Configurar la configuración completa de VPN en Citrix Gateway

En esta sección se describe cómo configurar la configuración completa de VPN en un dispositivo Citrix Gateway. Contiene consideraciones sobre la creación de redes y el enfoque ideal para resolver problemas desde la perspectiva de la creación de redes.

Requisitos previos

Cuando los usuarios se conectan con el plug-in de Citrix Gateway, Secure Hub o Citrix Receiver, el software cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado en Citrix Gateway) y envía información de autenticación. Una vez establecido el túnel, Citrix Gateway envía información de configuración al plug-in de Citrix Gateway, Secure Hub o Receiver que se describen las redes que se van a proteger. Esa información también contendrá una dirección IP si habilita las direcciones IP de intranet.

Las conexiones de dispositivos de usuario se configuran definiendo los recursos a los que los usuarios pueden acceder en la red interna. La configuración de las conexiones de dispositivos de usuario incluye lo siguiente:

  • Túneles divididos
  • Direcciones IP para usuarios, incluidos grupos de direcciones (IP de intranet)
  • Conexiones a través de un servidor proxy
  • Definir los dominios a los que se permite el acceso de los usuarios
  • Configuración de tiempo de espera
  • Inicio de sesión único
  • Software de usuario que se conectará a través de Citrix Gateway
  • Acceso para dispositivos móviles

Configurar la mayoría de las conexiones de dispositivos de usuario mediante un perfil que forma parte de una directiva de sesión. También puede definir la configuración de conexión del dispositivo de usuario mediante directivas de autenticación, tráfico y autorización. También se pueden configurar mediante aplicaciones de intranet.

Configurar una instalación VPN completa en un dispositivo Citrix Gateway

Para configurar una configuración de VPN en el dispositivo Citrix Gateway, siga el procedimiento siguiente:

  1. En la utilidad de configuración de NetScaler, vaya a Traffic Management > DNS.

  2. Seleccione el nodo Servidores de nombres, como se muestra en la siguiente captura de pantalla. Asegúrese de que el servidor de nombres DNS aparece en la lista. Si no está disponible, agregue un servidor de nombres DNS.

    Imagen localizada

  3. Expanda Citrix Gateway > Directivas.

  4. Seleccione el nodo Sesión.

  5. Active la ficha Perfiles de la página Directivas y perfiles de sesión de Citrix Gateway y haga clic en Agregar.

    Para cada componente que configure en el cuadro de diálogo Configurar perfil de sesión de Citrix Gateway, asegúrese de seleccionar la opción Anular global para el componente respectivo.

  6. Active la pestaña Experiencia del cliente.

  7. Escriba la dirección URL del portal de intranet en el campo Página de inicio si desea presentar alguna dirección URL cuando el usuario inicie sesión en la VPN. Si el parámetro homepage se establece en “nohomepage.html”, la página principal no se mostrará. Cuando se inicia el complemento, se inicia una instancia del navegador y se mata automáticamente.

    Imagen localizada

  8. Asegúrese de seleccionar la configuración deseada en la lista Dividir túnel (para obtener más información sobre esta configuración, consulte arriba).

  9. Seleccione OFF en la lista Acceso sin cliente si desea FullVPN.

    Imagen localizada

  10. Asegúrese de que Windows/Mac OS X está seleccionado en la lista Tipo de complemento.

  11. Seleccione la opción Single Sign-on to Web Applications si lo desea.

  12. Asegúrese de que la opción Mensaje de limpieza del cliente está seleccionada si es necesario, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  13. Active la ficha Seguridad.

  14. Asegúrese de que ALOJAR está seleccionado en la lista Acción de autorización predeterminada, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  15. Active la pestaña Aplicaciones publicadas.

  16. Asegúrese de que OFF está seleccionado en la lista de proxy ICA en la opción Aplicaciones publicadas.

    Imagen localizada

  17. Haga clic en Crear.

  18. Haga clic en Cerrar.

  19. Active la pestaña Directivas de la página Directivas y perfiles de sesión de Citrix Gateway en el servidor virtual o active las directivas de sesión en el nivel GROUP/USER según sea necesario.

  20. Cree una directiva de sesión con una expresión requerida o ns_true, como se muestra en la siguiente captura de pantalla:

    Imagen localizada

  21. Enlazar la directiva de sesión al servidor virtual VPN.

    Vaya a Servidor virtual Citrix Gateway > Directiva. Elija la directiva de sesión requerida (en este ejemplo Session_Policy) de la lista desplegable.

  22. Si el túnel dividido se configuró en ON, debe configurar las aplicaciones de intranet a las que desea que accedan los usuarios cuando estén conectados a la VPN. Vaya a Citrix Gateway > Recursos > Aplicaciones de intranet.

