Full VPN setup on Citrix Gateway
Cette section explique comment configurer la configuration complète du VPN sur un dispositif Citrix Gateway. Il contient des considérations de mise en réseau et l’approche idéale pour résoudre les problèmes du point de vue de la mise en réseau.
Pré-requis
-
Installez un certificat SSL et liez-le au serveur virtuel VPN.
-
Créez un profil d’authentification pour Citrix Gateway.
-
Pour plus d’informations, reportez-vous à la documentation Citrix - Configuration de l’authentification des utilisateurs externes
-
Pour plus d’informations, reportez-vous à la section Liste de contrôle : Utiliser AD FS pour implémenter et gérer l’authentification unique
-
-
Téléchargez Citrix VPN Client.
-
Créez une stratégie de session autorisant les connexions VPN complètes.
Lorsque les utilisateurs se connectent au plug-in Citrix Gateway, Secure Hub ou à l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Citrix Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser. Ces informations contiennent également une adresse IP si vous activez les adresses IP intranet.
Vous configurez les connexions de machine utilisateur en définissant les ressources auxquelles les utilisateurs peuvent accéder sur le réseau interne. La configuration des connexions de machine utilisateur comprend les éléments suivants :
- Split tunneling
- Adresses IP des utilisateurs, y compris les pools d’adresses (IP intranet)
- Connexions via un serveur proxy
- Définition des domaines auxquels les utilisateurs sont autorisés à accéder
- Paramètres de délai d’expiration
- Single Sign-On
- Logiciel utilisateur qui se connecte via Citrix Gateway
- Accès pour appareils mobiles
Vous configurez la plupart des connexions utilisateur et machine à l’aide d’un profil qui fait partie d’une stratégie de session. Vous pouvez également définir les paramètres de connexion de l’appareil utilisateur en utilisant des stratégies d’authentification, de trafic et d’autorisation par authentification. Ils peuvent également être configurés à l’aide d’applications intranet.
Configurer une configuration VPN complète sur une appliance Citrix Gateway
Pour configurer une configuration VPN sur l’appliance Citrix Gateway, procédez comme suit :
-
Accédez à Gestion du trafic > DNS.
-
Sélectionnez le nœud Serveurs de noms, comme illustré dans la capture d’écran suivante. Assurez-vous que le serveur de noms DNS est répertorié. S’il n’est pas disponible, ajoutez un serveur de noms DNS.
-
Développez Citrix Gateway > Stratégies.
-
Sélectionnez le nœud Session.
-
Dans la page Stratégies et profils de session Citrix Gateway, cliquez sur l’onglet Profils, puis sur Ajouter. Pour chaque composant que vous configurez dans la boîte de dialogue Configurer le profil de session Citrix Gateway, veillez à sélectionner l’option Override Global pour le composant respectif.
-
Cliquez sur l’onglet Expérience client .
-
Tapez l’URL du portail intranet dans le champ Page d’accueil si vous souhaitez présenter une URL lorsque l’utilisateur se connecte au VPN. Si le paramètre de la page d’accueil est défini sur « nohomepage.html », la page d’accueil n’est pas affichée. Lorsque le plug-in démarre, une instance de navigateur démarre et est automatiquement supprimée.
-
Assurez-vous de sélectionner le paramètre souhaité dans la liste Split Tunnel.
-
Sélectionnez DÉSACTIVÉ dans la liste Accès sans client si vous souhaitez utiliser FullVPN.
-
Assurez-vous que Windows/Mac OS X est sélectionné dans la liste Type de plug-in.
-
Sélectionnez l’option Single Sign-On to Web Applications si vous le souhaitez.
-
Assurez-vous que l’option Invite de nettoyage du client est sélectionnée si nécessaire, comme illustré dans la capture d’écran suivante :
-
Cliquez sur l’onglet Sécurité.
-
Assurez-vous que l’option AUTORISER est sélectionnée dans la liste des actions d’autorisation par défaut.
-
Cliquez sur l’onglet Published Applications.
-
Assurez-vous que OFF est sélectionné dans la liste Proxy ICA sous l’option Applications publiées.
-
Cliquez sur Créer.
-
Cliquez sur Fermer.
-
Cliquez sur l’onglet Stratégies de la page Stratégies et profils de session Citrix Gateway sur le serveur virtuel ou activez les stratégies de session au niveau du GROUPE/UTILISATEUR, selon les besoins.
