Configurar la configuración completa de VPN en Citrix Gateway
En esta sección se describe cómo configurar la configuración completa de VPN en un dispositivo NetScaler Gateway. Contiene consideraciones sobre redes y el enfoque ideal para resolver problemas desde la perspectiva de la red.
Requisitos previos
-
Instale un certificado SSL y vincúlelo al servidor virtual VPN.
-
Cree un perfil de autenticación para NetScaler Gateway.
-
Para obtener información adicional, consulte Documentación de Citrix - Configuración de la autenticación de usuarios externos
-
Para obtener información adicional, consulte Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único
-
-
Descargue Citrix VPN Client.
-
Cree una directiva de sesión que permita conexiones VPN completas.
Cuando los usuarios se conectan con el plug-in de NetScaler Gateway, Secure Hub o Citrix Receiver, el software cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado en NetScaler Gateway) y envía información de autenticación. Una vez establecido el túnel, NetScaler Gateway envía información de configuración al plug-in de NetScaler Gateway, Secure Hub o Receiver que se describen las redes que se van a proteger. Esta información también contiene una dirección IP si habilita las IP de la intranet.
Las conexiones de dispositivos de usuario se configuran definiendo los recursos a los que los usuarios pueden acceder en la red interna. La configuración de conexiones de dispositivos de usuario incluye lo siguiente:
- Túneles divididos
- Direcciones IP de usuarios, incluidos grupos de direcciones (IP de intranet)
- Conexiones a través de un servidor proxy
- Definición de los dominios a los que se permite el acceso de los usuarios
- Configuración de tiempo de espera
- Single Sign-On
- Software de usuario que se conecta a través de NetScaler Gateway
- Acceso para dispositivos móviles
La mayoría de las conexiones de dispositivos de usuario se configuran mediante un perfil que forma parte de una directiva de sesión. También puede definir la configuración de conexión del dispositivo de usuario mediante directivas de autenticación, tráfico y autorización. También se pueden configurar mediante aplicaciones de intranet.
Configurar una configuración VPN completa en un dispositivo Citrix Gateway
Para configurar una configuración de VPN en un dispositivo Citrix Gateway, complete el siguiente procedimiento:
-
Vaya a Administración del tráfico > DNS.
-
Seleccione el nodo Servidores de nombres, como se muestra en la siguiente captura de pantalla. Asegúrese de que el servidor de nombres DNS esté en la lista. Si no está disponible, agregue un servidor de nombres DNS.
-
Expanda NetScaler Gateway > Directivas.
-
Seleccione el nodo Sesión.
-
En la página Perfiles y directivas de sesión de NetScaler Gateway, haga clic en la ficha Perfiles y haga clic en Agregar. Para cada componente que configure en el cuadro de diálogo Configurar perfil de sesión de NetScaler Gateway, asegúrese de seleccionar la opción Supedición global para el componente correspondiente.
-
Haga clic en la ficha Experiencia del cliente.
-
Escriba la URL del portal de la intranet en el campo Página de inicio si quiere presentar cualquier URL cuando el usuario inicie sesión en la VPN. Si el parámetro de página de inicio se establece en “nohomepage.html”, la página principal no se muestra. Cuando se inicia el plug-in, se inicia una instancia del explorador y se mata automáticamente.
-
Asegúrese de seleccionar la configuración deseada de la lista Túnel dividido.
-
Selecciona DESACTIVADO en la lista Acceso sin cliente si quieres FullVPN.
-
Asegúrese de que Windows/Mac OS X esté seleccionado en la lista Tipo de plug-in.
-
Seleccione la opción Single Sign-On en aplicaciones web si lo quiere.
-
Asegúrese de que la opción Mensaje de limpieza del cliente esté seleccionada si es necesario, como se muestra en la siguiente captura de pantalla:
-
Haga clic en la ficha Seguridad.
-
Asegúrese de que ALLOW esté seleccionado en la lista Acción de autorización predeterminada, como se muestra en la siguiente captura de pantalla:
-
Haga clic en la ficha Published Applications.
-
Asegúrese de que está seleccionado DESACTIVADO en la lista Proxy ICA de la opción Aplicaciones publicadas.
-
Haga clic en Crear.
-
Haga clic en Cerrar.
-
Haga clic en la ficha Directivas de la página Perfiles y directivas de sesión de NetScaler Gateway del servidor virtual o active las Directivas de sesión a nivel de GRUPO/USUARIO según sea necesario.
