使用Citrix网关的高级无客户端VPN访问

无客户端VPN看到了一种通过Citrix Gateway提供对公司内部网资源的远程访问的方法，而无需在客户端机器上使用VPN客户端应用程序。无客户端VPN通过客户端浏览器远程访问企业web应用、门户网站等资源。高级的无客户端VPN解决方案消除了以下关于无客户端VPN的限制:

• 有时无法识别相对URL。

• 无法识别动态生成的相对url。

高级的无客户端VPN识别绝对URL和主机名，并以一种新的、独特的方式重写它们，而不是试图重写http响应/ web页面中的相对URL。SharePoint不再需要使用默认文件夹来重写url，并且支持自定义的SharePoint访问。

先决条件

以下是配置高级无客户端VPN的先决条件。

• 通配符服务器证书-高级无客户端VPN以独特的方式重写URL。每个用户的每个URL都保持这种唯一性。例如，如果web应用程序托管在https://webapp.customer.com，并且VPN虚拟服务器托管在https://vpn.customer.com，然后高级无客户端VPN将其重写为https://cvpneqwerty.vpn.customer.com. 这意味着，每个URL都被重写为VPN虚拟服务器的子域。在这个新的URL中，cvpneqwerty可以解密回https://webapp.customer.com.绳子cvpneqwerty是动态的，因此对于SSL，必须使用通配符证书绑定VPN虚拟服务器。

  如果服务器托管在https://vpn.customer.com，则服务器证书现在必须具有(vpn.customer.com和。vpn.customer.com)作为证书CN或SAN(其中CN=公共名称，SAN=主题可选名称)的一部分的条目。在Citrix Gateway上绑定此证书的过程是相同的。注:通配符证书只支持一级(即．.customer.com是不允许的）。如果您已经在使用通配符证书（用于*.customer.com）并托管https://vpn.customer.com，这对高级的无客户端VPN不起作用。你必须用新的证书* .vpn.customer.com．

• 通配符DNS条目-客户端（web浏览器）必须解析高级无客户端VPN应用程序的FQDN。在设置Citrix网关服务器时，您必须配置DNS条目来解析VPN.customer.com。这允许浏览器将VPN.customer.com解析为VPN虚拟服务器的IP地址https://cvpnqwerty.vpn.customer.com对于同一IP（VPN）虚拟服务器的IP地址，必须为域添加新记录vpn.customer.com．找到您的DNS服务器中的域设置，并添加一个新的主机记录为“*”与之前相同的IP地址。添加主机记录后，您必须看到成功的ping响应https://cpvnanything.vpn.customer.com．

配置高级无客户端VPN访问

要使用命令行界面配置高级无客户端VPN访问，请在命令提示符下键入：

设置vpn参数-设置vpn参数上的clientlessVpnMode-高级clientlessVpnMode已启用<--需要复制-->

如果会话操作绑定到虚拟服务器，则还必须为该会话操作启用高级无客户端VPN模式选项。

例子:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED 

要使用Citrix ADC GUI配置高级无客户端VPN访问，请执行以下操作：

1. 在NetScaler GUI中，导航到配置> Citrix NetScaler>全局配置。

2. 上全局设置页,点击更改全局设置，然后选择客户体验选项卡。

3. 上客户体验选项卡，从无客户端访问列表中,点击在…上．

4. 上客户体验选项卡，从高级无客户端VPN模式列表中,点击启用. 如果您选择严格的从高级无客户端VPN模式列表中，Citrix ADC设备只响应以经典无客户端VPN形式出现的StoreFront url，并阻止所有其他经典无客户端VPN请求。此选项在设备上提供了更安全的配置，用于交付内部web资源。

注:

• 如果会话动作绑定了虚拟服务器，则必须启用高级无客户端VPN模式的会话操作的选项客户体验选项卡中的配置Citrix网关会话配置文件页面。
• 您可以选择覆盖全局选项以覆盖全局设置。
• 您还可以在会话级别配置高级无客户端VPN功能。

警告

高级无客户端VPN旨在提供对企业Web应用程序的访问。这些应用程序对于它们需要的每种资源（JavaScript、css、图像等）只有一个FQDN。由于我们将内部应用程序的完整FQDN编码为单个八位组（无客户端VPN），因此我们失去了子域关系。因此，每当企业WebApp配置CORS时，有时您在通过高级无客户端VPN访问它时可能会注意到问题。