在 Citrix 网关上配置完整的 VPN 设置

本节介绍如何在 Citrix 网关设备上配置完整的 VPN 设置。它包含联网考虑因素和从联网角度解决问题的理想方法。

必备条件

当用户连接到 Citrix 网关插件、安全中心或 Citrix Receiver 时,客户端软件会通过端口 443(或 Citrix 网关上的任何配置端口)建立安全隧道并发送身份验证信息。建立隧道后,Citrix 网关将配置信息发送到 Citrix 网关插件、安全中心或 Receiver,描述要保护的网络。如果您启用 Intranet IP,则该信息还将包含 IP 地址。

通过定义用户可以在内部网络中访问的资源来配置用户设备连接。配置用户设备连接包括以下内容:

  • 分裂式隧道
  • 用户的 IP 地址,包括地址池(Intranet IP)
  • 通过代理服务器进行连接
  • 定义允许用户访问的域
  • 超时设置
  • 单点登录
  • 将通过 Citrix 网关连接的用户软件
  • 移动设备的访问权限

您可以使用属于会话策略一部分的配置文件配置大多数用户设备连接。您还可以使用每个身份验证、流量和授权策略来定义用户设备连接设置。它们也可以使用 Intranet 应用程序进行配置。

在 Citrix 网关设备上配置完整的 VPN 安装程序

要在 Citrix 网关设备上配置 VPN 设置,请完成以下过程:

  1. 从 NetScaler 配置实用程序,导航到流量管理 > DNS。

  2. 选择 “名称服务器” 节点,如以下屏幕截图所示。确保列出 DNS 名称服务器。如果不可用,请添加 DNS 名称服务器。

    本地化后的图片

  3. 展开思杰网关 > 策略。

  4. 选择会话节点。

  5. 激活 Citrix 网关会话策略和配置文件页面的 “配置文件” 选项卡,然后单击 “添加”。

    对于在 “配置 Citrix 网关会话配置文件” 对话框中配置的每个组件,请确保为相应组件选择 “覆盖全局” 选项。

  6. 激活 “客户体验” 选项卡。

  7. 如果您希望在用户登录 VPN 时显示任何 URL,请在 “主页” 字段中键入 Intranet 门户 URL。如果主页参数设置为 “nohomepage.html”,则不会显示主页。当插件启动时,浏览器实例会自动启动并被终止。

    本地化后的图片

  8. 确保从 “分割隧道” 列表中选择所需的设置(有关此设置的详细信息,请参阅上述)。

  9. 如果您需要 FullVPN,请从无客户端访问列表中选择关闭。

    本地化后的图片

  10. 确保从插件类型列表中选择了 Windows /Mac OS X。

  11. 如果需要,选择 “单点登录到 Web 应用程序” 选项。

  12. 如果需要,请确保选中 “客户端清理提示符” 选项,如以下屏幕截图所示:

    本地化后的图片

  13. 激活 “安全” 选项卡。

  14. 确保从 “默认授权操作” 列表中选择了 “允许”,如以下屏幕截图所示:

    本地化后的图片

  15. 激活 “已发布的应用程序” 选项卡。

  16. 确保从 “已发布应用程序” 选项下的 “ICA 代理” 列表中选择了 OFF。

    本地化后的图片

  17. 单击创建。

  18. 单击关闭。

  19. 激活 vserver 中 Citrix 网关会话策略和配置文件页面的 “策略” 选项卡,或根据需要在 Group/用户级别激活会话策略。

  20. 使用必需的表达式或 ns_true 创建会话策略,如以下屏幕截图所示:

    本地化后的图片

  21. 将会话策略绑定到 VPN 虚拟服务器。

    转到 Citrix 网关虚拟服务器 > 策略。从下拉列表中选择所需的会话策略(在本示例中为 Session _Policy)。

  22. 如果 “拆分隧道” 配置为 “开”,则应配置您希望用户在连接到 VPN 时访问的 Intranet 应用程序。转到 Citrix 网关 > 资源 > Intranet 应用程序。

    本地化后的图片

  23. 创建新的 Intranet 应用程序。为具有 Windows 客户端的完整 VPN 选择透明。选择要允许的协议(TCP、UDP 或任何)、目标类型(IP 地址和掩码、IP 地址范围或主机名)。

