Configuration complète du VPN sur NetScaler Gateway
Cette section explique comment configurer la configuration complète du VPN sur une appliance NetScaler Gateway. Il contient des considérations de mise en réseau et l’approche idéale pour résoudre les problèmes du point de vue de la mise en réseau.
Pré-requis
-
Installez un certificat SSL et liez-le au serveur virtuel VPN.
-
CTX109260 - Comment générer et installer un certificat SSL public sur un dispositif NetScaler
-
Documentation NetScaler - Liaison de la paire de clés de certificat au serveur virtuel basé surSSL
-
-
Créez un profil d’authentification pour NetScaler Gateway.
-
Pour plus d’informations, consultez la documentation NetScaler - Configuration de l’authentification utilisateur externe
-
Pour plus d’informations, reportez-vous à la section Liste de contrôle : Utiliser AD FS pour implémenter et gérer l’authentification unique
-
-
Téléchargez le client VPN.
-
Créez une stratégie de session autorisant les connexions VPN complètes.
Lorsque les utilisateurs se connectent au client Citrix Secure Access, à Secure Hub ou à l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur NetScaler Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, NetScaler Gateway envoie des informations de configuration au client Citrix Secure Access, à Citrix Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser. Ces informations contiennent également une adresse IP si vous activez les adresses IP intranet.
Vous configurez les connexions de machine utilisateur en définissant les ressources auxquelles les utilisateurs peuvent accéder sur le réseau interne. La configuration des connexions de machine utilisateur comprend les éléments suivants :
- Split tunneling
- Adresses IP des utilisateurs, y compris les pools d’adresses (IP intranet)
- Connexions via un serveur proxy
- Définition des domaines auxquels les utilisateurs sont autorisés à accéder
- Paramètres de délai d’expiration
- Single Sign-On
- Logiciel utilisateur qui se connecte via NetScaler Gateway
- Accès pour appareils mobiles
Vous configurez la plupart des connexions utilisateur et machine à l’aide d’un profil qui fait partie d’une stratégie de session. Vous pouvez également définir les paramètres de connexion de l’appareil utilisateur en utilisant des stratégies d’authentification, de trafic et d’autorisation par authentification. Ils peuvent également être configurés à l’aide d’applications intranet.
Configurer une configuration VPN complète sur une appliance NetScaler Gateway
Pour configurer une configuration VPN sur l’appliance NetScaler Gateway, procédez comme suit :
-
Accédez à Gestion du trafic > DNS.
-
Sélectionnez le nœud Serveurs de noms, comme illustré dans la capture d’écran suivante. Assurez-vous que le serveur de noms DNS est répertorié. S’il n’est pas disponible, ajoutez un serveur de noms DNS.
-
Développez NetScaler Gateway > Stratégies.
-
Sélectionnez le nœud Session.
-
Sur la page Stratégies et profils de session NetScaler Gateway, cliquez sur l’onglet Profils, puis sur Ajouter. Pour chaque composant que vous configurez dans la boîte de dialogue Configurer le profil de session NetScaler Gateway, assurez-vous de sélectionner l’option Override Global pour le composant correspondant.
-
Cliquez sur l’onglet Expérience client .
-
Tapez l’URL du portail intranet dans le champ Page d’accueil si vous souhaitez présenter une URL lorsque l’utilisateur se connecte au VPN. Si le paramètre de la page d’accueil est défini sur « nohomepage.html », la page d’accueil n’est pas affichée. Lorsque le plug-in démarre, une instance de navigateur démarre et est automatiquement supprimée.
-
Assurez-vous de sélectionner le paramètre souhaité dans la liste Split Tunnel.
-
Sélectionnez DÉSACTIVÉ dans la liste Accès sans client si vous souhaitez utiliser FullVPN.
-
Assurez-vous que Windows/Mac OS X est sélectionné dans la liste Type de plug-in.
-
Sélectionnez l’option Single Sign-On to Web Applications si vous le souhaitez.
-
Assurez-vous que l’option Invite de nettoyage du client est sélectionnée si nécessaire, comme illustré dans la capture d’écran suivante :
-
Cliquez sur l’onglet Sécurité.
-
Assurez-vous que l’option AUTORISER est sélectionnée dans la liste des actions d’autorisation par défaut.
-
Cliquez sur l’onglet Published Applications.
-
Assurez-vous que OFF est sélectionné dans la liste Proxy ICA sous l’option Applications publiées.
-
Cliquez sur Créer.
-
Cliquez sur Fermer.
-
Cliquez sur l’onglet Policies de la page NetScaler Gateway Session Policies and Profiles sur le serveur virtuel ou activez les stratégies de session au niveau GROUPE/UTILISATEUR selon les besoins.
-
Créez une stratégie de session avec une expression requise ou true, comme illustré dans la capture d’écran suivante :
-
Liez la stratégie de session au serveur virtuel VPN. Pour plus de détails, consultez la section Politiques de session Bind.
