先进的无客户端VPN访问与Citrix网关

无客户端VPN看到了一种通过Citrix Gateway提供对公司内部网资源的远程访问的方法，而无需在客户端机器上使用VPN客户端应用程序。无客户端VPN通过客户端浏览器远程访问企业web应用、门户网站等资源。高级的无客户端VPN解决方案消除了以下关于无客户端VPN的限制:

• 有时无法识别相对url。

• 无法识别动态生成的相对url。

高级的无客户端VPN识别绝对URL和主机名，并以一种新的、独特的方式重写它们，而不是试图重写http响应/ web页面中的相对URL。SharePoint不再需要使用默认文件夹来重写url，并且支持自定义的SharePoint访问。

先决条件

配置高级无客户端VPN的前提条件如下。

• 通配符服务器证书—高级无客户端VPN对url进行独特的改写。为每个用户的每个URL维护这种唯一性。例如，如果web应用程序是托管在https://webapp.customer.com，并托管VPN虚拟服务器https://vpn.customer.com，然后高级的无客户端VPN将其重写为https://cvpneqwerty.vpn.customer.com．这意味着，每个URL都被重写为VPN虚拟服务器的子域。在这个新URL中，cvpneqwerty可以被解密回https://webapp.customer.com．的字符串cvpneqwerty是动态的，因此对于SSL，必须使用通配符证书绑定VPN虚拟服务器。

  如果服务器是托管的https://vpn.customer.com，则服务器证书现在必须具有(vpn.customer.com和。vpn.customer.com)作为证书CN或SAN(其中CN=公共名称，SAN=主题可选名称)的一部分的条目。在Citrix Gateway上绑定此证书的过程是相同的。注意:通配符证书只支持一级(即．.customer.com是不允许的)。如果您已经在使用通配符证书(针对*.customer.com)和托管https://vpn.customer.com，这对高级的无客户端VPN不起作用。你必须用新的证书* .vpn.customer.com．

• 通配符DNS条目—客户端(浏览器)需要解析高级无客户端VPN应用的FQDN。在设置Citrix Gateway服务器时，必须配置一个DNS条目来解析vpn.customer.com。这允许浏览器解析vpn.customer.com到您的VPN虚拟服务器的IP地址。以下是解析url的方法https://cvpnqwerty.vpn.customer.com为同一个IP (VPN虚拟服务器的IP地址)，必须为域添加一条新的记录vpn.customer.com．找到您的DNS服务器中的域设置，并添加一个新的主机记录为“*”与之前相同的IP地址。添加主机记录后，您必须看到成功的ping响应https://cpvnanything.vpn.customer.com．

配置高级无客户端VPN接入

使用命令行接口配置高级的无客户端VPN访问，在命令提示符下输入:

set vpn parameter -clientlessVpnMode ON设置vpn参数-advancedClientlessVpnMode ENABLED 

如果会话动作绑定到虚拟服务器，则必须同时启用该会话动作的高级无客户端VPN模式选项。

例子:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED 

使用Citrix ADC GUI配置高级的无客户端VPN访问:

1. 在NetScaler GUI界面中，导航到配置> Citrix NetScaler>全局配置。

2. 在全局设置页面,点击更改全局设置，然后选择客户体验选项卡。

3. 在客户体验选项卡,从Clientless访问列表中,点击在．

4. 在客户体验选项卡,从高级无客户端VPN模式列表中,点击启用．如果您选择严格的从高级无客户端VPN模式列表中，Citrix ADC设备只响应以经典无客户端VPN形式出现的StoreFront url，并阻止所有其他经典无客户端VPN请求。此选项在设备上提供了更安全的配置，用于交付内部web资源。

注意:

• 如果会话动作绑定了虚拟服务器，则必须启用高级无客户端VPN模式的会话操作的选项客户体验选项卡中配置“Citrix网关会话配置文件”页面。
• 您可以选择覆盖全球选项以覆盖全局设置。
• 您还可以在会话级别配置高级的无客户端VPN特性。

警告

高级的无客户端VPN旨在提供对企业Web应用程序的访问。这类应用程序对于它们需要的每种资源(JavaScript、css、图像等)只有一个FQDN。由于我们将内部应用程序的完整FQDN编码为一个单八位体(无客户端VPN)，因此我们失去了子域关系。因此，每当企业WebApp配置了CORS时，有时您可能会在通过高级的无客户端VPN访问它时注意到问题。