Seleccione el cliente Citrix Secure Access para usuarios

Al configurar NetScaler Gateway, puede elegir cómo inician sesión los usuarios. Los usuarios pueden iniciar sesión con uno de los siguientes plug-ins:

• Cliente Citrix Secure Access para Windows
• Cliente Citrix Secure Access para macOS

Para completar la configuración, cree una directiva de sesión y, a continuación, vincular la directiva a usuarios, grupos o servidores virtuales. También puede habilitar plug-ins configurando los ajustes globales. En el perfil global o de sesión, seleccione Windows o macOS X como el tipo de plug-in. Cuando los usuarios inician sesión, reciben el plug-in tal y como se define globalmente o en el perfil y la directiva de la sesión. Cree perfiles independientes para el tipo de plug-in.

Configurar el plug-in globalmente

1. En la utilidad de configuración, en la pestaña Configuración , en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
2. En el panel de detalles, en Configuración , haga clic en Cambiar la configuración global.
3. En la ficha Experiencia del cliente, junto a Tipo de plug-in, seleccione Windows/macOS X y, a continuación, haga clic en Aceptar.

Configurar el tipo de plug-in para Windows o macOS en un perfil de sesión

1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expandaNetScaler Gateway > Directivasy, a continuación, haga clic en Sesión.
2. Lleve a cabo una de las siguientes acciones:
   • Si piensa crear una directiva de sesión, en el panel de detalles, haga clic en Agregar.
   • Si va a cambiar una directiva existente, selecciónela y, a continuación, haga clic en Abrir.
3. Cree un perfil o modifique un perfil existente. Para hacerlo, realice una de las siguientes acciones:
   • Junto a Solicitar perfil, haga clic en Nuevo.
   • Junto a Solicitar perfil , haz clic en Modificar .
4. En la ficha Experiencia del cliente, junto a Tipo de plug-in, haga clic en Supeditación global y, a continuación, seleccione Windows/macOS X.
5. Lleve a cabo una de las siguientes acciones:
   • Si piensa crear un perfil, haga clic en Crear, defina la expresión en el cuadro de diálogo de la directiva, haga clic en Crear y, a continuación, haga clic en Cerrar.
   • Si está modificando un perfil existente, después de realizar la selección, pulse Aceptar dos veces.

Cliente Citrix Secure Access para Windows

Cuando los usuarios inician sesión en NetScaler Gateway, descargan e instalan el cliente Citrix Secure Access en el dispositivo del usuario.

Para instalar el plug-in, los usuarios deben ser administradores locales o miembros del grupo Administradores. Esta restricción se aplica únicamente a la primera instalación. Las actualizaciones de plug-ins no requieren acceso de nivel de administrador.

Para permitir que los usuarios se conecten y utilicen NetScaler Gateway, debe proporcionarles la siguiente información:

• Dirección web de NetScaler Gateway, como https://NetScalerGatewayFQDN/
• Cualquier requisito del sistema para ejecutar el cliente Citrix Secure Access si configuró los recursos y las directivas de los terminales

En función de la configuración del dispositivo de usuario, es posible que también deba proporcionar la siguiente información:

• Si los usuarios ejecutan un firewall en su equipo, deben cambiar la configuración del firewall para que el firewall no bloquee el tráfico hacia o desde las direcciones IP correspondientes a los recursos para los que ha concedido acceso. El cliente Citrix Secure Access gestiona automáticamente el Firewall de conexión a Internet en Windows XP y el Firewall de Windows en Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 o Windows 8.1.
• Los usuarios que deseen enviar tráfico a FTP a través de una conexión de NetScaler Gateway deben configurar su aplicación FTP para que realice transferencias pasivas. Una transferencia pasiva significa que el equipo remoto establece la conexión de datos con el servidor FTP, en lugar de que el servidor FTP establezca la conexión de datos con el equipo remoto.
• Los usuarios que quieran ejecutar X aplicaciones cliente en la conexión deben ejecutar un servidor X, por ejemplo, XManager, en sus equipos.
• Los usuarios que instalen Receiver para Windows o Receiver para Mac pueden iniciar el cliente Citrix Secure Access desde Receiver o mediante un explorador web. Proporcione instrucciones a los usuarios sobre cómo iniciar sesión en el cliente Citrix Secure Access a través de Receiver o un explorador web.

