Configurer l’installation complète du VPN sur Citrix Gateway

Cette section décrit comment configurer l’installation complète du VPN sur un dispositif Citrix Gateway. Il contient des considérations de réseautage et l’approche idéale pour résoudre les problèmes du point de vue du réseautage.

Conditions préalables

Lorsque les utilisateurs se connectent avec le plug-in Citrix Gateway, Secure Hub ou Citrix Receiver, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou Receiver décrivant les réseaux à sécuriser. Ces informations contiendront également une adresse IP si vous activez les adresses IP intranet.

Vous configurez les connexions de périphérique utilisateur en définissant les ressources auxquelles les utilisateurs peuvent accéder dans le réseau interne. La configuration des connexions de périphérique utilisateur inclut les éléments suivants :

  • Split tunneling
  • Adresses IP pour les utilisateurs, y compris les pools d’adresses (IP intranet)
  • Connexions via un serveur proxy
  • Définition des domaines auxquels les utilisateurs sont autorisés à accéder
  • Paramètres de délai d’expiration
  • Connexion unique
  • Logiciel utilisateur qui se connectera via Citrix Gateway
  • Accès pour appareils mobiles

Vous configurez la plupart des connexions de périphérique utilisateur à l’aide d’un profil qui fait partie d’une stratégie de session. Vous pouvez également définir les paramètres de connexion à l’appareil utilisateur à l’aide de stratégies d’authentification, de trafic et d’autorisation par authentification. Ils peuvent également être configurés à l’aide d’applications intranet.

Configurer un programme d’installation VPN complet sur une appliance Citrix Gateway

Pour configurer un programme d’installation VPN sur le dispositif Citrix Gateway, procédez comme suit :

  1. Dans l’utilitaire de configuration NetScaler, accédez à Gestion du trafic > DNS.

  2. Sélectionnez le nœud Serveurs de noms, comme indiqué dans la capture d’écran suivante. Assurez-vous que le serveur de noms DNS est répertorié. S’il n’est pas disponible, ajoutez un serveur de noms DNS.

    image localisée

  3. Développez Citrix Gateway > Stratégies.

  4. Sélectionnez le nœud Session.

  5. Activez l’onglet Profils de la page Stratégies et profils de session Citrix Gateway et cliquez sur Ajouter.

    Pour chaque composant que vous configurez dans la boîte de dialogue Configurer le profil de session Citrix Gateway, assurez-vous de sélectionner l’option Remplacer global pour le composant respectif.

  6. Activez l’onglet Expérience client.

  7. Tapez l’URL du portail intranet dans le champ Page d’accueil si vous souhaitez présenter une URL lorsque l’utilisateur se connecte au VPN. Si le paramètre de page d’accueil est défini sur’nohomepage.html “, la page d’accueil ne sera pas affichée. Lorsque le plug-in démarre, une instance de navigateur démarre et se tue automatiquement.

    image localisée

  8. Assurez-vous de sélectionner le paramètre souhaité dans la liste Split Tunnel (pour plus d’informations sur ce paramètre, vérifiez ci-dessus).

  9. Sélectionnez OFF dans la liste Accès sans client si vous souhaitez FullVPN.

    image localisée

  10. Assurez-vous que Windows/Mac OS X est sélectionné dans la liste Type de plug-in.

  11. Sélectionnez l’option Single Sign-On to Web Applications si vous le souhaitez.

  12. Assurez-vous que l’option Invite de nettoyage du client est sélectionnée si nécessaire, comme indiqué dans la capture d’écran suivante :

    image localisée

  13. Activez l’onglet Sécurité.

  14. Assurez-vous que l’option Allow est sélectionnée dans la liste Action d’autorisation par défaut, comme indiqué dans la capture d’écran suivante :

    image localisée

  15. Activez l’onglet Applications publiées.

  16. Assurez-vous que OFF est sélectionné dans la liste Proxy ICA sous l’option Applications publiées.

    image localisée

  17. Cliquez sur Créer.

  18. Cliquez sur Fermer.

  19. Activez l’onglet Stratégies de la page Stratégies et profils de session Citrix Gateway dans le serveur virtuel ou activez les stratégies de session au niveau GROUP/USER selon les besoins.

  20. Créez une stratégie de session avec une expression requise ou ns_true, comme indiqué dans la capture d’écran suivante :

    image localisée

  21. Liez la stratégie de session au serveur virtuel VPN.

    Accédez à Serveur virtuel Citrix Gateway > Stratégie. Choisissez la stratégie de session requise (dans cet exemple Session_Policy) dans la liste déroulante.

