Citrix Secure Private Access

Configuración de NetScaler Gateway para aplicaciones TCP/UDP

October 21, 2024

Contribución de:

C C

Puede utilizar el procedimiento descrito en Configuración de NetScaler Gateway para aplicaciones web/SaaS para configurar aplicaciones TCP/UDP. Para configurar la puerta de enlace para aplicaciones TCP/UDP, debe habilitar la compatibilidad con TCP/UDP ingresando Y para el parámetro Habilitar compatibilidad con tipos de aplicaciones TCP/UDP en el script.

La siguiente figura muestra el parámetro Habilitar compatibilidad con tipos de aplicaciones TCP/UDP habilitado para compatibilidad con TCP/UDP.

Configuración 1 de NetScaler

Configuración 2 de NetScaler

Actualizar la configuración existente de NetScaler Gateway para aplicaciones TCP/UDP

Si está actualizando la configuración de versiones anteriores a 2407, se recomienda que actualice la configuración manualmente. Para obtener más detalles, consulte Comandos de ejemplo para actualizar una configuración de NetScaler Gateway existente. Además, debe actualizar la configuración de acciones de sesión y del servidor virtual NetScaler Gateway.

Configuración del servidor virtual NetScaler Gateway

Al agregar o actualizar el servidor virtual NetScaler Gateway existente, asegúrese de que los siguientes parámetros estén configurados en los valores definidos. Para ver comandos de muestra, consulte Comandos de ejemplo para actualizar una configuración existente de NetScaler Gateway. Además, debe actualizar la configuración de acciones de sesión y del servidor virtual NetScaler Gateway.

Agregar un servidor virtual:

Nombre de perfil tcp: nstcp_default_XA_XD_profile
deploymentType: ICA_STOREFRONT (disponible solo con el comando add vpn vserver )
icaOnly: DESACTIVADO

Actualizar un servidor virtual:

Nombre de perfil tcp: nstcp_default_XA_XD_profile
icaOnly: DESACTIVADO

Para obtener detalles sobre los parámetros del servidor virtual, consulte vpn-sessionAction.

Configuración de la política de sesión de NetScaler Gateway

La acción de la sesión está vinculada a un servidor virtual de puerta de enlace con políticas de sesión. Al crear o actualizar una acción de sesión, asegúrese de que los siguientes parámetros estén configurados con los valores definidos. Para ver comandos de muestra, consulte Comandos de ejemplo para actualizar una configuración existente de NetScaler Gateway. Además, debe actualizar la configuración de acciones de sesión y del servidor virtual NetScaler Gateway.

Intercepción transparente: ACTIVADO
SSO: ACTIVADO
ssoCredential: PRIMARIO
usoMIP: NS
useIIP: DESACTIVADO
icaProxy: DESACTIVADO
Opciones del cliente: ACTIVADO
ntDomain: mydomain.com - utilizado para SSO (opcional)
acción de autorización predeterminada: PERMITIR
grupo de autorización: grupo de acceso seguro
modo VPN sin cliente: DESACTIVADO
clientlessModeUrlEncoding: TRANSPARENTE
SecureBrowse: HABILITADO

Comandos de ejemplo para actualizar una configuración existente de NetScaler Gateway

Nota

Si está actualizando manualmente la configuración existente, además de los siguientes comandos, debe actualizar el archivo /nsconfig/rc.netscaler con el comando nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3.

Agregue una acción de sesión VPN para admitir conexiones basadas en Citrix Secure Access.

add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain example.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED
Agregue una política de sesión VPN para admitir conexiones basadas en Citrix Secure Access.

add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && (HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\") || HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixSecureAccess\"))" AC_AG_PLGspaonprem
Vincula la política de sesión al servidor virtual VPN para admitir conexiones basadas en Citrix Secure Access.

bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 105 -gotoPriorityExpression NEXT -type REQUEST
Agregue una política de llamada HTTP para admitir la validación de autorización para conexiones basadas en TCP/UDP.

Nota

Este paso solo es necesario si su versión de NetScaler Gateway es inferior a 14.1-29.x.

`add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 192.0.2.24 -port 443  -returnType BOOL -httpMethod POST -hostExpr "\"spa.example.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.example.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")"`

donde
-  **192.0.2.24** es la dirección IP del complemento de acceso privado seguro
-  **spa.example.corp** es el FQDN del complemento Secure Private Access
-  **ns224158.example.corp** es el FQDN del servidor virtual VPN de la puerta de enlace

Agregue una política de autorización para admitir conexiones basadas en TCP/UDP.

add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW
Vincula la política de autorización al grupo de autenticación y autorización para admitir aplicaciones basadas en TCP/UDP.

bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END
Vincula el complemento de acceso privado seguro al servidor virtual VPN.

bind vpn vserver spaonprem -appController "https://spa.example.corp"

Información adicional

Para obtener información adicional sobre NetScaler Gateway para acceso privado seguro, consulte los siguientes temas:

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Configuración de NetScaler Gateway para aplicaciones TCP/UDP

October 21, 2024

Contribución de:

C C

October 21, 2024

Contribución de:

C C

En este artículo

Actualizar la configuración existente de NetScaler Gateway para aplicaciones TCP/UDP
Información adicional

¿Le ha resultado útil?