Accès VPN sans client avancé avec Citrix Gateway
Le VPN sans client permet de fournir un accès distant aux ressources intranet de l’entreprise via Citrix Gateway sans application cliente VPN sur la machine cliente. Le VPN sans client fournit un accès à distance aux applications Web d’entreprise, aux portails et à d’autres ressources à l’aide d’un navigateur Web du côté du client. La solution VPN sans client avancée élimine les limitations suivantes relatives au VPN sans client :
-
Les URL relatives ne peuvent pas être identifiées à certains moments.
-
Les URL relatives générées dynamiquement ne peuvent pas être identifiées.
Le VPN sans client avancé identifie l’URL absolue et les noms d’hôte et les réécrit d’une manière nouvelle et unique au lieu d’essayer de réécrire les URL relatives présentes dans les réponses HTTP/pages Web. SharePoint n’a plus besoin d’utiliser le dossier par défaut pour réécrire les URL et un accès SharePoint personnalisé est pris en charge.
Pré-requis
Voici les conditions préalables à la configuration du VPN sans client avancé.
-
Certificat de serveur Wildcard - Le VPN avancé sans client réécrit les URL d’une manière unique. Ce caractère unique est maintenu pour chaque URL par utilisateur. Par exemple, si l’application Web est hébergée sur
https://webapp.customer.com
et que le serveur virtuel VPN est hébergé sur,https://vpn.customer.com
le VPN sans client avancé la réécrit en tant quehttps://cvpneqwerty.vpn.customer.com
. Cela signifie que chaque URL est réécrite en tant que sous-domaine du serveur virtuel VPN. Dans cette nouvelle URL,cvpneqwerty
peut être déchiffré vershttps://webapp.customer.com
. La chaînecvpneqwerty
est dynamique et, par conséquent, pour SSL, vous devez lier le serveur virtuel VPN avec un certificat générique.Si le serveur est hébergé avec,
https://vpn.customer.com
le certificat de serveur doit maintenant comporter des entrées pour (vpn.customer.com et .vpn.customer.com) dans le cadre des certificats CN ou SAN (où CN=nom commun, SAN = Subject Alternative Name). Le processus de liaison de ce certificat reste le même sur Citrix Gateway. Remarque : les certificats génériques ne prennent en charge qu’un seul niveau (c’est-à-dire ..customer.com n’est pas autorisé). Si vous utilisez déjà un certificat Wildcard (pour *.customer.com) et un hébergement,https://vpn.customer.com
cela ne fonctionne pas pour le VPN sans client avancé. Vous devez obtenir un nouveau certificat avec*.vpn.customer.com
. -
Entrée DNS WildCard - Les clients (navigateurs Web) doivent résoudre le nom de domaine complet de l’application VPN sans client avancée. Lors de la configuration du serveur Citrix Gateway, vous devez avoir configuré une entrée DNS pour résoudre vpn.customer.com. Cela permet au navigateur de résoudre vpn.customer.com en l’adresse IP de votre serveur virtuel VPN. Pour résoudre des URL similaires
https://cvpnqwerty.vpn.customer.com
à la même adresse IP (adresse IP du serveur virtuel VPN), vous devez ajouter un nouvel enregistrement pour le domaine devpn.customer.com
. Recherchez le paramètre de domaine sur votre serveur DNS et ajoutez un nouvel enregistrement d’hôte pour « * » avec la même adresse IP qu’auparavant. Après avoir ajouté l’enregistrement d’hôte, vous devez voir les réponses ping réussies pourhttps://cpvnanything.vpn.customer.com
.
Configuration de l’accès VPN sans client avancé
Pour configurer l’accès VPN sans client avancé à l’aide de l’interface de ligne de commande, à l’invite de commande, tapez :
set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->
Si une action de session est liée au serveur virtuel, vous devez également activer l’option Mode VPN sans client avancé pour cette action de session.
Exemple :
set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->
Pour configurer l’accès VPN sans client avancé à l’aide de l’interface graphique Citrix ADC :
-
Dans l’interface graphique NetScaler, accédez à Configuration > Citrix NetScaler > Paramètres globaux.
-
Sur la page Paramètres généraux, cliquez sur Modifier les paramètres généraux, puis sélectionnez l’onglet Expérience client .
-
Dans l’onglet Expérience client, dans la liste Accès sans client, cliquez sur On.
-
Dans l’onglet Expérience client, dans la liste Mode VPN sans client avancé, cliquez sur Activé. Si vous sélectionnez STRICT dans la liste des modes VPN sans client avancés, l’appliance Citrix ADC répond uniquement aux URL StoreFront sous forme de VPN sans client classique et bloque toutes les autres demandes VPN sans client classiques. Cette option fournit une configuration plus sécurisée sur l’appliance pour la mise à disposition de ressources Web internes.
Remarque :
- Si une action de session est liée au serveur virtuel, vous devez activer l’option Mode VPN sans client avancé pour cette action de session, ainsi que dans l’onglet Expérience client de la page Configurer le profil de session Citrix Gateway.
- Vous pouvez sélectionner l’option Remplacer le paramètre global pour remplacer les paramètres globaux.
- Vous pouvez également configurer la fonctionnalité VPN sans client avancée au niveau de la session.
mises en garde
Le VPN sans client avancé vise à fournir un accès aux applications Web d’entreprise. Ces applications n’ont qu’un seul nom de domaine complet pour chaque type de ressource dont elles ont besoin (JavaScript, css, images, etc.). Comme nous encodons le nom de domaine complet des applications internes dans un seul octet (VPN sans client), nous perdons la relation de sous-domaine. Par conséquent, chaque fois qu’une application Web d’entreprise est configurée avec CORS, vous remarquerez parfois des problèmes lors de l’accès via le VPN sans client avancé.