Configuración de VPN completa en Citrix Gateway

En esta sección se describe cómo configurar la configuración completa de VPN en un dispositivo Citrix Gateway. Contiene consideraciones sobre redes y el enfoque ideal para resolver problemas desde la perspectiva de la red.

Requisitos previos

• Instale un certificado SSL y vincúlelo al servidor virtual VPN.

  • CTX109260: Cómo generar e instalar un certificado SSL público en un dispositivo NetScaler

  • CTX122521: Cómo reemplazar el certificado predeterminado de un dispositivo NetScaler por un certificado de CA de confianza que coincida con el nombre de host del dispositivo

  • Documentación de Citrix: Vinculación del par de claves de certificado al servidor virtual basado en SSL

• Cree un perfil de autenticación para Citrix Gateway.

  • Para obtener información adicional, consulte Documentación de Citrix - Configuración de la autenticación de usuarios externos

  • Para obtener información adicional, consulte Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único

• Descargue Citrix VPN Client.

• Cree una directiva de sesión que permita conexiones VPN completas.

Cuando los usuarios se conectan con el agente Citrix Secure Access, Secure Hub o la aplicación Citrix Workspace, el software cliente establece un túnel seguro a través del puerto 443 (o cualquier puerto configurado en Citrix Gateway) y envía información de autenticación. Una vez que se ha establecido el túnel, Citrix Gateway envía información de configuración al agente de Citrix Secure Access, Citrix Secure Hub o la aplicación Citrix Workspace que describe las redes que se van a proteger. Esta información también contiene una dirección IP si habilita las IP de la intranet.

Las conexiones de dispositivos de usuario se configuran definiendo los recursos a los que los usuarios pueden acceder en la red interna. La configuración de conexiones de dispositivos de usuario incluye lo siguiente:

• Túneles divididos
• Direcciones IP de usuarios, incluidos grupos de direcciones (IP de intranet)
• Conexiones a través de un servidor proxy
• Definición de los dominios a los que se permite el acceso de los usuarios
• Configuración de tiempo de espera
• Single Sign-On
• Software de usuario que se conecta a través de Citrix Gateway
• Acceso para dispositivos móviles

La mayoría de las conexiones de dispositivos de usuario se configuran mediante un perfil que forma parte de una directiva de sesión. También puede definir la configuración de conexión del dispositivo de usuario mediante directivas de autenticación, tráfico y autorización. También se pueden configurar mediante aplicaciones de intranet.

Configurar una configuración VPN completa en un dispositivo Citrix Gateway

Para configurar una configuración de VPN en el dispositivo Citrix Gateway, realice el siguiente procedimiento:

1. Vaya a Administración del tráfico > DNS.

2. Seleccione el nodo Servidores de nombres, como se muestra en la siguiente captura de pantalla. Asegúrese de que el servidor de nombres DNS aparece en la lista. Si no está disponible, agregue un servidor de nombres DNS.

   

3. Expanda Citrix Gateway > Directivas.

4. Seleccione el nodo Sesión.

5. En la página Perfiles y directivas de sesión de Citrix Gateway, haga clic en la ficha Perfiles y haga clic en Agregar. Para cada componente que configure en el cuadro de diálogo Configurar perfil de sesión de Citrix Gateway, asegúrese de seleccionar la opción Supedición global para el componente correspondiente.

6. Haga clic en la ficha Experiencia del cliente.

7. Escriba la URL del portal de la intranet en el campo Página de inicio si quiere presentar cualquier URL cuando el usuario inicie sesión en la VPN. Si el parámetro de página de inicio se establece en “nohomepage.html”, la página principal no se muestra. Cuando se inicia el plug-in, se inicia una instancia del explorador y se mata automáticamente.

   

8. Asegúrese de seleccionar la configuración deseada de la lista Túnel dividido.

9. Selecciona DESACTIVADO en la lista Acceso sin cliente si quieres FullVPN.

   

10. Asegúrese de que Windows/Mac OS X esté seleccionado en la lista Tipo de plug-in.

11. Seleccione la opción Inicio de sesión único en aplicaciones web si lo quiere.

12. Asegúrese de que la opción Mensaje de limpieza del cliente esté seleccionada si es necesario, como se muestra en la siguiente captura de pantalla:

    

13. Haga clic en la ficha Seguridad.

14. Asegúrese de que ALLOW esté seleccionado en la lista Acción de autorización predeterminada, como se muestra en la siguiente captura de pantalla:

    

15. Haga clic en la ficha Published Applications.

16. Asegúrese de que está seleccionado DESACTIVADO en la lista Proxy ICA de la opción Aplicaciones publicadas.

    

17. Haga clic en Crear.

18. Haga clic en Cerrar.

19. Haga clic en la ficha Directivas de la página Perfiles y directivas de sesión de Citrix Gateway del servidor virtual o active las Directivas de sesión a nivel de GRUPO/USUARIO según sea necesario.