-
Cree una directiva de sesión con una expresión obligatoria o ns_true, como se muestra en la siguiente captura de pantalla:
-
Enlazar la directiva de sesión al servidor virtual VPN. Para obtener más información, consulte Vinculación de directivas de sesión.
Si el Túnel dividido se activó, debe configurar las aplicaciones de intranet a las que quiere que accedan los usuarios cuando estén conectados a la VPN. Para obtener más información sobre las aplicaciones de intranet, consulte Configuración de aplicaciones de intranet para el plug-in de NetScaler Gateway.
-
Vaya a NetScaler Gateway > Recursos > Aplicaciones de intranet.
-
Cree una aplicación de intranet. Seleccione Transparente para FullVPN con cliente Windows. Seleccione el protocolo que quiere permitir (TCP, UDP o ANY), el tipo de destino (dirección IP y máscara, intervalo de direcciones IP o nombre de host).
-
Si es necesario, defina una nueva directiva para Citrix VPN en iOS y Android mediante la siguiente expresión:
REQ.HTTP.HEADER("User-Agent").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("User-Agent").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("User-Agent").CONTAINS("Android"))
-
Enlazar las aplicaciones de intranet creadas a nivel USER/GRUPO/VSERVER según sea necesario.
-
Otros parámetros
Los siguientes son algunos de los parámetros que puede configurar.
Túnel dividido APAGADO
Cuando el túnel dividido está desactivado, el complemento de NetScaler Gateway captura todo el tráfico de red procedente de un dispositivo de usuario y envía el tráfico a través del túnel VPN a NetScaler Gateway. En otras palabras, el cliente VPN establece una ruta predeterminada desde el PC cliente que apunta al VIP de NetScaler Gateway, lo que significa que todo el tráfico debe enviarse a través del túnel para llegar al destino. Dado que todo el tráfico se va a enviar a través del túnel, las directivas de autorización deben determinar si se permite el paso del tráfico a los recursos internos de la red o si se deniega.
Si bien está configurado en “desactivado”, todo el tráfico pasa por el túnel, incluido el tráfico web estándar a los sitios web. Si el objetivo es supervisar y controlar este tráfico web, debe reenviar estas solicitudes a un proxy externo mediante NetScaler. Los dispositivos de usuario también se pueden conectar a través de un servidor proxy para acceder a redes internas.
NetScaler Gateway admite los protocolos HTTP, SSL, FTP y SOCKS. Para habilitar la compatibilidad con proxy para las conexiones de usuario, debe especificar esta configuración en NetScaler Gateway. Puede especificar la dirección IP y el puerto que utiliza el servidor proxy de NetScaler Gateway. El servidor proxy se utiliza como proxy de reenvío para todas las demás conexiones a la red interna.
Para obtener más información, consulte Habilitar la compatibilidad con proxy para las conexiones de usuario
Túnel dividido ACTIVADO
Puede habilitar la tunelización dividida para evitar que el plug-in de NetScaler Gateway envíe tráfico de red innecesario a NetScaler Gateway. Si el túnel dividido está habilitado, el plug-in de NetScaler Gateway envía solo tráfico destinado a redes protegidas (aplicaciones de intranet) por NetScaler Gateway a través del túnel VPN. El plug-in de NetScaler Gateway no envía tráfico de red destinado a redes no protegidas a NetScaler Gateway. Cuando se inicia el plug-in de NetScaler Gateway, obtiene la lista de aplicaciones de intranet de NetScaler Gateway y establece una ruta para cada subred definida en la ficha de aplicación de intranet del equipo cliente. El plug-in de NetScaler Gateway examina todos los paquetes transmitidos desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet (tabla de redirección creada cuando se inició la conexión VPN). Si la dirección de destino del paquete está dentro de una de las aplicaciones de intranet, el plug-in de NetScaler Gateway envía el paquete a través del túnel VPN a NetScaler Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada mediante la redirección predeterminada definida originalmente en el equipo cliente. “Cuando habilita la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta y se envía a través del túnel”.
Túnel de división inversa
NetScaler Gateway también admite la tunelización dividida inversa, que define el tráfico de red que NetScaler Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que NetScaler Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por NetScaler Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica y han iniciado sesión con el plug-in de NetScaler Gateway, NetScaler Gateway no interceptará el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.
Para configurar el túnel dividido
-
Vaya a Configuración > Citrix Gateway > Directivas > Sesión.
-
En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Modificar.
-
En la ficha Experiencia del cliente, junto a Túnel dividido, seleccione Anulación global, seleccione una opción y, a continuación, haga clic en Aceptar.
