel ab Citrix Secure Access Version 22.6.1.5 und höher.

Konfigurieren der Auflösung des Namens

Während der Installation von Citrix Gateway können Sie den Citrix Gateway-Assistenten verwenden, um andere Einstellungen zu konfigurieren, einschließlich Namensdienstanbieter. Die Namensdienstanbieter übersetzen den vollqualifizierten Domainnamen (FQDN) in eine IP-Adresse. Im Citrix Gateway-Assistenten können Sie auch Folgendes ausführen:

  • Konfigurieren Sie einen DNS- oder WINS-Server
  • Legen Sie die Priorität des DNS-Lookup fest
  • Legen Sie fest, wie oft die Verbindung zum Server erneut versucht werden soll.

Wenn Sie den Citrix Gateway-Assistenten ausführen, können Sie dann einen DNS-Server hinzufügen. Sie können Citrix Gateway mithilfe eines Sitzungsprofils weitere DNS-Server und einen WINS-Server hinzufügen. Sie können dann Benutzer und Gruppen anweisen, eine Verbindung zu einem Namensauflösungsserver herzustellen, der sich von dem unterscheidet, den Sie ursprünglich mit dem Assistenten konfiguriert haben.

Erstellen Sie vor dem Konfigurieren eines anderen DNS-Servers auf Citrix Gateway einen virtuellen Server, der als DNS-Server für die Namensauflösung fungiert.

So fügen Sie einen DNS- oder WINS-Server innerhalb eines Sitzungsprofils hinzu

  1. Im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration > Citrix Gateway > Richtlinien > Sitzung.

  2. Wählen Sie im Detailbereich auf der Registerkarte Profile ein Profil aus und klicken Sie dann auf Öffnen.

  3. Führen Sie auf der Registerkarte Netzwerkkonfiguration einen der folgenden Schritte aus:

    • Um einen DNS-Server zu konfigurieren, klicken Sie neben DNS Virtual Serverauf Global überschreiben, wählen Sie den Server aus, und klicken Sie dann auf OK.

    • Um einen WINS-Server zu konfigurieren, klicken Sie neben WINS-Server-IPauf Global überschreiben, geben Sie die IP-Adresse ein und klicken Sie dann auf OK.

Referenzen

Setup des vollständigen VPNs in Citrix Gateway