Citrix Gateway

Citrix Gateway VPN スプリットトンネルのOffice365用に最適化

組織はリモートワークオプションに以前よりも迅速に適応しているため、トラフィック負荷の増加時にシームレスな接続を可能にするために、リモートアクセスインフラストラクチャを最適化する必要があります。

*Microsoft recommends excluding traffic destined to key Office 365 services from the scope of VPN connection by configuring split tunneling using published IPv4 and IPv6 address ranges. For best performance and most efficient use of VPN capacity, traffic to this dedicated IP address ranges associated with Office 365 Exchange Online, SharePoint Online, and Microsoft Teams (referred to as Optimize category in Microsoft documentation) must be routed directly, outside of the VPN tunnel. Please refer to [Microsoft guidance] <https://docs.microsoft.com/en-us/Office365/Enterprise/office-365-vpn-split-tunnel> for more detailed information about this recommendation.*

Citrix Gateway でのMicrosoftの推奨は、スプリットトンネルのリバース構成を使用して、Microsoftが提供するIPアドレスのリストをO365トラフィック用にインターネットに直接ルーティングすることで実現されます。

この設定には、 GUI または CLI コマンドを使用して手動で実行できる次のものが含まれます。

  • リバース設定用のスプリットトンネルの設定
  • リソースへのユーザーアクセス用にイントラネットアプリケーションを構成する

GUI を使用した設定

GUI を使用してスプリットトンネリングを設定するには

  1. [構成]タブで、[ Citrix Gateway]>[グローバル設定]に移動します。
  2. 詳細ウィンドウの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. [ クライアントエクスペリエンス ] タブの [ スプリットトンネル] で、[ リバース] を選択します。
  4. [OK] をクリックします。

    スプリットトンネルをリバースに設定する

GUI を使用して VPN イントラネットアプリケーションを作成するには

  1. [構成]タブで、[Citrix Gateway]>[グローバル設定]に移動します。
  2. 詳細ウィンドウの [ イントラネットアプリケーション] で、リンクをクリックします。
  3. [ VPN イントラネットアプリケーションの構成 ] ページで、[ 追加]、[ 新規] の順にクリックします。

    クリックしてイントラネットアプリケーションを追加する

    [新規] をクリックして追加します

  4. [ 名前] に、プロファイルの名前を入力します。
  5. [ プロトコル] で、ネットワークリソースに適用するプロトコルを選択します。
  6. [ 送信先の種類] で、[ IP アドレス] と [ネットマスク] を選択します。
  7. [ IP Address] に、O365 トラフィック用にインターネットに直接ルーティングする必要がある IP アドレスを入力します。IP アドレスの一覧については、IP アドレスの一覧を参照してください。
  8. [ ネットマスク] に、ネットマスク IP アドレスを入力します。

    イントラネットアプリケーションの追加

  9. [Create] をクリックしてから、[Close] をクリックします。

注: すべての IP アドレスに対してこの手順を繰り返します。

CLI を使用した設定

  • スプリットトンネルをリバースに設定するには、コマンドプロンプトで; と入力します。
set vpn parameter -splitTunnel REVERSE
<!--NeedCopy-->
  • VPN イントラネットアプリケーションを追加するには、コマンドプロンプトで; と入力します。
add vpn intranetApplication intranetapp1 ANY 13.107.6.152 -netmask 255.255.255.254 -destPort 1-65535 -interception TRANSPARENT
<!--NeedCopy-->

注: すべての IP アドレスに対してこの手順を繰り返します。

  • イントラネットアプリケーションをバインドするには、コマンドプロンプトで次のように入力します。
bind vpn global -intranetApplication intranetapp1
<!--NeedCopy-->

Office 365 サービス (EXO、SPO、およびチーム) の IP アドレスの一覧

参考: https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

Microsoftからの注記: COVID-19 の状況に対するMicrosoftの対応の一環として、Microsoftは URLとIPアドレスの計画変更に関する一時的なモラトリアムを宣言しました。このモラトリアムは、顧客の IT チームが、自宅勤務の Office 365 シナリオで推奨されるネットワーク最適化を実装する際に、自信を持ってシンプルに実装できるようにすることを目的としています。2020 年 3 月 24 日から 2020 年 6 月 30 日まで、このモラトリアムでは、主要な Office 365 サービス (Exchange Online、SharePoint Online、およびMicrosoft Teams) の IP 範囲と [最適化] カテゴリに含まれる URL への変更が停止されます。

IPv4 アドレス範囲

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14|

IPv6 アドレス範囲

2603:1006::/40
2603:1016::/36
2603:1026::/36
2603:1036::/36
2603:1046::/36
2603:1056::/36
2603:1096::/38
2603:1096:400::/40
2603:1096:600::/40
2603:1096:a00::/39
2603:1096:c00::/40
2603:10a6:200::/40
2603:10a6:400::/40
2603:10a6:600::/40
2603:10a6:800::/40
2603:10d6:200::/40
2620:1ec:4::152/128
2620:1ec:4::153/128
2620:1ec:c::10/128
2620:1ec:c::11/128
2620:1ec:d::10/128
2620:1ec:d::11/128
2620:1ec:8f0::/46
2620:1ec:900::/46
2620:1ec:a92::152/128
2620:1ec:a92::153/128
2a01:111:f400::/48
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

Citrix Gateway VPN スプリットトンネルのOffice365用に最適化