Dado que los usuarios trabajan con archivos y aplicaciones como si fueran locales de la red de la organización, no es necesario volver a entrenar a los usuarios ni configurar aplicaciones.

Para establecer una conexión segura por primera vez, inicie sesión en NetScaler Gateway mediante la página de inicio de sesión web. El formato típico de una dirección web es.https://companyname.com Cuando los usuarios inician sesión, pueden descargar e instalar el cliente Citrix Secure Access en su equipo.

Instale el cliente Citrix Secure Access para Windows

1. En un explorador web, escriba la dirección web de NetScaler Gateway.
2. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Inicio de sesión.
3. Seleccione Acceso a red y, a continuación, haga clic en Descargar.
4. Siga las instrucciones para instalar el plug-in.

Cuando finalice la descarga, el cliente Citrix Secure Access se conecta y muestra un mensaje en el área de notificación de un equipo con Windows.

Si desea que los usuarios se conecten al cliente Citrix Secure Access sin utilizar un explorador web, puede configurar el complemento para que muestre el cuadro de diálogo de inicio de sesión cuando los usuarios hagan clic con el botón derecho en el icono de NetScaler Gateway en el área de notificación de un equipo con Windows o inicien el complemento desde el menú Inicio.

Configurar el cuadro de diálogo de inicio de sesión del cliente Citrix Secure Access para Windows

Para configurar el cliente Citrix Secure Access para que utilice el cuadro de diálogo de inicio de sesión, los usuarios deben iniciar sesión para completar este procedimiento.

1. En un equipo con Windows, en el área de notificación, haga clic con el botón secundario en el icono de NetScaler Gateway y, a continuación, haga clic en Configurar NetScaler Gateway.
2. Haga clic en la ficha Perfil y, a continuación, haga clic en Cambiar perfil.
3. En la ficha Opciones, haga clic en Usar el cliente Citrix Secure Access para iniciar sesión. Nota: Si los usuarios abren el cuadro de diálogo Configurar NetScaler Gateway desde Receiver, la ficha Opciones no está disponible.

Configure el modo de intercepción para el cliente Citrix Secure Access para Windows

Si está configurando el cliente Citrix Secure Access para Windows, también debe configurar el modo de intercepción y configurarlo como transparente.

1. En la utilidad de configuración, haga clic en la ficha Configuración, expanda NetScaler Gateway > Recursos y, a continuación, haga clic en Aplicaciones de intranet.
2. En el panel de detalles, haga clic en Agregar.
3. En Nombre, escriba un nombre para la directiva.
4. Pulse en Transparente.
5. En Protocolo, selecciona CUALQUIERA.
6. En Tipo de destino, seleccione Dirección IP y máscara de red.
7. En dirección IP, escriba la dirección IP.
8. En Máscara de red, escriba la máscarade subred, haga clic en Crear y, a continuación, haga clic en Cerrar.

Aplique el acceso LAN local a los usuarios finales en función de la configuración de ADC

Los administradores pueden impedir que los usuarios finales inhabiliten la opción de acceso LAN local en sus máquinas cliente. Se agrega una nueva opción, FORCED a los valores de los parámetros de acceso LAN local existentes. Cuando el valor de acceso LAN local se establece en FORCED, el acceso LAN local siempre está habilitado para los usuarios finales en las máquinas cliente. Los usuarios finales no pueden inhabilitar la configuración de la LAN local mediante la interfaz de usuario del cliente de Citrix Secure Access.

Los administradores pueden permitir que los usuarios finales accedan a los recursos LAN locales de su máquina cliente configurando el parámetro de acceso LAN local en ON. Para impedir que los usuarios finales accedan a los recursos de la LAN local de su máquina cliente, los administradores pueden configurar el parámetro de acceso a la LAN local en DESACTIVADO. Para obtener más información sobre las configuraciones del usuario final, consulte Acceso LAN local para macOS y Acceso LAN local para iOS.

Para habilitar la opción Forzado mediante la GUI:

1. Vaya a NetScaler Gateway > Configuración global > Cambiar configuración global.
2. Haga clic en la ficha Experiencia del cliente y, a continuación, en Configuración avanzada.
3. En Acceso LAN local, seleccione FORZADO.

