Configurar túnel dividido
Puede habilitar el túnel dividido para evitar que el agente de Citrix Secure Access envíe tráfico de red innecesario a Citrix Gateway.
Cuando no habilita el túnel dividido, el agente de Citrix Secure Access captura todo el tráfico de red que se origina en un dispositivo de usuario y envía el tráfico a través del túnel VPN a Citrix Gateway.
Si habilita el túnel dividido, el agente de Citrix Secure Access envía solo el tráfico destinado a las redes protegidas por Citrix Gateway a través del túnel VPN. El agente de Citrix Secure Access no envía tráfico de red destinado a redes desprotegidas a Citrix Gateway.
Cuando se inicia el agente de Citrix Secure Access, obtiene la lista de aplicaciones de intranet de Citrix Gateway. El agente de Citrix Secure Access examina todos los paquetes transmitidos en la red desde el dispositivo del usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet. Si la dirección de destino del paquete se encuentra dentro de una de las aplicaciones de intranet, el agente de Citrix Secure Access envía el paquete a través del túnel VPN a Citrix Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada. Al habilitar la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta.
Nota:
Si los usuarios se conectan a aplicaciones publicadas en un conjunto de servidores mediante la aplicación Citrix Workspace, no es necesario configurar la tunelización dividida.
Citrix Gateway también admite la tunelización dividida inversa, que define el tráfico de red que Citrix Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que Citrix Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por Citrix Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica e inician sesión con el agente de Citrix Secure Access, Citrix Gateway no intercepta el tráfico de red destinado a una impresora u otro dispositivo dentro de la red inalámbrica.
Para obtener más información sobre las aplicaciones de intranet, consulte Configuración de la interceptación de clientes.
Configure la tunelización dividida como parte de la directiva de sesión.
Para configurar el túnel dividido
- En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Directivas de Citrix Gateway y, a continuación, haga clic en Sesión.
- En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.
- En la ficha Experiencia del cliente, junto a Dividir túnel, seleccione Anulación global, seleccione una opción y, a continuación, haga clic dos veces en Aceptar.
Configurar la autorización y la tunelización dividida
Al planificar la implementación de Citrix Gateway, es importante tener en cuenta la tunelización dividida y la acción de autorización y las directivas de autorización predeterminadas.
Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. La tunelización dividida está activada y no configura las aplicaciones de intranet para enviar tráfico de red a través de Citrix Gateway. Cuando Citrix Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.
Si la directiva de autorización deniega el acceso a un recurso de red, tiene el túnel dividido configurado en ON y las aplicaciones de intranet están configuradas para enrutar el tráfico de red a través de Citrix Gateway, el agente de Citrix Secure Access envía tráfico a Citrix Gateway, pero se deniega el acceso al recurso.