Citrix Gateway

Seleccione el agente de Citrix Secure Access para los usuarios

Al configurar Citrix Gateway, puede elegir cómo inician sesión los usuarios. Los usuarios pueden iniciar sesión con uno de los siguientes plug-ins:

  • Agente de Citrix Secure Access para Windows
  • Agente de Citrix Secure Access para macOS

Para completar la configuración, cree una directiva de sesión y, a continuación, vincular la directiva a usuarios, grupos o servidores virtuales. También puede habilitar plug-ins configurando los ajustes globales. En el perfil global o de sesión, seleccione Windows o macOS X como el tipo de plug-in. Cuando los usuarios inician sesión, reciben el plug-in tal y como se define globalmente o en el perfil y la directiva de la sesión. Cree perfiles independientes para el tipo de plug-in.

Configurar el plug-in globalmente

  1. En la utilidad de configuración, en la ficha Configuration, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Global Settings.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En la ficha Experiencia del cliente, junto a Tipo de plug-in, seleccione Windows/macOS X y, a continuación, haga clic en Aceptar.

Configurar el tipo de plug-in para Windows o macOS en un perfil de sesión

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. Lleve a cabo una de las siguientes acciones:
    • Si piensa crear una directiva de sesión, en el panel de detalles, haga clic en Agregar.
    • Si va a cambiar una directiva existente, selecciónela y, a continuación, haga clic en Abrir.
  3. Cree un perfil o modifique un perfil existente. Para hacerlo, realice una de las siguientes acciones:
    • Junto a Solicitar perfil, haga clic en Nuevo.
    • Junto a Solicitar perfil, haga clic en Modificar.
  4. En la ficha Experiencia del cliente, junto a Tipo de plug-in, haga clic enSupedición globaly, a continuación, seleccioneWindows/macOS X.
  5. Lleve a cabo una de las siguientes acciones:
    • Si piensa crear un perfil, haga clic en Crear, defina la expresión en el cuadro de diálogo de la directiva, haga clic en Crear y, a continuación, haga clic en Cerrar.
    • Si va a modificar un perfil existente, después de hacer la selección, haga clic en Aceptar dos veces.

Agente de Citrix Secure Access para Windows

Cuando los usuarios inician sesión en Citrix Gateway, descargan e instalan el agente de Citrix Secure Access en el dispositivo del usuario.

Para instalar el plug-in, los usuarios deben ser administradores locales o miembros del grupo Administradores. Esta restricción se aplica únicamente a la primera instalación. Las actualizaciones de plug-ins no requieren acceso de nivel de administrador.

Para permitir que los usuarios se conecten y utilicen Citrix Gateway, debe proporcionarles la siguiente información:

  • Dirección web de Citrix Gateway, como https://NetScalerGatewayFQDN/
  • Cualquier requisito del sistema para ejecutar el agente de Citrix Secure Access si configuró recursos y directivas de punto final

En función de la configuración del dispositivo de usuario, es posible que también deba proporcionar la siguiente información:

  • Si los usuarios ejecutan un firewall en su equipo, es posible que deban cambiar la configuración del firewall para que el firewall no bloquee el tráfico hacia o desde las direcciones IP correspondientes a los recursos para los que ha concedido acceso. El agente de Citrix Secure Access administra automáticamente el Firewall de conexión a Internet en Windows XP y el Firewall de Windows en Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 o Windows 8.1.
  • Los usuarios que deseen enviar tráfico a FTP a través de una conexión de Citrix Gateway deben configurar su aplicación FTP para que realice transferencias pasivas. Una transferencia pasiva significa que el equipo remoto establece la conexión de datos con el servidor FTP, en lugar de que el servidor FTP establezca la conexión de datos con el equipo remoto.
  • Los usuarios que deseen ejecutar aplicaciones cliente X en la conexión deben ejecutar un servidor X, por ejemplo XManager, en sus equipos.
  • Los usuarios que instalen Receiver para Windows o Receiver para Mac pueden iniciar el agente de Citrix Secure Access desde Receiver o mediante un explorador web. Proporcione instrucciones a los usuarios sobre cómo iniciar sesión con el agente de Citrix Secure Access a través de Receiver o un explorador web.

Dado que los usuarios trabajan con archivos y aplicaciones como si fueran locales de la red de la organización, no es necesario volver a entrenar a los usuarios ni configurar aplicaciones.

Para establecer una conexión segura por primera vez, inicie sesión en Citrix Gateway mediante la página de inicio de sesión web. El formato típico de una dirección web es https://companyname.com. Cuando los usuarios inician sesión, pueden descargar e instalar el agente de Citrix Secure Access en sus equipos.

Instale el agente de Citrix Secure Access para Windows

  1. En un explorador web, escriba la dirección web de Citrix Gateway.
  2. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Inicio de sesión.
  3. Seleccione Acceso a red y, a continuación, haga clic en Descargar.
  4. Siga las instrucciones para instalar el plug-in.

Cuando se completa la descarga, el agente de Citrix Secure Access se conecta y muestra un mensaje en el área de notificación en un equipo con Windows.

Si desea que los usuarios se conecten con el agente Citrix Secure Access sin utilizar un explorador web, puede configurar el plug-in para que muestre el cuadro de diálogo de inicio de sesión cuando los usuarios hagan clic con el botón derecho en el icono de Citrix Gateway en el área de notificación de un equipo basado en Windows o inicien el plug-in desde el menú Inicio.

Configurar el cuadro de diálogo de inicio de sesión para el agente de Citrix Secure Access para Windows

Para configurar el agente de Citrix Secure Access para que use el cuadro de diálogo de inicio de sesión, los usuarios deben iniciar sesión para completar este procedimiento.

  1. En un equipo con Windows, en el área de notificación, haga clic con el botón secundario en el icono de Citrix Gateway y, a continuación, haga clic en Configurar Citrix Gateway.
  2. Haga clic en la ficha Perfil y, a continuación, haga clic en Cambiar perfil.
  3. En la ficha Opciones, haga clic en Usar el agente de Citrix Secure Access para iniciar sesión. Nota: Si los usuarios abren el cuadro de diálogo Configurar Citrix Gateway desde Receiver, la ficha Opciones no está disponible.

Establecer el modo de interceptación para el agente de Citrix Secure Access para Windows

Si va a configurar el agente de Citrix Secure Access para Windows, también debe configurar el modo de interceptación y configurarlo en transparente.

  1. En la utilidad de configuración, haga clic en la ficha Configuración, expanda Citrix Gateway > Recursos y, a continuación, haga clic en Aplicaciones de intranet.
  2. En el panel de detalles, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Pulse en Transparente.
  5. En Protocolo, seleccione CUALQUIERA.
  6. En Tipo de destino, seleccione Dirección IP y máscara de red.
  7. En dirección IP, escriba la dirección IP.
  8. En Máscara de red, escriba la máscarade subred, haga clic en Crear y, a continuación, haga clic en Cerrar.

Aplique el acceso LAN local a los usuarios finales en función de la configuración de ADC

Los administradores pueden restringir a los usuarios finales para que habiliten o inhabilite la opción de acceso a LAN local en sus máquinas cliente. Se agrega una nueva opción, FORCED a los valores de los parámetros de acceso LAN local existentes. Cuando el valor de Acceso LAN local se establece en FORZADO, los usuarios finales no pueden usar la opción de acceso LAN local en sus máquinas cliente. Si los usuarios finales necesitan habilitar o inhabilitar el acceso a LAN local, los administradores deben configurar de nuevo la opción Acceso a LAN local en el dispositivo Citrix ADC según corresponda.

Para habilitar la opción Forzado mediante la GUI:

  1. Vaya a Citrix Gateway > Configuración global > Cambiar la configuración global.
  2. Haga clic en la ficha Experiencia del cliente y, a continuación, en Configuración avanzada.
  3. En Acceso LAN local, seleccione FORZADO.

Habilitar el acceso a LAN local

Para habilitar la opción Forzado mediante la CLI, ejecute el siguiente comando:

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Agente de Windows Citrix Secure Access mediante la Plataforma de filtrado de Windows

La Plataforma de filtrado de Windows (WFP) es un conjunto de servicios de API y sistema que proporciona una plataforma para crear aplicaciones de filtrado de red. WFP está diseñado para reemplazar las tecnologías de filtrado de paquetes anteriores, el filtro de especificación de interfaz de controlador de red (NDIS) que se utilizaba con el controlador DNE. El modo WFP es compatible con la versión 22.6.1.5 del agente de Windows Citrix Secure Access.

Instalar la compilación de WFP

Puede instalar la compilación de WFP mediante uno de los métodos siguientes.

  • Instalar el plug-in VPN con los controladores DNE y WFP (método predeterminado)

    Cuando el plug-in se instala con los controladores DNE y WFP, los administradores pueden usar el controlador WFP o DNE para tunelizar a través de un botón del Registro. De forma predeterminada, el controlador DNE se usa para la tunelización.

  • Instale el plug-in VPN solo con el controlador WFP (omita la instalación del controlador DNE)

    Los controladores DNE no son compatibles con algunas de las aplicaciones de terceros, incluso cuando no se usan. Para esas implementaciones, los administradores pueden usar este tipo de instalación. Como el controlador DNE no está instalado, solo se utiliza el controlador WFP para la tunelización.

Seleccione un controlador WFP en lugar de un controlador DNE

Siga estos pasos para seleccionar el controlador WFP en lugar del controlador DNE.

Nota:

Esto solo funciona con el método de instalación predeterminado.

