Proxy RDP

Descripción general y mejoras del proxy RDP a través de Citrix Gateway

Las siguientes funciones de proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de Citrix Gateway:

  • Proteja el tráfico RDP a través del modo CVPN o iCAproxy (sin túnel completo).

  • Inicio de sesión único (SSO) en servidores RDP a través de Citrix Gateway. También proporciona una opción para inhabilitar el inicio de usuario (SSO) si es necesario).

  • Función Aplicación (SmartAccess), en la que los administradores de Citrix ADC pueden inhabilitar determinadas capacidades de RDP mediante la configuración de Citrix Gateway.

  • Solución de puerta de enlace unida/sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).

  • Compatibilidad con el cliente nativo de Windows MSTSC para RDP sin necesidad de clientes personalizados.

  • Uso del cliente RDP proporcionado por Microsoft existente en MACOSX, iOS y Android.

Descripción general de la implementación

La siguiente figura muestra una descripción general de la implementación:

Imagen localizada

La funcionalidad de proxy RDP se proporciona como parte de Citrix Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo Citrix Gateway se implementa dentro de la DMZ y el conjunto de servidores RDP se encuentra en la red corporativa interna. El usuario remoto se conecta a la dirección IP pública de Citrix Gateway, establece una conexión VPN SSL y se autentica, después de lo cual puede acceder a los escritorios remotos a través del dispositivo Citrix Gateway.

La función RDP Proxy es compatible con los modos CVPN e iCAproxy.

Implementación a través de CVPN

En este modo, los enlaces RDP se publican en la página principal o portal de Gateway, como marcadores, a través de la configuración ‘add vpn url ‘o a través del portal externo. El usuario puede hacer clic en estos enlaces para obtener acceso al Escritorio remoto.

Implementación a través de iCAproxy

En este modo se configura una página de inicio personalizada en el Gateway VIP mediante el parámetro wihome. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en Citrix ADC o, si es externa, puede ser un iFrame en la página del portal de Gateway existente.

En cualquiera de los modos, después de que el usuario haga clic en el vínculo o icono de RDP aprovisionado, una solicitud HTTPS para el recurso correspondiente llega a Citrix Gateway.La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un oyente RDP en Gateway. Gateway realiza SSO en el servidor RDP al admitir la aplicación (acceso inteligente), en la que la puerta de enlace bloquea el acceso del cliente a determinadas funciones de RDP, según la configuración de Citrix ADC, y luego hace proxy el tráfico RDP entre el cliente RDP y el servidor.

Detalles de cumplimiento

El administrador de Citrix ADC puede configurar determinadas capacidades de RDP mediante la configuración de Citrix Gateway. Citrix Gateway proporciona la función de “cumplimiento de RDP” para parámetros importantes de RDP. Citrix ADC garantiza que el cliente no puede habilitar los parámetros bloqueados. Si los parámetros bloqueados están activados, la función de cumplimiento RDP sustituye a los parámetros habilitados por el cliente y no se respetan.

Parámetros RDP admitidos para la aplicación

Se admite la aplicación de los siguientes parámetros de redirección. Estos se pueden configurar como parte de un perfil de cliente RDP.

  • Redirección del Portapapeles

  • Redirección de impresoras

  • Redirección de unidades de disco

  • Redirección de puertos COM

  • Redirección de dispositivos pnp

Flujo de conexión

El flujo de conexión se puede dividir en dos pasos:

  • Enumeración de recursos RDP y descarga de archivos RDP.

  • Inicio de la conexión RDP.

Según el flujo de conexión anterior, existen dos soluciones de implementación:

  • Solución de puerta de enlace sin estado (doble): la enumeración de recursos RDP y la descarga de archivos RDP ocurre a través de la puerta de enlace de autenticador, pero el inicio de la conexión RDP ocurre a través de la puerta de enlace de escucha de RDP.

  • Solución de puerta de enlace única: la enumeración de recursos RDP, la descarga de archivos RDP y el lanzamiento de la conexión RDP se producen a través de la misma puerta de enlace.

Compatibilidad con puerta de enlace sin estado (doble)

En la siguiente figura se muestra el despliegue:

Imagen localizada

  • El usuario se conecta al Authenticator Gateway VIP y proporciona sus credenciales.

  • Después de iniciar sesión correctamente en la puerta de enlace, el usuario se redirige a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.

  • Una vez que el usuario selecciona un recurso RDP, la puerta de enlace de autenticación VIP recibe una solicitud en el formato quehttps://vserver-vip/rdpproxy/rdptarget/listener indica el recurso publicado en el que el usuario hizo clic. Esta solicitud tiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado.

  • La solicitud /rdpproxy/ es procesada por la puerta de enlace de autenticación. Dado que el usuario ya está autenticado, esta solicitud viene con una cookie de Gateway válida.

  • La información RDPTarget y RDPuser se almacena en el servidor STA y se genera un Ticket STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La puerta de enlace de autenticación utiliza uno de los servidores STA configurados en el servidor de puerta de enlace Vserver.

