分割トンネリングの構成 | VPN ユーザエクスペリエンスの設定

分割トンネリングの構成

April 9, 2020

寄稿者:

分割トンネリングを有効にすると、Citrix GatewayプラグインがCitrix Gatewayに不要なネットワークトラフィックを送信しないようにできます。

分割トンネリングを有効にしない場合、Citrix Gateway プラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャし、VPNトンネル経由でCitrix Gatewayに送信します。

分割トンネリングを有効にすると、Citrix Gateway プラグインは、VPNトンネルを介してCitrix Gatewayによって保護されたネットワーク宛てのトラフィックのみを送信します。Citrix Gateway プラグインは、保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gateway に送信しません。

Citrix Gateway プラグインが起動すると、Citrix Gatewayからイントラネットアプリケーションのリストを取得します。Citrix Gateway プラグインは、ユーザーデバイスからネットワーク上で送信されるすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリストと比較します。パケット内の宛先アドレスがイントラネットアプリケーションのいずれか内にある場合、Citrix Gateway プラグインはVPNトンネルを介してCitrix Gatewayにパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションによってインターセプトされるネットワークトラフィックが定義されます。

注：ユーザーがCitrix Workspace アプリを使用してサーバーファーム内の公開アプリケーションに接続する場合、分割トンネリングを構成する必要はありません。

Citrix Gateway では、リバース分割トンネリングもサポートされています。リバース分割トンネリングは、Citrix Gateway が傍受しないネットワークトラフィックを定義します。分割トンネリングを逆方向に設定すると、イントラネットアプリケーションは、Citrix Gateway がインターセプトしないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレス宛てのネットワークトラフィックはすべてVPNトンネルをバイパスし、その他のトラフィックはCitrix Gateway を通過します。リバース分割トンネリングは、すべての非ローカル LAN トラフィックをログに記録するために使用できます。たとえば、ユーザーがホームワイヤレスネットワークを持っていて、Citrix Gateway プラグインを使用してログオンしている場合、Citrix Gatewayは、ワイヤレスネットワーク内のプリンターまたは他のデバイス宛てのネットワークトラフィックを傍受しません。

イントラネットアプリケーションの詳細については、クライアントインターセプションの設定を参照してください。

分割トンネリングは、セッションポリシーの一部として設定します。

分割トンネリングを設定するには

構成ユーティリティの［構成］タブのナビゲーションペインで ［Citrix Gatewayポリシー］ を展開し、［ セッション］をクリックします。

詳細ペインの [ プロファイル ] タブでプロファイルを選択し、[ 開く] をクリックします。

[ クライアントエクスペリエンス ] タブで、[ 分割トンネル ] の横にある [ グローバル上書き ] を選択し、オプションを選択して [ OK ] を 2 回クリックします。

分割トンネリングおよび認可の設定

Citrix Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。

たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがONに設定されており、イントラネットアプリケーションがCitrix Gateway 経由でネットワークトラフィックを送信するように構成していない。Citrix Gateway にこのような構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。

認証ポリシーによってネットワークリソースへのアクセスが拒否され、分割トンネリングがONに設定されていて、イントラネットアプリケーションがCitrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合、Citrix Gateway atewayプラグインはCitrix Gatewayにトラフィックを送信しますが、リソースへのアクセスは拒否されます。

この情報は役に立ちましたか?