Gateway

Configurar Always On VPN antes del inicio de sesión de Windows

En esta sección se capturan los detalles para configurar Always On VPN antes del inicio de sesión de Windows mediante una directiva avanzada.

Requisitos previos

  • El plug-in de VPN y NetScaler Gateway deben ser de la versión 13.0.41.20 y posteriores.
  • Se necesitan NetScaler Advanced Edition y versiones posteriores para que la solución funcione.
  • La funcionalidad solo se puede configurar mediante directivas avanzadas.
  • El servidor virtual de VPN debe estar en funcionamiento.

Pasos para la configuración

La configuración de Always On VPN antes de iniciar sesión en Windows implica los siguientes pasos de alto nivel:

  1. Configurar un túnel a nivel de máquina
  2. Configurar un túnel a nivel de usuario (opcional)
  3. Habilitar autenticación de usuarios
    1. Configure el servidor virtual VPN, instale un certificado de CA y enlace la clave del certificado al servidor virtual.
    2. Creación de un perfil de autenticación
    3. Creación de un servidor virtual de autenticación
    4. Creación de directivas de autenticación
    5. Enlazar las directivas al perfil de autenticación

Túnel a nivel máquina

El túnel a nivel de máquina se establece hacia NetScaler Gateway mediante el certificado del dispositivo como identidad. El certificado del dispositivo debe instalarse en la máquina cliente en el almacén de máquinas. Esto solo se aplica al servicio Always On before Windows Logon.

Para obtener más información sobre el certificado de dispositivo, consulte Usar certificados de dispositivo para la autenticación.

Importante:

Si el servidor virtual de VPN del dispositivo NetScaler Gateway está configurado en un puerto no estándar (distinto del 443), el túnel a nivel de máquina no funciona según lo previsto.

Configurar el túnel a nivel de máquina mediante el certificado de dispositivo

Configuración de autenticación basada en certificados de dispositivo mediante la interfaz gráfica de usuario

  1. En la ficha Configuración, vaya a NetScaler Gateway> Servidores virtuales.
  2. En la página Servidores virtuales de NetScaler Gateway, seleccione un servidor virtual existente y haga clic en Modificar.
  3. En Certificado, haga clic en Certificado de CA.

  4. En la página Vinculación de certificados de CA, haga clic en Agregar junto al campo Seleccionar certificado de CA, actualice la información requerida y haga clic en Instalar.

    Instalar certificado de CA

  5. En la página Servidor virtual de VPN, haga clic en el icono de modificación.

  6. En la sección Configuración básica, haga clic en Más.

  7. Haga clic en Agregar junto a la sección CA para certificado de dispositivo y, a continuación, haga clic en Aceptar.

    Agregar ca para certificado de dispositivo

    Nota:No active la casilla Habilitar certificado de dispositivo.

  8. Para vincular un certificado de CA al servidor virtual, haga clic en Certificado de CA en la sección Certificado. Haga clic en Agregar enlace en la página Enlace de certificados de CA de servidor virtual SSL.

    Nota:

    • El campo Nombre común del sujeto (CN) del certificado de dispositivo no debe estar vacío. Si un dispositivo intenta iniciar sesión con certificados de dispositivo CN vacíos, su sesión VPN se crea con el nombre de usuario como “anónimo”. En IIP, si varias sesiones tienen el mismo nombre de usuario, las sesiones anteriores se desconectan. Por lo tanto, cuando IIP está habilitada, observa el impacto de la funcionalidad debido a un nombre común vacío.
    • Todos los certificados de CA (raíz e intermedia) que pueden firmar potencialmente el certificado de dispositivo emitido a los clientes deben estar enlazados en la sección CA para certificado de dispositivo y también en la sección de enlace de certificados de CA para el servidor virtual en los pasos 4 y 5. Para obtener más información sobre cómo vincular un certificado de CA con un certificado intermedio o subordinado, consulte Instalar, vincular y actualizar certificados.
    • Si se configuran varios certificados de dispositivos, se intenta el certificado con la fecha de caducidad más larga para la conexión VPN. Si este certificado permite el escaneo de la EPA correctamente, se establece la conexión VPN. Si este certificado falla en el proceso de escaneo, se usa el siguiente certificado. Este proceso continúa hasta que se prueban todos los certificados.
  9. En la página Vinculación de certificados de CA, seleccione el certificado.

  10. Haga clic en Bind.

  11. Cree un servidor virtual de autenticación.
    1. En la página Servidores virtuales VPN, vaya a Configuración avanzada > Perfil de autenticación y haga clic en Agregar.
    2. En la página Crear perfil de autenticación, asigne un nombre al perfil de autenticación y haga clic en Crear. Creación de un perfil de autenticación
    3. En la página Servidor virtual de autenticación, asigne un nombre al servidor virtual de autenticación. Seleccione el tipo de dirección IP como No direccionable y haga clic en Aceptar. Seleccione el tipo de IP no direccionable

    Nota:

    El servidor virtual de autenticación siempre permanece en el estado INACTIVO.

