Citrix Gateway で完全なVPNセットアップを構成する

このセクションでは、Citrix Gateway アプライアンスで完全なVPNセットアップを構成する方法について説明します。ネットワークに関する考慮事項と、ネットワークの観点から問題を解決するための理想的なアプローチが含まれています。

前提条件

ユーザーがCitrix Gateway プラグイン、Secure Hub またはCitrix Workspace アプリに接続すると、クライアントソフトウェアはポート443(またはCitrix Gateway 上の構成済みポート)を介してセキュアなトンネルを確立し、認証情報を送信します。トンネルが確立されると、Citrix Gateway は、保護されるネットワークを説明する構成情報をCitrix Gatewayプラグイン、Citrix Secure HubまたはCitrix Workspaceアプリに送信します。イントラネット IP を有効にした場合、この情報には IP アドレスも含まれます。

ユーザデバイス接続を設定するには、ユーザが内部ネットワークでアクセスできるリソースを定義します。ユーザーデバイス接続の設定には、次のものが含まれます。

  • 分割トンネリング
  • ユーザーの IP アドレス (アドレスプール (イントラネット IP) を含む)
  • プロキシサーバーを介した接続
  • ユーザーがアクセスを許可するドメインの定義
  • タイムアウト設定
  • シングルサインオン
  • Citrix Gateway 経由で接続するユーザーソフトウェア
  • モバイルデバイスへのアクセス

ほとんどのユーザーデバイス接続は、セッションポリシーの一部であるプロファイルを使用して構成します。また、認証単位、トラフィック、および認可ポリシーを使用して、ユーザーデバイスの接続設定を定義することもできます。また、イントラネットアプリケーションを使用して構成することもできます。

Citrix Gateway アプライアンスでの完全なVPNセットアップの構成

Citrix Gateway アプライアンスでVPNセットアップを構成するには、以下の手順を実行します。

  1. NetScaler 構成ユーティリティから、「トラフィック管理」>「DNS」に移動します。

  2. 次のスクリーンショットに示すように、[ネームサーバー] ノードを選択します。DNS ネームサーバがリストされていることを確認します。使用できない場合は、DNS ネームサーバーを追加します。

    ローカライズされた画像

  3. Citrix Gateway >[ポリシー]の順に展開します。

  4. 「セッション」ノードを選択します。

  5. Citrix Gateway セッションポリシーとプロファイル]ページの[プロファイル]タブを有効にして、[追加]をクリックします。

    Citrix Gateway セッションプロファイルの構成ダイアログボックスで構成するコンポーネントごとに、各コンポーネントの「グローバルオーバーライド」オプションが選択されていることを確認します。

  6. [クライアントエクスペリエンス] タブをアクティブにします。

  7. ユーザーが VPN にログインするときに URL を表示する場合は、[ホームページ] フィールドにイントラネットポータルの URL を入力します。ホームページパラメータが「nohomepage.html」に設定されている場合、ホームページは表示されません。プラグインが起動すると、ブラウザインスタンスが起動し、自動的に強制終了されます。

    ローカライズされた画像

  8. [Split Tunnel] リストから目的の設定を選択していることを確認します(この設定の詳細については、上記を参照してください)。

  9. FullVPN を使用する場合は、クライアントレスアクセスリストから OFF を選択します。

    ローカライズされた画像

  10. プラグインの [タイプ] リストから [Windows/Mac OS X] が選択されていることを確認します。

  11. 必要に応じて、「Webアプリケーションへのシングル・サインオン」オプションを選択します。

  12. 次のスクリーンショットに示すように、必要に応じて [クライアントクリーンアッププロンプト] オプションが選択されていることを確認します。

    ローカライズされた画像

  13. [セキュリティ] タブをアクティブにします。

  14. 次のスクリーンショットに示すように、[既定の承認操作] リストから [ALLOW] が選択されていることを確認します。

    ローカライズされた画像

  15. [公開アプリケーション] タブをアクティブにします。

  16. [公開アプリケーション]オプションの[ICAプロキシ]リストから[OFF]が選択されていることを確認します。

    ローカライズされた画像

  17. [作成] をクリックします。

  18. [閉じる] をクリックします。

  19. Vserverの Citrix Gateway セッションポリシーとプロファイル]ページの[ポリシー]タブを有効にするか、必要に応じてGROUP/USERレベルでセッションポリシーを有効にします。

  20. 次のスクリーンショットに示すように、必要な式または ns_true を使用してセッションポリシーを作成します。

    ローカライズされた画像

  21. セッションポリシーをVPN仮想サーバーにバインドします。

    Citrix Gateway 仮想サーバー]>[ポリシー]の順に選択します。ドロップダウンリストから必要なセッションポリシー(この例では Session_Policy)を選択します。

