Configuración de NetScaler Gateway para aplicaciones TCP/UDP
Puede utilizar el procedimiento descrito en Configuración de NetScaler Gateway para aplicaciones Web/SaaS para configurar las aplicaciones TCP/UDP. Para configurar la puerta de enlace para aplicaciones TCP/UDP, debe habilitar la compatibilidad con TCP/UDP introduciendo Y en el parámetro Habilitar compatibilidad con el tipo de aplicación TCP/UDP del script.
En la siguiente figura se muestra el parámetro Habilitar la compatibilidad con el tipo de aplicación TCP/UDP habilitado para la compatibilidad con TCP/UDP.
Actualizar la configuración actual de NetScaler Gateway para las aplicaciones TCP/UDP
Si está actualizando la configuración de versiones anteriores a la 2407, se recomienda que actualice la configuración manualmente. Para obtener más información, consulte Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente. Además, debe actualizar el servidor virtual de NetScaler Gateway y los parámetros de las acciones de sesión.
Parámetros del servidor virtual NetScaler Gateway
Al agregar o actualizar el servidor virtual de NetScaler Gateway existente, asegúrese de que los siguientes parámetros estén configurados en los valores definidos. Para ver ejemplos de comandos, consulte Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente. Además, debe actualizar el servidor virtual de NetScaler Gateway y los parámetros de las acciones de sesión.
Agregue un servidor virtual:
- tcpProfileName: nstcp_default_XA_XD_profile
- DeploymentType: ICA_STOREFRONT (disponible solo con el comando
add vpn vserver) - icaOnly: DESACTIVADO
Actualizar un servidor virtual:
- tcpProfileName: nstcp_default_XA_XD_profile
- icaOnly: DESACTIVADO
Para obtener más información sobre los parámetros del servidor virtual, consulte VPN-SessionAction.
Configuración de las acciones de sesión de NetScaler Gateway
La acción de sesión está enlazada a un servidor virtual de puerta de enlace con directivas de sesión. Al crear o actualizar una acción de sesión, asegúrese de que los siguientes parámetros estén establecidos en los valores definidos. Para ver ejemplos de comandos, consulte Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente. Además, debe actualizar el servidor virtual de NetScaler Gateway y los parámetros de las acciones de sesión.
-
transparentInterception: ON -
SSO: ON -
ssoCredential: PRIMARY -
useMIP: NS -
useIIP: OFF -
icaProxy: OFF -
ClientChoices: ON -
ntDomain: mydomain.com: se usa para el inicio de sesión único (opcional) -
defaultAuthorizationAction: PERMITIR -
authorizationGroup: SecureAccessGroup -
clientlessVpnMode: OFF -
clientlessModeUrlEncoding: TRANSPARENT -
SecureBrowse: ENABLED
Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente
Nota:
Si actualiza manualmente la configuración existente, además de los siguientes comandos, debe actualizar el archivo /nsconfig/rc.netscaler con el comando
nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3.
-
Agregue una acción de sesión VPN para admitir las conexiones basadas en Citrix Secure Access.
add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -
Agregue una directiva de sesión VPN para admitir las conexiones basadas en Citrix Secure Access.
add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem -
Enlace la directiva de sesión al servidor virtual VPN para admitir las conexiones basadas en Citrix Secure Access.
bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST -
Agregue una directiva de llamada HTTP para admitir la validación de la autorización para las conexiones basadas en TCP/UDP.
add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")" -
Agregue una directiva de autorización para admitir conexiones basadas en TCP/UDP.
add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW -
Enlace la directiva de autorización al grupo de autenticación y autorización para admitir aplicaciones basadas en TCP/UDP.
bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END
Información adicional
Para obtener información adicional sobre NetScaler Gateway para Secure Private Access, consulte los siguientes temas: