Configuration de la passerelle NetScaler pour les applications TCP/UDP

October 21, 2024

Contributeur:

Vous pouvez utiliser la procédure décrite dans Configuration de NetScaler Gateway pour les applications Web/SaaS pour configurer les applications TCP/UDP. Pour configurer la passerelle pour les applications TCP/UDP, vous devez activer la prise en charge TCP/UDP en entrant Y pour le paramètre Activer la prise en charge du type d’application TCP/UDP dans le script.

La figure suivante affiche le paramètre Activer la prise en charge du type d’application TCP/UDP activé pour la prise en charge TCP/UDP.

Configuration de NetScaler 1

Configuration de NetScaler 2

Mettre à jour la configuration existante de NetScaler Gateway pour les applications TCP/UDP

Si vous mettez à jour la configuration des versions antérieures vers la version 2407, il est recommandé de mettre à jour la configuration manuellement. Pour plus de détails, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour les paramètres d’action de session et de serveur virtuel NetScaler Gateway.

Paramètres du serveur virtuel NetScaler Gateway

Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour les paramètres d’action de session et de serveur virtuel NetScaler Gateway.

Ajouter un serveur virtuel:

tcpProfileName : nstcp_default_XA_XD_profile
déploiementType : ICA_STOREFRONT (disponible uniquement avec la commande add vpn vserver )
icaOnly : DÉSACTIVÉ

Mettre à jour un serveur virtuel :

tcpProfileName : nstcp_default_XA_XD_profile
icaOnly : DÉSACTIVÉ

Pour plus de détails sur les paramètres du serveur virtuel, voir vpn-sessionAction.

Paramètres de la stratégie de session de NetScaler Gateway

L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez ou mettez à jour une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour les paramètres d’action de session et de serveur virtuel NetScaler Gateway.

transparentInterception: ACTIVÉ
SSO: ACTIVÉ
ssoCredential: PRINCIPAL
utiliserMIP: NS
useIIP: DÉSACTIVÉ
icaProxy: DÉSACTIVÉ
ClientChoices: ACTIVÉ
ntDomain: mondomaine.com - utilisé pour SSO (facultatif)
defaultAuthorizationAction: AUTORISER
Groupe d'autorisation: Groupe d’accès sécurisé
clientlessVpnMode: DÉSACTIVÉ
clientlessModeUrlEncoding: TRANSPARENT
SecureBrowse: ACTIVÉ

Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante

Remarque

Si vous mettez à jour manuellement la configuration existante, en plus des commandes suivantes, vous devez mettre à jour le fichier /nsconfig/rc.netscaler avec la commande nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3.

Ajoutez une action de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain example.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED
Ajoutez une stratégie de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && (HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\") || HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixSecureAccess\"))" AC_AG_PLGspaonprem
Liez la stratégie de session au serveur virtuel VPN pour prendre en charge les connexions basées sur Citrix Secure Access.

bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 105 -gotoPriorityExpression NEXT -type REQUEST
Ajoutez une politique d’appel HTTP pour prendre en charge la validation d’autorisation pour les connexions basées sur TCP/UDP.

Remarque

Cette étape n’est requise que si votre version de NetScaler Gateway est inférieure à 14.1-29.x.

`add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 192.0.2.24 -port 443  -returnType BOOL -httpMethod POST -hostExpr "\"spa.example.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.example.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")"`

où
-  **192.0.2.24** est l'adresse IP du plug-in Secure Private Access
-  **spa.example.corp** est le FQDN du plug-in Secure Private Access
-  **ns224158.example.corp** est le FQDN du serveur virtuel VPN de passerelle

Ajoutez une politique d’autorisation pour prendre en charge les connexions basées sur TCP/UDP.

add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW
Liez la politique d’autorisation au groupe d’authentification et d’autorisation pour prendre en charge les applications basées sur TCP/UDP.

bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END
Liez le plug-in Secure Private Access au serveur virtuel VPN.

bind vpn vserver spaonprem -appController "https://spa.example.corp"

Informations supplémentaires

Pour plus d’informations sur la passerelle NetScaler pour l’accès privé sécurisé, consultez les rubriques suivantes :

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Configuration de la passerelle NetScaler pour les applications TCP/UDP

October 21, 2024

Contributeur:

Dans cet article

Cela vous a-t-il été utile ?