-
Créez une stratégie de session avec une expression requise ou true, comme illustré dans la capture d’écran suivante :
-
Liez la stratégie de session au serveur virtuel VPN. Pour plus de détails, consultez la section Politiques de session Bind.
Si Split Tunnel a été configuré sur ON, vous devez configurer les applications intranet auxquelles vous souhaitez que les utilisateurs accèdent lorsqu’ils sont connectés au VPN. Pour plus d’informations sur les applications intranet, voir Configuration des applications intranet pour le client Citrix Secure Access.
-
Accédez à Citrix Gateway > Ressources > Applications intranet.
-
Créez une application Intranet. Sélectionnez Transparent pour FullVPN avec client Windows. Sélectionnez le protocole que vous souhaitez autoriser (TCP, UDP ou ANY), le type de destination (adresse IP et masque, plage d’adresses IP ou nom d’hôte).
-
Si nécessaire, définissez une nouvelle politique pour le VPN sur iOS et Android à l’aide de l’expression suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")
-
Liez les applications intranet créées au niveau USER/GROUPE/VSERVER selon les besoins.
-
Autres paramètres
Voici quelques-uns des paramètres que vous pouvez configurer, ainsi qu’une brève description de chacun d’entre eux :
Tunnel divisé OFF
Lorsque le split tunnel est désactivé, le plug-in Citrix Gateway capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à Citrix Gateway. En d’autres termes, le client VPN établit une route par défaut à partir du PC client pointant vers la VIP Citrix Gateway, ce qui signifie que tout le trafic doit être envoyé via le tunnel pour atteindre la destination. Étant donné que tout le trafic va être envoyé via le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer aux ressources réseau internes ou s’il est refusé.
Lorsqu’il est défini sur « Désactivé », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, vous devez transférer ces demandes à un proxy externe à l’aide de l’appliance Citrix ADC. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
Citrix Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge du proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur Citrix Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur Citrix Gateway. Le serveur proxy est utilisé comme proxy de transfert pour toutes les connexions ultérieures au réseau interne.
Pour plus d’informations, voir Activation de la prise en charge du proxy pour les connexions utilisateur
Tunnel Split ON
Vous pouvez activer le split tunneling pour empêcher le plug-in Citrix Gateway d’envoyer du trafic réseau inutile à Citrix Gateway. Si le split tunnel est activé, le plug-in Citrix Gateway envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par Citrix Gateway via le tunnel VPN. Le plug-in Citrix Gateway n’envoie pas de trafic réseau destiné aux réseaux non protégés à Citrix Gateway. Lorsque le plug-in Citrix Gateway démarre, il obtient la liste des applications intranet de Citrix Gateway et établit une route pour chaque sous-réseau défini dans l’onglet application intranet de l’ordinateur client. Le plug-in Citrix Gateway examine tous les paquets transmis depuis la machine utilisateur et compare les adresses des paquets à la liste des applications intranet (table de routage créée au démarrage de la connexion VPN). Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, le plug-in Citrix Gateway envoie le paquet via le tunnel VPN à Citrix Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut initialement défini sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau qui est intercepté et envoyé via le tunnel ».
Tunnel divisé inversé
Citrix Gateway prend également en charge le split tunneling inverse, qui définit le trafic réseau que Citrix Gateway n’intercepte pas. Si vous définissez le split tunneling sur Inverse, les applications intranet définissent le trafic réseau que Citrix Gateway n’intercepte pas. Lorsque vous activez le split tunneling inverse, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par Citrix Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau sans fil domestique et sont connectés avec le plug-in Citrix Gateway, Citrix Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre périphérique du réseau sans fil.
Configurer le split tunneling
-
Accédez à Configuration > Citrix Gateway > Politiques > Session.
-
Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Modifier.
-
Dans l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Global Override, sélectionnez une option, puis cliquez sur OK.
Configuration du split tunneling et de l’autorisation
Lors de la planification de votre déploiement Citrix Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation et les stratégies d’autorisation par défaut.
Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Le split tunneling est défini sur ON et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via Citrix Gateway. Lorsque Citrix Gateway dispose de ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas accéder à la ressource.
Si la stratégie d’autorisation refuse l’accès à une ressource réseau, le plug-in Citrix Gateway envoie le trafic à Citrix Gateway, mais l’accès à la ressource est refusé dans les conditions suivantes.