  • La información de ‘Listener’ obtenida en la solicitud /rdpproxy/ se coloca en el archivo.rdp como “fulladdress”, y el ticket STA (pre-penado con STA authID) se coloca en el archivo.rdp como “loadbalanceinfo. “

  • El archivo.rdp se envía de nuevo al punto final del cliente.

  • El cliente RDP nativo se inicia y se conecta a la puerta de enlace RDPListener. Envía el ticket STA en el paquete inicial.

    La puerta de enlace RDPListener valida el vale STA y obtiene la información RDPTarget y RDPuser. El servidor STA que se va a utilizar se recupera utilizando el ‘AuthID’ presente en loadbalanceinfo.

Compatibilidad con una puerta de enlace única

En la siguiente figura se muestra el despliegue:

Imagen localizada

En el caso de una implementación de puerta de enlace única, no se requiere el servidor STA. La puerta de enlace del autenticador codifica el RDPTarget y la cookie de sesión AAA de forma segura y los envía como loadbalanceinfo en el archivo.rdp. Cuando el cliente RDP envía este token en el paquete inicial, la puerta de enlace del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta al RDPTarget.

Requisitos de licencia para proxy RDP

Edición Platinum, Edición Platinum, Edición Enterprise

Nota Lafunción RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la edición Standard.

La función de proxy RDP tiene que estar habilitada para que el proxy RDP funcione.

enable feature rdpProxy

Pasos de configuración

Los pasos de configuración de alto nivel se enumeran de la siguiente manera:

  1. Habilitar la función
  2. Crear marcadores en el portal de puerta de enlace o utilizar un portal de puerta de enlace personalizado que enumera los recursos de RDP
  3. Configurar un perfil de cliente RDP
  4. Configurar un perfil de servidor RDP

Habilitar las funciones y modos necesarios

  • habilitar la función ns ssl

  • habilitar la función ns sslvpn

  • habilitar la función ns rdpproxy

  • habilitar modo usnip

Creación de marcadores

  1. Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza con rdp: //).

  2. Añadir url<urlName> <linkName>  <actualURL>vpn

    • La dirección URL debe tener el siguiente formato:rdp://<TargetIP:Port>.
    • Para el modo proxy RDP sin estado, la dirección URL debe tener el formato siguiente:rdp://<TargetIP:Port>/<ListenerIP:Port>

    • La URL se publicará en el portal en el formato: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Enlazar los marcadores al usuario, o grupo, o al servidor virtual vpn o vpn global.

Configuración de un Perfil de Cliente

Configure el perfil de cliente en la puerta de enlace del autenticador. A continuación se muestra una configuración de ejemplo:

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

Asocie el perfil del cliente RDP con el vserver vpn.

Esto se puede hacer configurando una SessionAction+SessionPolicy o estableciendo el parámetro vpn global.

Ejemplo:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

O BIEN

set vpn parameter –rdpClientprofile <name>

Configuración de un perfil de servidor

Configure el perfil del servidor en la puerta de enlace del listener.

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

El perfil RDPServer debe configurarse en ‘vpn vserver’.

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Configuración de ejemplo

Imagen localizada

  • Habilitar las funciones y modos necesarios

    • habilitar la función ns ssl

    • habilitar la función ns sslvpn

    • habilitar la función ns rdpproxy

    • habilitar modo usnip

  • Agregar URL VPN para el usuario con información de destino

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
    
  • Configurar el perfil de cliente y servidor RDP para la conexión VPN

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
    
  • ADD SNIP para la conexión desde Citrix ADC al destino

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
    

Opción para inhabilitar el inicio de usuario (SSO)

La función SSO (Single Sign-On) con proxy RDP se puede inhabilitar configurando directivas de tráfico ADC de Citrix para que el usuario siempre reciba credenciales. Cuando el SSO está inhabilitado, la aplicación RDP (Smart Access) no funciona.

Ejemplo de configuración:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF

La directiva de tráfico se puede configurar según el requisito, a continuación se presentan dos ejemplos:

• Para inhabilitar el inicio de usuario único para todo el tráfico:

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>

• Para inhabilitar SSO basado en IP/FQDN de origen/destino

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>

Compatibilidad con Single Listener

  • Listener único para tráfico RDP y SSL.

  • La descarga de archivos RDP y el tráfico RDP se pueden manejar a través de la misma tupla 2 (es decir, IP y Port) en Citrix ADC.

Marcador

Generación de enlaces RDP a través del Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando TARGIP:Port. Para la implementación de proxy RDP-sin estado, el administrador puede incluir información de escucha de RDP en formato FQDN: Puerto como parte del perfil de cliente de RDP. Esto se hace bajo la opción RDPListener. Esta configuración se utilizará para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.

Imagen localizada

Configuración del proxy RDP

Haga lo siguiente para configurar el proxy RDP:

  1. Expanda Citrix Gateway, expanda Directivas, haga clic con el botón secundario en RDP y haga clic en Habilitar función.