    本地化后的图片

    iOS 和 Android 应用程序没有完整的 VPN 支持。

  24. 使用以下表达式在 iOS 和 Android 上为 Citrix VPN 设置新策略: REQ。HTTP。标题用户代理包含/国家插件 Il REQ.HTTP.头用户代理包含/CitrixVPN

    ! [本地化的图像](/en-US/Citrix-网关/媒体/10-配置完整的 vpn-setup.png)

  25. 根据需要绑定在用户/组/VServer 级别创建的 Intranet 应用程序。

    附加参数

    以下是我们可以配置的一些参数以及每个参数的简要描述:

    分裂隧道

    本地化后的图片

拆分隧道

将分割隧道设置为关闭时,Citrix Gateway 插件会捕获来自用户设备的所有网络流量,并通过 VPN 隧道将流量发送到 Citrix Gateway。换句话说,VPN 客户端建立从客户端 PC 指向 Citrix Gateway VIP 的默认路由,这意味着所有流量都需要通过隧道发送到目标。由于所有流量都将通过隧道发送,因此授权策略必须确定是否允许流量传递到内部网络资源,还是拒绝流量。

当设置为 “关闭” 时,所有流量都通过隧道,包括到网站的标准 Web 流量。如果目标是监控和控制此 Web 流量,那么我们应该使用 NetScaler 将这些请求转发给外部代理。用户设备也可以通过代理服务器进行连接,以访问内部网络。
思杰网关支持 HTTP、SSL、FTP 和 SOCKS 协议。要为用户连接启用代理支持,必须在 Citrix 网关上指定这些设置。您可以指定 Citrix 网关上的代理服务器使用的 IP 地址和端口。代理服务器用作所有进一步连接到内部网络的转发代理。

有关更多信息,请查看以下链接:

分裂隧道

您可以启用拆分隧道,以防止 Citrix 网关插件向 Citrix 网关发送不必要的网络流量。如果启用了分割隧道,Citrix 网关插件将仅通过 VPN 隧道发送到 Citrix 网关保护的网络(Intranet 应用程序)的流量。Citrix 网关插件不会将发送到未受保护的网络的网络流量发送到 Citrix 网关。Citrix 网关插件启动时,它将从 Citrix 网关获取 Intranet 应用程序列表,并为客户端 PC 的 Intranet 应用程序选项卡上定义的每个子网建立路由。Citrix Gateway 插件检查从用户设备传输的所有数据包,并将数据包中的地址与 Intranet 应用程序列表(VPN 连接启动时创建的路由表)进行比较。如果数据包中的目标地址位于其中一个 Intranet 应用程序中,Citrix 网关插件将数据包通过 VPN 隧道发送到 Citrix 网关。如果目标地址不在定义的 Intranet 应用程序中,则不会对数据包进行加密,然后用户设备使用客户端 PC 上最初定义的默认路由来正确地路由数据包。“启用分割隧道时,Intranet 应用程序会定义截获并通过隧道发送的网络流量”。

有关更多信息,请查看以下链接:

反分裂隧道

Citrix 网关还支持反向分割隧道,该隧道定义 Citrix 网关不拦截的网络流量。如果将分割隧道设置为反转,则 Intranet 应用程序会定义 Citrix Gateway 不拦截的网络流量。启用反向分割隧道时,指向内部 IP 地址的所有网络流量都会绕过 VPN 隧道,而其他流量则会通过 Citrix Gateway。反向分割隧道可用于记录所有非本地 LAN 流量。例如,如果用户拥有家庭无线网络并使用 Citrix Gateway 插件登录,则 Citrix Gateway 不会拦截发往打印机或无线网络中其他设备的网络流量。

配置分割隧道

  1. 从配置实用程序导航到 “配置” 选项卡 > “Citrix 网关” > “策略” > “会话”。

  2. 在详细信息窗格的 “配置文件” 选项卡上,选择一个配置文件,然后单击 “打开”。

  3. 在 “客户端体验” 选项卡上,在 “拆分隧道” 旁边,选择 “全局覆盖”,选择一个选项,然后单击 “确定” 两次。

    配置拆分隧道和授权

    在规划 Citrix Gateway 部署时,请务必考虑拆分隧道以及默认授权操作和授权策略。

    例如,您有一个允许访问网络资源的授权策略。您已将隧道拆分设置为开,并且未将 Intranet 应用程序配置为通过 Citrix 网关发送网络流量。Citrix Gateway 具有此类配置时,允许访问该资源,但用户无法访问该资源。

