Citrix Gateway

Full VPN setup on Citrix Gateway

Cette section explique comment configurer la configuration complète du VPN sur un dispositif Citrix Gateway. Il contient des considérations de mise en réseau et l’approche idéale pour résoudre les problèmes du point de vue de la mise en réseau.

Conditions préalables

Lorsque les utilisateurs se connectent avec l’agent Citrix Secure Access, Secure Hub ou l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Une fois le tunnel établi, Citrix Gateway envoie des informations de configuration à l’agent Citrix Secure Access, à Citrix Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser. Ces informations contiennent également une adresse IP si vous activez les adresses IP intranet.

Vous configurez les connexions de machine utilisateur en définissant les ressources auxquelles les utilisateurs peuvent accéder sur le réseau interne. La configuration des connexions de machine utilisateur comprend les éléments suivants :

  • Tunneling Split
  • Adresses IP des utilisateurs, y compris les pools d’adresses (IP intranet)
  • Connexions via un serveur proxy
  • Définition des domaines auxquels les utilisateurs sont autorisés à accéder
  • Paramètres de délai d’expiration
  • Single Sign-On
  • Logiciel utilisateur qui se connecte via Citrix Gateway
  • Accès pour appareils mobiles

Vous configurez la plupart des connexions utilisateur et machine à l’aide d’un profil qui fait partie d’une stratégie de session. Vous pouvez également définir les paramètres de connexion de l’appareil utilisateur en utilisant des stratégies d’authentification, de trafic et d’autorisation par authentification. Ils peuvent également être configurés à l’aide d’applications intranet.

Configurer une configuration VPN complète sur une appliance Citrix Gateway

Pour configurer une configuration VPN sur l’appliance Citrix Gateway, procédez comme suit :

  1. Accédez à Gestion du trafic > DNS.

  2. Sélectionnez le nœud Serveurs de noms, comme illustré dans la capture d’écran suivante. Assurez-vous que le serveur de noms DNS est répertorié. S’il n’est pas disponible, ajoutez un serveur de noms DNS.

    sélectionnez le serveur de noms

  3. Développez Citrix Gateway > Stratégies.

  4. Sélectionnez le nœud Session .

  5. Dans la page Stratégies et profils de session Citrix Gateway, cliquez sur l’onglet Profils, puis sur Ajouter. Pour chaque composant que vous configurez dans la boîte de dialogue Configurer le profil de session Citrix Gateway, veillez à sélectionner l’option Override Global pour le composant respectif.

  6. Cliquez sur l’onglet Expérience client .

  7. Tapez l’URL du portail intranet dans le champ Page d’accueil si vous souhaitez présenter une URL lorsque l’utilisateur se connecte au VPN. Si le paramètre de la page d’accueil est défini sur « nohomepage.html », la page d’accueil n’est pas affichée. Lorsque le plug-in démarre, une instance de navigateur démarre et est automatiquement supprimée.

    Entrez l'URL du portail intranet

  8. Assurez-vous de sélectionner le paramètre souhaité dans la liste Split Tunnel.

  9. Sélectionnez DÉSACTIVÉ dans la liste Accès sans client si vous souhaitez utiliser FullVPN.

    désactivation de l'accès sans client

  10. Assurez-vous que Windows/Mac OS X est sélectionné dans la liste Type de plug-in .

  11. Sélectionnez l’option Single Sign-On to Web Applications si vous le souhaitez.

  12. Assurez-vous que l’option Invite de nettoyage du client est sélectionnée si nécessaire, comme illustré dans la capture d’écran suivante :

    nettoyage du client

  13. Cliquez sur l’onglet Sécurité.

  14. Assurez-vous que ALLOW est sélectionné dans la liste Action d’autorisation par défaut, comme indiqué dans la capture d’écran suivante :

    définir l'action d'autorisation par défaut à autoriser

  15. Cliquez sur l’onglet Published Applications.

  16. Assurez-vous que OFF est sélectionné dans la liste Proxy ICA sous l’option Applications publiées .

    désactivation du proxy ICA

  17. Cliquez sur Créer.

  18. Cliquez sur Fermer.

  19. Cliquez sur l’onglet Stratégies de la page Stratégies et profils de session Citrix Gateway sur le serveur virtuel ou activez les stratégies de session au niveau du GROUPE/UTILISATEUR, selon les besoins.

  20. Créez une stratégie de session avec une expression requise ou true, comme illustré dans la capture d’écran suivante :

    Créer une stratégie de session

  21. Liez la stratégie de session au serveur virtuel VPN. Pour plus d’informations, voir Stratégies de session de liaison.