Si Split Tunnel a été configuré sur ON, vous devez configurer les applications intranet auxquelles vous souhaitez que les utilisateurs accèdent lorsqu’ils sont connectés au VPN. Pour plus d’informations sur les applications intranet, voir Configuration des applications intranet pour le client Citrix Secure Access.
-
Accédez à NetScaler Gateway > Ressources > Applications intranet.
-
Créez une application Intranet. Sélectionnez Transparent pour FullVPN avec client Windows. Sélectionnez le protocole que vous souhaitez autoriser (TCP, UDP ou ANY), le type de destination (adresse IP et masque, plage d’adresses IP ou nom d’hôte).
-
Si nécessaire, définissez une nouvelle politique pour le VPN sur iOS et Android à l’aide de l’expression suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")
-
Liez les applications intranet créées au niveau USER/GROUPE/VSERVER selon les besoins.
-
Configurer le split tunneling
-
Accédez à Configuration > NetScaler Gateway > Politiques Session.
-
Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Modifier.
-
Dans l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Global Override, sélectionnez une option, puis cliquez sur OK.
Configuration du split tunneling et de l’autorisation
Lors de la planification de votre déploiement de NetScaler Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation par défaut et les stratégies d’autorisation.
Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Le split tunneling est activé et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via NetScaler Gateway. Lorsque NetScaler Gateway dispose de ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas y accéder.
Si la stratégie d’autorisation refuse l’accès à une ressource réseau, le client Citrix Secure Access envoie du trafic à NetScaler Gateway, mais l’accès à la ressource est refusé dans les conditions suivantes.
- Vous avez défini le split tunneling sur ON.
- Les applications intranet sont configurées pour acheminer le trafic réseau via NetScaler Gateway
Pour plus d’informations sur les stratégies d’autorisation, consultez les points suivants :
Pour configurer l’accès réseau aux ressources réseau internes
-
Accédez à Configuration > NetScaler Gateway > Ressources > Applications intranet.
-
Dans le volet d’informations, cliquez sur Ajouter.
-
Renseignez les paramètres d’autorisation d’accès au réseau, cliquez sur Créer, puis sur Fermer.
Lorsque nous ne configurons pas les adresses IP intranet pour les utilisateurs du VPN, l’utilisateur envoie le trafic au NetScaler Gateway VIP, puis à partir de là, l’appliance NetScaler crée un nouveau paquet vers la ressource de l’application intranet sur le réseau local interne. Ce nouveau paquet provient du SNIP vers l’application intranet. À partir de là, l’application intranet récupère le paquet, le traite, puis tente de répondre à la source de ce paquet (le SNIP dans ce cas). Le SNIP récupère le paquet et envoie la réponse au client qui a effectué la demande.
Lorsqu’une adresse IP intranet est utilisée, l’utilisateur envoie le trafic au NetScaler Gateway VIP, puis l’appliance NetScaler mappe l’adresse IP du client sur l’une des adresses IP INTRANET configurées à partir du pool. Sachez que l’appliance NetScaler sera propriétaire du pool d’adresses IP de l’intranet et que, pour cette raison, ces plages ne doivent pas être utilisées sur le réseau interne. L’appliance NetScaler attribue une adresse IP intranet aux connexions VPN entrantes comme le ferait un serveur DHCP. L’appliance NetScaler crée un nouveau paquet pour l’application intranet sur le réseau local auquel l’utilisateur aurait accès. Ce nouveau paquet provient de l’une des adresses IP intranet vers l’application intranet. À partir de là, les applications intranet obtiennent le paquet, le traitent, puis tentent de répondre à la source de ce paquet (l’adresse IP INTRANET). Dans ce cas, le paquet de réponse doit être redirigé vers l’appliance NetScaler, où se trouvent les adresses IP INTRANET (n’oubliez pas que l’appliance NetScaler possède les sous-réseaux IP de l’intranet). Pour accomplir cette tâche, l’administrateur réseau doit disposer d’une route vers l’adresse IP INTRANET, pointant vers l’un des SNIP. Il est recommandé de rediriger le trafic vers le SNIP qui contient l’itinéraire à partir duquel le paquet quitte l’appliance NetScaler pour la première fois afin d’éviter tout trafic asymétrique.
Options de split tunneling
Voici les différentes options de split tunneling.
Tunnel divisé OFF
Lorsque le split tunnel est désactivé, le client Citrix Secure Access capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à NetScaler Gateway. En d’autres termes, le client VPN établit un itinéraire par défaut à partir du PC client pointant vers le NetScaler Gateway VIP, ce qui signifie que tout le trafic doit être envoyé via le tunnel pour atteindre la destination. Étant donné que tout le trafic va être envoyé via le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer aux ressources réseau internes ou s’il est refusé.
Lorsqu’il est défini sur « Désactivé », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, vous devez transmettre ces demandes à un proxy externe à l’aide de l’appliance NetScaler. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
NetScaler Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge du proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur NetScaler Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur NetScaler Gateway. Le serveur proxy est utilisé comme proxy de transfert pour toutes les connexions ultérieures au réseau interne.
