Acceso VPN avanzado sin cliente con NetScaler Gateway
La VPN sin cliente ve una forma de proporcionar acceso remoto a los recursos de la intranet de la empresa a través de NetScaler Gateway sin una aplicación cliente VPN en el equipo cliente. La VPN sin cliente proporciona acceso remoto a aplicaciones web empresariales, portales y otros recursos mediante un explorador web en el extremo del cliente. La solución VPN avanzada sin cliente elimina las siguientes limitaciones relacionadas con la VPN sin cliente:
-
Las URL relativas no se pueden identificar a veces.
-
Las URL relativas generadas dinámicamente no se pueden identificar.
La VPN avanzada sin cliente identifica la URL absoluta y los nombres de host y los reescribe de una manera nueva y única en lugar de intentar reescribir las URL relativas presentes en las páginas web o respuestas HTTP. SharePoint ya no necesita usar la carpeta predeterminada para reescribir direcciones URL y se admite un acceso personalizado a SharePoint.
Requisitos previos
Los siguientes son los requisitos previos para configurar la VPN avanzada sin cliente.
-
Certificado de servidor Wildcard : la VPN avanzada sin cliente reescribe las URL de una manera única. Esta singularidad se mantiene para cada URL por usuario. Por ejemplo, si la aplicación web está alojada en
https://webapp.customer.com
, y el servidor virtual VPN está alojado enhttps://vpn.customer.com
, la VPN avanzada sin cliente la reescribe comohttps://cvpneqwerty.vpn.customer.com
. Esto significa que cada URL se reescribe como subdominio del servidor virtual VPN. En esta nueva URL,cvpneqwerty
se puede descifrar de vuelta ahttps://webapp.customer.com
. La cadenacvpneqwerty
es dinámica y, por lo tanto, para SSL, debe vincular el servidor virtual VPN con un certificado comodín.Si el servidor está alojado en
https://vpn.customer.com
, el certificado del servidor debe tener entradas para (vpn.customer.com y .vpn.customer.com) como parte de los certificados CN o SAN (donde CN = nombre común, SAN= nombre alternativo del sujeto). El proceso de vinculación de este certificado sigue siendo el mismo en NetScaler Gateway. Nota: Los certificados comodín solo admiten un nivel (es decir, ..cliente.com no está permitido). Si ya utiliza un certificado comodín (para *.customer.com) y alojamientohttps://vpn.customer.com
, esto no funciona para la VPN avanzada sin cliente. Debe obtener un nuevo certificado con*.vpn.customer.com
. -
Entrada DNS comodín: Los clientes (exploradores web) deben resolver el FQDN de la aplicación VPN avanzada sin cliente. Al configurar el servidor NetScaler Gateway, debe haber configurado una entrada DNS para resolver vpn.customer.com. Esto permite que el explorador resuelva vpn.customer.com en la dirección IP de su servidor virtual VPN. Para resolver direcciones URL como
https://cvpnqwerty.vpn.customer.com
en la misma IP (dirección IP del servidor virtual VPN), debe agregar un nuevo registro para el dominio devpn.customer.com
. Busque la configuración del dominio en su servidor DNS y agregue un nuevo registro de host para “*” con la misma dirección IP que antes. Después de agregar el registro de host, debe ver las respuestas ping correctas parahttps://cpvnanything.vpn.customer.com
.
Configurar el acceso VPN avanzado sin cliente
Para configurar el acceso VPN avanzado sin cliente mediante la interfaz de línea de comandos, en el símbolo del sistema, escriba:
set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->
Si una acción de sesión está vinculada al servidor virtual, debe habilitar también la opción Modo VPN avanzado sin cliente para esa acción de sesión.
Ejemplo:
set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->
Para configurar el acceso VPN avanzado sin cliente mediante la GUI de NetScaler ADC:
-
En la GUI de NetScaler, vaya a Configuración > Citrix NetScaler > Configuración global.
-
En la página Configuración global, haga clic en Cambiar configuración global y, a continuación, seleccione la ficha Experiencia del cliente.
-
En la ficha Experiencia del cliente, en la lista Acceso sin cliente, haga clic en On.
-
En la ficha Experiencia del cliente, en la lista Modo VPN sin cliente avanzado, haga clic en Habilitado. Si selecciona STRICT en la lista Modo VPN sin cliente avanzado, el dispositivo Citrix ADC solo responde a las URL de StoreFront en el formato clásico de VPN sin cliente y bloquea todas las demás solicitudes clásicas de VPN sin cliente. Esta opción proporciona una configuración más segura en el dispositivo para entregar recursos web internos.
Nota:
- Si una acción de sesión está enlazada al servidor virtual, debe habilitar la opción Modo VPN sin cliente avanzado para esa acción de sesión también desde la ficha Experiencia del cliente en la página Configurar perfil de sesión de NetScaler Gateway.
- Puede seleccionar la opción Supedición global para anular la configuración global.
- También puede configurar la función VPN avanzada sin cliente a nivel de sesión.
Advertencias
La VPN avanzada sin cliente tiene como objetivo proporcionar acceso a aplicaciones web empresariales. Estas aplicaciones solo tienen un FQDN para cada tipo de recurso que necesitan (JavaScript, css, imágenes, etc.). Dado que codificamos el FQDN completo de las aplicaciones internas en un solo octeto (VPN sin cliente), perdemos la relación de subdominio. Como resultado, cada vez que se configura una aplicación web empresarial con CORS, a veces se observan problemas al acceder a ella a través de la VPN avanzada sin cliente.