Citrix Gateway

使用 Citrix Gateway 进行高级无客户端 VPN 访问

无客户端 VPN 提供了一种通过 Citrix Gateway 提供对公司内部网资源的远程访问的方法,而无需在客户端计算机上安装 VPN 客户端应用程序。无客户端 VPN 使用客户端的 Web 浏览器提供对企业 Web 应用程序、门户和其他资源的远程访问。 高级无客户端 VPN 解决方案消除了以下与无客户端 VPN 有关的限制:

  • 有时无法识别相对 URL。

  • 无法识别动态生成的相对 URL。

先进的无客户端 VPN 可以识别绝对 URL 和主机名,并以全新且独特的方式重写它们,而不是尝试重写 HTTP 响应/网页中存在的相对 URL。SharePoint 不再需要使用默认文件夹来重写 URL,并且支持自定义 SharePoint 访问权限。

必备条件

以下是配置高级无客户端 VPN 的先决条件。

  • 通配符服务器证书 -高级无客户端 VPN 以独特的方式重写 URL。每个用户的每个 URL 都会保持这种唯一性。例如,如果 Web 应用程序托管在上 https://webapp.customer.com,VPN 虚拟服务器托管在上 https://vpn.customer.com,则高级无客户端 VPN 会将其重写为 https://cvpneqwerty.vpn.customer.com。这意味着,每个 URL 都被重写为 VPN 虚拟服务器的子域。在这个新的 URL 中, cvpneqwerty 可以解密回去 https://webapp.customer.com。该字符串 cvpneqwerty 是动态的,因此对于 SSL,必须使用通配符证书绑定 VPN 虚拟服务器。

    如果服务器使用托管 https://vpn.customer.com,那么服务器证书现在必须包含(vpn.customer.com 和 .vpn.customer.com)的条目作为 CN 或 SAN 证书的一部分(其中 CN = 普通名称,SAN= 使用者备用名称)。在 Citrix Gateway 上,绑定此证书的过程保持不变。 注意: 通配符证书只支持一级证书(即 ..customer.com 是不允许的)。如果您已经在使用通配符证书(用于 *.customer.com)并进行托管 https://vpn.customer.com,则这不适用于高级无客户端 VPN。您必须使用获得新证书 *.vpn.customer.com

  • 通配符 DNS 条目 -客户端(Web 浏览器)必须解析高级无客户端 VPN 应用程序的 FQDN。在设置 Citrix Gateway 服务器时,您必须已配置 DNS 条目才能解析 vpn.customer.com。这允许浏览器将 vpn.customer.com 解析为您的 VPN 虚拟服务器的 IP 地址。要将 URL 解析 https://cvpnqwerty.vpn.customer.com 为相同 IP(VPN 虚拟服务器的 IP 地址),必须为的域添加新记录 vpn.customer.com。在 DNS 服务器中找到域设置,然后使用与之前相同的 IP 地址为 “*” 添加新的主机记录。添加主机记录后,您必须看到成功的 ping 响应 https://cpvnanything.vpn.customer.com

配置高级无客户端 VPN 访问

要使用命令行界面配置高级无客户端 VPN 访问,请在命令提示符下键入:

set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->

如果会话操作绑定到虚拟服务器,则还必须为该会话操作启用高级无客户端 VPN 模式选项。

示例:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->

要使用 Citrix ADC GUI 配置高级无客户端 VPN 访问,请执行以下操作:

  1. 在 NetScaler GUI 中,导航到 配置 > Citrix NetScaler> 全局设置。

  2. 在 “ 全局设置” 页面上,单击 “ 更改全局设置”,然后选择 “ 客户端体验 ” 选项卡。

  3. 在 “ 客户端体验 ” 选项卡上的 “ 无客户端访问 ” 列表中,单 “开”。

  4. 在 “ 客户端体验 ” 选项卡上的 “ 高级无客户端 VPN 模式 ” 列表中,单击 “ 启用”。 如果从 “ 高级无客户端 VPN 模式 ” 列表中选择 “ 严格 ”,Citrix ADC 设备将仅响应经典无客户端 VPN 形式的 StoreFront URL,并阻止所有其他经典的无客户端 VPN 请求。此选项在设备上提供了更安全的配置,用于交付内部 Web 资源。

注意:

  • 如果会话操作绑定到虚拟服务器,则必须为该会话操作以及从 配置 Citrix Gateway 会话配置文件页面的 “户端体验 ” 选项卡启用 “高级无客户端 VPN 模式” 选项 卡。
  • 您可以选择 覆盖全局 选项来覆盖全局设置。
  • 您也可以在会话级别配置高级无客户端 VPN 功能。

注意事项

高级无客户端 VPN 旨在提供对企业 Web 应用程序的访问权限。此类应用对于所需的每种资源(JavaScript、css、图像等)只有一个 FQDN。由于我们将内部应用程序的完整 FQDN 编码为单八位字节(无客户端 VPN),因此我们失去了子域关系。因此,每当使用 CORS 配置企业 WebApp 时,有时您在通过高级无客户端 VPN 访问它时可能会注意到问题。

使用 Citrix Gateway 进行高级无客户端 VPN 访问