- Vous avez défini le split tunneling sur ON.
- Les applications intranet sont configurées pour acheminer le trafic réseau via Citrix Gateway
Pour plus d’informations sur les stratégies d’autorisation, consultez les points suivants :
Pour configurer l’accès réseau aux ressources réseau internes
-
Accédez à Configuration > Citrix Gateway > Ressources > Applications intranet.
-
Dans le volet d’informations, cliquez sur Ajouter.
-
Renseignez les paramètres d’autorisation d’accès au réseau, cliquez sur Créer, puis sur Fermer.
Lorsque nous ne configurons pas les adresses IP intranet pour les utilisateurs VPN, l’utilisateur envoie le trafic à la VIP Citrix Gateway, puis à partir de là, l’appliance Citrix ADC crée un nouveau paquet vers la ressource d’application intranet sur le réseau local interne. Ce nouveau paquet provient du SNIP vers l’application intranet. À partir de là, l’application intranet récupère le paquet, le traite, puis tente de répondre à la source de ce paquet (le SNIP dans ce cas). Le SNIP récupère le paquet et envoie la réponse au client qui a effectué la demande.
Lorsqu’une adresse IP intranet est utilisée, l’utilisateur envoie le trafic à la VIP Citrix Gateway, puis à partir de là, l’appliance Citrix ADC va mapper l’adresse IP du client vers l’une des adresses IP INTRANET configurées à partir du pool. Sachez que l’appliance Citrix ADC sera propriétaire du pool d’adresses IP Intranet et que, pour cette raison, ces plages ne doivent pas être utilisées dans le réseau interne. L’appliance Citrix ADC attribue une adresse IP Intranet aux connexions VPN entrantes, comme le ferait un serveur DHCP. L’appliance Citrix ADC crée un nouveau paquet vers l’application intranet sur le réseau local auquel l’utilisateur doit accéder. Ce nouveau paquet provient de l’une des adresses IP intranet vers l’application intranet. À partir de là, les applications intranet obtiennent le paquet, le traitent, puis tentent de répondre à la source de ce paquet (l’adresse IP INTRANET). Dans ce cas, le paquet de réponse doit être redirigé vers l’appliance Citrix ADC, où se trouvent les adresses IP INTRANET (rappelez-vous que l’appliance Citrix ADC possède les sous-réseaux IP Intranet). Pour accomplir cette tâche, l’administrateur réseau doit disposer d’une route vers l’adresse IP INTRANET, pointant vers l’un des SNIP. Il est recommandé de rediriger le trafic vers le SNIP qui contient la route à partir de laquelle le paquet quitte l’appliance Citrix ADC la première fois afin d’éviter tout trafic asymétrique.
Options de split tunneling
Voici les différentes options de split tunneling.
Tunnel divisé OFF
Lorsque le split tunnel est désactivé, le client Citrix Secure Access capture tout le trafic réseau provenant d’une machine utilisateur et l’envoie via le tunnel VPN à Citrix Gateway. En d’autres termes, le client VPN établit une route par défaut à partir du PC client pointant vers la VIP Citrix Gateway, ce qui signifie que tout le trafic doit être envoyé via le tunnel pour atteindre la destination. Étant donné que tout le trafic va être envoyé via le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer aux ressources réseau internes ou s’il est refusé.
Lorsqu’il est défini sur « Désactivé », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, vous devez transmettre ces demandes à un proxy externe à l’aide de l’appliance Citrix Gateway. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
Citrix Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge du proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur Citrix Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur Citrix Gateway. Le serveur proxy est utilisé comme proxy de transfert pour toutes les connexions ultérieures au réseau interne.
Pour plus d’informations, consultez les liens suivants :
Tunnel Split ON
Vous pouvez activer le split tunneling pour empêcher le client Citrix Secure Access d’envoyer du trafic réseau inutile à Citrix Gateway. Si le split tunnel est activé, le client Citrix Secure Access envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par Citrix Gateway via le tunnel VPN. Le client Citrix Secure Access n’envoie pas le trafic réseau destiné aux réseaux non protégés vers Citrix Gateway. Lorsque le client Citrix Secure Access démarre, il obtient la liste des applications intranet auprès de Citrix Gateway et établit un itinéraire pour chaque sous-réseau défini dans l’onglet Application intranet du PC client. Le client Citrix Secure Access examine tous les paquets transmis depuis la machine utilisateur et compare les adresses contenues dans les paquets à la liste des applications intranet (table de routage créée lors du démarrage de la connexion VPN). Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, le client Citrix Secure Access envoie le paquet via le tunnel VPN à Citrix Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut initialement défini sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau qui est intercepté et envoyé via le tunnel ».