  12. Cree una directiva de autenticación.
    1. En la sección Directivas de autenticación avanzadas de la página Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales de autenticación, seleccione la directiva de autenticación y haga clic en Agregar enlace.
    2. En la página Vinculación de directivas, haga clic en Agregar junto al campo Seleccionar directiva.
    3. En la página Crear directiva de autenticación ;
      1. Asigne un nombre a la directiva de autenticación avanzada.
      2. Seleccione EPA en la lista Tipo de acción.
      3. Haga clic en Agregar junto a Acción. Seleccione el tipo de acción de la EPA
    4. En la página Crear acción de autenticación de la EPA;
      1. Asigne un nombre a la acción de la EPA.
      2. Introduzca sys.client_expr("device-cert_0_0")en el campo Expresión.
      3. Haga clic en Crear.

        Crear expresión

  13. En la página Crear directiva de autenticación ;
    1. Asigne un nombre a la directiva de autenticación.
    2. Escriba is_aoservice en el campo Expresión.
    3. Haga clic en Crear.

      Crear expresión2

  14. En la página Vinculación de directivas, introduzca 100 en Prioridad y haga clic en Vincular.

Configuración de autenticación basada en certificados de dispositivo mediante la CLI

  1. Instale un certificado de CA en un servidor virtual VPN.

    add ssl certkey ckp -cert t_CA.cer
    <!--NeedCopy-->
    
  2. Enlazar el certificado de CA al servidor virtual VPN .

    bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
    <!--NeedCopy-->
    

    Ejemplo

    bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
    <!--NeedCopy-->
    
  3. Agregue un servidor virtual de autenticación.

    add authentication authnProfile <name>  {-authnVsName <string>}
    <!--NeedCopy-->
    

    Ejemplo

    add authentication authnProfile always_on -authnVsName always_on_auth_server
    <!--NeedCopy-->
    
  4. Cree una acción de autenticación de la EPA

    add authentication epaAction <name> -csecexpr <expression>
    <!--NeedCopy-->
    

    Example

    ``` add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass ```

  5. Crear una directiva de autenticación

    add authentication Policy <name> -rule <expression> -action <string>
    

    Ejemplo:

    add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
    

Importante:

  • La configuración del túnel a nivel de máquina ya está completa. Para configurar el túnel de nivel de usuario después del inicio de sesión de Windows, consulte la sección Túnel de nivel de usuario.

  • En el equipo cliente, el certificado del dispositivo está en formato.pfx. El certificado.pfx se instala en la máquina Windows, ya que Windows entiende el formato.pfx. Este archivo contiene los archivos de certificado y clave. Este certificado debe ser del mismo dominio que está enlazado al servidor virtual. Los certificados y claves.pfx y de servidor se pueden generar mediante el asistente para certificados de cliente. Estos certificados se pueden usar con la entidad de certificación para generar el.pfx respectivo con el certificado del servidor y el dominio. El certificado.pfx se instala en la cuenta de equipo en la carpeta personal. El comando show aaa sessionmuestra el túnel del dispositivo en el dispositivo NetScaler.

Túnel a nivel usuario

Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la interfaz gráfica de usuario

Nota: La expresión is_aoservice.notse aplica a partir de la versión 13.0.41.20 y posteriores de NetScaler Gateway.

  1. Configure una directiva para la autenticación de usuarios.
    1. Vaya a NetScaler Gateway > Servidores virtuales y seleccione un servidor virtual.
    2. En Configuración avanzada, haga clic en Perfil de autenticación.
    3. Configure el perfil de autenticación.
    4. En la página Configuración > Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales de autenticación, seleccione la directiva de autenticación.
    5. En Seleccionar acción, haga clic en Modificar enlace y cambie Expresión GoTo a SIGUIENTE en lugar de END para el límite de la directiva.

      Directiva de vinculación

      Directiva de vinculación

    6. Haga clic en Enlazar y, a continuación, en la página Directiva de autenticación, seleccione la directiva de autenticación y haga clic en Agregar enlace.

      Directiva de vinculación 2

    7. En la página Vinculación de directivas, haga clic en Agregar junto a Seleccionar directiva.

      En la página Crear directiva de autenticación ;

      1. Introduzca un nombre para la directiva “sin autenticación” que se va a crear.
      2. Seleccione el tipo de acción como no_Authn.
      3. Escriba is_aoservice.not en el campo Expresión.
      4. Haga clic en Crear. `No-auth-policy`
  2. En Seleccionar acción, haga clic en Modificar enlace.

