Citrix网关上的完整VPN设置
介绍如何在Citrix Gateway设备上配置全VPN。它包含了网络方面的考虑事项和从网络角度解决问题的理想方法。
先决条件
安装SSL证书并绑定VPN虚拟服务器。
CTX109260 -如何在NetScaler设备上生成和安装公共SSL证书
CTX122521-如何用与设备主机名匹配的可信CA证书替换NetScaler设备的默认证书
Citrix文档-将证书密钥对绑定到ssl虚拟服务器
为Citrix Gateway创建一个身份验证配置文件。
有关更多信息,请参阅Citrix文档-配置外部用户认证
有关更多信息,请参阅检查表:使用AD FS实现和管理单点登录
创建允许全VPN连接的会话策略。
当用户连接到Citrix Gateway插件、Secure Hub或Citrix Workspace应用程序时,客户端软件通过端口443(或Citrix Gateway上任何配置的端口)建立一个安全隧道,并发送身份验证信息。一旦隧道建立,Citrix Gateway将配置信息发送到Citrix Gateway插件、Citrix Secure Hub或Citrix Workspace应用程序,描述需要保护的网络。如果启用了内网IP,该信息还包含一个IP地址。
您可以通过定义用户可以在内部网络中访问的资源来配置用户设备连接。配置用户设备连接包括以下内容:
- 分裂隧道
- 用户的IP地址,包括地址池(内网IP)
- 通过代理服务器的连接
- 定义允许用户访问的域
- 超时设置
- 单点登录
- 通过Citrix网关连接的用户软件
- 移动设备接入
您可以使用作为会话策略一部分的配置文件来配置大多数用户设备连接。您还可以使用每身份验证、流量和授权策略来定义用户设备连接设置。也可以使用intranet应用程序来配置这些设置。
在Citrix Gateway设备上配置完整的VPN设置
要在Citrix网关设备上配置VPN设置,请完成以下过程:
导航到流量管理>DNS.
选择名称服务器节点,如下面的屏幕截图所示。确保已列出DNS名称服务器。如果不可用,请添加DNS名称服务器。
![选择名称服务器]()
扩大Citrix网关>策略.
选择一场节点。
在“Citrix网关会话策略和配置文件”界面中,单击配置文件选项卡单击添加.对于在“配置Citrix网关会话配置文件”对话框中配置的每个组件,确保您选择了覆盖全球选项对应的组件。
点击客户体验选项卡。
如果希望在用户登录VPN时显示任何URL,请在“首页”字段中输入内网门户URL。如果“首页”参数设置为“nohome .html”,则不显示首页。当插件启动时,浏览器实例将自动启动并终止。
![输入内部网门户url]()
确保从分裂隧道列表中选择所需的设置。
选择从从无客户端访问如果你想要FullVPN。
![将无客户端访问设置为关闭]()
确保Windows / Mac OS X从插入式列表
选择单一登录到Web应用程序选项(如果需要)。
确保客户清理提示如有必要,选择该选项,如以下屏幕截图所示:
![客户端清理]()
点击安全选项卡。
确保允许从默认授权操作列表,如下截图所示:
![将默认授权操作设置为允许]()
点击已发布的应用程序选项卡。
确保从从ICA代理在已发布的应用程序选项
![设置“ICA Proxy”为“off”]()
点击创造.
点击关闭.
点击政策单击“Citrix网关会话策略和配置文件”页签,或者根据需要激活“组/用户级别的会话策略”。
使用所需表达式或ns_true创建会话策略,如以下屏幕截图所示:
![创建会话策略]()
将会话策略绑定到VPN虚拟服务器。有关详细信息,请参阅绑定会话策略.
如果将拆分隧道配置为打开,则必须配置希望用户在连接到VPN时访问的Intranet应用程序。有关Intranet应用程序的详细信息,请参阅配置Citrix Gateway插件的内网应用.
![内部网应用程序]()
去Citrix网关>资源>内部网应用程序.
创建内网应用对于Windows客户端FullVPN选择Transparent。选择您希望允许的协议(TCP、UDP或ANY)、目的类型(IP地址和掩码、IP地址范围或主机名)。
![创建Intranet应用程序]()
如有必要,使用以下表达式为iOS和Android上的Citrix VPN设置新策略:
REQ.HTTP.HEADER("用户代理").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("用户代理").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("用户代理").CONTAINS("Android"))![设置VPN策略]()
根据需要绑定USER/GROUP/VSERVER级别创建的内网应用。
其他参数
以下是我们可以配置的一些参数以及每个参数的简要说明:
将隧道了
当拆分隧道设置为off时,Citrix网关插件将捕获来自用户设备的所有网络流量,并通过VPN隧道将流量发送到Citrix网关。换句话说,VPN客户端将建立一条从客户端PC指向Citrix网关VIP的默认路由,这意味着所有流量都需要在h通过隧道到达目的地。由于所有流量都将通过隧道发送,因此授权策略必须确定是允许流量通过内部网络资源还是拒绝流量。
当设置为“关闭”时,所有流量都将通过隧道,包括标准Web流量到网站。如果目标是监视和控制此web流量,则必须使用Citrix ADC设备将这些请求转发到外部代理。用户设备也可以通过代理服务器连接到内部网络。
Citrix网关支持HTTP、SSL、FTP和SOCKS协议。要为用户连接启用代理支持,您必须在Citrix网关上指定这些设置。您可以指定Citrix网关上代理服务器使用的IP地址和端口。代理服务器用作所有进一步连接到内部网络的转发代理。
欲了解更多信息,请浏览以下链接:
分体式隧道
