Configuración de VPN completa en NetScaler Gateway

En esta sección se describe cómo configurar la configuración completa de VPN en un dispositivo NetScaler Gateway. Contiene consideraciones sobre redes y el enfoque ideal para resolver problemas desde la perspectiva de la red.

Requisitos previos

• Instale un certificado SSL y vincúlelo al servidor virtual VPN.

  • CTX109260: Cómo generar e instalar un certificado SSL público en un dispositivo NetScaler

  • CTX122521: Cómo reemplazar el certificado predeterminado de un dispositivo NetScaler por un certificado de CA de confianza que coincida con el nombre de host del dispositivo

  • Documentación de Citrix: Vinculación del par de claves de certificado al servidor virtual basado en SSL

• Cree un perfil de autenticación para NetScaler Gateway.

  • Para obtener información adicional, consulte Documentación de Citrix - Configuración de la autenticación de usuarios externos

  • Para obtener información adicional, consulte Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único

• Descargue Citrix VPN Client.

• Cree una directiva de sesión que permita conexiones VPN completas.

Cuando los usuarios se conectan con el complemento de NetScaler Gateway, Secure Hub o la aplicación Citrix Workspace, el software cliente establece un túnel seguro en el puerto 443 (o cualquier puerto configurado en NetScaler Gateway) y envía información de autenticación. Una vez establecido el túnel, NetScaler Gateway envía información de configuración al plug-in de NetScaler Gateway, Citrix Secure Hub o a la aplicación Citrix Workspace en la que se describen las redes que se deben proteger. Esta información también contiene una dirección IP si habilita las IP de la intranet.

Las conexiones de dispositivos de usuario se configuran definiendo los recursos a los que los usuarios pueden acceder en la red interna. La configuración de conexiones de dispositivos de usuario incluye lo siguiente:

• Túneles divididos
• Direcciones IP de usuarios, incluidos grupos de direcciones (IP de intranet)
• Conexiones a través de un servidor proxy
• Definición de los dominios a los que se permite el acceso de los usuarios
• Configuración de tiempo de espera
• Single Sign-On
• Software de usuario que se conecta a través de NetScaler Gateway
• Acceso para dispositivos móviles

La mayoría de las conexiones de dispositivos de usuario se configuran mediante un perfil que forma parte de una directiva de sesión. También puede definir la configuración de conexión del dispositivo de usuario mediante directivas de autenticación, tráfico y autorización. También se pueden configurar mediante aplicaciones de intranet.

Configurar una configuración VPN completa en un dispositivo NetScaler Gateway

Para configurar una configuración de VPN en el dispositivo NetScaler Gateway, realice el siguiente procedimiento:

1. Vaya a Administración del tráfico > DNS.

2. Seleccione el nodo Servidores de nombres, como se muestra en la siguiente captura de pantalla. Asegúrese de que el servidor de nombres DNS aparece en la lista. Si no está disponible, agregue un servidor de nombres DNS.

   

3. Expanda NetScaler Gateway > Directivas.

4. Seleccione el nodo Sesión.

5. En la página Perfiles y directivas de sesión de NetScaler Gateway, haga clic en la ficha Perfiles y haga clic en Agregar. Para cada componente que configure en el cuadro de diálogo Configurar perfil de sesión de NetScaler Gateway, asegúrese de seleccionar la opción Supedición global para el componente correspondiente.

6. Haga clic en la ficha Experiencia del cliente.

7. Escriba la URL del portal de la intranet en el campo Página de inicio si quiere presentar cualquier URL cuando el usuario inicie sesión en la VPN. Si el parámetro de página de inicio se establece en “nohomepage.html”, la página principal no se muestra. Cuando se inicia el plug-in, se inicia una instancia del explorador y se mata automáticamente.

8. Asegúrese de seleccionar la configuración deseada de la lista Túnel dividido.

9. Selecciona DESACTIVADO en la lista Acceso sin cliente si quieres FullVPN.

10. Asegúrese de que Windows/Mac OS X esté seleccionado en la lista Tipo de plug-in.

11. Seleccione la opción Single Sign-On en aplicaciones web si lo quiere.

12. Asegúrese de que la opción Mensaje de limpieza del cliente esté seleccionada si es necesario, como se muestra en la siguiente captura de pantalla:

    

13. Haga clic en la ficha Seguridad.

14. Asegúrese de que la opción PERMITIR esté seleccionada en la lista de acciones de autorización predeterminadas .

    

15. Haga clic en la ficha Published Applications.

16. Asegúrese de que está seleccionado DESACTIVADO en la lista Proxy ICA de la opción Aplicaciones publicadas.

    

17. Haga clic en Crear.

18. Haga clic en Cerrar.

19. Haga clic en la ficha Directivas de la página Perfiles y directivas de sesión de NetScaler Gateway del servidor virtual o active las Directivas de sesión a nivel de GRUPO/USUARIO según sea necesario.