    本地化后的图片

如果授权策略拒绝对网络资源的访问,则将隧道拆分设置为 “开”,并且将 Intranet 应用程序配置为通过 Citrix 网关路由网络流量,Citrix 网关插件将流量发送到 Citrix Gateway,但对资源的访问将被拒绝。

有关授权策略的详细信息,请查看以下内容:

配置对内部网络资源的网络访问

  1. 在配置实用程序中,在 “配置” 选项卡 > “Citrix 网关” > “资源” > “Intranet 应用程序” 上。

  2. 在详细信息窗格中,单击添加。

  3. 完成允许网络访问的参数,单击创建,然后单击关闭。

当我们不为 VPN 用户设置 Intranet IP 时,用户将流量发送到 Citrix 网关 VIP,然后从那里 NetScaler 构建一个新的数据包到位于内部局域网上的 Intranet 应用程序资源。这个新的数据包将从 SNIP 向 Intranet 应用程序提供。从这里,Intranet 应用程序获取数据包,处理它,然后尝试回复该数据包的源(本例中为 SNIP)。SNIP 获取数据包并将答复发送回发送给发出请求的客户端。有 关更多信息,请查看以下链接:

没有内联网 IP

使用 Intranet IP 时,用户将流量发送到 Citrix 网关 VIP,然后从那里 NetScaler 将客户端 IP 映射到池中的一个配置的 Intranet IP 中。请注意,NetScaler 将拥有 Intranet IP 池,因此不应在内部网络中使用这些范围。NetScaler 将为传入 VPN 连接分配 Intranet IP,就像 DHCP 服务器所做的那样。NetScaler 为用户将访问的 LAN 上的 Intranet 应用程序构建一个新的数据包。这个新的数据包将从其中一个 Intranet IP 向 Intranet 应用程序提供。从这里,Intranet 应用程序获取数据包,处理它,然后尝试回复该数据包的源(Intranet IP)。在这种情况下,需要将答复数据包路由回到 NetScaler,其中 Intranet IP 所在地(请记住,NetScaler 拥有 Intranet IP 子网)。要完成此任务,网络管理员应该有一条指向 Intranet IP 的路由,指向其中一个剪切(建议将流量指向 SNIP,该 SNIP 保存数据包第一次离开 NetScaler 的路由,以避免任何非对称流量)。

有关更多信息,请查看以下链接:

内联网 IP

配置名称服务解析

在安装 Citrix 网关期间,您可以使用 Citrix 网关向导配置其他设置,包括名称服务提供程序。名称服务提供商将完全限定的域名 (FQDN) 转换为 IP 地址。在 Citrix 网关向导中,您可以配置 DNS 或 WINS 服务器,设置 DNS 查找的优先级以及重试与服务器连接的次数。

运行 Citrix 网关向导时,您可以在此时添加 DNS 服务器。您可以使用会话配置文件向 Citrix 网关添加其他 DNS 服务器和 WINS 服务器。然后,可以指示用户和组连接到与最初使用向导配置的名称解析服务器不同的名称解析服务器。

在 Citrix 网关上配置其他 DNS 服务器之前,请创建一个充当 DNS 服务器进行名称解析的虚拟服务器。

在会话配置文件中添加 DNS 或 WINS 服务器

  1. 在配置实用程序中,配置选项卡 > Citrix 网关 > 策略 > 会话。

  2. 在详细信息窗格的 “配置文件” 选项卡上,选择一个配置文件,然后单击 “打开”。

  3. 在 “网络配置” 选项卡上,执行以下操作之一:

    • 若要配置 DNS 服务器,请单击 “DNS 虚拟服务器” 旁边的 “覆盖全局”,选择该服务器,然后单击 “确定”。

    • 若要配置 WINS 服务器,在 WINS 服务器 IP 旁边,单击覆盖全局,键入 IP 地址,然后单击确定。