Citrix Gateway

为用户选择 Citrix Secure Access 代理

配置 Citrix Gateway 时,可以选择用户的登录方式。用户可以使用以下插件之一登录:

  • 适用于 Windows 的 Citrix Secure Access 代理
  • 适用于 macOS 的 Citrix Secure Access 代理

通过创建会话策略,然后将策略绑定到用户、组或虚拟服务器来完成配置。您还可以通过配置全局设置来启用插件。在全局配置文件或会话配置文件中,您可以选择 Windows 或 macOS X 作为插件类型。当用户登录时,他们会收到全局或会话配置文件和策略中定义的插件。为插件类型创建单独的配置文件。

全局配置插件

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway,然后单击 全局设置。
  2. 在详细信息窗格的“设置”下,单击“更改全局设置”。
  3. 在“客户端体验”选项卡上的“插件类型”旁边,选择 Windows/macOS X,然后单击“确定”。

在会话配置文件中为 Windows 或 macOS 配置插件类型

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击 会话
  2. 执行以下操作之一:
    • 如果要创建会话策略,请在详细信息窗格中单击 添加
    • 如果要更改现有策略,请选择一个策略,然后单击“打开”。
  3. 创建配置文件或修改现有配置文件。为此,请执行以下操作之一:
    • 在“请求配置文件”旁边,单击“新建”。
    • 在“请求配置文件”旁边,单击“修改”。
  4. 在“客户端体验”选项卡上的“插件类型”旁边,单击“覆盖全局”,然后选择 Windows/macOS X
  5. 执行以下操作之一:
    • 如果要创建配置文件,请单击“创建”,在策略对话框中设置表达式,单击“创建”, 然后单击“关闭”。
    • 如果要修改现有配置文件,请在进行选择后单击“确定”两次。

适用于 Windows 的 Citrix Secure Access 代理

当用户登录 Citrix Gateway 时,他们会在用户设备上下载并安装 Citrix Secure Access 代理。

要安装插件,用户必须是本地管理员或管理员组的成员。此限制仅适用于首次安装。插件升级不需要管理员级别的访问权限。

要使用户能够连接和使用 Citrix Gateway,您需要向他们提供以下信息:

  • Citrix Gateway 网址,例如 https://NetScalerGatewayFQDN/
  • 运行 Citrix Secure Access 代理的任何系统要求(如果您配置了端点资源和策略)

根据用户设备的配置,您可能还需要提供以下信息:

  • 如果用户在其计算机上运行防火墙,则他们可能必须更改防火墙设置,以便防火墙不会阻止进出与您授予访问权限的资源对应的 IP 地址的流量。Citrix Secure Access 代理会自动处理 Windows XP 中的 Internet 连接防火墙和 Windows XP Service Pack 2、Windows Vista、Windows 7、Windows 8 或 Windows 8.1 中的 Windows 防火墙。
  • 想要通过 Citrix Gateway 连接向 FTP 发送流量的用户必须将其 FTP 应用程序设置为执行被动传输。被动传输意味着远程计算机建立与 FTP 服务器的数据连接,而不是 FTP 服务器与远程计算机建立数据连接。
  • 想要通过连接运行 X 客户端应用程序的用户必须在其计算机上运行 X 服务器 XManager,例如。
  • 安装 Receiver for Windows 或 Receiver for Mac 的用户可以从 Receiver 或使用网络浏览器启动 Citrix Secure Access 代理。向用户提供有关如何通过 Receiver 或 Web 浏览器使用 Citrix Secure Access 代理登录的说明。

由于用户在处理文件和应用程序时就好像他们是组织网络的本地用户一样,因此您无需重新培训用户或配置应用程序。

要首次建立安全连接,请使用 Web 登录页面登录 Citrix Gateway。网址的典型格式是 https://companyname.com。当用户登录时,他们可以在其计算机上下载并安装 Citrix Secure Access 代理。

安装适用于 Windows 的 Citrix Secure Access 代理

  1. 在 Web 浏览器中,键入 Citrix Gateway 的网址。
  2. 键入用户名和密码,然后单击“登录”。
  3. 选择网络访问,然后单击下载。
  4. 按照说明安装插件。