20. Cree una directiva de sesión con una expresión requerida o true, como se muestra en la siguiente captura de pantalla:

    

21. Enlazar la directiva de sesión al servidor virtual VPN. Para obtener más información, consulte Vinculación de directivas de sesión.

    Si el Túnel dividido se activó, debe configurar las aplicaciones de intranet a las que quiere que accedan los usuarios cuando estén conectados a la VPN. Para obtener más información sobre las aplicaciones de intranet, consulte Configuración de aplicaciones de intranet para el agente de Citrix Secure Access.

    

    1. Vaya a Citrix Gateway > Recursos > Aplicaciones de intranet.

    2. Cree una aplicación de intranet. Seleccione Transparente para FullVPN con cliente Windows. Seleccione el protocolo que quiere permitir (TCP, UDP o ANY), el tipo de destino (dirección IP y máscara, intervalo de direcciones IP o nombre de host).

       

    3. Si es necesario, defina una nueva directiva para Citrix VPN en iOS y Android mediante la siguiente expresión: HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android")

    4. Enlazar las aplicaciones de intranet creadas a nivel USER/GRUPO/VSERVER según sea necesario.

Configurar túnel dividido

1. Vaya a Configuración > Citrix Gateway > Directivas > Sesión.

2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Modificar.

3. En la ficha Experiencia del cliente, junto a Túnel dividido, seleccione Anulación global, seleccione una opción y, a continuación, haga clic en Aceptar.

   Configurar la autorización y la tunelización dividida

   Al planificar la implementación de Citrix Gateway, es importante tener en cuenta la tunelización dividida y la acción de autorización y las directivas de autorización predeterminadas.

   Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. La tunelización dividida está activada y no configura las aplicaciones de intranet para enviar tráfico de red a través de Citrix Gateway. Cuando Citrix Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.

   

Si la directiva de autorización deniega el acceso a un recurso de red, el agente de Citrix Secure Access envía tráfico a Citrix Gateway, pero se deniega el acceso al recurso en las siguientes condiciones.

• Tiene el túnel dividido configurado en ON.
• Las aplicaciones de intranet están configuradas para dirigir el tráfico de red a través de Citrix Gateway

Para obtener más información sobre las directivas de autorización, revise lo siguiente:

• Configuración de autorización

• Configuración de directivas de autorización

• Configuración de la autorización global predeterminada

Para configurar el acceso de red a los recursos internos de la red

1. Vaya a Configuración > Citrix Gateway > Recursos > Aplicaciones de intranet.

2. En el panel de detalles, haga clic en Agregar.

3. Complete los parámetros para permitir el acceso a la red, haga clic en Crear y, a continuación, en Cerrar.

Cuando no configuramos las IP de la intranet para los usuarios de VPN, el usuario envía el tráfico al VIP de Citrix Gateway y, a partir de ahí, el dispositivo Citrix ADC crea un nuevo paquete en el recurso de aplicación de intranet de la LAN interna. Este nuevo paquete se va a obtener desde el SNIP hacia la aplicación de intranet. Desde aquí, la aplicación de intranet obtiene el paquete, lo procesa y, a continuación, intenta responder al origen de ese paquete (el SNIP en este caso). El SNIP recibe el paquete y envía la respuesta al cliente que realizó la solicitud.

Cuando se utiliza una dirección IP de intranet, el usuario envía el tráfico al VIP de Citrix Gateway y, desde allí, el dispositivo Citrix ADC asignará la IP del cliente a una de las IP de INTRANET configuradas desde el grupo. Tenga en cuenta que el dispositivo Citrix ADC va a ser propietario del grupo de IP de la intranet y, por este motivo, estos rangos no deben utilizarse en la red interna. El dispositivo Citrix ADC asigna una IP de intranet para las conexiones VPN entrantes como lo haría un servidor DHCP. El dispositivo Citrix ADC crea otro paquete para la aplicación de intranet en la LAN al que accedería el usuario. Este nuevo paquete se va a obtener de una de las IP de la intranet hacia la aplicación de intranet. Desde aquí, las aplicaciones de intranet obtienen el paquete, lo procesan y luego intentan responder al origen de ese paquete (la IP INTRANET). En este caso, el paquete de respuesta debe redirigirse al dispositivo Citrix ADC, donde se encuentran las IP de INTRANET (recuerde que el dispositivo Citrix ADC posee las subredes IP de intranet). Para llevar a cabo esta tarea, el administrador de red debe tener una ruta hacia la IP de INTRANET que apunte a uno de los SNIP. Se recomienda redirigir el tráfico hacia el SNIP que contiene la ruta desde la que sale el paquete del dispositivo Citrix ADC por primera vez para evitar cualquier tráfico asimétrico.

Opciones de tunelización dividida

Estas son las distintas opciones de tunelización dividida.

