HDX Direct (Technical Preview)
Al acceder a los recursos entregados por Citrix, HDX Direct permite que los dispositivos cliente internos y externos establezcan una conexión directa segura con el host de la sesión si es posible la comunicación directa.
Importante:
HDX Direct se encuentra actualmente en versión Technical Preview. Esta función se proporciona sin asistencia técnica y aún no se recomienda su uso en entornos de producción. Para enviar comentarios o notificar problemas, use este formulario.
Requisitos del sistema
Estos son los requisitos para usar HDX Direct:
-
Plano de control
- Citrix DaaS
- Citrix Virtual Apps and Desktops 2311 o versiones posteriores
-
Virtual Delivery Agent (VDA)
- Windows: Versión 2311 o una posterior
-
Aplicación Workspace
- Windows: Versión 2311 o una posterior
-
Nivel de acceso
- Citrix Gateway Service y Citrix Workspace
- Citrix Workspace con NetScaler Gateway
-
Otros
- El transporte adaptable debe estar habilitado para las conexiones directas externas
Requisitos de la red
Estos son los requisitos de la red para usar HDX Direct.
Hosts de sesión
Si los hosts de sesión tienen un firewall como Windows Defender Firewall, debe permitir este tráfico entrante para las conexiones internas.
| Descripción | Origen | Protocolo | Puerto |
|---|---|---|---|
| Conexión directa interna | Cliente | TCP | 443 |
| Conexión directa interna | Cliente | UDP | 443 |
Nota:
El instalador de VDA agrega las reglas de entrada apropiadas a Windows Defender Firewall. Si usa un firewall diferente, debe agregar las reglas anteriores.
Red del cliente
En la tabla siguiente se describe la red del cliente para usuarios internos y externos.
Usuarios internos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| Conexión directa interna | TCP | Red del cliente | 1024–65535 | Red del VDA | 443 |
| Conexión directa interna | UDP | Red del cliente | 1024–65535 | Red del VDA | 443 |
Usuarios externos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| STUN (solo usuarios externos) | UDP | Red del cliente | 1024–65535 | Internet (ver nota más adelante) | 3478, 19302 |
| Conexión de usuario externo | UDP | Red del cliente | 1024–65535 | Dirección IP pública del centro de datos | 1024–65535 |
Red del centro de datos
En la tabla siguiente se describe la red del centro de datos para usuarios internos y externos.
Usuarios internos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| Conexión directa interna | TCP | Red del cliente | 1024–65535 | Red del VDA | 443 |
| Conexión directa interna | UDP | Red del cliente | 1024–65535 | Red del VDA | 443 |
Usuarios externos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| STUN (solo usuarios externos) | UDP | Red del VDA | 1024–65535 | Internet (ver nota más adelante) | 3478, 19302 |
| Conexión de usuario externo | UDP | DMZ / Red interna | 1024–65535 | Red del VDA | 55000–55250 |
| Conexión de usuario externo | UDP | Red del VDA | 55000–55250 | IP pública del cliente | 1024–65535 |
Nota:
Tanto el VDA como la aplicación Workspace intentan enviar solicitudes STUN a estos servidores en el mismo orden:
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
Si cambia el intervalo de puertos predeterminado para las conexiones de usuarios externos mediante la configuración de directiva Intervalo de puertos HDX Direct, las reglas de firewall correspondientes deben coincidir con su intervalo de puertos personalizado.
Configuración
HDX Direct está inhabilitado de forma predeterminada. Puede configurar esta función mediante el parámetro HDX Direct de la directiva de Citrix.
- HDX Direct: Para habilitar o inhabilitar una función.
- Modo HDX Direct: Determina si HDX Direct está disponible solo para los clientes internos o para los clientes internos y externos.
- Intervalo de puertos HDX Direct: Define el intervalo de puertos que el VDA usa para las conexiones desde clientes externos.
Consideraciones
Estos son los aspectos que se deben tener en cuenta al usar HDX Direct:
- HDX Direct para usuarios externos solo está disponible con EDT (UDP) como protocolo de transporte. Por lo tanto, el transporte adaptable debe estar habilitado.
- Si usa HDX Insight, tenga en cuenta que el uso de HDX Direct impide la recopilación de datos de HDX Insight, puesto que la sesión ya no se redirigiría mediante proxy a través de NetScaler Gateway.
- Cuando use máquinas no persistentes para sus aplicaciones y escritorios virtuales, Citrix recomienda habilitar HDX Direct en los hosts de sesión, en lugar de en la imagen maestra o de plantilla, para que cada máquina genere sus propios certificados.
- Actualmente, no se admite el uso de sus propios certificados con HDX Direct.