  22. Si Split Tunnel a été configuré sur ON, vous devez configurer les applications intranet auxquelles vous souhaitez que les utilisateurs accèdent lorsqu’ils sont connectés au VPN. Accédez à Citrix Gateway > Ressources > Applications Intranet.

    image localisée

  23. Créez une nouvelle application Intranet. Sélectionnez Transparent pour FullVPN avec le client Windows. Sélectionnez le protocole que vous souhaitez autoriser (TCP, UDP ou ANY), le type de destination (adresse IP et masque, plage d’adresses IP ou nom d’hôte).

    image localisée

    Il n’y a pas de support VPN complet pour les applications iOS et Android.

  24. Définissez une nouvelle stratégie pour Citrix VPN sur iOS et Android à l’aide de l’expression suivante : REQ. HTTP. HEADER User-Agent CONTAINS /NSGiOSplugin Il REQ.HTTP.HEADER User -Agent CONTAINS /CitrixVPN

    localized image

  25. Liez les applications intranet créées au niveau USER/GROUP/VSERVER selon vos besoins.

    Paramètres supplémentaires

    Voici quelques-uns des paramètres que nous pouvons configurer et une brève description de chacun :

    Split Tunnel

    image localisée

Split Tunnel désactivé

Lorsque le split tunneling est désactivé, le plug-in Citrix Gateway capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à Citrix Gateway. En d’autres termes, le client VPN établit une route par défaut à partir du PC client pointant vers le VIP Citrix Gateway, ce qui signifie que tout le trafic doit être envoyé par le tunnel pour se rendre à la destination. Étant donné que tout le trafic va être envoyé par le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer par les ressources réseau internes ou s’il est refusé.

Bien que réglé sur « off », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, nous devrions transférer ces requêtes à un proxy externe en utilisant NetScaler. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
Citrix Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge par proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur Citrix Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur Citrix Gateway. Le serveur proxy est utilisé comme proxy direct pour toutes les connexions ultérieures au réseau interne.

Pour plus d’informations, consultez les liens suivants :

Split Tunnel ON

Vous pouvez activer le split tunneling pour empêcher le plug-in Citrix Gateway d’envoyer du trafic réseau inutile à Citrix Gateway. Si le split tunneling est activé, le plug-in Citrix Gateway envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par Citrix Gateway via le tunnel VPN. Le plug-in Citrix Gateway n’envoie pas le trafic réseau destiné aux réseaux non protégés à Citrix Gateway. Lorsque le plug-in Citrix Gateway démarre, il obtient la liste des applications intranet de Citrix Gateway et établit un itinéraire pour chaque sous-réseau défini dans l’onglet de l’application intranet du PC client. Le plug-in Citrix Gateway examine tous les paquets transmis à partir de la machine utilisateur et compare les adresses dans les paquets à la liste des applications intranet (table de routage créée au démarrage de la connexion VPN). Si l’adresse de destination dans le paquet se trouve dans l’une des applications intranet, le plug-in Citrix Gateway envoie le paquet via le tunnel VPN à Citrix Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut défini à l’origine sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau intercepté et envoyé par le tunnel ».

Pour plus d’informations, consultez le lien suivant :

Split tunneling inversé

Citrix Gateway prend également en charge le split tunneling inversé, qui définit le trafic réseau que Citrix Gateway n’intercepte pas. Si vous définissez le split tunneling inversé, les applications intranet définissent le trafic réseau que Citrix Gateway n’intercepte pas. Lorsque vous activez le split tunneling inversé, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que d’autres trafic passent par Citrix Gateway. Le split tunneling inversé peut être utilisé pour consigner tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau sans fil domestique et sont connectés avec le plug-in Citrix Gateway, Citrix Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre périphérique du réseau sans fil.

Pour configurer le split tunneling

  1. Dans l’utilitaire de configuration, accédez à l’onglet Configuration > Citrix Gateway > Stratégies > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.

  3. Sous l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Remplacer global, sélectionnez une option, puis cliquez deux fois sur OK.

    Configuration du split tunneling et de l’autorisation

    Lors de la planification de votre déploiement Citrix Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation par défaut et les stratégies d’autorisation.

    Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Vous avez le split tunneling défini sur ON et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via Citrix Gateway. Lorsque Citrix Gateway possède ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas accéder à la ressource.

    image localisée

Si la stratégie d’autorisation refuse l’accès à une ressource réseau, que vous avez défini le split tunneling sur ON et que les applications intranet sont configurées pour acheminer le trafic réseau via Citrix Gateway, le plug-in Citrix Gateway envoie du trafic à Citrix Gateway, mais l’accès à la ressource est refusé.

Pour plus d’informations sur les stratégies d’autorisation, consultez les informations suivantes :

Pour configurer l’accès réseau aux ressources réseau internes

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration > Citrix Gateway > Ressources > Applications Intranet.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Complétez les paramètres permettant l’accès au réseau, cliquez sur Créer, puis sur Fermer.

Lorsque nous ne configurons pas les adresses IP intranet pour les utilisateurs VPN, l’utilisateur envoie le trafic à Citrix Gateway VIP, puis à partir de là, NetScaler construit un nouveau paquet à la ressource de l’application intranet située sur le réseau local interne. Ce nouveau paquet va être fourni à partir du SNIP vers l’application intranet. À partir de là, l’application intranet obtient le paquet, le traite, puis tente de répondre à la source de ce paquet (le SNIP dans ce cas). Le SNIP récupère le paquet et renvoie la réponse au client qui a fait la demande. Pour plus d’informations, consultez le lien suivant :

Aucune IP Intranet

Lorsque l’adresse IP Intranet est utilisée, l’utilisateur envoie le trafic à Citrix Gateway VIP, puis à partir de là, NetScaler va mapper l’adresse IP du client dans l’une des adresses IP INTRANET configurées à partir du pool. Soyez informé que NetScaler va posséder le pool IP Intranet et, pour cette raison, ces plages ne doivent pas être utilisées dans le réseau interne. NetScaler attribuera une adresse IP Intranet pour les connexions VPN entrantes comme le ferait un serveur DHCP . NetScaler construit un nouveau paquet vers l’application intranet située sur le réseau local auquel l’utilisateur aurait accès. Ce nouveau paquet va être fourni à partir de l’une des adresses IP intranet vers l’application intranet. À partir de là, les applications intranet obtiennent le paquet, le traitent, puis tentent de répondre à la source de ce paquet (l’adresse IP INTRANET). Dans ce cas, le paquet de réponse doit être acheminé vers NetScaler, où se trouvent les adresses IP INTRANET (Rappelez-vous que NetScaler possède les sous-réseaux IP Intranet). Pour accomplir cette tâche, l’administrateur réseau doit avoir une route vers l’adresse IP INTRANET, pointant vers l’un des SNIP (il est recommandé de pointer le trafic vers le SNIP qui contient la route à partir de laquelle le paquet quitte NetScaler la première fois pour éviter tout trafic asymétrique).

Pour plus d’informations, consultez le lien suivant :

IP Intranet

Configuration de la résolution du service de noms

Lors de l’installation de Citrix Gateway, vous pouvez utiliser l’assistant Citrix Gateway pour configurer des paramètres supplémentaires, y compris des fournisseurs de services de noms. Les fournisseurs de services de noms traduisent le nom de domaine complet (FQDN) en une adresse IP. Dans l’assistant Citrix Gateway, vous pouvez configurer un serveur DNS ou WINS, définir la priorité de la recherche DNS et le nombre de fois où réessayer la connexion au serveur.

Lorsque vous exécutez l’Assistant Citrix Gateway, vous pouvez ajouter un serveur DNS à ce moment-là. Vous pouvez ajouter des serveurs DNS supplémentaires et un serveur WINS à Citrix Gateway à l’aide d’un profil de session. Vous pouvez ensuite demander aux utilisateurs et aux groupes de se connecter à un serveur de résolution de noms différent de celui que vous avez utilisé à l’origine pour configurer l’Assistant.

Avant de configurer un serveur DNS supplémentaire sur Citrix Gateway, créez un serveur virtuel qui agit en tant que serveur DNS pour la résolution de noms.

Pour ajouter un serveur DNS ou WINS dans un profil de session

  1. Dans l’utilitaire de configuration, onglet Configuration > Citrix Gateway > Stratégies > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.

  3. Sous l’onglet Configuration réseau, effectuez l’une des opérations suivantes :

    • Pour configurer un serveur DNS, en regard de Serveur virtuel DNS, cliquez sur Remplacer global, sélectionnez le serveur, puis cliquez sur OK.

    • Pour configurer un serveur WINS, en regard de l’adresse IP du serveur WINS, cliquez sur Remplacer global, tapez l’adresse IP, puis cliquez sur OK.