20. Cree una directiva de sesión con una expresión requerida o true, como se muestra en la siguiente captura de pantalla:

    

21. Enlazar la directiva de sesión al servidor virtual VPN. Para obtener más información, consulte Vincular directivas de sesión.

    Si el Túnel dividido se activó, debe configurar las aplicaciones de intranet a las que quiere que accedan los usuarios cuando estén conectados a la VPN. Para obtener más información sobre las aplicaciones de intranet, consulte Configurar aplicaciones de intranet para el cliente Citrix Secure Access.

    1. Vaya a NetScaler Gateway > Recursos > Aplicaciones de intranet.

    2. Cree una aplicación de intranet. Seleccione Transparente para FullVPN con cliente Windows. Seleccione el protocolo que quiere permitir (TCP, UDP o ANY), el tipo de destino (dirección IP y máscara, intervalo de direcciones IP o nombre de host).

       

    3. Si es necesario, defina una nueva directiva para VPN en iOS y Android con la siguiente expresión: HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")

    4. Enlazar las aplicaciones de intranet creadas a nivel USER/GRUPO/VSERVER según sea necesario.

Otros parámetros

He aquí algunos de los parámetros que puede configurar y una breve descripción de cada uno de ellos:

Túnel dividido APAGADO

Cuando el túnel dividido está desactivado, el complemento de NetScaler Gateway captura todo el tráfico de red procedente de un dispositivo de usuario y envía el tráfico a través del túnel VPN a NetScaler Gateway. En otras palabras, el cliente VPN establece una ruta predeterminada desde el PC cliente que apunta al VIP de NetScaler Gateway, lo que significa que todo el tráfico debe enviarse a través del túnel para llegar al destino. Dado que todo el tráfico se va a enviar a través del túnel, las directivas de autorización deben determinar si se permite el paso del tráfico a los recursos internos de la red o si se deniega.

Si bien está configurado en “desactivado”, todo el tráfico pasa por el túnel, incluido el tráfico web estándar a los sitios web. Si el objetivo es supervisar y controlar este tráfico web, debe reenviar estas solicitudes a un proxy externo mediante el dispositivo NetScaler ADC. Los dispositivos de usuario también se pueden conectar a través de un servidor proxy para acceder a redes internas.
NetScaler Gateway admite los protocolos HTTP, SSL, FTP y SOCKS. Para habilitar la compatibilidad con proxy para las conexiones de usuario, debe especificar esta configuración en NetScaler Gateway. Puede especificar la dirección IP y el puerto que utiliza el servidor proxy de NetScaler Gateway. El servidor proxy se utiliza como proxy de reenvío para todas las demás conexiones a la red interna.

Para obtener más información, consulte Habilitar la compatibilidad con proxy para las conexiones de usuario

Túnel dividido ENCENDIDO

Puede habilitar la tunelización dividida para evitar que el plug-in de NetScaler Gateway envíe tráfico de red innecesario a NetScaler Gateway. Si el túnel dividido está habilitado, NetScaler Gateway solo envía tráfico destinado a redes protegidas (aplicaciones de intranet) por NetScaler Gateway a través del túnel VPN. El plug-in de NetScaler Gateway no envía tráfico de red destinado a redes no protegidas a NetScaler Gateway. Cuando se inicia el plug-in de NetScaler Gateway, obtiene la lista de aplicaciones de intranet de NetScaler Gateway y establece una ruta para cada subred definida en la ficha de aplicación de intranet del equipo cliente. El plug-in de NetScaler Gateway examina todos los paquetes transmitidos desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet (tabla de redirección creada cuando se inició la conexión VPN). Si la dirección de destino del paquete está dentro de una de las aplicaciones de intranet, el plug-in de NetScaler Gateway envía el paquete a través del túnel VPN a NetScaler Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada mediante la redirección predeterminada definida originalmente en el equipo cliente. “Cuando habilita la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta y se envía a través del túnel”.

Túnel dividido inverso

NetScaler Gateway también admite la tunelización dividida inversa, que define el tráfico de red que NetScaler Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que NetScaler Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por NetScaler Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica y han iniciado sesión con el plug-in de NetScaler Gateway, NetScaler Gateway no interceptará el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.

Configurar túnel dividido

1. Vaya a Configuración > Citrix Gateway > Directivas > Sesión.

2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Modificar.

3. En la ficha Experiencia del cliente, junto a Túnel dividido, seleccione Anulación global, seleccione una opción y, a continuación, haga clic en Aceptar.

   Configurar la autorización y la tunelización dividida

   Al planificar la implementación de NetScaler Gateway, es importante tener en cuenta la tunelización dividida y la acción de autorización y las directivas de autorización predeterminadas.

   Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. La tunelización dividida está activada y no configura las aplicaciones de intranet para enviar tráfico de red a través de NetScaler Gateway. Cuando NetScaler Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.

   

Si la directiva de autorización deniega el acceso a un recurso de red, el plug-in de NetScaler Gateway envía tráfico a NetScaler Gateway, pero se deniega el acceso al recurso en las siguientes condiciones.

• Tiene el túnel dividido configurado en ON.
• Las aplicaciones de intranet están configuradas para dirigir el tráfico de red a través de NetScaler Gateway

Para obtener más información sobre las directivas de autorización, revise lo siguiente:

• Configuración de autorización

• Configuración de directivas de autorización

• Configuración de la autorización global predeterminada

Para configurar el acceso de red a los recursos internos de la red

1. Vaya a Configuración > NetScaler Gateway > Recursos > Aplicaciones de intranet.

2. En el panel de detalles, haga clic en Agregar.

3. Complete los parámetros para permitir el acceso a la red, haga clic en Crear y, a continuación, en Cerrar.

Cuando no configuramos las IP de la intranet para los usuarios de VPN, el usuario envía el tráfico al VIP de NetScaler Gateway y, a partir de ahí, el dispositivo NetScaler ADC crea un nuevo paquete en el recurso de aplicación de intranet de la LAN interna. Este nuevo paquete se va a obtener desde el SNIP hacia la aplicación de intranet. Desde aquí, la aplicación de intranet obtiene el paquete, lo procesa y, a continuación, intenta responder al origen de ese paquete (el SNIP en este caso). El SNIP recibe el paquete y envía la respuesta al cliente que realizó la solicitud.

Cuando se utiliza una dirección IP de intranet, el usuario envía el tráfico al VIP de NetScaler Gateway y, desde allí, el dispositivo NetScaler ADC asignará la IP del cliente a una de las IP de INTRANET configuradas desde el grupo. Tenga en cuenta que el dispositivo NetScaler ADC va a ser propietario del grupo de IP de la intranet y, por este motivo, estos rangos no deben utilizarse en la red interna. El dispositivo NetScaler ADC asigna una IP de intranet para las conexiones VPN entrantes como lo haría un servidor DHCP. El dispositivo NetScaler ADC crea otro paquete para la aplicación de intranet en la LAN al que accedería el usuario. Este nuevo paquete se va a obtener de una de las IP de la intranet hacia la aplicación de intranet. Desde aquí, las aplicaciones de intranet obtienen el paquete, lo procesan y luego intentan responder al origen de ese paquete (la IP INTRANET). En este caso, el paquete de respuesta debe redirigirse al dispositivo NetScaler ADC, donde se encuentran las IP de INTRANET (recuerde que el dispositivo NetScaler ADC posee las subredes IP de intranet). Para llevar a cabo esta tarea, el administrador de red debe tener una ruta hacia la IP de INTRANET que apunte a uno de los SNIP. Se recomienda redirigir el tráfico hacia el SNIP que contiene la ruta desde la que sale el paquete del dispositivo NetScaler ADC por primera vez para evitar cualquier tráfico asimétrico.

Opciones de tunelización dividida

Estas son las distintas opciones de tunelización dividida.

Túnel dividido APAGADO

Cuando el túnel dividido está desactivado, el cliente Citrix Secure Access captura todo el tráfico de red que se origina en un dispositivo de usuario y lo envía a través del túnel VPN a Citrix Gateway. En otras palabras, el cliente VPN establece una ruta predeterminada desde el PC cliente que apunta al VIP de NetScaler Gateway, lo que significa que todo el tráfico debe enviarse a través del túnel para llegar al destino. Dado que todo el tráfico se va a enviar a través del túnel, las directivas de autorización deben determinar si se permite el paso del tráfico a los recursos internos de la red o si se deniega.

Si bien está configurado en “desactivado”, todo el tráfico pasa por el túnel, incluido el tráfico web estándar a los sitios web. Si el objetivo es supervisar y controlar este tráfico web, debe reenviar estas solicitudes a un proxy externo mediante el dispositivo Citrix Gateway. Los dispositivos de usuario también se pueden conectar a través de un servidor proxy para acceder a redes internas.
NetScaler Gateway admite los protocolos HTTP, SSL, FTP y SOCKS. Para habilitar la compatibilidad con proxy para las conexiones de usuario, debe especificar esta configuración en NetScaler Gateway. Puede especificar la dirección IP y el puerto que utiliza el servidor proxy de NetScaler Gateway. El servidor proxy se utiliza como proxy de reenvío para todas las demás conexiones a la red interna.

