Citrix Gatewayでの完全VPNのセットアップ

このセクションでは、Citrix Gateway アプライアンスで完全VPNセットアップを構成する方法について説明します。ネットワークに関する考慮事項と、ネットワーキングの観点から問題を解決するための理想的なアプローチが含まれています。

前提条件

• SSL 証明書をインストールし、VPN 仮想サーバーにバインドします。

  • CTX109260- NetScalerアプライアンスでパブリックSSL証明書を生成してインストールする方法

  • CTX122521- NetScalerアプライアンスのデフォルト証明書を、アプライアンスのホスト名と一致する信頼できるCA証明書に置き換える方法

  • Citrix ドキュメント- SSLベースの仮想サーバーへの証明書とキーのペアのバインド

• Citrix Gateway の認証プロファイルを作成します。

  • 詳しくは、Citrix のドキュメント- 外部ユーザー認証の構成を参照してください。

  • 詳細については、「チェックリスト: AD FS を使用してシングルサインオンを実装および管理する」を参照してください。

• Citrix VPN クライアントをダウンロードします。

• 完全な VPN 接続を許可するセッションポリシーを作成します。

ユーザーがCitrix Secure Accessエージェント、Secure Hub、またはCitrix Workspace アプリに接続すると、クライアントソフトウェアはポート443（またはCitrix Gateway で構成されたポート）を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、Citrix Gateway は、セキュリティで保護するネットワークを記述した構成情報をCitrix Secure Accessエージェント、Citrix Secure Hub、またはCitrix Workspaceアプリに送信します。イントラネット IP を有効にすると、この情報には IP アドレスも含まれます。

ユーザーデバイス接続を構成するには、内部ネットワークでユーザーがアクセスできるリソースを定義します。ユーザーデバイス接続の設定には、次の作業が含まれます。

• スプリットトンネリング
• アドレスプール (イントラネット IP) を含むユーザーの IP アドレス
• プロキシサーバーを介した接続
• ユーザーがアクセスを許可されるドメインの定義
• タイムアウト設定
• シングルサインオン
• Citrix Gateway を介して接続するユーザーソフトウェア
• モバイルデバイスへのアクセス

ほとんどのユーザーデバイス接続は、セッションポリシーの一部であるプロファイルを使用して構成します。また、認証ごとのポリシー、トラフィックポリシー、および認可ポリシーを使用して、ユーザーデバイスの接続設定を定義することもできます。また、イントラネットアプリケーションを使用して構成することもできます。

Citrix Gateway アプライアンスで完全VPNセットアップを構成する

Citrix Gateway アプライアンスでVPNセットアップを構成するには、次の手順を実行します。

1. [ トラフィック管理] > [DNS] に移動します。

2. 次のスクリーンショットに示すように、[ネームサーバー] ノードを選択します。DNS ネームサーバーが一覧表示されていることを確認します。使用できない場合は、DNS ネームサーバーを追加します。

   

3. Citrix Gateway >［ポリシー］を展開

4. [ セッション ] ノードを選択します。

5. ［Citrix Gateway セッションポリシーとプロファイル］ページで、［ プロファイル ］タブをクリックし、［ 追加］をクリックします。 ［Citrix Gateway セッションプロファイルの構成］ダイアログボックスで構成する各コンポーネントについて、それぞれのコンポーネントの［ グローバルを上書き ］オプションを選択します。

6. [ クライアントエクスペリエンス ] タブをクリックします。

7. ユーザが VPN にログインするときに任意の URL を表示する場合は、[ホームページ] フィールドにイントラネットポータルの URL を入力します。ホームページパラメータが「nohomepage.html」に設定されている場合、ホームページは表示されません。プラグインが起動すると、ブラウザインスタンスが起動し、自動的に強制終了されます。

   

8. [スプリットトンネル（Split Tunnel）] リストから目的の設定を選択します。

9. FullVPN を使用する場合は、[ クライアントレスアクセス ] リストから [ OFF ] を選択します。

   