Tunnel divisé inversé
Citrix Gateway prend également en charge le split tunneling inverse, qui définit le trafic réseau que Citrix Gateway n’intercepte pas. Si vous définissez le split tunneling sur Inverse, les applications intranet définissent le trafic réseau que Citrix Gateway n’intercepte pas. Lorsque vous activez le split tunneling inverse, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par Citrix Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau domestique sans fil et sont connectés via le client Citrix Secure Access, Citrix Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre périphérique du réseau sans fil.
Remarque :
Le client Citrix Secure Access pour Windows prend également en charge le tunnel de fractionnement inversé basé sur un FQDN à partir de Citrix Secure Access version 22.6.1.5 et versions ultérieures.
Points à noter
Tunneling inversé basé sur IP :
- Le nombre de règles basées sur les adresses IP est limité à 1024.
- Pris en charge avec les pilotes DNE et WFP.
Tunneling inversé basé sur le nom d’hôte :
- Le nombre de noms d’hôtes accessibles au cours d’une session VPN est limité par le nombre d’adresses IP utilisables spécifiées dans la plage d’usurpation du nom de domaine complet (FQDN spoofing). En effet, chaque nom d’hôte utilise une adresse IP de la plage d’usurpation du FQDN. Une fois la plage d’adresses IP épuisée, la dernière adresse IP attribuée est réutilisée pour le nouveau nom d’hôte suivant.
-
Les suffixes DNS doivent être configurés.
Remarque :
Pour les clients Windows, le split tunneling inversé basé sur le nom d’hôte n’est pris en charge qu’avec le pilote WFP. Activez le mode pilote WFP et définissez « EnableWFP » comme valeur de registre. Pour plus d’informations, consultez la section Client Windows Citrix Secure Access à l’aide de Windows Filtering Platform.
Tunneling inversé basé sur l’adresse IP et le nom d’hôte :
- Pris en charge uniquement avec le pilote WFP. Toutes les autres directives mentionnées dans le split-tunneling inversé basé sur IP et le split-tunneling inversé basé sur le nom d’hôte sont applicables.
Configuration de la résolution du service de noms
Lors de l’installation de Citrix Gateway, vous pouvez utiliser l’assistant Citrix Gateway pour configurer d’autres paramètres, y compris les fournisseurs de services de noms. Les fournisseurs de services de noms traduisent le nom de domaine complet (FQDN) en adresse IP. Dans l’assistant Citrix Gateway, vous pouvez également effectuer les opérations suivantes :
- Configuration d’un serveur DNS ou WINS
- Définir la priorité de la recherche DNS
- Définissez le nombre de tentations de connexion au serveur.
Lorsque vous exécutez l’assistant Citrix Gateway, vous pouvez ajouter un serveur DNS. Vous pouvez ajouter d’autres serveurs DNS et un serveur WINS à Citrix Gateway à l’aide d’un profil de session. Vous pouvez ensuite diriger les utilisateurs et les groupes pour qu’ils se connectent à un serveur de résolution de noms différent de celui que vous avez initialement utilisé pour configurer l’assistant.
Avant de configurer un autre serveur DNS sur Citrix Gateway, créez un serveur virtuel qui agit en tant que serveur DNS pour la résolution des noms.
Pour ajouter un serveur DNS ou WINS dans un profil de session
-
Dans l’utilitaire de configuration, onglet Configuration > Citrix Gateway > Stratégies > Session.
-
Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.
-
Dans l’onglet Configuration réseau, effectuez l’une des opérations suivantes :
-
Pour configurer un serveur DNS, à côté de Serveur virtuel DNS, cliquez sur Override Global, sélectionnez le serveur, puis cliquez sur OK.
-
Pour configurer un serveur WINS, à côté de l’ adresse IP du serveur WINS, cliquez sur Override Global, tapez l’adresse IP, puis cliquez sur OK.
-