    Edit-binding-user-tunnel

  3. En la página Vinculación de directivas, introduzca 110 en Prioridad. Haga clic en Agregar junto a Seleccionar siguiente factor.
    1. En la página Etiqueta de directiva de autenticación, introduzca un nombre descriptivo para la etiqueta de directiva, seleccione el esquema de inicio de sesión y haga clic en Continuar.
    2. En Seleccionar directiva, haga clic en Agregar y cree una directiva de autenticación LDAP.
    3. Haga clic en Crear y, a continuación, en Enlazar.
    4. Haga clic en Listo y, a continuación, en Enlazar.

    En la página Directiva de autenticación, la columna Factor siguiente muestra la directiva de siguiente factor configurada.

    `Alwayson-complete-configuration`

  4. Puede configurar la directiva LDAP como el siguiente factor de la directiva de autenticación.
    1. En la página Crear directiva de autenticación, introduzca un nombre para la directiva LDAP.
    2. Seleccione Tipo de acción como LDAP.
    3. Introduzca Acción como acción LDAP configurada.

    Nota:

Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la CLI

  1. Enlazar una directiva al servidor virtual de autenticación

    bind authentication vserver <name> -policy <name> -priority  <positive_integer> -gotoPriorityExpression <expression>
    

    Ejemplo

    bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
    
    
  2. Agregue una directiva de autenticación con la acción como NO_AUTHy la expresión is_aoservice.not,y enlácela a la directiva.

    add authentication Policy <name> -rule <expression> -action <string>
    
    bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
    

    Ejemplo

    add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN
    
    bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
    
  3. Agregue un factor siguiente y vincule la etiqueta de la directiva al siguiente factor.

    add authentication policylabel <labelName> -loginSchema <string>
    
    bind authentication  policylabel <string>  -policyName <string>  -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
    

    Ejemplo

    add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson
    
    bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
    
  4. Configure una directiva LDAP y enlácela a la etiqueta de directiva de túnel de usuario.

    
    add authentication policy <name>  -rule <expression>  -action <string>
    
    bind authentication vserver <vserver_name> -policy <string>  -priorit < positive integer>  gotoPriorityExpression <string>
    

    Ejemplo

    add authentication Policy LDAP_new -rule true -action LDAP_new
    
    bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
    

Configuración del lado del cliente

Los Registros AlwaysOn, locationDetection, and suffixList registriesson opcionales y solo se requieren si se necesita la funcionalidad de detección de ubicación.

Para acceder a las entradas de clave de registro, vaya a la siguiente ruta: Computer>HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

Clave del Registro Tipo de Registro Valores y descripción
AlwaysOnService REG_DWORD 1 => Establecer túnel a nivel máquina pero no túnel a nivel de usuario; 2 => Establecer túnel a nivel máquina y túnel a nivel de usuario
AlwaysOnURL REG SZ URL del servidor virtual de NetScaler Gateway al que el usuario quiere conectarse. Ejemplo: https://xyz.companyDomain.comImportante: Solo una URL es responsable del túnel a nivel de máquina y del túnel a nivel de usuario. El registro AlwaysOnURL ayuda tanto al servicio como al componente de nivel de usuario a funcionar y a conectar un túnel independiente, es decir, túnel a nivel de máquina y túnel a nivel de usuario según el diseño
AlwaysOn REG_DWORD 1 => Permitir el acceso a la red en caso de fallo de VPN; 2=> Bloquear el acceso a la red si falla
AlwaysOnAllowlist REG_SZ Lista de direcciones IP o FQDN separados por punto y coma que deben incluirse en la lista de permitidos mientras la máquina se ejecuta en modo estricto. Ejemplo: 8.8.8.8;linkedin.com
UserCertCAList REG_SZ Lista de nombres de CA raíz separados por comas o puntos y coma, es decir, el nombre del emisor del certificado. Se utiliza en el contexto de un servicio Always On, en el que un cliente puede especificar la lista de CA para elegir el certificado de cliente. Ejemplo: cgwsanity.net;xyz.gov.in
locationDetection REG_DWORD 1 => Para habilitar la detección de ubicación; 0 => Para inhabilitar la detección de ubicación
suffixList REG SZ Lista de dominios separada por punto y coma y se encarga de comprobar si la máquina está en la intranet o no en un momento dado cuando la detección de ubicación está habilitada. Example: citrite.net,cgwsanity.net

Para obtener más información sobre estas entradas del registro, consulte Siempre activado.

Nota:

Cuando se configura el servicio Always On, el perfil Always On configurado en el servidor virtual de NetScaler Gateway o en NetScaler se ignora en el lado del cliente. Por lo tanto, asegúrese de habilitar también los locationDetectionregistros AlwaysOny VPN al configurar el servicio Always On. ```

Configurar Always On VPN antes del inicio de sesión de Windows