您可以启用拆分隧道以防止Citrix网关插件向Citrix网关发送不必要的网络流量。如果启用了拆分隧道,Citrix网关插件将仅通过VPN隧道发送发送到Citrix网关保护的网络(intranet应用程序)的流量。Citrix网关插件不会将目的地为未受保护网络的网络流量发送到Citrix网关。当Citrix网关插件启动时,它从Citrix Gateway获取intranet应用程序列表,并为客户端PC的intranet application(intranet应用程序)选项卡上定义的每个子网建立路由。Citrix Gateway插件检查从用户设备传输的所有数据包,并将数据包内的地址与intranet应用程序列表进行比较(启动VPN连接时创建的路由表)。如果数据包中的目标地址位于其中一个intranet应用程序内,Citrix网关插件会通过VPN隧道将数据包发送到Citrix网关。如果目标地址不在已定义的intranet应用程序中,则数据包不会被加密,然后用户设备会使用默认路由正确路由数据包ing最初在客户端PC上定义。“当您启用拆分隧道时,intranet应用程序定义通过隧道截获和发送的网络流量”。
有关更多信息,请查看以下链接:
反分裂隧道
Citrix Gateway还支持反向分割隧道,它定义了Citrix Gateway不拦截的网络流量。如果将分离隧道设置为反向,则内部网络应用程序将定义Citrix Gateway不拦截的网络流量。当启用反向拆分隧道时,所有访问内部IP地址的网络流量都将绕过VPN隧道,其他流量将通过Citrix Gateway。反向分割隧道可以用来记录所有非本地局域网的流量。例如,如果用户拥有家庭无线网络,并且使用Citrix Gateway插件登录,则Citrix Gateway不会拦截发送到无线网络中的打印机或其他设备的网络流量。
配置分隧道
导航到配置>Citrix Gateway > Policies > Session.
在“详细信息”窗格中的“配置文件”选项卡上,选择一个配置文件,然后单击编辑.
在客户体验选项卡,在旁边将隧道中,选择全球覆盖,选择一个选项,然后单击好啊.
配置拆分隧道和授权
在规划您的Citrix Gateway部署时,务必考虑分离隧道和默认授权操作及授权策略。
例如,您有一个允许访问网络资源的授权策略。您已将split tunneling设置为ON,并且未将intranet应用程序配置为通过Citrix网关发送网络流量。当Citrix Gateway具有此类配置时,允许访问资源,但用户无法访问资源。
![完整的VPN配置]()
如果授权策略禁止访问某个网络资源,则Citrix Gateway插件会将流量发送给Citrix Gateway,但在以下情况下会拒绝访问该资源。
- 您已将分割隧道设置为ON。
- 内部网应用程序配置为通过Citrix网关路由网络流量
有关授权策略的更多信息,请查看以下内容:
配置对内部网络资源的网络访问
导航到配置>Citrix网关>资源>内部网应用程序.
在详细信息窗格中,单击添加.
单击,填写允许网络访问的参数创造,然后单击关闭.
当我们没有为VPN用户设置intranet IP时,用户会将流量发送到Citrix网关VIP,然后Citrix ADC设备会从那里向内部LAN上的intranet应用程序资源构建一个新数据包。这个新的数据包将从SNIP中获得,用于内部网应用程序。从这里,intranet应用程序获取数据包,对其进行处理,然后尝试回复该数据包的源(本例中为SNIP)。SNIP获取数据包并将回复发送给发出请求的客户端。有关更多信息,请查看以下链接:
使用Intranet IP地址时,用户将流量发送到Citrix网关VIP,然后Citrix ADC设备将从那里将客户端IP映射到池中配置的Intranet IP之一。请注意,Citrix ADC设备将拥有Intranet IP池,因此,内部网络中不得使用这些范围。Citrix ADC设备为传入的VPN连接分配内部网IP,就像DHCP服务器一样。Citrix ADC设备将新数据包构建到用户将访问的LAN上的intranet应用程序。这个新的数据包将从一个内部网IP到内部网应用程序。从这里,内部网应用程序获取数据包,对其进行处理,然后尝试回复该数据包的源(内部网IP)。在这种情况下,应答数据包需要路由回Citrix ADC设备,该设备位于内部网IP(请记住,Citrix ADC设备拥有内部网IP子网)。要完成此任务,网络管理员必须有一条到INTRANET IP的路由,指向其中一个SNIP。建议将流量指向保留数据包第一次离开Citrix ADC设备的路由的SNIP,以避免任何不对称流量。
有关详细信息,请查看以下链接:
配置名称服务解析
在安装Citrix网关期间,您可以使用Citrix网关向导配置其他设置,包括名称服务提供商。名称服务提供商将完全限定域名(FQDN)转换为IP地址。在Citrix网关向导中,您还可以执行以下操作:
- 配置DNS或WINS服务器
- 设置DNS解析优先级
- 设置重试与服务器连接的次数。
当您运行Citrix Gateway向导时,您可以添加DNS服务器。您可以通过会话配置文件为Citrix网关添加其他DNS服务器和WINS服务器。然后,您可以引导用户和组连接到与您最初使用向导配置的名称解析服务器不同的名称解析服务器。
在Citrix Gateway上配置其他DNS服务器前,需要先创建一个虚拟服务器,作为域名解析的DNS服务器。
在会话配置文件中添加DNS或WINS服务器
在配置实用程序中,配置选项卡>Citrix Gateway > Policies > Session.
在详细信息窗格的Profiles选项卡上,选择一个概要文件,然后单击Open。
在Network Configuration选项卡中,执行以下操作之一:
要配置DNS服务器,请单击DNS虚拟服务器,点击覆盖全球,选择服务器,然后单击好啊.
配置WINS服务器时,请在获得服务器IP,点击覆盖全球,键入IP地址,然后单击好啊.