Gateway

Configurer la configuration complète du VPN sur Citrix Gateway

Cette section explique comment configurer la configuration complète du VPN sur un dispositif Citrix Gateway. Il contient des considérations de mise en réseau et l’approche idéale pour résoudre les problèmes du point de vue de la mise en réseau.

Pré-requis

Lorsque les utilisateurs se connectent via le plug-in Citrix Gateway, Secure Hub ou Citrix Receiver, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou Receiver décrivant les réseaux à sécuriser. Ces informations contiennent également une adresse IP si vous activez les adresses IP intranet.

Vous configurez les connexions de machine utilisateur en définissant les ressources auxquelles les utilisateurs peuvent accéder sur le réseau interne. La configuration des connexions de machine utilisateur comprend les éléments suivants :

  • Split tunneling
  • Adresses IP des utilisateurs, y compris les pools d’adresses (IP intranet)
  • Connexions via un serveur proxy
  • Définition des domaines auxquels les utilisateurs sont autorisés à accéder
  • Paramètres de délai d’expiration
  • Single Sign-On
  • Logiciel utilisateur qui se connecte via Citrix Gateway
  • Accès pour appareils mobiles

Vous configurez la plupart des connexions utilisateur et machine à l’aide d’un profil qui fait partie d’une stratégie de session. Vous pouvez également définir les paramètres de connexion de l’appareil utilisateur en utilisant des stratégies d’authentification, de trafic et d’autorisation par authentification. Ils peuvent également être configurés à l’aide d’applications intranet.

Configuration d’une configuration VPN complète sur une appliance Citrix Gateway

Pour configurer une configuration VPN sur une appliance Citrix Gateway, procédez comme suit :

  1. Accédez à Gestion du trafic > DNS.

  2. Sélectionnez le nœud Serveurs de noms, comme illustré dans la capture d’écran suivante. Assurez-vous que le serveur de noms DNS est répertorié. S’il n’est pas disponible, ajoutez un serveur de noms DNS.

    sélectionnez le serveur de noms

  3. Développez Citrix Gateway > Stratégies.

  4. Sélectionnez le nœud Session.

  5. Dans la page Stratégies et profils de session Citrix Gateway, cliquez sur l’onglet Profils, puis sur Ajouter. Pour chaque composant que vous configurez dans la boîte de dialogue Configurer le profil de session Citrix Gateway, veillez à sélectionner l’option Override Global pour le composant respectif.

  6. Cliquez sur l’onglet Expérience client .

  7. Tapez l’URL du portail intranet dans le champ Page d’accueil si vous souhaitez présenter une URL lorsque l’utilisateur se connecte au VPN. Si le paramètre de la page d’accueil est défini sur « nohomepage.html », la page d’accueil n’est pas affichée. Lorsque le plug-in démarre, une instance de navigateur démarre et est automatiquement supprimée.

    Entrez l'URL du portail intranet

  8. Assurez-vous de sélectionner le paramètre souhaité dans la liste Split Tunnel.

  9. Sélectionnez DÉSACTIVÉ dans la liste Accès sans client si vous souhaitez utiliser FullVPN.

    désactivation de l'accès sans client

  10. Assurez-vous que Windows/Mac OS X est sélectionné dans la liste Type de plug-in.

  11. Sélectionnez l’option Single Sign-On to Web Applications si vous le souhaitez.

  12. Assurez-vous que l’option Invite de nettoyage du client est sélectionnée si nécessaire, comme illustré dans la capture d’écran suivante :

    nettoyage du client

  13. Cliquez sur l’onglet Sécurité.

  14. Assurez-vous que ALLOW est sélectionné dans la liste Action d’autorisation par défaut, comme indiqué dans la capture d’écran suivante :

    définir l'action d'autorisation par défaut à autoriser

  15. Cliquez sur l’onglet Published Applications.

  16. Assurez-vous que OFF est sélectionné dans la liste Proxy ICA sous l’option Applications publiées.

    désactivation du proxy ICA

  17. Cliquez sur Créer.

  18. Cliquez sur Fermer.

  19. Cliquez sur l’onglet Stratégies de la page Stratégies et profils de session Citrix Gateway sur le serveur virtuel ou activez les stratégies de session au niveau du GROUPE/UTILISATEUR, selon les besoins.