Configurar la autorización y la tunelización dividida
Al planificar la implementación de NetScaler Gateway, es importante tener en cuenta la tunelización dividida y la acción de autorización y las directivas de autorización predeterminadas.
Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. La tunelización dividida está activada y no configura las aplicaciones de intranet para enviar tráfico de red a través de NetScaler Gateway. Cuando NetScaler Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.
Si la directiva de autorización deniega el acceso a un recurso de red, tiene establecida la tunelización dividida en ON y las aplicaciones de intranet están configuradas para redirigir el tráfico de red a través de NetScaler Gateway, el plug-in de NetScaler Gateway envía tráfico a NetScaler Gateway, pero se deniega el acceso al recurso.
Para obtener más información sobre las directivas de autorización, revise lo siguiente:
Para configurar el acceso de red a los recursos internos de la red
-
Vaya a Configuración > NetScaler Gateway > Recursos > Aplicaciones de intranet.
-
En el panel de detalles, haga clic en Agregar.
-
Complete los parámetros para permitir el acceso a la red, haga clic en Crear y, a continuación, en Cerrar.
Cuando no configuramos las IP de la intranet para los usuarios de VPN, el usuario envía el tráfico al Citrix Gateway VIP y, desde allí, NetScaler crea un nuevo paquete para el recurso de la aplicación de la intranet en la LAN interna. Este nuevo paquete se va a obtener desde el SNIP hacia la aplicación de intranet. Desde aquí, la aplicación de intranet obtiene el paquete, lo procesa y, a continuación, intenta responder al origen de ese paquete (el SNIP en este caso). El SNIP recibe el paquete y envía la respuesta al cliente que realizó la solicitud.
Cuando se usa la dirección IP de la intranet, el usuario envía el tráfico al VIP de Citrix Gateway y, desde allí, NetScaler asignará la IP del cliente a una de las IP de INTRANET configuradas del grupo. Tenga en cuenta que NetScaler será el propietario del grupo de IP de la intranet y, por este motivo, estos rangos no se deben usar en la red interna. El Citrix ADC asigna una IP de intranet para las conexiones VPN entrantes como lo haría un servidor DHCP. El NetScaler crea un nuevo paquete para la aplicación de intranet en la LAN a la que accedería el usuario. Este nuevo paquete se va a obtener de una de las IP de la intranet hacia la aplicación de intranet. Desde aquí, las aplicaciones de intranet obtienen el paquete, lo procesan y luego intentan responder al origen de ese paquete (la IP INTRANET). En este caso, es necesario redirigir el paquete de respuesta al NetScaler, donde se encuentran las IP de la INTRANET (recuerde que el NetScaler es el propietario de las subredes de las IP de la intranet). Para llevar a cabo esta tarea, el administrador de red debe tener una ruta hacia la IP de INTRANET que apunte a uno de los SNIP. Se recomienda redirigir el tráfico al SNIP que contiene la ruta desde la que el paquete sale del NetScaler la primera vez para evitar cualquier tráfico asimétrico.
Configurar resolución de servicios de nombres
Durante la instalación de NetScaler Gateway, puede utilizar el asistente de NetScaler Gateway para configurar otras opciones, incluidos los proveedores de servicios de nombres. Los proveedores de servicios de nombres traducen el nombre de dominio completo (FQDN) en una dirección IP. En el asistente de NetScaler Gateway, puede configurar un servidor DNS o WINS, establecer la prioridad de la búsqueda DNS y el número de veces que se debe volver a intentar la conexión con el servidor.
Al ejecutar el asistente de NetScaler Gateway, puede agregar un servidor DNS. Puede agregar otros servidores DNS y un servidor WINS a NetScaler Gateway mediante un perfil de sesión. A continuación, puede indicar a los usuarios y grupos que se conecten a un servidor de resolución de nombres distinto del que utilizó originalmente el asistente para configurar.
Antes de configurar otro servidor DNS en NetScaler Gateway, cree un servidor virtual que actúe como servidor DNS para la resolución de nombres.
Para agregar un servidor DNS o WINS dentro de un perfil de sesión
-
En la utilidad de configuración, ficha de configuración > NetScaler Gateway > Directivas > Sesión.
-
En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.
-
En la ficha Configuración de red, realice una de las siguientes acciones:
-
Para configurar un servidor DNS, junto a Servidor virtual DNS , haga clic en Anular global , seleccione el servidor y, a continuación, haga clic enAceptar .
-
Para configurar un servidor WINS, junto a IP del servidor WINS , haga clic en Anular global , escriba la dirección IP y, a continuación, haga clic enAceptar .
-