    Si Split Tunnel a été configuré sur ON, vous devez configurer les applications intranet auxquelles vous souhaitez que les utilisateurs accèdent lorsqu’ils sont connectés au VPN. Pour plus d’informations sur les applications intranet, reportez-vous à la section Configuration des applications intranet pour l’agent Citrix Secure Access.

    applications intranet

    1. Accédez à Citrix Gateway > Ressources > Applications intranet.

    2. Créez une application Intranet. Sélectionnez Transparent pour FullVPN avec client Windows. Sélectionnez le protocole que vous souhaitez autoriser (TCP, UDP ou ANY), le type de destination (adresse IP et masque, plage d’adresses IP ou nom d’hôte).

      créer une application intranet

    3. Si nécessaire, définissez une nouvelle stratégie pour Citrix VPN sur iOS et Android à l’aide de l’expression suivante : HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixVPN")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("NSGiOSplugin")&&HTTP.REQ.HEADER("User-Agent").CONTAINS("Android") définir une stratégie pour VPN

    4. Liez les applications intranet créées au niveau USER/GROUPE/VSERVER selon les besoins.

Configurer le split tunneling

  1. Accédez à Configuration > Citrix Gateway > Stratégies > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Modifier.

  3. Dans l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Global Override, sélectionnez une option, puis cliquez sur OK.

    Configuration du split tunneling et de l’autorisation

    Lors de la planification de votre déploiement Citrix Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation et les stratégies d’autorisation par défaut.

    Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Le split tunneling est défini sur ON et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via Citrix Gateway. Lorsque Citrix Gateway dispose de ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas accéder à la ressource.

    configurer le VPN complet

Si la stratégie d’autorisation refuse l’accès à une ressource réseau, l’agent Citrix Secure Access envoie le trafic à Citrix Gateway, mais l’accès à la ressource est refusé dans les conditions suivantes.

  • Vous avez défini le split tunneling sur ON.
  • Les applications intranet sont configurées pour acheminer le trafic réseau via Citrix Gateway

Pour plus d’informations sur les stratégies d’autorisation, consultez les points suivants :

Pour configurer l’accès réseau aux ressources réseau internes

  1. Accédez à Configuration > Citrix Gateway > Ressources > Applications intranet.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Renseignez les paramètres d’autorisation d’accès au réseau, cliquez sur Créer, puis sur Fermer.

Lorsque nous ne configurons pas les adresses IP intranet pour les utilisateurs VPN, l’utilisateur envoie le trafic à la VIP Citrix Gateway, puis à partir de là, l’appliance Citrix ADC crée un nouveau paquet vers la ressource d’application intranet sur le réseau local interne. Ce nouveau paquet provient du SNIP vers l’application intranet. À partir de là, l’application intranet récupère le paquet, le traite, puis tente de répondre à la source de ce paquet (le SNIP dans ce cas). Le SNIP récupère le paquet et envoie la réponse au client qui a effectué la demande.

Pour plus d’informations, consultez le lien suivant :

Pas d’IP Intranet

Lorsqu’une adresse IP intranet est utilisée, l’utilisateur envoie le trafic à la VIP Citrix Gateway, puis à partir de là, l’appliance Citrix ADC va mapper l’adresse IP du client vers l’une des adresses IP INTRANET configurées à partir du pool. Sachez que l’appliance Citrix ADC sera propriétaire du pool d’adresses IP Intranet et que, pour cette raison, ces plages ne doivent pas être utilisées dans le réseau interne. L’appliance Citrix ADC attribue une adresse IP Intranet aux connexions VPN entrantes, comme le ferait un serveur DHCP. L’appliance Citrix ADC crée un nouveau paquet vers l’application intranet sur le réseau local auquel l’utilisateur doit accéder. Ce nouveau paquet provient de l’une des adresses IP intranet vers l’application intranet. À partir de là, les applications intranet obtiennent le paquet, le traitent, puis tentent de répondre à la source de ce paquet (l’adresse IP INTRANET). Dans ce cas, le paquet de réponse doit être redirigé vers l’appliance Citrix ADC, où se trouvent les adresses IP INTRANET (rappelez-vous que l’appliance Citrix ADC possède les sous-réseaux IP Intranet). Pour accomplir cette tâche, l’administrateur réseau doit disposer d’une route vers l’adresse IP INTRANET, pointant vers l’un des SNIP. Il est recommandé de rediriger le trafic vers le SNIP qui contient la route à partir de laquelle le paquet quitte l’appliance Citrix ADC la première fois afin d’éviter tout trafic asymétrique.

Pour plus d’informations, consultez le lien suivant :

IP Intranet

Options de split tunneling

Voici les différentes options de split tunneling.

Configuration du tunnel divisé

Tunnel divisé OFF

Lorsque le split tunnel est désactivé, l’agent Citrix Secure Access capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à Citrix Gateway. En d’autres termes, le client VPN établit une route par défaut à partir du PC client pointant vers la VIP Citrix Gateway, ce qui signifie que tout le trafic doit être envoyé via le tunnel pour atteindre la destination. Étant donné que tout le trafic va être envoyé via le tunnel, les stratégies d’autorisation doivent déterminer si le trafic est autorisé à passer aux ressources réseau internes ou s’il est refusé.