下载完成后,Citrix Secure Access 代理将连接并在基于 Windows 的计算机的通知区域中显示一条消息。

如果希望用户在不使用 Web 浏览器的情况下连接 Citrix Secure Access 代理,则可以将插件配置为当用户在基于 Windows 的计算机的通知区域中右键单击 Citrix Gateway 图标或从“开始”菜单启动插件时显示登录对话框。

为适用于 Windows 的 Citrix Secure Access 代理配置登录对话框

要将 Citrix Secure Access 代理配置为使用登录对话框,用户必须登录才能完成此过程。

  1. 在基于 Windows 的计算机上,在通知区域中,右键单击 Citrix Gateway 图标,然后单击配置 Citrix Gateway。
  2. 单击配置文件选项卡,然后单击更改配置文件
  3. 在选项选项卡上,单击使用 Citrix Secure Access 代理进行登录。 注意:如果用户从 Receiver 中打开“ 配置 Citrix Gateway”对话框,则“ 选项”选项卡不可用。

为适用于 Windows 的 Citrix Secure Access 代理设置拦截模式

如果要配置适用于 Windows 的 Citrix Secure Access 代理,还需要配置拦截模式并将其设置为透明。

  1. 在配置实用程序中,单击配置选项卡,展开 Citrix Gateway > 资源, 然后单击 Intranet 应用程序
  2. 在详细信息窗格中,单击添加
  3. 名称中,键入策略的名称。
  4. 单击“透明”。
  5. 协议中,选择 任何
  6. 在“目标类型”中,选择“IP 地址和网络掩码”。
  7. IP 地址 中键入 IP 地址。
  8. Netmask中,键入子网掩码,单击 创建, 然后单击 关闭

根据 ADC 配置对最终用户实施本地 LAN 访问

管理员可以限制最终用户在其客户端计算机上启用或禁用本地 LAN 访问选项。一个新选项“强制”将添加到现有的“本地局域网访问”参数值中。将“本地局域网访问”值设置为“强制”时,将限制最终用户在其客户端计算机上使用本地 LAN 访问选项。如果最终用户需要启用或禁用本地 LAN 访问,管理员必须相应地在 Citrix ADC 设备中重新配置“本地局域网访问”选项。

要使用 GUI 启用“强制”选项,请执行以下操作:

  1. 导航到 Citrix Gateway > 全局设置 > 更改全局设置
  2. 单击“客户端体验”选项卡,然后单击“高级设置”
  3. 本地局域网访问中,选择 强制

启用本地 LAN 访问

要使用 CLI 启用强制选项,请运行以下命令:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

使用 Windows 筛选平台的 Windows Citrix Secure Access 代理

Windows 过滤平台 (WFP) 是一组 API 和系统服务,提供用于创建网络过滤应用程序的平台。WFP 旨在取代以前的包过滤技术,即与 DNE 驱动程序一起使用的网络驱动程序接口规范 (NDIS) 过滤器。Windows Citrix Secure Access 代理的 22.6.1.5 版本支持 WFP 模式。

安装 WFP 版本

您可以使用以下方法之一安装 WFP 版本。

  • 使用 DNE 和 WFP 驱动程序安装 VPN 插件(默认方法)

    当插件安装了 DNE 和 WFP 驱动程序时,管理员可以通过注册表旋钮使用 WFP 或 DNE 驱动程序进行通道传输。默认情况下,DNE 驱动程序用于通道。

  • 仅使用 WFP 驱动程序安装 VPN 插件(跳过 DNE 驱动程序安装)

    某些第三方应用程序不支持 DNE 驱动程序,即使未使用。对于这些部署,管理员可以使用此安装类型。由于未安装 DNE 驱动程序,因此只使用 WFP 驱动程序进行通道开发。

选择 WFP 驱动程序而不是 DNE 驱动程序

执行以下步骤以选择 WFP 驱动程序而不是 DNE 驱动程序。

注意:

这仅适用于默认安装方法。

  1. 下载 WFP 支持的 VPN 插件版本并安装新的 VPN 插件。
  2. 默认情况下,DNE 驱动程序用于通过通道传输流量。要使用 WFP 驱动程序进行通道传输,管理员必须创建以下注册表项:
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — 将值设置为 1 以使用 WFP,将 0 设置为 DNE(如果此注册表值不存在或设置为 0,则默认启用 DNE)

注意:

将通道模式从 DNE 切换到 WFP 后,或者相反,必须重新启动系统才能使更改正确生效。

完全跳过 DNE 安装

执行以下步骤可跳过 DNE 安装。

  1. 执行 VPN 插件的全新卸载。
    1. 卸载计算机上的当前 VPN 插件并重新启动计算机。
    2. 使用以下任一选项检查 DNE 驱动程序是否已卸载。
      • 打开提升的命令提示符(或 PowerShell)。运行以下命令(示例输出显示系统上安装了基于 DNE 的驱动程序)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      如果未安装驱动程序,则会显示以下输出:

      The specified service does not exist as an installed service.

    由于 DNE 驱动程序 (dnelwf64.sys) 也被其他供应商使用,因此即使系统上未安装 Citrix Secure Access 代理,也可能存在该驱动程序。另一方面,CAG 插件仅由 Citrix Secure Access 代理使用。

    • 也可以通过尝试启动 CAG 和 DNE 驱动程序来检查 DNE 的存在。使用管理员权限打开命令提示符并运行以下命令:

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • 如果输出消息指示无法找到服务(服务名称无效。),则插件和驱动程序组件已成功卸载。在这种情况下,请移至步骤 2。
      • 如果未成功卸载插件和驱动程序组件,请按照 https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332 中提供的说明在客户端计算机上运行清理实用程序。
        • 解压清理实用程序并将其复制到文件夹。
        • 在命令提示符下运行 nsRmSAC.exe。
        • 重新启动客户端计算机。
  2. 创建以下注册表项。

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE-设置为 1 可确保计算机上未安装 DNE
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE-设置为 1 以启用 WFP(如果跳过 DNE 安装,则必须创建此条目)

    注意:

    • 如果在安装之前未创建注册表项,则默认情况下会安装 DNE。此外,您可以检查 VPN 日志文件以验证是否使用了 WFP 或 DNE。
    • 如果跳过 DNE 安装, 则必须将 EnableWFP 设置为 1。在这种情况下,如果不重新安装 Citrix Secure Access 代理,就无法切换到基于 DNE 的插件。
  3. 安装新的 VPN 插件。
  4. 确认系统上是否安装了 WFP 驱动程序。打开提升的命令提示符并运行以下命令。示例输出显示系统上安装了 WFP 驱动程序。

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

如果未安装驱动程序,则会显示以下输出:

The specified service does not exist as an installed service.

  1. 重新启动客户端计算机。

世界粮食计划署的优势

以下是如果在客户端上安装独立的 WFP 驱动程序,WFP 的一些优势在于。

  • 基于 FQDN 的反向拆分通道支持: WFP 驱动程序支持基于 FQDN 的反向拆分通道。DNE 驱动程序不支持此功能。有关更多详细信息,请参阅 拆分通道选项

  • Wireshark 支持: DNE 不允许在客户端计算机上捕获双向流量,因为它与以太网/Wi-Fi 适配器链接。对于新的世界粮食计划署驱动程序来说,这不是问题。

  • NMAP 支持: 新的 WFP 驱动程序支持 NMAP 扫描,而 VPN 插件用于通过通道传输流量,而 DNE 不允许 NMAP 扫描,而 VPN 插件用于通过通道传输流量。

  • 网络速度: 在某些情况下,如果在客户端计算机上安装了 DNE,则下载和上传速度会受到影响,而 WFP 的情况并非如此。

  • 提高了 nslookup 性能: 有时使用 DNE 时,尝试次数较少时 nslookup 无法响应,而 WFP 则没有观察到同样的情况。

  • UDP 相比提高了 iperf 性能: 使用 DNE,在使用 iperf over UDP 进行可扩展性测试时观察到一些数据包丢失。WFP 没有发现数据包丢失。

为用户选择 Citrix Secure Access 代理