Para obtener más información, consulte los siguientes enlaces:

• Habilitación del soporte proxy para conexiones de usuario

Túnel dividido ENCENDIDO

Puede habilitar la tunelización dividida para evitar que el cliente Citrix Secure Access envíe tráfico de red innecesario a Citrix Gateway. Si el túnel dividido está habilitado, el cliente Citrix Secure Access envía únicamente el tráfico destinado a las redes protegidas (aplicaciones de intranet) por Citrix Gateway a través del túnel VPN. El cliente Citrix Secure Access no envía el tráfico de red destinado a redes desprotegidas a Citrix Gateway. Cuando se inicia el cliente Citrix Secure Access, obtiene la lista de aplicaciones de intranet de Citrix Gateway y establece una ruta para cada subred definida en la pestaña de aplicaciones de intranet del PC cliente. El cliente Citrix Secure Access examina todos los paquetes transmitidos desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet (tabla de enrutamiento creada cuando se inició la conexión VPN). Si la dirección de destino del paquete está dentro de una de las aplicaciones de intranet, el cliente Citrix Secure Access envía el paquete a través del túnel VPN a Citrix Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada mediante la redirección predeterminada definida originalmente en el equipo cliente. “Cuando habilita la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta y se envía a través del túnel”.

Túnel dividido inverso

NetScaler Gateway también admite la tunelización dividida inversa, que define el tráfico de red que NetScaler Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que NetScaler Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por NetScaler Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica y han iniciado sesión con el cliente Citrix Secure Access, Citrix Gateway no intercepta el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.

Nota:

El cliente Citrix Secure Access para Windows también admite el túnel de división inversa basado en FQDN a partir de la versión 22.6.1.5 y versiones posteriores de Citrix Secure Access.

Puntos que tener en cuenta

Tunelización dividida inversa basada en IP:

• El número de reglas basadas en direcciones IP está limitado a 1024.
• Compatible con los controladores DNE y WFP.

Tunelización dividida inversa basada en el nombre del host:

• La cantidad de nombres de host a los que se puede acceder durante una sesión de VPN está restringida por la cantidad de direcciones IP utilizables especificadas en el intervalo de suplantación de FQDN. Esto se debe a que cada nombre de host ocupa una dirección IP del intervalo de suplantación de FQDN. Una vez agotado el intervalo de direcciones IP, la dirección IP asignada menos recientemente se reutiliza para el siguiente nombre de host nuevo.

• Los sufijos DNS deben estar configurados.

  Nota:

  Para los clientes de Windows, la tunelización dividida inversa basada en el nombre del host solo se admite con el controlador WFP. Habilite el modo de controlador de WFP y establezca «EnableWFP» como valor de registro. Para obtener más información, consulte Cliente Citrix Secure Access para Windows que utiliza la plataforma de filtrado de Windows.

Tunelización dividida inversa basada en IP y en nombres de host:

• Compatible únicamente con el controlador WFP. Se aplican todas las demás pautas mencionadas en la tunelización dividida inversa basada en IP y la tunelización dividida inversa basada en nombres de host.

Configurar resolución de servicios de nombres

Durante la instalación de NetScaler Gateway, puede utilizar el asistente de NetScaler Gateway para configurar otras opciones, incluidos los proveedores de servicios de nombres. Los proveedores de servicios de nombres traducen el nombre de dominio completo (FQDN) en una dirección IP. En el asistente de NetScaler Gateway, también puede realizar lo siguiente:

• Configurar un servidor DNS o WINS
• Establecer la prioridad de la búsqueda de DNS
• Defina el número de veces que se debe volver a intentar la conexión con el servidor.

Al ejecutar el asistente de NetScaler Gateway, puede agregar un servidor DNS. Puede agregar otros servidores DNS y un servidor WINS a NetScaler Gateway mediante un perfil de sesión. A continuación, puede indicar a los usuarios y grupos que se conecten a un servidor de resolución de nombres distinto del que utilizó originalmente el asistente para configurar.

Antes de configurar otro servidor DNS en NetScaler Gateway, cree un servidor virtual que actúe como servidor DNS para la resolución de nombres.

Para agregar un servidor DNS o WINS dentro de un perfil de sesión

1. En la utilidad de configuración, ficha de configuración > NetScaler Gateway > Directivas > Sesión.

2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.

3. En la ficha Configuración de red, realice una de las siguientes acciones:

   • Para configurar un servidor DNS, junto a Servidor virtual DNS , haga clic en Anular global , seleccione el servidor y, a continuación, haga clic enAceptar .

   • Para configurar un servidor WINS, junto a IP del servidor WINS , haga clic en Anular global , escriba la dirección IP y, a continuación, haga clic enAceptar .

Referencias

• Túneles divididos
• Cómo se conectan los usuarios con el agente de Citrix Secure Access
• Acerca de NetScaler Gateway
• Seleccione el método de acceso de usuario