  22. 分割トンネルが ON に設定されている場合は、VPN に接続したときにユーザがアクセスできるようにするイントラネットアプリケーションを設定する必要があります。Citrix Gateway >[リソース]>[イントラネットアプリケーション]の順に選択します。

    ローカライズされた画像

  23. 新しいイントラネットアプリケーションを作成します。Windows クライアントでの FullVPN の場合は、[透過型] を選択します。許可するプロトコル(TCP、UDP、ANY)、宛先タイプ(IP アドレスとマスク、IP アドレスの範囲、ホスト名)を選択します。

    ローカライズされた画像

  24. 次の式を使用して、iOSおよびAndroid上のCitrix VPNの新しいポリシーを設定します。

  25. 次の式を使用して、iOSおよびAndroid上のCitrix VPNの新しいポリシーを設定します。 REQ.HTTP.HEADER User-Agent CONTAINS CitrixVPN && (REQ.HTTP.HEADER User-Agent CONTAINS NSGiOSplugin || REQ.HTTP.HEADER User-Agent CONTAINS Android)

    localized image

  26. 必要に応じて、USER/GROUP/VSERVERレベルで作成されたイントラネットアプリケーションをバインドします。

    追加パラメータ

    以下に、設定できるパラメータの一部とそれぞれの簡単な説明を示します。

    分割トンネル

    ローカライズされた画像

分割トンネルオフ

分割トンネルがオフに設定されている場合、Citrix Gateway プラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャし、VPNトンネル経由でCitrix Gatewayに送信します。つまり、VPNクライアントは、Citrix Gateway VIPを指すクライアントPCからのデフォルトルートを確立します。つまり、宛先に到達するには、すべてのトラフィックをトンネル経由で送信する必要があります。すべてのトラフィックはトンネルを介して送信されるため、認可ポリシーでは、トラフィックが内部ネットワークリソースへの通過を許可するか、拒否するかを決定する必要があります。

「off」に設定すると、Web サイトへの標準 Web トラフィックを含むすべてのトラフィックがトンネルを通過します。このWebトラフィックを監視および制御することが目的である場合は、NetScaler を使用してこれらの要求を外部プロキシに転送する必要があります。ユーザーデバイスは、内部ネットワークにアクセスするためにプロキシサーバーを介して接続することもできます。
Citrix Gateway は、HTTP、SSL、FTP、およびSOCKSプロトコルをサポートしています。ユーザー接続のプロキシサポートを有効にするには、Citrix Gateway でこれらの設定を指定する必要があります。Citrix Gateway のプロキシサーバーが使用するIPアドレスとポートを指定できます。プロキシサーバーは、内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使用されます。

詳細については、次のリンクを参照してください。

分割トンネルON

分割トンネリングを有効にすると、Citrix GatewayプラグインがCitrix Gatewayに不要なネットワークトラフィックを送信しないようにできます。分割トンネルが有効な場合、Citrix Gateway プラグインは、Citrix Gatewayによって保護されたネットワーク(イントラネットアプリケーション)宛てのトラフィックのみをVPNトンネル経由で送信します。Citrix Gateway プラグインは、保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gateway に送信しません。Citrix Gateway プラグインが起動すると、Citrix Gatewayからイントラネットアプリケーションのリストを取得し、クライアントPCのイントラネットアプリケーションタブで定義された各サブネットのルートを確立します。Citrix Gatewayプラグインは、ユーザーデバイスから送信されたすべてのパケットを調べ、そのパケット内のアドレスをイントラネットアプリケーション(VPN接続の開始時に作成されたルーティングテーブル)のリストと比較します。パケット内の宛先アドレスがイントラネットアプリケーションのいずれか内にある場合、Citrix Gateway プラグインはVPNトンネルを介してCitrix Gatewayにパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはクライアントPCで最初に定義されたデフォルトのルーティングを使用してパケットを適切にルーティングします。「分割トンネリングを有効にすると、イントラネットアプリケーションは、インターセプトされ、トンネルを介して送信されるネットワークトラフィックを定義します。」

詳細については、次のリンクを参照してください。

リバース分割トンネル

Citrix Gateway では、リバース分割トンネリングもサポートされています。リバース分割トンネリングは、Citrix Gateway が傍受しないネットワークトラフィックを定義します。分割トンネリングを逆方向に設定すると、イントラネットアプリケーションは、Citrix Gateway がインターセプトしないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレス宛てのネットワークトラフィックはすべてVPNトンネルをバイパスし、その他のトラフィックはCitrix Gateway を通過します。リバース分割トンネリングは、すべての非ローカル LAN トラフィックをログに記録するために使用できます。たとえば、ユーザーがホームワイヤレスネットワークを持っていて、Citrix Gateway プラグインを使用してログオンしている場合、Citrix Gatewayは、ワイヤレスネットワーク内のプリンターまたは他のデバイス宛てのネットワークトラフィックを傍受しません。

