Configuration de NetScaler Gateway pour les applications TCP/UDP

Vous pouvez utiliser la procédure décrite dans Configuration de NetScaler Gateway pour les applications Web/SaaS afin de configurer les applications TCP/UDP. Pour configurer la passerelle pour les applications TCP/UDP, vous devez activer la prise en charge TCP/UDP en saisissant Y pour le paramètre Activer la prise en charge du type d’application TCP/UDP dans le script.

La figure suivante montre le paramètre Activer la prise en charge du type d’application TCP/UDP activé pour la prise en charge TCP/UDP.

Configuration NetScaler 1

Configuration de NetScaler 2

Mettre à jour la configuration NetScaler Gateway existante pour les applications TCP/UDP

Si vous mettez à jour la configuration depuis des versions antérieures vers la version 2407, il est recommandé de la mettre à jour manuellement. Pour plus de détails, consultez la section Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.

Paramètres du serveur virtuel NetScaler Gateway

Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.

Ajouter un serveur virtuel :

  • tcpProfileName : nstcp_default_XA_XD_profile
  • deploymentType : ICA_STOREFRONT (disponible uniquement avec la commandeadd vpn vserver)
  • icaOnly : OFF

Mettre à jour un serveur virtuel :

  • tcpProfileName : nstcp_default_XA_XD_profile
  • icaOnly : OFF

Pour plus de détails sur les paramètres du serveur virtuel, consultez VPN-SessionAction.

Paramètres d’action de session NetScaler Gateway

L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez ou mettez à jour une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.

  • transparentInterception: ON
  • SSO: ON
  • ssoCredential: PRIMARY
  • useMIP: NS
  • useIIP: OFF
  • icaProxy: OFF
  • ClientChoices: ON
  • ntDomain: mydomain.com - utilisé pour l’authentification unique (facultatif)
  • defaultAuthorizationAction: ALLOW
  • authorizationGroup: Groupe d’accès sécurisé
  • clientlessVpnMode: OFF
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ENABLED

Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante

Remarque :

Si vous mettez à jour manuellement la configuration existante, en plus des commandes suivantes, vous devez mettre à jour le fichier /nsconfig/rc.netscaler à l’aide de la commande. nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3

  • Ajoutez une action de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

    add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED

  • Ajoutez une stratégie de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

    add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem

  • Liez la stratégie de session au serveur virtuel VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

    bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST

  • Ajoutez une stratégie de légende HTTP pour prendre en charge la validation des autorisations pour les connexions basées sur TCP/UDP.

    add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")"

  • Ajoutez une stratégie d’autorisation pour prendre en charge les connexions basées sur TCP/UDP.

    add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW

  • Liez la stratégie d’autorisation au groupe d’authentification et d’autorisation pour prendre en charge les applications basées sur TCP/UDP.

    bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END

Informations supplémentaires

Pour plus d’informations sur NetScaler Gateway for Secure Private Access, consultez les rubriques suivantes :

Configuration de NetScaler Gateway pour les applications TCP/UDP