Para habilitar la opción Forzado mediante la CLI, ejecute el siguiente comando:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Notas:

• El cliente Citrix Secure Access para macOS/iOS y las versiones posteriores admiten la funcionalidad de acceso LAN local de NetScaler Gateway.

• A partir del cliente Citrix Secure Access para Windows 23.10.1.7, el acceso LAN local se admite en un túnel a nivel de máquina si el parámetro Acceso LAN local está establecido en Forzado en NetScaler Gateway.

Compatibilidad con Microsoft Edge WebView para Citrix Secure Access de Windows: Tech Preview

La compatibilidad con Microsoft Edge WebView para Citrix Secure Access de Windows presenta una experiencia de usuario final mejorada. Para obtener más información, consulte Compatibilidad con Microsoft Edge WebView para Citrix Secure Access de Windows.

Cliente Citrix Secure Access para Windows que utiliza la plataforma de filtrado de Windows

La Plataforma de filtrado de Windows (WFP) es un conjunto de servicios de API y sistema que proporciona una plataforma para crear aplicaciones de filtrado de red. WFP está diseñado para reemplazar las tecnologías de filtrado de paquetes anteriores, el filtro de especificación de interfaz de controlador de red (NDIS) que se utilizaba con el controlador DNE. El modo WFP es compatible con la versión 22.6.1.5 del cliente Citrix Secure Access para Windows.

Instalar la compilación de WFP

Puede instalar la compilación de WFP mediante uno de los métodos siguientes.

• Instalar el plug-in VPN con los controladores DNE y WFP (método predeterminado)

  Cuando el plug-in se instala con los controladores DNE y WFP, los administradores pueden usar el controlador WFP o DNE para tunelizar a través de un botón del Registro. De forma predeterminada, el controlador DNE se usa para la tunelización.

• Instale el plug-in VPN solo con el controlador WFP (omita la instalación del controlador DNE)

  Los controladores DNE no son compatibles con algunas de las aplicaciones de terceros, incluso cuando no se usan. Para esas implementaciones, los administradores pueden usar este tipo de instalación. Como el controlador DNE no está instalado, solo se utiliza el controlador WFP para la tunelización.

Seleccione un controlador WFP en lugar de un controlador DNE

Siga estos pasos para seleccionar el controlador WFP en lugar del controlador DNE.

Nota:

Esto solo funciona con el método de instalación predeterminado.

1. Descargue la compilación del plug-in VPN compatible con WFP e instale el nuevo plug-in VPN.
2. De forma predeterminada, el controlador DNE se usa para tunelizar el tráfico. Para usar el controlador de WFP para la tunelización, los administradores deben crear la siguiente entrada del Registro:
   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - EnableWFP
     • REG_VALUE — Establece el valor en 1 para usar WFP y 0 para usar DNE (de forma predeterminada, DNE está habilitado si este valor del Registro no está presente o se establece en 0)

Nota:

Después de cambiar el modo de tunelización de DNE a WFP o viceversa, se debe reiniciar el sistema para que los cambios surtan efecto correctamente.

Omitir por completo la instalación de DNE

Siga estos pasos para omitir la instalación de DNE.

1. Realice una desinstalación limpia del plug-in VPN.
   1. Desinstale el plug-in VPN actual presente en el equipo y reinícielo.
   2. Compruebe si el controlador DNE se ha desinstalado mediante cualquiera de las siguientes opciones.
      • Abra un símbolo del sistema con privilegios elevados (o PowerShell). Ejecute los siguientes comandos (el resultado de ejemplo muestra que el controlador basado en DNE está instalado en el sistema)

      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      Si el controlador no está instalado, se muestra el siguiente resultado:

      The specified service does not exist as an installed service.

   Dado que otros proveedores también utilizan el controlador DNE (dnelwf64.sys), es posible que esté presente incluso cuando el cliente Citrix Secure Access no esté instalado en el sistema. Por otro lado, el complemento CAG solo lo usa el cliente Citrix Secure Access.