Túnel dividido APAGADO

Cuando el túnel dividido está desactivado, el agente de Citrix Secure Access captura todo el tráfico de red que se origina en un dispositivo de usuario y envía el tráfico a través del túnel VPN a Citrix Gateway. En otras palabras, el cliente VPN establece una ruta predeterminada desde el PC cliente que apunta al VIP de Citrix Gateway, lo que significa que todo el tráfico debe enviarse a través del túnel para llegar al destino. Dado que todo el tráfico se va a enviar a través del túnel, las directivas de autorización deben determinar si se permite el paso del tráfico a los recursos internos de la red o si se deniega.

Si bien está configurado en “desactivado”, todo el tráfico pasa por el túnel, incluido el tráfico web estándar a los sitios web. Si el objetivo es supervisar y controlar este tráfico web, debe reenviar estas solicitudes a un proxy externo mediante el dispositivo Citrix ADC. Los dispositivos de usuario también se pueden conectar a través de un servidor proxy para acceder a redes internas.
Citrix Gateway admite los protocolos HTTP, SSL, FTP y SOCKS. Para habilitar la compatibilidad con proxy para las conexiones de usuario, debe especificar esta configuración en Citrix Gateway. Puede especificar la dirección IP y el puerto que utiliza el servidor proxy de Citrix Gateway. El servidor proxy se utiliza como proxy de reenvío para todas las demás conexiones a la red interna.

Para obtener más información, consulte los siguientes enlaces:

• Habilitación del soporte proxy para conexiones de usuario

Túnel dividido ENCENDIDO

Puede habilitar el túnel dividido para evitar que el agente de Citrix Secure Access envíe tráfico de red innecesario a Citrix Gateway. Si el túnel dividido está habilitado, el agente de Citrix Secure Access envía solo tráfico destinado a redes protegidas (aplicaciones de intranet) por Citrix Gateway a través del túnel VPN. El agente de Citrix Secure Access no envía tráfico de red destinado a redes desprotegidas a Citrix Gateway. Cuando se inicia el agente de Citrix Secure Access, obtiene la lista de aplicaciones de intranet de Citrix Gateway y establece una ruta para cada subred definida en la ficha de la aplicación de intranet en el PC cliente. El agente de Citrix Secure Access examina todos los paquetes transmitidos desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet (tabla de enrutamiento creada cuando se inició la conexión VPN). Si la dirección de destino del paquete se encuentra dentro de una de las aplicaciones de intranet, el agente de Citrix Secure Access envía el paquete a través del túnel VPN a Citrix Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada mediante la redirección predeterminada definida originalmente en el equipo cliente. “Cuando habilita la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta y se envía a través del túnel”.

Túnel dividido inverso

Citrix Gateway también admite la tunelización dividida inversa, que define el tráfico de red que Citrix Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que Citrix Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por Citrix Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica e inician sesión con el agente de Citrix Secure Access, Citrix Gateway no intercepta el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.

Nota:

El agente de Citrix Secure Access para Windows también admite el túnel dividido inverso basado en FQDN de Citrix Secure Access, versión 22.6.1.5 y posteriores.

Configurar resolución de servicios de nombres

Durante la instalación de Citrix Gateway, puede utilizar el asistente de Citrix Gateway para configurar otras opciones, incluidos los proveedores de servicios de nombres. Los proveedores de servicios de nombres traducen el nombre de dominio completo (FQDN) en una dirección IP. En el asistente de Citrix Gateway, también puede realizar lo siguiente:

• Configurar un servidor DNS o WINS
• Establecer la prioridad de la búsqueda de DNS
• Defina el número de veces que se debe volver a intentar la conexión con el servidor.

Al ejecutar el asistente de Citrix Gateway, puede agregar un servidor DNS. Puede agregar otros servidores DNS y un servidor WINS a Citrix Gateway mediante un perfil de sesión. A continuación, puede indicar a los usuarios y grupos que se conecten a un servidor de resolución de nombres distinto del que utilizó originalmente el asistente para configurar.

Antes de configurar otro servidor DNS en Citrix Gateway, cree un servidor virtual que actúe como servidor DNS para la resolución de nombres.

Para agregar un servidor DNS o WINS dentro de un perfil de sesión

1. En la utilidad de configuración, ficha de configuración > Citrix Gateway > Directivas > Sesión.

2. En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.

3. En la ficha Configuración de red, realice una de las siguientes acciones:

   • Para configurar un servidor DNS, junto a Servidor virtual DNS, haga clic en Anular global, seleccione el servidor y, a continuación, haga clic en Aceptar.

   • Para configurar un servidor WINS, junto a IP del servidor WINS, haga clic en Anular global, escriba la dirección IP y, a continuación, haga clic en Aceptar.

Referencias

• Cómo se conectan los usuarios con el agente de Citrix Secure Access
• Acerca de Citrix Gateway
• Seleccione el método de acceso de usuario