    Imagen localizada

  2. Haga clic en RDP a la izquierda. A la derecha, cambie a la pestaña Perfiles de cliente y haga clic en Agregar.

    Imagen localizada

  3. Asigne un nombre al perfil de cliente y configúrelo como desee. Desplazarse hacia abajo

    Imagen localizada

  4. En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.

  5. Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitarás esto más tarde.

    Imagen localizada

  6. Asigne un nombre al perfil del servidor.

  7. Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.

  8. Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.

    Imagen localizada

  9. Si desea colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursosy haga clic en Marcadores.

    Imagen localizada

  10. A la derecha, haz clic en Agregar.

    Imagen localizada

  11. Asigne un nombre al Marcador.

  12. Para la dirección URL, escriba rdp: //myRDPServer utilizando IP o DNS.

  13. Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.

  14. Cree más marcadores según desee.

    Imagen localizada

  15. Cree o edite un perfil o una directiva de sesión.

  16. En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.

    Imagen localizada

  17. En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.

    Imagen localizada

  18. Si desea utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen activado.

    Imagen localizada

  19. En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.

    Imagen localizada

  20. Modifique o cree su servidor virtual de puerta de enlace.

  21. En la sección Configuración básica, haga clic en Más.

    Imagen localizada

  22. Utilice el menú desplegable Perfil de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.

    Imagen localizada

  23. Desplázate hacia abajo. Asegúrese de que ICA Only no está marcada.

    Imagen localizada

  24. Enlazar un certificado.

  25. Vincular directivas de autenticación.

  26. Enlazar la política/perfil de sesión que tiene configurado el perfil de cliente RDP. Imagen localizada

  27. Haga clic en RDP a la izquierda. A la derecha, cambie a la pestaña Perfiles de cliente y haga clic en Agregar.

    Imagen localizada

  28. Asigne un nombre al perfil de cliente y configúrelo como desee. Desplazarse hacia abajo

    Imagen localizada

  29. En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.

  30. Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitarás esto más tarde.

    Imagen localizada

  31. Asigne un nombre al perfil del servidor.

  32. Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.

  33. Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.

    Imagen localizada

  34. Si desea colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursosy haga clic en Marcadores.

    Imagen localizada

  35. A la derecha, haz clic en Agregar.

    Imagen localizada

  36. Asigne un nombre al Marcador.

  37. Para la dirección URL, escriba rdp: //myRDPServer utilizando IP o DNS.

  38. Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.

  39. Cree más marcadores según desee.

    Imagen localizada

  40. Cree o edite un perfil o una directiva de sesión.

  41. En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.

    Imagen localizada

  42. En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.

    Imagen localizada

  43. Si desea utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen activado.

    Imagen localizada

  44. En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.

    Imagen localizada

  45. Modifique o cree su servidor virtual de puerta de enlace.

  46. En la sección Configuración básica, haga clic en Más.

    Imagen localizada

  47. Utilice el menú desplegable Perfil de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.

    Imagen localizada

  48. Desplázate hacia abajo. Asegúrese de que ICA Only no está marcada.

    Imagen localizada

  49. Enlazar un certificado.

  50. Vincular directivas de autenticación.

  51. Enlazar la política/perfil de sesión que tiene configurado el perfil de cliente RDP.

    Imagen localizada

  52. Puede enlazar marcadores al servidor virtual de Citrix Gateway o a un grupo AAA. Para enlazar con el servidor virtual de Citrix Gateway, a la derecha, en la sección Configuración avanzada, haga clic en PAplicaciones ublished.

    Imagen localizada

  53. A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.

    Imagen localizada

  54. Enlazar tus marcadores.

    Imagen localizada

  55. Dado que ICA Only no está especificado para este servidor virtual de Citrix Gateway, asegúrese de que las licencias de Citrix Gateway Universal estén configuradas correctamente. A la izquierda, expanda Citrix Gateway y haga clic en Configuración global.

    Imagen localizada

  56. A la derecha, haz clic en Cambiar la configuración AAA de autenticación.

    Imagen localizada

  57. Cambie el número máximo de usuarios a su límite de licencia.

    Imagen localizada

  58. Si desea conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración de tráfico > DNS > Servidores de nombres).

    Imagen localizada

  59. Si desea utilizar los nombres cortos en lugar de FQDN, agregue unsufijo D NS (Administración de tráfico > DNS > Sufijo DNS).

    Imagen localizada

  60. Conéctese a su Gateway e inicie sesión.

    Imagen localizada

  61. Si ha configurado Marcadores, haga clic en el Marcador.

    Imagen localizada

  62. Puede cambiar la barra de direcciones a /rdpProxy/myRDPServer. Puede introducir una dirección IP (por ejemplo, rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).

    Imagen localizada

  63. Abra el archivo.rdp descargado.

    Imagen localizada

  64. Para ver los usuarios conectados actualmente, vaya a Citrix Gateway Policies > RDP. A la derecha está la pestaña Conexiones.

    Imagen localizada