VPN mit Citrix NetScaler I – Einsatz & Vor der Authentifizierung

Druckfreundlich, PDF & Email

Wir beginnen mit einer Reihe von Dokumenten für die Zusammenstellung des VPN-Dienstes in unserem geliebten Citrix NetScaler; Ziel ist es, Benutzern außerhalb des Unternehmens die Möglichkeit zu geben, sich auf einfache und sichere Weise zu verbinden. Sein 4 Dokumente, bei denen wir verschiedene Komplexitäten hinzufügen werden, um den Zugriff so weit wie möglich zu sichern.

 

En este primer documento veremos los pasos necesarios para habilitar la VPN en nuestro Citrix NetScaler además de alguna configuración base. Finalizaremos habilitando unas políticas de preautenticación para requerir algunas condiciones en el puesto para poder conectarse, sea una entrada en el registro, un programa abiertoEn el segundo documento obligaremos a tener un certificado en el puesto del usuario para poder abrir incluso la web de Citrix NetScaler, sin el certificado nadie ve nuestro servicio. En el tercer documento añadiremos la posibilidad de autenticar la VPN mediante certificados de usuario con smart card y en el último documento habilitaremos la posibilidad de que la VPN se levante automáticamente con el puesto, gracia a Always On.

 

Este primer documento es estructura de la siguiente manera:

 

Habilitar Smart Access en nuestro NetScaler Gateway

 

Para comenzar, se da por echo que tenemos NetScaler totalmente desplegado y un Virtual Server de NetScaler Gateway desplegado, en este caso era la pasarela que usábamos para presentar en modo ICA las aplicaciones y escritorios, y ahora añadiremos la funcionalidad de VPN para que puedan acceder previamente de manera remota y segura.

 

Tenemos que habilitar el modo Smart Access, es obligatorio para usar la VPN. y por tanto no haremos de proxy ICA, así como necesitaremos de licencias universales. Um dies zu tun,, en el Virtual Server del Gateway, en los ‘Basic Settings’, que no use ‘ICA Only’, desmarcamos el check y guardamos.

 

 

Session Profile y Policy para la VPN

 

Tenemos que crear un perfil de sesión y luego una política para finalmente aplicárselo al Virtual Server del NetScaler Gateway

 

Crear Session Profile para la VPN

 

Para crear el perfil de sesión, lo creamos desde “Citrix Gateway” > “Politik” > “Citrix Gateway” > “Session Policies and Profiles” > “Session Profiles” > “Hinzufügen”.

 

Tendremos en cuenta varias cosillas, in “Network Configuration > “Erweiterte Einstellungen”

  • Use Mapped IP: OFF para que no use la Subnet IP para los clientes y luego usemos un rango IP especifico.
  • Use Intranet IP: NOSPILLOVER, para que si no quedan IPs libres en el rango no use la SNIP para navegar los clientes.

 

 

In “Kundenerfahrung”:

  • Split Tunnel: AUS (para mandar todo el trafico por aquí)
  • Clientless Access: Off
  • Plug-in Type: Window/MAC OS X
  • Single Sign-on to Web Applicattions: Tick
  • Single Sign-on with Windows: AUF

 

 

In “Sicherheit”:

  • Default Authorization Action: ALLOW

 

Und in “Published Applications”:

  • ICA Proxy: AUS

 

 

Crear Session Policy para la VPN

 

Es momento de crear la política de sesión y vincularle el perfíl de sesión que acabamos de crear, para crear la Session Policy lo haremos desde “Citrix Gateway” > “Politik” > “Citrix Gateway Session Policies and Profiles” > “Session Policies” > “Hinzufügen”.

 

Vincular al NS Gateway la Session Policy de VPN

 

Y vinculamos la política de sesión recién creada en nuestro Virtual Server de NetScaler Gateway, seit “NetScaler Gateway” > “NetScaler Gateway Virtual Servers”, en nuestro VS > “Politik” > “Session Policies” > “Add Binding”, la seleccionamos y la dejamos con la prioridad por defecto, “Schließen”,

 

Quedando algo así las políticas que tenemos en el Virtual Server.