分割トンネリングを設定するには

  1. 構成ユーティリティから、[構成]タブ >[Citrix Gateway]>[ポリシー]>[セッション]の順に選択します。

  2. 詳細ペインの [プロファイル] タブでプロファイルを選択し、[開く] をクリックします。

  3. [クライアントエクスペリエンス] タブで、[分割トンネル] の横にある [グローバル上書き] を選択し、オプションを選択して [OK] を 2 回クリックします。

    分割トンネリングおよび認可の設定

    Citrix Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。

    たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがONに設定されており、イントラネットアプリケーションがCitrix Gateway 経由でネットワークトラフィックを送信するように構成していない。Citrix Gateway にこのような構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。

    ローカライズされた画像

認証ポリシーによってネットワークリソースへのアクセスが拒否され、分割トンネリングがオンに設定されていて、イントラネットアプリケーションがCitrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合、Citrix Gateway atewayプラグインはCitrix Gatewayにトラフィックを送信しますが、リソースへのアクセスは拒否されます。

承認ポリシーの詳細については、以下を参照してください。

内部ネットワークリソースへのネットワークアクセスを構成するには

  1. 構成ユーティリティで、[構成]タブ >[Citrix Gateway]>[リソース]>[イントラネットアプリケーション]の順に選択します。

  2. 詳細ウィンドウで、[追加] をクリックします。

  3. ネットワークアクセスを許可するためのパラメータを入力し、[作成]、[閉じる] の順にクリックします。

VPNユーザーのイントラネットIPを設定しない場合、ユーザーはCitrix Gateway VIPにトラフィックを送信し、そこからNetScaler が内部LAN上にあるイントラネットアプリケーションリソースに新しいパケットを構築します。この新しいパケットは、SNIP からイントラネットアプリケーションに向かって発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元(この場合は SNIP)に返信しようとします。SNIP はパケットを取得し、要求を行ったクライアントに応答を返送します。 詳細については、次のリンクを参照してください。

イントラネットIPなし

イントラネットIPが使用されている場合、ユーザーはCitrix Gateway VIPにトラフィックを送信し、そこからNetScaler はクライアントIPをプールから構成されたINTRANET IPのいずれかにマップします。NetScaler はイントラネットIPプールを所有するため、内部ネットワークではこれらの範囲を使用しないでください。NetScaler は、DHCPサーバーの場合と同様に、着信VPN接続にイントラネットIPを割り当てます。NetScaler は、ユーザーがアクセスするLAN上にあるイントラネットアプリケーションへの新しいパケットを構築します。この新しいパケットは、イントラネット IP の 1 つからイントラネットアプリケーションに向かって発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットのソース (INTRANET IP) に返信しようとします。この場合、応答パケットをNetScalerに戻す必要があります。NetScaler では、イントラネットIPが配置されています(NetScalerはイントラネットIPサブネットを所有しています)。このタスクを実行するには、ネットワーク管理者がINTRANET IPへのルートを設定し、SNIPの1つを指す必要があります(非対称トラフィックを避けるために、パケットが最初にNetScaler から出るルートを保持するSNIPにトラフィックを戻すことをお勧めします)。

詳細については、次のリンクを参照してください。

イントラネット IP

ネームサービス解決の設定

Citrix Gateway のインストール時に、Citrix Gatewayウィザードを使用して、ネームサービスプロバイダーなどの追加設定を構成できます。ネームサービスプロバイダーは、完全修飾ドメイン名 (FQDN) を IP アドレスに変換します。Citrix Gateway ウィザードでは、DNSサーバーまたはWINSサーバーの構成、DNS検索の優先度、およびサーバーへの接続を再試行する回数を設定できます。

Citrix Gateway ウィザードを実行すると、その時点でDNSサーバーを追加できます。セッションプロファイルを使用して、追加のDNSサーバーとWINSサーバーをCitrix Gateway に追加できます。その後、ウィザードで最初に使用した名前解決サーバーとは別の名前解決サーバーに接続するようにユーザーとグループに指示できます。

Citrix Gateway で追加のDNSサーバーを構成する前に、名前解決のためのDNSサーバーとして機能する仮想サーバーを作成します。

セッションプロファイル内に DNS または WINS サーバーを追加するには

  1. 構成ユーティリティで、[構成]タブ >[Citrix Gateway]>[ポリシー]>[セッション]を選択します。

  2. 詳細ペインの [プロファイル] タブでプロファイルを選択し、[開く] をクリックします。

  3. [ネットワーク構成] タブで、次のいずれかの操作を行います。

    • DNS サーバーを構成するには、[DNS 仮想サーバー] の横にある [グローバル上書き] をクリックし、サーバーを選択して [OK] をクリックします。

    • WINS サーバーを構成するには、[WINS サーバー IP] の横にある [グローバル上書き] をクリックし、IP アドレスを入力して [OK] をクリックします。