Lorsqu’il est défini sur « Désactivé », tout le trafic passe par le tunnel, y compris le trafic Web standard vers les sites Web. Si l’objectif est de surveiller et de contrôler ce trafic Web, vous devez transférer ces demandes à un proxy externe à l’aide de l’appliance Citrix ADC. Les machines utilisateur peuvent également se connecter via un serveur proxy pour accéder aux réseaux internes.
Citrix Gateway prend en charge les protocoles HTTP, SSL, FTP et SOCKS. Pour activer la prise en charge du proxy pour les connexions utilisateur, vous devez spécifier ces paramètres sur Citrix Gateway. Vous pouvez spécifier l’adresse IP et le port utilisés par le serveur proxy sur Citrix Gateway. Le serveur proxy est utilisé comme proxy de transfert pour toutes les connexions ultérieures au réseau interne.

Pour plus d’informations, consultez les liens suivants :

Tunnel Split ON

Vous pouvez activer le split tunneling pour empêcher l’agent Citrix Secure Access d’envoyer du trafic réseau inutile à Citrix Gateway. Si le split tunnel est activé, l’agent Citrix Secure Access envoie uniquement le trafic destiné aux réseaux protégés (applications intranet) par Citrix Gateway via le tunnel VPN. L’agent Citrix Secure Access n’envoie pas de trafic réseau destiné à des réseaux non protégés à Citrix Gateway. Lorsque l’agent Citrix Secure Access démarre, il obtient la liste des applications intranet auprès de Citrix Gateway et établit un itinéraire pour chaque sous-réseau défini dans l’onglet application intranet du PC client. L’agent Citrix Secure Access examine tous les paquets transmis depuis la machine utilisateur et compare les adresses contenues dans les paquets à la liste des applications intranet (table de routage créée lors du démarrage de la connexion VPN). Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, l’agent Citrix Secure Access envoie le paquet via le tunnel VPN à Citrix Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine ensuite le paquet de manière appropriée en utilisant le routage par défaut initialement défini sur le PC client. « Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau qui est intercepté et envoyé via le tunnel ».

Pour plus d’informations, consultez le lien suivant :

Tunnel divisé inversé

Citrix Gateway prend également en charge le split tunneling inverse, qui définit le trafic réseau que Citrix Gateway n’intercepte pas. Si vous définissez le split tunneling sur Inverse, les applications intranet définissent le trafic réseau que Citrix Gateway n’intercepte pas. Lorsque vous activez le split tunneling inverse, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par Citrix Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau sans fil domestique et sont connectés avec l’agent Citrix Secure Access, Citrix Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre périphérique du réseau sans fil.

Remarque :

l’agent Citrix Secure Access pour Windows prend également en charge le split tunnel inversé basé sur le nom de domaine complet à partir de Citrix Secure Access version 22.6.1.5 et versions ultérieures.

Configuration de la résolution du service de noms

Lors de l’installation de Citrix Gateway, vous pouvez utiliser l’assistant Citrix Gateway pour configurer d’autres paramètres, y compris les fournisseurs de services de noms. Les fournisseurs de services de noms traduisent le nom de domaine complet (FQDN) en adresse IP. Dans l’assistant Citrix Gateway, vous pouvez également effectuer les opérations suivantes :

  • Configuration d’un serveur DNS ou WINS
  • Définir la priorité de la recherche DNS
  • Définissez le nombre de tentations de connexion au serveur.

Lorsque vous exécutez l’assistant Citrix Gateway, vous pouvez ajouter un serveur DNS. Vous pouvez ajouter d’autres serveurs DNS et un serveur WINS à Citrix Gateway à l’aide d’un profil de session. Vous pouvez ensuite diriger les utilisateurs et les groupes pour qu’ils se connectent à un serveur de résolution de noms différent de celui que vous avez initialement utilisé pour configurer l’assistant.

Avant de configurer un autre serveur DNS sur Citrix Gateway, créez un serveur virtuel qui agit en tant que serveur DNS pour la résolution des noms.

Pour ajouter un serveur DNS ou WINS dans un profil de session

  1. Dans l’utilitaire de configuration, onglet Configuration > Citrix Gateway > Stratégies > Session.

  2. Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.

  3. Dans l’onglet Configuration réseau, effectuez l’une des opérations suivantes :

    • Pour configurer un serveur DNS, en regard de Serveur virtuel DNS, cliquez sur Remplacer le serveur global, sélectionnez le serveur, puis cliquez sur OK.

    • Pour configurer un serveur WINS, en regard de Adresse IP du serveur WINS, cliquez sur Override Global, tapez l’adresse IP, puis cliquez sur OK.

Références

Full VPN setup on Citrix Gateway