完整的VPN设置在Citrix网关
介绍如何在Citrix Gateway设备上配置全VPN。它包含了网络方面的考虑事项和从网络角度解决问题的理想方法。
先决条件
安装SSL证书并绑定VPN虚拟服务器。
CTX109260 -如何在NetScaler设备上生成和安装公共SSL证书
CTX122521 -如何将NetScaler设备的默认证书替换为与设备主机名匹配的受信任CA证书
Citrix文档-将证书密钥对绑定到ssl虚拟服务器
为Citrix Gateway创建一个身份验证配置文件。
有关更多信息,请参阅Citrix文档-配置外部用户认证
如需更多信息,请参阅清单:使用AD FS实现和管理单点登录
创建允许全VPN连接的会话策略。
当用户连接到Citrix Gateway插件、Secure Hub或Citrix Workspace应用程序时,客户端软件通过端口443(或Citrix Gateway上任何配置的端口)建立一个安全隧道,并发送身份验证信息。一旦隧道建立,Citrix Gateway将配置信息发送到Citrix Gateway插件、Citrix Secure Hub或Citrix Workspace应用程序,描述需要保护的网络。如果启用了内网IP,该信息还包含一个IP地址。
配置用户设备连接,定义用户在内部网络中可以访问的资源。配置用户设备连接包括以下内容:
- 分裂的隧道
- 用户的IP地址,包括地址池(内网IP)
- 通过代理服务器的连接
- 定义允许用户访问的域
- 超时设置
- 单点登录
- 通过Citrix Gateway连接的用户软件
- 移动设备接入
您可以使用会话策略的一部分配置文件来配置大多数用户设备连接。您还可以通过使用每个认证、流量和授权策略定义用户设备连接设置。还可以使用内部网应用程序对它们进行配置。
在Citrix Gateway设备上配置完整的VPN设置
要在Citrix Gateway设备上配置VPN,请完成以下步骤:
导航到流量管理> DNS.
选择Name Servers节点,如下面的截图所示。请确保列出了DNS名称服务器。如果没有,请添加DNS名称服务器。
![选择名称服务器]()
扩大Citrix网关>策略.
选择会话节点。
在“Citrix网关会话策略和配置文件”界面中,单击配置文件选项卡单击添加.对于在“配置Citrix网关会话配置文件”对话框中配置的每个组件,确保您选择了覆盖全球选项对应的组件。
单击客户体验选项卡。
如果希望在用户登录VPN时显示任何URL,请在“首页”字段中输入内网门户URL。如果“首页”参数设置为“nohome .html”,则不显示首页。当插件启动时,浏览器实例将自动启动并终止。
![输入内网门户url]()
确保从分裂隧道列表中选择所需的设置。
选择从从Clientless访问如果你想要FullVPN。
![将无客户端访问设置为off]()
确保Windows / Mac OS X从插件类型列表。
选择单点登录到Web应用程序如果需要选择。
确保客户清理提示如有需要,选择选项,如下图所示:
![客户清理]()
单击安全选项卡。
确保允许从默认授权行动列表,如下截图所示:
![将默认授权操作设置为允许]()
单击发布应用程序选项卡。
确保从从ICA代理以下列表发布应用程序选择。
![设置“ICA Proxy”为“off”]()
点击创建.
点击关闭.
单击政策单击“Citrix网关会话策略和配置文件”页签,或者根据需要激活“组/用户级别的会话策略”。
使用required表达式或ns_true创建会话策略,如下截图所示:
![创建会话策略]()
配置会话策略绑定VPN虚拟服务器。有关详细信息,请参见绑定会话策略.
如果“分裂隧道”配置为“ON”,则必须配置用户连接到VPN时希望访问的内网应用。内网应用的详细介绍请参见配置Citrix Gateway插件的内网应用.
![内部网应用程序]()
去Citrix网关>资源>内网应用.
创建内网应用对于Windows客户端FullVPN选择Transparent。选择您希望允许的协议(TCP、UDP或ANY)、目的类型(IP地址和掩码、IP地址范围或主机名)。
![创建Intranet应用程序]()
如果有必要,可以在iOS和Android上设置新的Citrix VPN策略,表达式如下:
REQ.HTTP.HEADER("用户代理").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("用户代理").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("用户代理").CONTAINS("Android"))![设置VPN策略]()
根据需要绑定USER/GROUP/VSERVER级别创建的内网应用。
其他参数
下面是我们可以配置的一些参数和每个参数的简要描述:
将隧道了
当分离隧道设置为关闭时,Citrix Gateway插件捕获来自用户设备的所有网络流量,并通过VPN隧道将流量发送到Citrix Gateway。也就是说,VPN客户端建立一条从客户端PC到Citrix Gateway VIP的默认路由,即所有流量都需要通过隧道发送才能到达目的地。由于所有流量都将通过隧道发送,因此授权策略必须决定是否允许流量通过隧道访问内部网络资源。
当设置为“关闭”时,所有流量都将通过隧道,包括标准Web流量到网站。如果目标是监视和控制此web流量,则必须使用Citrix ADC设备将这些请求转发到外部代理。用户设备也可以通过代理服务器连接到内部网络。
Citrix Gateway支持HTTP、SSL、FTP和SOCKS协议。要启用对用户连接的代理支持,必须在Citrix Gateway上指定这些设置。您可以在Citrix Gateway上指定代理服务器使用的IP地址和端口。代理服务器用作所有到内部网络的进一步连接的转发代理。
欲了解更多信息,请浏览以下链接:
将隧道
通过启用隧道拆分功能,可以避免不必要的网络流量被Citrix Gateway插件发送到Citrix Gateway。如果启用了分离隧道,则Citrix Gateway插件只将到达受Citrix Gateway保护的网络(内网应用)的流量通过VPN隧道发送。Citrix Gateway插件不会将未受保护网络的网络流量发送到Citrix Gateway。启动“Citrix Gateway”插件时,会从“Citrix Gateway”获取内网应用列表,并为客户端PC中“内网应用”页签中定义的每个子网建立路由。Citrix Gateway插件检查从用户设备发送的所有报文,并将报文中的地址与内网应用列表(VPN连接启动时创建的路由表)进行比较。如果报文的目的地址是某个内网应用,则插件将报文通过VPN隧道发送到Citrix Gateway。如果目的地址不在已定义的内网应用程序中,则不对报文进行加密,用户设备将使用客户端PC上最初定义的缺省路由适当地路由该报文。当启用分离隧道时,内网应用程序定义了被拦截并通过隧道发送的网络流量。
欲了解更多信息,请浏览以下链接:
反向分割隧道
Citrix Gateway还支持反向分割隧道,它定义了Citrix Gateway不拦截的网络流量。如果将分离隧道设置为反向,则内部网络应用程序将定义Citrix Gateway不拦截的网络流量。当启用反向拆分隧道时,所有访问内部IP地址的网络流量都将绕过VPN隧道,其他流量将通过Citrix Gateway。反向分割隧道可以用来记录所有非本地局域网的流量。例如,如果用户拥有家庭无线网络,并且使用Citrix Gateway插件登录,则Citrix Gateway不会拦截发送到无线网络中的打印机或其他设备的网络流量。
配置分隧道
导航到配置>Citrix Gateway > Policies > Session.
