使用 Citrix 网关进行高级无客户端 VPN 访问

无客户端 VPN (CVPN) 可以通过 Citrix Gateway 提供对企业内部网络资源的远程访问,而无需在客户端计算机上使用 VPN 客户端应用程序。CVPN 使用客户端的 Web 浏览器提供对企业 Web 应用程序、门户和其他资源的远程访问权限。 高级 CVPN 解决方案消除了与 CVPN 有关的以下限制:

  • 有时无法识别相对 URL。

  • 无法识别动态生成的相对 URL。

高级无客户端 VPN 标识绝对 URL 和主机名称,并以新的唯一方式重写它们,而不是尝试重写 HTTP 响应/网页中存在的相对 URL。SharePoint 不再需要使用默认文件夹来重写 URL,并且支持自定义 SharePoint 访问。

必备条件

以下是配置高级 CVPN 的先决条件。

  1. 通配符服务器证书 -VPN 虚拟服务器需要通配符服务器证书。如果服务器托管,https://vpn.com 那么服务器证书现在应该有 (vpn.com*.vpn.com ) 的条目作为证书 CN 或 SAN 的一部分(其中 CN= 公用名称,SAN = 主题替代名称)。在 Citrix 网关上绑定此证书的过程保持不变。

  2. 通配符 DNS 条目 -s 客户端(Web 浏览器)需要解析高级 CVPN 应用程序的 FQDN。在设置 Citrix 网关服务器时,您可以配置要解析的 DNS 条目vpn.com。您需要为 ‘’ 配置一个子域,以便 ‘.vpn.com’ 现在也解析vpn.com为。

配置高级无客户端 VPN 访问

若要使用命令行界面配置高级无客户端 VPN 访问,请在命令提示符下键入:

set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED

如果会话操作绑定到虚拟服务器,则必须为该会话操作启用 “高级无客户端 VPN 模式” 选项。

示例:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED

要使用 Citrix ADC GUI 配置高级无客户端 VPN 访问,请执行以下操作:

  1. 在 NetScaler GUI 中,导航到 配置 > Citrix 网络扩展器 > 全局设置。

  2. 在 “ 全局设置” 页上,单击 “ 更改全局设置”,然后选择 “ 客户端体验” 选项卡。

  3. 在 “ 客户端体验 ” 选项卡上的 “ 无客户端访问 ” 列表中,单 “开”。

  4. 在 “ 客户端体验 ” 选项卡上的 “ 高级无客户端 VPN 模式 ” 列表中,单击 “ 已启用 ”。

    注意

    • 如果会话操作绑定到虚拟服务器,则必须为该会话操作启用 “ 高级无客户端 VPN 模式 ” 选项卡以及 “ 配置 Citrix 网关会话配置文 件” 页面的 “ 客户端体验 ” 选项卡。
    • 您可以选择 “ 覆盖全局 ” 选项来覆盖全局设置。

本地化后的图片

您也可以在会话级别配置高级 CVPN 功能。

注意事项

高级 CVPN 旨在提供对企业 Web 应用程序的访问权限。这些应用程序只有一个 FQDN,用于他们需要的每种资源(JavaScript,CSS,图像等)。由于我们将内部应用程序的完整 FQDN 编码为单八位字节(cvpn),我们失去了子域关系。因此,无论何时使用 CORS 配置企业 Web 应用程序时,有时您可能会在通过高级 CVPN 访问该应用程序时注意到问题。

使用 Citrix 网关进行高级无客户端 VPN 访问