 

 

Rango IP para los clientes de VPN

 

A continuación configuraremos el rango IP para los clientes que se conecten por VPN, desde el NS Gateway Virtual Server le añadimos una Intranet IP, seit “NetScaler Gateway” > “NetScaler Gateway Virtual Servers”, en nuestro VS > “Intranet IP Addresses” > “No Intranet IP

 

So etwas hinterlassen.

 

Auge! si queremos que estas máquinas de la VPN lleguen a equipos de la red interna. Estos servidores de la red interna tendrán que tener una ruta que les indique que para ir al rango del pool de la VPN, se va por la IP de la Subnet del NetScaler, que es la que enruta.

Individualmente en un linux de la red interna podríamos ejecutar:

ip route add 192.168.157.0/24 Via 192.168.2.12 dev ens160

 

O también se puede hacer una ruta estática en el firewall para todas las máquinas, en este ejemplo en un Fortigate.

 

 

Direcciones IPs asignadas a usuarios manualmente

Si vamos a querer asignar una dirección IP estática a un usuario, podremos hacerlo desde “Citrix Gateway” > “User Administration” > “AAA Users” > “Hinzufügen”, Ponemos el nombre del usuario & OKAY,

 

Anklicken “Intranet IP Addresses”,

 

Pulsamos en el “Nein” de Intranet IP para asignarle una,

 

Bind & Spenden

 

Y cuando conectemos con el cliente, veremos que la IP nos la guardará. Que no es el momento de conectarnos, pero tenía el pantallazo guardado y para validar que coge la IP que le corresponde.

 

 

Preauthentication Profile y Policy para la Preautenticación

 

Nicht schlecht, esto sería opcional, pero podemos requerir ciertos requisitos previos a la conexión, para ello mediante unas políticas de preautenticación podremos requerir en el lado del cliente algunas condiciones para permitirle la conexión. Sea por ejemplo tenga una entrada particular en el registro creada por nosotros previamente, que tenga un programa corriendo, un fichero en alguna carpeta, el estado del antivirusOs dejo hier algunos ejemplos que podríais usar. Esto nos requerirá que el usuario al conectarse deba tener instalado el Citrix Secure Access Endpoint Analysis (EPA), que realizará estos checkeos al conectarse y permitirá o no, que continúe adelante.

Haremos un ejemplo requiriendo que el usuario que se vaya a conectar tenga una aplicación abierta, en concreto el Bloc de notas de Microsoft (o Notepad).

 

Crear el Preautenticación Profile

 

Comenzamos creando el perfíl de sesión para la preautenticación, seit “Citrix Gateway” > “Politik” > “Preauthentication Policies and Profiles” > “Preauthentication Profiles” > “Hinzufügen”. Le indicamos un nombre y en Action selecionamos ALLOW,

 

Crear la Preautenticación Policy

 

Luego crearemos la política de sesión “Citrix Gateway” > “Politik” > “Preauthentication Policies and Profiles” > “Preauthentication Policies” > “Hinzufügen”. La vinculamos la acción y añadimos las expresiones qué nos interesen, esta de ejemplo, como comentábamos, si tiene un proceso abierto, que sea el Notepad podrá acceder a la web de NetScaler, en caso contrario no le mostraría nada.

 

Vincular al NS Gateway la Política de Preautenticación

 

Y como ya es habitual, lo debemos vincular al Virtual Server de nuestro NetScaler Gateway, buscamos las politicas de Preauthentication y la vinculamos.