10. [ プラグインのタイプ ] リストから [ Windows/Mac OS X ] が選択されていることを確認します。

11. 必要に応じて、「 Web アプリケーションへのシングルサインオン 」オプションを選択します。

12. 次のスクリーンショットに示すように、必要に応じて [ クライアントクリーンアッププロンプト ] オプションが選択されていることを確認します。

    

13. ［セキュリティ］ タブをクリックします。

14. 次のスクリーンショットに示すように、[ デフォルトの承認アクション ] リストから [ 許可 ] が選択されていることを確認します。

    

15. ［Published Applications］ タブをクリックします。

16. ［ 公開アプリケーション ］オプションの［ ICAプロキシ ］リストで［ OFF ］が選択されていることを確認します。

    

17. ［Create］ をクリックします。

18. ［閉じる］ をクリックします。

19. 仮想サーバーの［Citrix Gateway セッションポリシーとプロファイル］ページの［ポリシー］タブをクリックするか、必要に応じてグループ/ユーザーレベルでセッションポリシーを有効にします。

20. 次のスクリーンショットに示すように、必須の式または true を使用してセッションポリシーを作成します。

    

21. セッションポリシーを VPN 仮想サーバーにバインドします。詳細については、 セッションポリシーのバインドを参照してください。

    スプリットトンネルが ON に設定されている場合は、VPN に接続したときにユーザがアクセスするイントラネットアプリケーションを設定する必要があります。イントラネットアプリケーションについて詳しくは、「 Citrix Secure Access エージェント用のイントラネットアプリケーションの構成」を参照してください。

    

    1. ［Citrix Gateway］>［リソース］>［イントラネットアプリケーション］に移動します。

    2. イントラネットアプリケーションを作成します。Windows クライアントを使用した FullVPN の場合は、[透明] を選択します。許可するプロトコル (TCP、UDP、または ANY)、宛先タイプ (IP アドレスとマスク、IP アドレス範囲、またはホスト名) を選択します。

       

    3. 必要に応じて、次の式を使用して、iOSおよびAndroid上のCitrix HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")

    4. 必要に応じて、ユーザー/グループ/VSERVER レベルで作成されたイントラネットアプリケーションをバインドします。

スプリットトンネリングの設定

1. 構成 > Citrix Gateway > ポリシー > セッションに移動します。

2. 詳細ペインの [プロファイル] タブで、プロファイルを選択し、[ 編集] をクリックします。

3. ［ クライアントエクスペリエンス ］タブで、［ スプリットトンネル］の横にある［ グローバルオーバーライド］を選択し、オプションを選択して［ OK］をクリックします。

   スプリットトンネリングおよび認可の設定

   Citrix Gateway の展開を計画するときは、スプリットトンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。

   たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。スプリットトンネリングがオンに設定されており、Citrix Gateway 経由でネットワークトラフィックを送信するようにイントラネットアプリケーションを構成していない。Citrix Gateway にこの種類の構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。

   

承認ポリシーでネットワークリソースへのアクセスが拒否された場合、Citrix Secure AccessエージェントはCitrix Gateway にトラフィックを送信しますが、次の条件ではリソースへのアクセスが拒否されます。

• スプリットトンネリングが ON に設定されている。
• イントラネットアプリケーションは、ネットワークトラフィックをCitrix Gateway 経由でルーティングするように構成されている

承認ポリシーの詳細については、以下を参照してください。

• 認可の設定

• 認可ポリシーの設定

• デフォルトのグローバル認証の設定

内部ネットワークリソースへのネットワークアクセスを構成するには

1. 構成 > Citrix Gateway > リソース > イントラネットアプリケーションの順に移動します。

2. 詳細ウィンドウで、[ 追加] をクリックします。

3. ネットワークアクセスを許可するためのパラメータを入力し、[ 作成]、[ 閉じる] の順にクリックします。

VPNユーザーのイントラネットIPを設定しない場合、ユーザーはトラフィックをCitrix Gateway VIPに送信し、そこからCitrix ADCアプライアンスは内部LAN上のイントラネットアプリケーションリソースに新しいパケットを作成します。この新しいパケットは、SNIP からイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元（この場合は SNIP）への応答を試みます。SNIP はパケットを取得し、要求を行ったクライアントに応答を送信します。