   • La presencia del DNE también se puede comprobar intentando iniciar los controladores CAG y DNE. Abra el símbolo del sistema con derechos de administrador y ejecute los siguientes comandos:

      net start cag
      net start dne
      <!--NeedCopy-->
     

     • Si el mensaje de salida indica que no se pueden encontrar los servicios (el nombre del servicio no es válido), el plug-in y los componentes del controlador se desinstalarán correctamente. En este caso, vaya al paso 2.
     • Si los componentes del plug-in y el controlador no se desinstalan correctamente, ejecute la utilidad Cleanup en el equipo cliente siguiendo las instrucciones que se proporcionan en.https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332
       • Descomprima la utilidad Cleanup y cópiela en una carpeta.
       • Ejecute nsRmSAC.exe desde el símbolo del sistema.
       • Reinicie la máquina cliente.

2. Cree las siguientes entradas del Registro.

   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - SkipDNE
     • REG_VALUE - Establézcala en 1 para asegurarse de que el DNE no esté instalado en la máquina
   • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
     • REG_TYPE - REG_DWORD
     • REG_NAME - EnableWFP
     • REG_VALUE - Establézcala en 1 para habilitar WFP (esta entrada debe crearse si se omite la instalación de DNE)

   Nota:

   • Si las entradas del Registro no se crean antes de la instalación, se instala DNE de forma predeterminada. Además, puede comprobar los archivos de registro de VPN para validar si se utiliza WFP o DNE.
   • Si se omite la instalación de DNE, EnableWFP debe establecerse en 1. En este caso, no puede cambiar al complemento basado en DNE sin volver a instalar el cliente Citrix Secure Access.

3. Instale el nuevo plug-in de VPN.

4. Confirme si el controlador de WFP está instalado en el sistema. Abra un símbolo del sistema con privilegios elevados y ejecute el siguiente comando. El resultado de ejemplo muestra que el controlador de WFP está instalado en el sistema.

   PS C:\Users\Administrator> sc qc ctxsgwcallout
   [SC] QueryServiceConfig SUCCESS
   
   SERVICE_NAME: ctxsgwcallout
       TYPE               : 1  KERNEL_DRIVER
       START_TYPE         : 1   SYSTEM_START
       ERROR_CONTROL      : 0   IGNORE
       BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
       LOAD_ORDER_GROUP   :
       TAG                : 0
       DISPLAY_NAME       : Citrix Secure Access Callout Driver
       DEPENDENCIES       :
       SERVICE_START_NAME :
   <!--NeedCopy-->
   

Si el controlador no está instalado, se muestra el siguiente resultado:

The specified service does not exist as an installed service.

1. Reinicie la máquina cliente.

Ventajas de WFP

Las siguientes son algunas de las ventajas de WFP si se realiza la instalación independiente del controlador de WFP en el cliente.

• Compatibilidad con túnel dividido inverso basado en FQDN: El controlador de WFP permite la compatibilidad con túneles divididos INVERSOS basados en FQDN. No se admite con el controlador DNE. Para obtener más información, consulte Opciones de tunelización dividida.

• Compatibilidad con Wireshark: DNE no permite capturar tráfico bidireccional en una máquina cliente debido a su vinculación con el adaptador Ethernet/Wi-Fi. Este no es un problema con el nuevo controlador de WFP. Cualquier captura de tráfico (unidireccional o bidireccional) está cifrada y requiere claves SSL para descifrarla.

• Compatibilidad con NMAP: El nuevo controlador WFP admite el escaneo de NMAP mientras que el complemento VPN se utiliza para tunelizar el tráfico, mientras que el DNE no permite el escaneo de NMAP, mientras que el complemento de VPN se utiliza para tunelizar el tráfico.

• Velocidad de la red: En algunos casos, si el DNE está instalado en un equipo cliente, la velocidad de descarga y carga se ve afectada, lo que no ocurre con WFP.

• Rendimiento mejorado de nslookup: A veces, con DNE, nslookupno responde con un número menor de intentos y no se observa lo mismo con WFP.

• Rendimiento mejorado de iperf sobre UDP: Con DNE, se observó cierta pérdida de paquetes durante las pruebas de escalabilidad con iperf sobre UDP. La pérdida de paquetes no se observa con WFP.