  1. Descargue la compilación del plug-in VPN compatible con WFP e instale el nuevo plug-in VPN.
  2. De forma predeterminada, el controlador DNE se usa para tunelizar el tráfico. Para usar el controlador de WFP para la tunelización, los administradores deben crear la siguiente entrada del Registro:
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — Establece el valor en 1 para usar WFP y 0 para usar DNE (de forma predeterminada, DNE está habilitado si este valor del Registro no está presente o se establece en 0)

Nota:

Después de cambiar el modo de tunelización de DNE a WFP o viceversa, se debe reiniciar el sistema para que los cambios surtan efecto correctamente.

Omitir por completo la instalación de DNE

Siga estos pasos para omitir la instalación de DNE.

  1. Realice una desinstalación limpia del plug-in VPN.
    1. Desinstale el plug-in VPN actual presente en el equipo y reinícielo.
    2. Compruebe si el controlador DNE se ha desinstalado mediante cualquiera de las siguientes opciones.
      • Abra un símbolo del sistema con privilegios elevados (o PowerShell). Ejecute los siguientes comandos (el resultado de ejemplo muestra que el controlador basado en DNE está instalado en el sistema)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      Si el controlador no está instalado, se muestra el siguiente resultado:

      The specified service does not exist as an installed service.

    Dado que otros proveedores también utilizan el controlador DNE (dnelwf64.sys), puede estar presente aunque el agente de Citrix Secure Access no esté instalado en el sistema. Por otro lado, el plug-in CAG solo lo usa el agente de Citrix Secure Access.

    • La presencia del DNE también se puede comprobar intentando iniciar los controladores CAG y DNE. Abra el símbolo del sistema con derechos de administrador y ejecute los siguientes comandos:

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • Si el mensaje de salida indica que no se pueden encontrar los servicios (el nombre del servicio no es válido), el plug-in y los componentes del controlador se desinstalarán correctamente. En este caso, vaya al paso 2.
      • Si los componentes del plug-in y el controlador no se desinstalan correctamente, ejecute la utilidad Cleanup en el equipo cliente siguiendo las instrucciones que se proporcionan en https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332.
        • Descomprima la utilidad Cleanup y cópiela en una carpeta.
        • Ejecute nsRmSAC.exe desde el símbolo del sistema.
        • Reinicie la máquina cliente.
  2. Cree las siguientes entradas del Registro.

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE - Establézcala en 1 para asegurarse de que el DNE no esté instalado en la máquina
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE - Establézcala en 1 para habilitar WFP (esta entrada debe crearse si se omite la instalación de DNE)

    Nota:

    • Si las entradas del Registro no se crean antes de la instalación, se instala DNE de forma predeterminada. Además, puede comprobar los archivos de registro de VPN para validar si se utiliza WFP o DNE.
    • Si se omite la instalación de DNE, EnableWFP debe establecerse en 1. En este caso, no puede cambiar al plug-in basado en DNE sin volver a instalar el agente de Citrix Secure Access.
  3. Instale el nuevo plug-in de VPN.
  4. Confirme si el controlador de WFP está instalado en el sistema. Abra un símbolo del sistema con privilegios elevados y ejecute el siguiente comando. El resultado de ejemplo muestra que el controlador de WFP está instalado en el sistema.

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

Si el controlador no está instalado, se muestra el siguiente resultado:

The specified service does not exist as an installed service.

  1. Reinicie la máquina cliente.

Ventajas de WFP

Las siguientes son algunas de las ventajas de WFP si se realiza la instalación independiente del controlador de WFP en el cliente.

  • Compatibilidad con túnel dividido inverso basado en FQDN: El controlador de WFP permite la compatibilidad con túneles divididos INVERSOS basados en FQDN. No se admite con el controlador DNE. Para obtener más información, consulte Opciones de tunelización dividida.

  • Compatibilidad con Wireshark: DNE no permite capturar tráfico bidireccional en una máquina cliente debido a su vinculación con el adaptador Ethernet/Wi-Fi. Este no es un problema con el nuevo controlador de WFP.

  • Compatibilidad con NMAP: El nuevo controlador de WFP admite el escaneo de NMAP mientras que el plug-in de VPN se usa para tunelar el tráfico, mientras que el DNE no permite el escaneo de NMAP, mientras que el plug-in de VPN se usa para tunelar el tráfico.

  • Velocidad de la red: En algunos casos, si el DNE está instalado en un equipo cliente, la velocidad de descarga y carga se ve afectada, lo que no ocurre con WFP.

  • Rendimiento mejorado de nslookup: A veces, con DNE, nslookup no responde con un número menor de intentos y no se observa lo mismo con WFP.

  • Rendimiento mejorado de iperf sobre UDP: Con DNE, se observó cierta pérdida de paquetes durante las pruebas de escalabilidad con iperf sobre UDP. La pérdida de paquetes no se observa con WFP.

Seleccione el agente de Citrix Secure Access para los usuarios