詳細については、次のリンクを参照してください。

イントラネット IP なし

イントラネットIPアドレスが使用されると、ユーザーはトラフィックをCitrix Gateway VIPに送信し、そこからCitrix ADCアプライアンスはクライアントIPをプールの構成されたイントラネットIPの1つにマップします。Citrix ADCアプライアンスはイントラネットIPプールを所有することになるため、これらの範囲を内部ネットワークで使用しないでください。Citrix ADCアプライアンスは、DHCPサーバーが行うように、着信VPN接続にイントラネットIPを割り当てます。Citrix ADCアプライアンスは、ユーザーがアクセスするLAN上のイントラネットアプリケーションへの新しいパケットを構築します。この新しいパケットは、イントラネット IP の 1 つからイントラネットアプリケーションに向けて発信されます。ここから、イントラネットアプリケーションはパケットを取得して処理し、そのパケットの送信元（イントラネット IP）への応答を試みます。この場合、応答パケットは、イントラネットIPが配置されているCitrix ADCアプライアンスにルーティングする必要があります（Citrix ADCアプライアンスはイントラネットIPサブネットを所有しています）。このタスクを実行するには、ネットワーク管理者が SNIP のいずれかを指すイントラネット IP へのルートを持っている必要があります。非対称トラフィックを回避するために、パケットがCitrix ADCアプライアンスを最初に送信するルートを保持するSNIPにトラフィックをポイントバックすることをお勧めします。

詳細については、次のリンクを参照してください。

イントラネット IP

スプリットトンネリングオプション

次に、さまざまなスプリットトンネリングオプションを示します。

スプリットトンネルオフ

スプリットトンネルがオフに設定されている場合、Citrix Secure Accessエージェントは、ユーザーデバイスから送信されるすべてのネットワークトラフィックをキャプチャし、VPNトンネルを介してCitrix Gateway に送信します。つまり、VPNクライアントは、クライアントPCからCitrix Gateway VIPを指すデフォルトルートを確立します。つまり、宛先に到達するには、すべてのトラフィックをトンネル経由で送信する必要があります。すべてのトラフィックがトンネルを介して送信されるため、許可ポリシーは、トラフィックが内部ネットワークリソースへの通過を許可されるか、拒否されるかを決定する必要があります。

オフ」に設定すると、Web サイトへの標準 Web トラフィックを含むすべてのトラフィックがトンネルを通過します。このWebトラフィックを監視および制御することが目的の場合は、Citrix ADCアプライアンスを使用してこれらの要求を外部プロキシに転送する必要があります。ユーザーデバイスは、プロキシサーバーを介して接続し、内部ネットワークにアクセスすることもできます。
Citrix Gateway は、HTTP、SSL、FTP、およびSOCKSプロトコルをサポートしています。ユーザー接続のプロキシサポートを有効にするには、Citrix Gateway でこれらの設定を指定する必要があります。Citrix Gateway 上のプロキシサーバーで使用されるIPアドレスとポートを指定できます。プロキシサーバーは、内部ネットワークへのその後のすべての接続のフォワードプロキシとして使用されます。

