NetScaler Gateway-Konfiguration für TCP/UDP-Anwendungen

Sie können das unter NetScaler Gateway-Konfiguration für Web-/SaaS-Anwendungen beschriebene Verfahren verwenden, um TCP/UDP-Anwendungen zu konfigurieren. Um das Gateway für TCP/UDP-Anwendungen zu konfigurieren, müssen Sie die TCP/UDP-Unterstützung aktivieren, indem Sie Y für den Parameter Unterstützung des TCP/UDP-App-Typs aktivieren im Skript eingeben.

Die folgende Abbildung zeigt den Parameter Enable TCP/UDP App type support, der für die TCP/UDP-Unterstützung aktiviert ist.

NetScaler-Konfiguration 1

NetScaler-Konfiguration 2

Aktualisieren Sie die vorhandene NetScaler Gateway-Konfiguration für TCP/UDP-Apps

Wenn Sie die Konfiguration von früheren Versionen auf 2407 aktualisieren, wird empfohlen, die Konfiguration manuell zu aktualisieren. Einzelheiten finden Sie unter Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration. Außerdem müssen Sie die Einstellungen für virtuelle NetScaler Gateway-Server- und Sitzungsaktionen aktualisieren.

Einstellungen für den virtuellen NetScaler Gateway-Server

Wenn Sie den vorhandenen virtuellen NetScaler Gateway-Server hinzufügen oder aktualisieren, stellen Sie sicher, dass die folgenden Parameter auf die definierten Werte festgelegt sind. Beispielbefehle finden Sie unter Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration. Außerdem müssen Sie die Einstellungen für virtuelle NetScaler Gateway-Server- und Sitzungsaktionen aktualisieren.

Fügen Sie einen virtuellen Server hinzu:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • deploymentType: ICA_STOREFRONT (nur mit dem Befehl add vpn vserver verfügbar)
  • icaOnly: OFF

Aktualisieren Sie einen virtuellen Server:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • icaOnly: OFF

Einzelheiten zu den virtuellen Serverparametern finden Sie unter vpn-sessionAction.

Einstellungen für NetScaler Gateway-Sitzungsaktionen

Die Sitzungsaktion ist an einen virtuellen Gateway-Server mit Sitzungsrichtlinien gebunden. Wenn Sie eine Sitzungsaktion erstellen oder aktualisieren, stellen Sie sicher, dass die folgenden Parameter auf die definierten Werte gesetzt sind. Beispielbefehle finden Sie unter Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration. Außerdem müssen Sie die Einstellungen für virtuelle NetScaler Gateway-Server- und Sitzungsaktionen aktualisieren.

  • transparentInterception: AN
  • SSO: AN
  • ssoCredential: PRIMÄR
  • useMIP: NS
  • useIIP: AUS
  • icaProxy: AUS
  • ClientChoices: AN
  • ntDomain: mydomain.com - wird für SSO verwendet (optional)
  • defaultAuthorizationAction: ERLAUBEN
  • authorizationGroup: SecureAccessGroup
  • clientlessVpnMode: AUS
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: AKTIVIERT

Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration

Hinweis:

Wenn Sie die vorhandene Konfiguration manuell aktualisieren, müssen Sie zusätzlich zu den folgenden Befehlen die Datei /nsconfig/rc.netscaler mit dem Befehl nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3 aktualisieren.

  • Fügen Sie eine VPN-Sitzungsaktion hinzu, um auf Citrix Secure Access basierende Verbindungen zu unterstützen.

    add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED

  • Fügen Sie eine VPN-Sitzungsrichtlinie hinzu, um auf Citrix Secure Access basierende Verbindungen zu unterstützen.

    add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem

  • Binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server, um auf Citrix Secure Access basierende Verbindungen zu unterstützen.

    bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST

  • Fügen Sie eine HTTP-Callout-Richtlinie hinzu, um die Autorisierungsvalidierung für TCP/UDP-basierte Verbindungen zu unterstützen.

    add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")"

  • Fügen Sie eine Autorisierungsrichtlinie hinzu, um TCP/UDP-basierte Verbindungen zu unterstützen.

    add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW

  • Binden Sie die Autorisierungsrichtlinie an die Authentifizierungs- und Autorisierungsgruppe, um TCP/UDP-basierte Anwendungen zu unterstützen.

    bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END

Weitere Informationen

Weitere Informationen zu NetScaler Gateway for Secure Private Access finden Sie in den folgenden Themen:

NetScaler Gateway-Konfiguration für TCP/UDP-Anwendungen