Pour plus d’informations, consultez les liens suivants :
Tunnel Split ON
Vous pouvez activer le split tunneling pour empêcher le client Citrix Secure Access d’envoyer du trafic réseau inutile à NetScaler Gateway. Si le split tunnel est activé, le client Citrix Secure Access envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par NetScaler Gateway via le tunnel VPN. Le client Citrix Secure Access n’envoie pas le trafic réseau destiné aux réseaux non protégés à NetScaler Gateway. Lorsque le client Citrix Secure Access démarre, il obtient la liste des applications intranet auprès de NetScaler Gateway et établit un itinéraire pour chaque sous-réseau défini dans l’onglet de l’application intranet du PC client. Le client Citrix Secure Access examine tous les paquets transmis depuis la machine utilisateur et compare les adresses contenues dans les paquets à la liste des applications intranet (table de routage créée lors du démarrage de la connexion VPN). Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, le client Citrix Secure Access envoie le paquet via le tunnel VPN à NetScaler Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut initialement défini sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau qui est intercepté et envoyé via le tunnel ».
Tunnel divisé inversé
NetScaler Gateway prend également en charge le tunneling fractionné inversé, qui définit le trafic réseau que NetScaler Gateway n’intercepte pas. Si vous configurez le split tunneling sur l’inverse, les applications intranet définissent le trafic réseau que NetScaler Gateway n’intercepte pas. Lorsque vous activez le split tunneling inversé, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par NetScaler Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau domestique sans fil et sont connectés via le client Citrix Secure Access, NetScaler Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre appareil du réseau sans fil.
Remarque :
Le client Citrix Secure Access pour Windows prend également en charge le tunnel de fractionnement inversé basé sur un FQDN à partir de Citrix Secure Access version 22.6.1.5 et versions ultérieures.
Points à noter
Tunneling inversé basé sur IP :
- Le nombre de règles basées sur les adresses IP est limité à 1024.
- Pris en charge avec les pilotes DNE et WFP.
Tunneling inversé basé sur le nom d’hôte :
- Le nombre de noms d’hôtes accessibles au cours d’une session VPN est limité par le nombre d’adresses IP utilisables spécifiées dans la plage d’usurpation du nom de domaine complet (FQDN spoofing). En effet, chaque nom d’hôte utilise une adresse IP de la plage d’usurpation du FQDN. Une fois la plage d’adresses IP épuisée, la dernière adresse IP attribuée est réutilisée pour le nouveau nom d’hôte suivant.
-
Les suffixes DNS doivent être configurés.
Remarque :
Pour les clients Windows, le split tunneling inversé basé sur le nom d’hôte n’est pris en charge qu’avec le pilote WFP. Activez le mode pilote WFP en définissant la valeur de registre « EnableWFP » sur
1
. Pour plus d’informations, consultez la section Client Windows Citrix Secure Access à l’aide de Windows Filtering Platform.
Tunneling inversé basé sur l’adresse IP et le nom d’hôte :
- Pris en charge uniquement avec le pilote WFP. Toutes les autres directives mentionnées dans le split-tunneling inversé basé sur IP et le split-tunneling inversé basé sur le nom d’hôte sont applicables.
Configuration de la résolution du service de noms
Lors de l’installation de NetScaler Gateway, vous pouvez utiliser l’assistant NetScaler Gateway pour configurer d’autres paramètres, notamment les fournisseurs de services de noms. Les fournisseurs de services de noms traduisent le nom de domaine complet (FQDN) en adresse IP. Dans l’assistant NetScaler Gateway, vous pouvez également effectuer les opérations suivantes :
- Configuration d’un serveur DNS ou WINS
- Définir la priorité de la recherche DNS
- Définissez le nombre de tentations de connexion au serveur.
Lorsque vous exécutez l’assistant NetScaler Gateway, vous pouvez alors ajouter un serveur DNS. Vous pouvez ajouter d’autres serveurs DNS et un serveur WINS à NetScaler Gateway à l’aide d’un profil de session. Vous pouvez ensuite diriger les utilisateurs et les groupes pour qu’ils se connectent à un serveur de résolution de noms différent de celui que vous avez initialement utilisé pour configurer l’assistant.
Avant de configurer un autre serveur DNS sur NetScaler Gateway, créez un serveur virtuel qui fait office de serveur DNS pour la résolution des noms.
Pour ajouter un serveur DNS ou WINS dans un profil de session
-
Dans l’utilitaire de configuration, onglet Configuration > NetScaler Gateway > Policies Session.
-
Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.
-
Dans l’onglet Configuration réseau, effectuez l’une des opérations suivantes :
-
Pour configurer un serveur DNS, à côté de Serveur virtuel DNS, cliquez sur Override Global, sélectionnez le serveur, puis cliquez sur OK.
-
Pour configurer un serveur WINS, à côté de l’ adresse IP du serveur WINS, cliquez sur Override Global, tapez l’adresse IP, puis cliquez sur OK.
-