    Imagen localizada

  23. Crear una nueva aplicación de intranet. Seleccione Transparente para FullVPN con cliente Windows. Seleccione el protocolo que desea permitir (TCP, UDP o ANY), Tipo de destino (dirección IP y máscara, rango de direcciones IP o nombre de host).

    Imagen localizada

    No hay soporte completo de VPN para aplicaciones iOS y Android.

  24. Establezca una nueva directiva para Citrix VPN en iOS y Android utilizando la siguiente expresión: REQ. HTTP. HEADER User-Agent CONTIENE /NSGIOSPlugin Il REQ.HTTP.HEADER Usuario -Agent CONTIENE /CitrixVPN

    ! [image localizada] (/es-es/citrix-gateway/media/10-configure-full-vpn-setup.png)

  25. Enlazar las aplicaciones de intranet creadas en el nivel USER/GROUP/VSERVER según sea necesario.

    Parámetros adicionales

    Los siguientes son algunos de los parámetros que podemos configurar y una breve descripción de cada uno:

    Túnel dividido

    Imagen localizada

Dividir túnel desactivado

Cuando el túnel dividido está desactivado, el plug-in de Citrix Gateway captura todo el tráfico de red que se origina desde un dispositivo de usuario y envía el tráfico a través del túnel VPN a Citrix Gateway. En otras palabras, el cliente VPN establece una ruta predeterminada desde el PC cliente que apunta a Citrix Gateway VIP, lo que significa que todo el tráfico debe enviarse a través del túnel para llegar al destino. Dado que todo el tráfico se va a enviar a través del túnel, las directivas de autorización deben determinar si se permite que el tráfico pase a través de recursos de red internos o si se deniega.

Mientras está configurado en “desactivado”, todo el tráfico pasa por el túnel, incluido el tráfico Web estándar a los sitios web. Si el objetivo es monitorear y controlar este tráfico web, entonces debemos reenviar estas solicitudes a un proxy externo usando NetScaler. Los dispositivos de usuario también pueden conectarse a través de un servidor proxy para acceder a redes internas.
Citrix Gateway admite los protocolos HTTP, SSL, FTP y SOCKS. Para habilitar la compatibilidad con proxy para conexiones de usuario, debe especificar esta configuración en Citrix Gateway. Puede especificar la dirección IP y el puerto utilizados por el servidor proxy en Citrix Gateway. El servidor proxy se utiliza como proxy de reenvío para todas las conexiones adicionales a la red interna.

Para obtener más información, consulte los siguientes enlaces:

Túnel dividido activado

Puede habilitar la tunelización dividida para evitar que el plug-in de Citrix Gateway envíe tráfico de red innecesario a Citrix Gateway. Si el túnel dividido está habilitado, el plug-in de Citrix Gateway envía solo tráfico destinado a redes protegidas (aplicaciones de intranet) por Citrix Gateway a través del túnel VPN. El plug-in de Citrix Gateway no envía tráfico de red destinado a redes no protegidas a Citrix Gateway. Cuando se inicia el plug-in de Citrix Gateway, obtiene la lista de aplicaciones de intranet de Citrix Gateway y establece una ruta para cada subred definida en la ficha de aplicación de intranet del equipo cliente. El plug-in de Citrix Gateway examina todos los paquetes transmitidos desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet (tabla de enrutamiento creada cuando se inició la conexión VPN). Si la dirección de destino del paquete está dentro de una de las aplicaciones de intranet, el plug-in de Citrix Gateway envía el paquete a través del túnel VPN a Citrix Gateway. Si la dirección de destino no está en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada mediante el enrutamiento predeterminado definido originalmente en el equipo cliente. “Cuando habilita la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta y se envía a través del túnel”.

Para obtener más información, consulte el siguiente enlace:

Túnel de división inversa

Citrix Gateway también admite tunelización dividida inversa, que define el tráfico de red que Citrix Gateway no intercepta. Si configura la tunelización dividida para revertir, las aplicaciones de intranet definen el tráfico de red que Citrix Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el otro tráfico pasa a través de Citrix Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica y han iniciado sesión con el plug-in de Citrix Gateway, Citrix Gateway no interceptará el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.

Para configurar el túnel dividido

  1. Desde la Utilidad de configuración, vaya a la ficha Configuración > Citrix Gateway > Directivas > Sesión.

  2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.

  3. En la ficha Experiencia del cliente, junto a Dividir túnel, seleccione Anulación global, seleccione una opción y, a continuación, haga clic dos veces en Aceptar.

    Configurar la autorización y la tunelización dividida

    Al planificar la implementación de Citrix Gateway, es importante considerar la tunelización dividida y la acción de autorización predeterminada y las directivas de autorización.

    Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. Ha configurado la tunelización dividida en ON y no configura las aplicaciones de intranet para enviar tráfico de red a través de Citrix Gateway. Cuando Citrix Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.

    Imagen localizada

Si la directiva de autorización deniega el acceso a un recurso de red, tiene establecida la tunelización dividida en ON y las aplicaciones de intranet están configuradas para enrutar el tráfico de red a través de Citrix Gateway, el plug-in de Citrix Gateway envía tráfico a Citrix Gateway, pero se deniega el acceso al recurso.

Para obtener más información acerca de las directivas de autorización, revise lo siguiente:

Para configurar el acceso de red a los recursos de red internos

  1. En la utilidad de configuración, en la ficha Configuración > Citrix Gateway > Recursos > Aplicaciones de intranet.

  2. En el panel de detalles, haga clic en Agregar.

  3. Complete los parámetros para permitir el acceso a la red, haga clic en Crear y, a continuación, haga clic en Cerrar.

Cuando no configuramos IP de intranet para los usuarios VPN, el usuario envía el tráfico a Citrix Gateway VIP y, a continuación, NetScaler crea un nuevo paquete en el recurso de aplicación de intranet ubicado en la LAN interna. Este nuevo paquete se va a enviar desde el SNIP hacia la aplicación de intranet. Desde aquí, la aplicación de intranet obtiene el paquete, lo procesa y luego intenta responder al origen de ese paquete (el SNIP en este caso). El SNIP obtiene el paquete y envía la respuesta al cliente que realizó la solicitud. Para obtener más información, consulte el siguiente enlace:

Sin IP de Intranet

Cuando se utiliza la IP de Intranet, el usuario envía el tráfico a Citrix Gateway VIP y, a continuación, desde allí, NetScaler va a asignar la IP del cliente a una de las IP de Intranet configuradas desde el grupo. Tenga en cuenta que NetScaler va a poseer el grupo IP de Intranet y, por esta razón, estos rangos no deben usarse en la red interna. NetScaler asignará una IP de intranet para las conexiones VPN entrantes como haría un servidor DHCP. NetScaler crea un nuevo paquete en la aplicación de intranet ubicada en la LAN a la que el usuario tendría acceso. Este nuevo paquete se va a obtener desde una de las IP de Intranet hacia la aplicación de Intranet. Desde aquí, las aplicaciones de intranet obtienen el paquete, lo procesan y, a continuación, intentan responder al origen de ese paquete (la IP de INTRANET). En este caso, el paquete de respuesta debe enrutarse de nuevo a NetScaler, donde se encuentran las IP de INTRANET (recuerde que NetScaler posee las subredes IP de Intranet). Para llevar a cabo esta tarea, el administrador de red debe tener una ruta a la IP de INTRANET, apuntando a uno de los SNIP (se recomienda apuntar el tráfico hacia el SNIP que contiene la ruta desde la que el paquete sale de NetScaler la primera vez para evitar cualquier tráfico asimétrico).

Para obtener más información, consulte el siguiente enlace:

IP de Intranet

Configuración de la resolución del servicio de nombres

Durante la instalación de Citrix Gateway, puede utilizar el asistente de Citrix Gateway para configurar opciones adicionales, incluidos los proveedores de servicios de nombres. Los proveedores de servicios de nombres traducen el nombre de dominio completo (FQDN) a una dirección IP. En el asistente de Citrix Gateway, puede configurar un servidor DNS o WINS, establecer la prioridad de la búsqueda DNS y el número de veces que desea volver a intentar la conexión con el servidor.

Cuando ejecuta el asistente de Citrix Gateway, puede agregar un servidor DNS en ese momento. Puede agregar servidores DNS adicionales y un servidor WINS a Citrix Gateway mediante un perfil de sesión. A continuación, puede dirigir a los usuarios y grupos para que se conecten a un servidor de resolución de nombres distinto del que utilizó originalmente el asistente para configurar.

Antes de configurar un servidor DNS adicional en Citrix Gateway, cree un servidor virtual que actúe como servidor DNS para la resolución de nombres.

Para agregar un servidor DNS o WINS dentro de un perfil de sesión

  1. En la utilidad de configuración, ficha Configuración > Citrix Gateway > Directivas > Sesión.

  2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.

  3. En la ficha Configuración de red, realice una de las siguientes acciones:

    • Para configurar un servidor DNS, junto a Servidor virtual DNS, haga clic en Anular global, seleccione el servidor y, a continuación, haga clic en Aceptar.

    • Para configurar un servidor WINS, junto a la dirección IP del servidor WINS, haga clic en Anular Global, escriba la dirección IP y, a continuación, haga clic en Aceptar.