詳細については、次のリンクを参照してください。

• ユーザー接続のプロキシサポートの有効化

• スプリットトンネルオフ

スプリットトンネル ON

スプリットトンネリングを有効にすると、Citrix Secure Accessエージェントが不要なネットワークトラフィックをCitrix Gateway に送信するのを防ぐことができます。スプリットトンネルが有効になっている場合、Citrix Secure Accessエージェントは、Citrix Gateway によって保護されたネットワーク（イントラネットアプリケーション）を宛先とするトラフィックのみをVPNトンネル経由で送信します。Citrix Secure Accessエージェントは、保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gateway に送信しません。Citrix Secure Accessエージェントが起動すると、Citrix Gateway からイントラネットアプリケーションの一覧を取得し、クライアントPCの［イントラネットアプリケーション］タブで定義されている各サブネットのルートを確立します。Citrix Secure Accessエージェントは、ユーザーデバイスから送信されたすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリスト（VPN接続の開始時に作成されたルーティングテーブル）と比較します。パケット内の宛先アドレスがイントラネットアプリケーションの1つ内にある場合、Citrix Secure AccessエージェントはVPNトンネルを介してCitrix Gateway にパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはクライアント PC で最初に定義された既定のルーティングを使用してパケットを適切にルーティングします。スプリットトンネリングを有効にすると、イントラネットアプリケーションは、インターセプトされ、トンネルを介して送信されるネットワークトラフィックを定義します。

詳細については、次のリンクを参照してください。

• スプリットトンネル ON

リバーススプリットトンネル

Citrix Gateway は、Citrix Gateway が傍受しないネットワークトラフィックを定義するリバーススプリットトンネリングもサポートしています。スプリットトンネリングをリバースに設定すると、イントラネットアプリケーションは、Citrix Gateway が傍受しないネットワークトラフィックを定義します。リバーススプリットトンネリングを有効にすると、内部IPアドレスに向けられたすべてのネットワークトラフィックはVPNトンネルをバイパスし、他のトラフィックはCitrix Gateway を経由します。リバーススプリットトンネリングを使用して、すべての非ローカル LAN トラフィックをログに記録できます。たとえば、ユーザーがホームワイヤレスネットワークを使用していて、Citrix Secure Accessエージェントでログオンしている場合、Citrix Gateway は、ワイヤレスネットワーク内のプリンターまたは別のデバイス宛てのネットワークトラフィックを傍受しません。

注：

Windows向けCitrix Secure Accessエージェントは、Citrix Secure Accessバージョン22.6.1.5以降のFQDNベースのリバーススプリットトンネルもサポートしています。

ネームサービス解決を構成する

Citrix Gateway のインストール中に、Citrix Gateway ウィザードを使用して、ネームサービスプロバイダーなどのその他の設定を構成できます。ネームサービスプロバイダーは、完全修飾ドメイン名 (FQDN) を IP アドレスに変換します。Citrix Gateway ウィザードでは、次の操作も実行できます。

• DNS サーバーまたは WINS サーバーを構成する
• DNS ルックアップの優先度を設定する
• サーバーへの接続を再試行する回数を設定します。

Citrix Gateway ウィザードを実行すると、DNSサーバーを追加できます。セッションプロファイルを使用して、別のDNSサーバーとWINSサーバーをCitrix Gateway に追加できます。その後、ウィザードで最初に構成した名前解決サーバーとは異なる名前解決サーバーに接続するようにユーザーおよびグループに指示できます。

Citrix Gateway で別のDNSサーバーを構成する前に、名前解決用のDNSサーバーとして機能する仮想サーバーを作成します。

セッションプロファイル内に DNS サーバーまたは WINS サーバーを追加するには

1. 構成ユーティリティで、［構成］タブ >［ Citrix Gateway］>［ポリシー］>［セッション］

2. 詳細ペインの [ プロファイル ] タブで、プロファイルを選択し、[ 開く] をクリックします。

3. [ネットワーク構成] タブで、次のいずれかの操作を行います。

   • DNS サーバーを構成するには、「 DNS 仮想サーバー」の横にある「 グローバル上書き」をクリックし、サーバーを選択して「 OK」をクリックします。

   • WINS サーバーを構成するには、「 WINS サーバー IP」の横にある「 グローバル上書き」をクリックし、IP アドレスを入力して「 OK」をクリックします。

参照ドキュメント

• ユーザーがCitrix Secure Access Agentに接続する方法
• Citrix Gateway について
• ユーザーのアクセス方法を選択します。