Funcionamiento
HDX Direct permite a los clientes establecer una conexión directa con el host de la sesión cuando hay una comunicación directa disponible. Cuando se establecen conexiones directas mediante HDX Direct, se utilizan certificados autofirmados para proteger la conexión directa con el cifrado a nivel de red (TLS/DTLS).
Usuarios internos
El diagrama siguiente muestra el proceso general de conexión de usuarios internos con HDX Direct.
- El cliente establece una sesión HDX a través de Gateway Service.
- Una vez realizada la conexión, el VDA envía al cliente el nombre de dominio completo (FQDN) de la máquina VDA, una lista de sus direcciones IP y el certificado de la máquina VDA a través de la conexión HDX.
- El cliente sondea las direcciones IP para ver si pueden comunicarse directamente con el VDA.
- Si el cliente puede acceder al VDA directamente con cualquiera de las direcciones IP compartidas, establece una conexión directa con el VDA, protegida con (D)TLS, mediante un certificado que coincide con el intercambiado en el paso (2).
- Una vez que la conexión directa se haya establecido correctamente, la sesión se transferirá a la nueva conexión, y se cancelará la conexión con Gateway Service.
Nota:
Tras establecerse la conexión en el paso 2 anterior, la sesión está activa. Los pasos posteriores no provocan ninguna demora ni interfieren con la capacidad del usuario para usar la aplicación o el escritorio virtuales. Si se produce un error en alguno de los pasos posteriores, se mantiene la conexión a través de Gateway sin interrumpir la sesión del usuario.
Usuarios externos
El diagrama siguiente muestra el proceso general de conexión de usuarios externos con HDX Direct:
- El cliente establece una sesión HDX a través de Gateway Service.
- Tras establecerse la conexión, tanto el cliente como el VDA envían una solicitud STUN para detectar sus puertos y direcciones IP públicas.
- El servidor STUN responde al cliente y al VDA con sus puertos y direcciones IP públicas correspondientes.
- A través de la conexión HDX, el cliente y el VDA intercambian sus direcciones IP públicas y sus puertos UDP, y el VDA envía su certificado al cliente.
- El VDA envía paquetes UDP a la dirección IP pública y al puerto UDP del cliente. El cliente envía paquetes UDP a la dirección IP pública y al puerto UDP del VDA.
- Al recibir un mensaje del VDA, el cliente responde con una solicitud de conexión segura.
- Durante el protocolo de enlace (handshake) DTLS, el cliente verifica que el certificado coincide con el certificado intercambiado en el paso (4). Tras la validación, el cliente envía su token de autorización. Ahora se ha establecido una conexión directa segura.
- Una vez que la conexión directa se haya establecido correctamente, la sesión se transferirá a la nueva conexión, y se cancelará la conexión con Gateway Service.
Nota:
Tras establecerse la conexión en el paso 2 anterior, la sesión está activa. Los pasos posteriores no provocan ninguna demora ni interfieren con la capacidad del usuario para usar la aplicación o el escritorio virtuales. Si se produce un error en alguno de los pasos posteriores, se mantiene la conexión a través de Gateway sin interrumpir la sesión del usuario.
Administración de certificados
Host de la sesión
Los dos servicios siguientes de la máquina VDA gestionan la creación y la administración de certificados, y ambos están configurados para ejecutarse automáticamente al iniciar la máquina:
- Citrix ClxMtp Service: Responsable de la generación y la rotación de certificados de CA.
- Citrix Certificate Manager Service: Responsable de la generación y la administración del certificado de CA raíz autofirmado y los certificados de la máquina.
Los siguientes pasos describen el proceso de administración de certificados:
- Los servicios se inician al iniciar la máquina.
-
Citrix ClxMtp Servicecrea claves si no se ha creado aún ninguna. - Citrix Certificate Manager Service comprueba si HDX Direct está habilitado. De lo contrario, el servicio se detiene solo.
- Si HDX Direct está habilitado, Citrix Certificate Manager Service comprueba si existe un certificado de CA raíz autofirmado. De lo contrario, se crea un certificado raíz autofirmado.
- Una vez que haya un certificado de CA raíz disponible, Citrix Certificate Manager Service comprueba si existe un certificado de máquina autofirmado. De lo contrario, el servicio genera claves y crea un certificado mediante el FQDN de la máquina.
- Si existe un certificado de máquina creado por Citrix Certificate Manager Service, y el nombre del asunto no coincide con el FQDN de la máquina, se genera un certificado nuevo.
Nota:
Citrix Certificate Manager Service genera certificados RSA que emplean claves de 2048 bits.
Dispositivo cliente
Para establecer correctamente una conexión segura de HDX Direct, el cliente debe confiar en los certificados utilizados para proteger la sesión. Para facilitar esto, el cliente recibe el certificado de CA para la sesión a través del archivo ICA (suministrado por Workspace), por lo que no es necesario distribuir los certificados de CA a los almacenes de certificados de los dispositivos cliente.