在详细信息窗格的Profiles选项卡上,选择一个概要文件,然后单击编辑.
在客户体验选项卡,将隧道中,选择全球覆盖,选择一个选项,然后单击好吧.
配置隧道与授权分离
在规划您的Citrix Gateway部署时,务必考虑分离隧道和默认授权操作及授权策略。
例如,您有一个允许访问网络资源的授权策略。您已经将分割隧道设置为ON,并且没有配置内网应用程序通过Citrix Gateway发送网络流量。当“Citrix Gateway”配置为该类型时,允许用户访问该资源,但用户不能访问该资源。
![完整的VPN配置]()
如果授权策略禁止访问某个网络资源,则Citrix Gateway插件会将流量发送给Citrix Gateway,但在以下情况下会拒绝访问该资源。
- 您已将分割隧道设置为ON。
- 内网应用被配置为通过Citrix Gateway路由网络流量
有关授权策略的更多信息,请查看以下内容:
配置对内部网络资源的网络访问
导航到配置>Citrix网关>资源>内网应用.
在详细信息窗格中,单击添加.
单击,填写允许网络访问的参数创建,然后单击关闭.
当我们没有为VPN用户设置内网ip时,用户将流量发送到Citrix Gateway VIP,然后Citrix ADC设备从那里构建一个新的包到内部局域网的内网应用资源。这个新的数据包将从SNIP向内部网应用程序提供。从这里开始,内部网应用程序获取数据包,对其进行处理,然后尝试回复该数据包的源(在本例中是SNIP)。SNIP获取数据包并将应答发送给发出请求的客户端。欲了解更多信息,请浏览以下链接:
当使用内部网IP地址时,用户将流量发送到Citrix Gateway VIP,然后从那里Citrix ADC设备将客户端IP映射到池中配置的内部网IP之一。请注意,Citrix ADC设备将拥有内部网IP池,因此不能在内部网中使用这些范围。Citrix ADC设备会像DHCP服务器一样为传入的VPN连接分配一个内部网IP。Citrix ADC设备为用户将要访问的LAN上的内部网应用程序构建一个新包。这个新的数据包将从一个内部网ip来源到内部网应用程序。从这里,内部网应用程序获取数据包,对其进行处理,然后尝试回复该数据包的源(内部网IP)。在这种情况下,需要将应答包路由回内部网ip所在的Citrix ADC设备(请记住,内部网ip子网是由Citrix ADC设备拥有的)。为了完成这个任务,网络管理员必须有一条到内网IP的路由,指向其中一个SNIPs。建议将流量指向SNIP,该SNIP持有数据包第一次离开Citrix ADC设备的路由,以避免任何不对称流量。
欲了解更多信息,请查看以下链接:
配置名称服务解析
在安装Citrix Gateway期间,您可以使用Citrix Gateway向导配置其他设置,包括名称服务提供商。名称服务提供商将fully qualified domain name (FQDN)转换为IP地址。在“Citrix Gateway”向导中,您还可以执行以下操作:
- 配置DNS / WINS服务器
- 设置DNS解析优先级
- 设置重试连接到服务器的次数。
当您运行Citrix Gateway向导时,您可以添加DNS服务器。您可以通过会话配置文件为Citrix网关添加其他DNS服务器和WINS服务器。然后,您可以引导用户和组连接到与您最初使用向导配置的名称解析服务器不同的名称解析服务器。
在Citrix Gateway上配置其他DNS服务器前,需要先创建一个虚拟服务器,作为域名解析的DNS服务器。
在会话配置文件中添加DNS或WINS服务器
在配置实用程序中,配置选项卡>Citrix Gateway > Policies > Session.
在详细信息窗格的Profiles选项卡上,选择一个概要文件,然后单击Open。
在Network Configuration选项卡中,执行以下操作之一:
要配置DNS服务器,请在DNS虚拟服务器,点击覆盖全球,选择服务器,然后单击好吧.
配置WINS服务器时,请在获得服务器IP,点击覆盖全球,输入IP地址,然后单击好吧.