  20. Créez une stratégie de session avec une expression obligatoire ou ns_true, comme indiqué dans la capture d’écran suivante :

    Créer une stratégie de session

  21. Liez la stratégie de session au serveur virtuel VPN. Pour plus d’informations, voir Stratégies de session de liaison.

    Si Split Tunnel a été configuré sur ON, vous devez configurer les applications intranet auxquelles vous souhaitez que les utilisateurs accèdent lorsqu’ils sont connectés au VPN. Pour plus d’informations sur les applications intranet, consultez Configuration des applications intranet pour le plug-in Citrix Gateway.

    applications intranet

    1. Accédez à Citrix Gateway > Ressources > Applications intranet.

    2. Créez une application Intranet. Sélectionnez Transparent pour FullVPN avec client Windows. Sélectionnez le protocole que vous souhaitez autoriser (TCP, UDP ou ANY), le type de destination (adresse IP et masque, plage d’adresses IP ou nom d’hôte).

      créer une application intranet

    3. Si nécessaire, définissez une nouvelle stratégie pour Citrix VPN sur iOS et Android à l’aide de l’expression suivante : REQ.HTTP.HEADER("User-Agent").CONTAINS("CitrixVPN") && (REQ.HTTP.HEADER("User-Agent").CONTAINS("NSGiOSplugin") || REQ.HTTP.HEADER("User-Agent").CONTAINS("Android"))

      définir une stratégie pour le VPN

    4. Liez les applications intranet créées au niveau USER/GROUPE/VSERVER selon les besoins.

Autres paramètres

Voici certains des paramètres que vous pouvez configurer.

Configuration du tunnel divisé

Tunnel divisé désactivé

Lorsque le split tunnel est désactivé, le plug-in Citrix Gateway capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à Citrix Gateway. En d’autres termes, le client VPN établit une route par défaut à partir du PC client pointant vers la VIP Citrix Gateway, ce qui signifie que tout le trafic doit être envoyé via le tunnel pour atteindre la destination. Étant donné que tout le trafic va être envoyé via le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer aux ressources réseau internes ou s’il est refusé.

Lorsqu’il est défini sur « Désactivé », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, vous devez transmettre ces demandes à un proxy externe à l’aide de NetScaler. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
Citrix Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge du proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur Citrix Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur Citrix Gateway. Le serveur proxy est utilisé comme proxy de transfert pour toutes les connexions ultérieures au réseau interne.

Pour plus d’informations, voir Activation de la prise en charge du proxy pour les connexions utilisateur

Tunnel Split ON

Vous pouvez activer le split tunneling pour empêcher le plug-in Citrix Gateway d’envoyer du trafic réseau inutile à Citrix Gateway. Si le split tunnel est activé, le plug-in Citrix Gateway envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par Citrix Gateway via le tunnel VPN. Le plug-in Citrix Gateway n’envoie pas de trafic réseau destiné aux réseaux non protégés à Citrix Gateway. Lorsque le plug-in Citrix Gateway démarre, il obtient la liste des applications intranet de Citrix Gateway et établit une route pour chaque sous-réseau défini dans l’onglet application intranet de l’ordinateur client. Le plug-in Citrix Gateway examine tous les paquets transmis depuis la machine utilisateur et compare les adresses des paquets à la liste des applications intranet (table de routage créée au démarrage de la connexion VPN). Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, le plug-in Citrix Gateway envoie le paquet via le tunnel VPN à Citrix Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut initialement défini sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau qui est intercepté et envoyé via le tunnel ».

Split tunneling inversé

Citrix Gateway prend également en charge le split tunneling inverse, qui définit le trafic réseau que Citrix Gateway n’intercepte pas. Si vous définissez le split tunneling sur Inverse, les applications intranet définissent le trafic réseau que Citrix Gateway n’intercepte pas. Lorsque vous activez le split tunneling inverse, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par Citrix Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau sans fil domestique et sont connectés avec le plug-in Citrix Gateway, Citrix Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre périphérique du réseau sans fil.

Pour configurer le split tunneling

  1. Accédez à Configuration > Citrix Gateway > Politiques > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Modifier.

  3. Dans l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Global Override, sélectionnez une option, puis cliquez sur OK.

    Configuration du split tunneling et de l’autorisation

    Lors de la planification de votre déploiement Citrix Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation et les stratégies d’autorisation par défaut.

    Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Le split tunneling est défini sur ON et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via Citrix Gateway. Lorsque Citrix Gateway dispose de ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas accéder à la ressource.

    configurer le VPN complet

Si la stratégie d’autorisation refuse l’accès à une ressource réseau, que le split tunneling est défini sur ON et que les applications intranet sont configurées pour acheminer le trafic réseau via Citrix Gateway, le plug-in Citrix Gateway envoie le trafic à Citrix Gateway, mais l’accès à la ressource est refusé.

Pour plus d’informations sur les stratégies d’autorisation, consultez les points suivants :

Pour configurer l’accès réseau aux ressources réseau internes

  1. Accédez à Configuration > Citrix Gateway > Ressources > Applications intranet.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Renseignez les paramètres d’autorisation d’accès au réseau, cliquez sur Créer, puis sur Fermer.

Lorsque nous ne configurons pas les adresses IP de l’intranet pour les utilisateurs du VPN, l’utilisateur envoie le trafic au Citrix Gateway VIP, puis NetScaler crée un nouveau paquet vers la ressource de l’application intranet sur le réseau local interne. Ce nouveau paquet provient du SNIP vers l’application intranet. À partir de là, l’application intranet récupère le paquet, le traite, puis tente de répondre à la source de ce paquet (le SNIP dans ce cas). Le SNIP récupère le paquet et envoie la réponse au client qui a effectué la demande.

Lorsque l’adresse IP de l’intranet est utilisée, l’utilisateur envoie le trafic au Citrix Gateway VIP, puis NetScaler va mapper l’adresse IP du client sur l’une des adresses IP INTRANET configurées à partir du pool. Sachez que NetScaler sera propriétaire du pool d’adresses IP de l’intranet et que, pour cette raison, ces plages ne doivent pas être utilisées sur le réseau interne. Le Citrix ADC attribue une adresse IP intranet aux connexions VPN entrantes, comme le ferait un serveur DHCP. Le NetScaler crée un nouveau paquet pour l’application intranet sur le réseau local auquel l’utilisateur aurait accès. Ce nouveau paquet provient de l’une des adresses IP intranet vers l’application intranet. À partir de là, les applications intranet obtiennent le paquet, le traitent, puis tentent de répondre à la source de ce paquet (l’adresse IP INTRANET). Dans ce cas, le paquet de réponse doit être redirigé vers le NetScaler, où se trouvent les adresses IP INTRANET (n’oubliez pas que le NetScaler est propriétaire des sous-réseaux des adresses IP intranet). Pour accomplir cette tâche, l’administrateur réseau doit disposer d’une route vers l’adresse IP INTRANET, pointant vers l’un des SNIP. Il est recommandé de renvoyer le trafic vers le SNIP qui contient la route à partir de laquelle le paquet quitte le NetScaler pour la première fois afin d’éviter tout trafic asymétrique.

Configuration de la résolution du service de noms

Lors de l’installation de Citrix Gateway, vous pouvez utiliser l’assistant Citrix Gateway pour configurer d’autres paramètres, y compris les fournisseurs de services de noms. Les fournisseurs de services de noms traduisent le nom de domaine complet (FQDN) en adresse IP. Dans l’assistant Citrix Gateway, vous pouvez configurer un serveur DNS ou WINS, définir la priorité de la recherche DNS et le nombre de tentations de connexion au serveur.

Lorsque vous exécutez l’assistant Citrix Gateway, vous pouvez ajouter un serveur DNS. Vous pouvez ajouter d’autres serveurs DNS et un serveur WINS à Citrix Gateway à l’aide d’un profil de session. Vous pouvez ensuite diriger les utilisateurs et les groupes pour qu’ils se connectent à un serveur de résolution de noms différent de celui que vous avez initialement utilisé pour configurer l’assistant.

Avant de configurer un autre serveur DNS sur Citrix Gateway, créez un serveur virtuel qui agit en tant que serveur DNS pour la résolution des noms.

Pour ajouter un serveur DNS ou WINS dans un profil de session

  1. Dans l’utilitaire de configuration, onglet Configuration > Citrix Gateway > Stratégies > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.

  3. Dans l’onglet Configuration réseau, effectuez l’une des opérations suivantes :

    • Pour configurer un serveur DNS, à côté de Serveur virtuel DNS, cliquez sur Override Global, sélectionnez le serveur, puis cliquez sur OK.

    • Pour configurer un serveur WINS, à côté de l’ adresse IP du serveur WINS, cliquez sur Override Global, tapez l’adresse IP, puis cliquez sur OK.

Configurer la configuration complète du VPN sur Citrix Gateway