 

Quedando así la AAA Preauthentication Policy,

 

 

Probando por primera vez

 

Ya es hora de comenzar a probar nuestra nueva VPN! La primera vez que abramos la URL de nuestro Gateway nos indicará que está Comprobando nuestro dispositivo, y que antes de conectarnos debe comprobar que el dispositivo cumple ciertos requisitos, esperamos una cuenta atrás

 

Y como hasta ahora no hemos instalado el software que verificará, Anklicken “Herunterladen”

 

Instalación de Citrix Secure Access Endpoint Analysis,

Comenzamos una breve instalación en nuestro puesto del Citrix Secure Access Endpoint Analysis, que verificará lo dicho, alguna condición de preautenticación que podamos necesitar. Anklicken “Installieren”,

 

Tras la breve instalación pulsamos en “Ende”. Para despliegues masivos, este software lo podremos instalar mediante parámetros de manera desatendida.

 

Una vez tengamos instalado el agente de análisis, nos preguntará si puede analizarnos el equipo para ver si cumplimos las condiciones de acceso, Anklicken “Ja”, oder in “Siempre”,

 

Tras analizarnos el equipo, si no cumplimos las condiciones nos dará un Acceso denegado, indicando que nuestro dispositivo no cumple los requisitos para iniciar la sesión.

 

Stattdessen, si los cumplimos, nos mostrará el panel de acceso para iniciar sesión, en mi caso para poder acceder necesitaba el notepad abierto, ejecutado de fondo, Und so weiter, nos muestra la web de acceso.

 

Tras autenticarnos de manera habitual, con usuario y contraseña, nos detectará que no tenemos el cliente de VPN instalado, el Citrix Gateway Plug-in, Anklicken “Herunterladen”.

 

Instalación de Citrix Secure Access,

Procedemos pues a su instalación en este caso manual, pero también se podría instalar de manera desatendida, Anklicken “Installieren”,

 

… Warten Sie einige Sekunden…

 

Tras la instalación pulsamos en “Ende”,

 

Se nos abrirá directamente el Secure Access con los datos de conexión ya configurados, únicamente nos pedirá usuario y contraseña para conectarnos de manera segura con la VPN, Anklicken “Anmelden”,

 

esperamos mientras conecta….

 

Verificamos que ya estaríamos conectados, aquí sin rango IP, usando y compartiendo la SNIP del NetScaler,

 

O si tenemos un rango IP,

 

Al cerrar la sesión de Citrix, automáticamente preguntará que elementos eliminará del equipo local para dotar de seguridad y eliminar ciertos elementos peligrosos, esto también se podría configurar de manera desatendidam pulsamos en “Reinigung”,

 

Salir”,

 

Habilitar Split Tunnel

Tendremos que habilitar el Split Tunnel si queremos que no todo el trafico VPN pase por nuestro NetScaler, si no que queremos que cada cliente navegue por su conexión y solo el tráfico que nosotros queramos entre a la VPN.

En el Perfil de la sesión de Citrix Gateway que hemos creado antes, am “Kundenerfahrung”, marcamos Split Tunel a ON.

Debemos de dar de alta la o las redes a las que queramos darle acceso, hierfür, seit “Citrix Gateway” > “Resources” > “Intranet Applications” > “Hinzufügen” y creamos el destino a donde queramos que puedan acceder, un host, una red, filtrando por puerto

Y finalizaríamos vinculando al Virtual Server del NetScaler Gateway, in “Intranet Application”, seleccionamos nuestras Intranet applications yBind”.

Brunnen, creo que es más que suficiente para un primer documento donde podemos ver como configurar nuestro Citrix NetScaler Gateway como una pasarela de VPN y dar acceso seguro a la organización a cualquier usuario externo, hemos visto cómo asirgnarles direciones IP y cómo crear una regla de preautenticación para validar que el usuario dispone de ciertos requisitos antes de conectarse! En proximos documentos añadiremos distintos elementos que añadirán complejidad y seguridad,

Eine Umarmung, Möge es gut gehen!

Empfohlene Beiträge

Verfasser

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Crowdsec zentral einsetzen

22 Oktober 2024