Konfigurieren und Verwalten von CAG – Citrix Access Gateway

Dieses Verfahren wird erläutert, wie ein Gerät Citrix Access Gateway konfigurieren, die uns zu unserem VPN mit diesem Gerät angeschlossen werden können. Wenn Sie die Hardware nicht physikalisch, wir können uns eine virtuelle Maschine zum Testen von CAG erstellen, nie Gebrauch zu beenden – A.

Zu allererst einmal installiert ist das Gerät mit einem Browser zu verbinden, Wenn wir nicht Ihre IP-Adresse geändert, die immer bringt standardmäßig das ist 10.20.30.40, und änderten wir es, Angenommen, dass festgelegt ist, Wir öffnen einen Browser auf seine IP und den Port für HTTPS 9001. Er fragte, Benutzername und Passwort, Wenn wir nicht die Standard-Benutzer geändert haben, ist “Wurzel” und das Passwort “rootadmin”.

Zunächst einmal, Es ist notwendig, die Management-Konsole zu begleichen, wenn nicht bekamen wir durch einen Klick auf den Link aus “Installieren Sie das Access Gateway Administration Tool”. Wir haben das Installationsprogramm und führen Sie es aus der Installation beginnen.

Es beginnt mit einem Assistenten, um das Access Gateway Administration Tool zu installieren 4.5, “Nächster”

Wir nehmen die Lizenz “Ich akzeptiere die Bedingungen der Lizenzvereinbarung” & “Nächster”

Wir zeigen den Benutzer und die Organisation, fortsetzen “Nächster”,

“Installieren” zu beginnen die Installation,

Nach wenigen Sekunden bereits installiert haben, “Fertig”,

jetzt, Wir führen Sie es, indem Sie auf das Desktop-Symbol klicken “Access Gateway Administration Tool 4.5”

Wir stellen die IP-Adresse des Geräts, das es uns gelingen wird eine Verbindung zum, unsere CAG, Benutzer und Passwort, klicken Sie auf “Verbinden”,

Wenn dies das erste Mal ist, werden Sie schließen Sie bitten uns um das Zertifikat zu vertrauen, klicken Sie auf “Ja, Ich vertraue darauf, dieses Zertifikat”

Wenn wir darauf vertrauen, jemals das Zertifikat, “ja”,

Auf der Registerkarte “Access Gateway Cluster” Wir haben einige interessante Optionen zu konfigurieren, zuerst in, wir gehen auf die Registerkarte “General Networking”. Zuerst setzen wir die DMZ, zeigen an, wie viele wir, wenn eine einfache Konfiguration, es ist normal, eine DMZ haben, und konfigurieren Sie die zwei Netzwerkschnittstellen, was uns interessiert,, Wenn Sie nur ein benötigen, Teile markieren “Verwenden Sie nur Schnittstelle 0” oder wenn wir betroffen sind sowohl als “Verwenden Sie beide Schnittstellen”. Wir prüfen, ob die Netzwerkkonfiguration korrekt ist (IP Adresse, Subnetzmaske Standard-Gateway-IP-Adresse…) und geben Sie den Namen, die von außerhalb dieses CAG wird in “externer FQDN” mit dem vollständigen Namen.

In der Registerkarte “Name Service Providers” stellen wir den DNS-Server, den DNS-Namen für dieses Gerät beheben.

Tab “Zulassung” wir verwenden Lizenzen konfigurieren, Wenn dieser applicance wird Server-Lizenz (wenn das erste, was sein wird) wir markiert die erste Option “Verwenden Sie dieses Gerät als Lizenzserver” und klicken Sie auf “Durchsuche…” für instalarsela, nach Presse “einreichen”. Wenn Sie bereits ein Gerät CAG Lizenzserver, wir können durch Überprüfen der zweiten Option, um auf eine Verbindung “Verwenden Sie ein anderes Gerät als Lizenzserver”.

Änderungen nehmen Sie die CAG neu zu starten, sagt uns, wie. “akzeptieren”.

Zum Neustart oder das Gerät heruntergefahren wir gehen “Access Gateway Cluster”, die Registerkarte “Verwaltung”, Pulsar “Neustart” die “Herunterfahren”.

Es bittet um Bestätigung und neu startet mit “Neustart”.

gut, Jetzt erklären wir, wie lokale Benutzer zu erstellen, um die VPN-CAG zu verbinden. Auge, wir müssen sie nicht verwenden, wir können das Windows Active Directory verwenden und es mit RADIUS verbinden – A, oder mehr Formen. Dies ist die einfache, Wir erstellen ein Benutzerkonto, das dann unsere Endkunden geben, sie zu verwenden, um eine Verbindung. So erstellen Sie diese Benutzer, Wir gehen auf die Registerkarte “Access Policy Manager” und Rechtsklick “lokale Benutzer” wählen “Neuer Benutzer”.

Geben Sie den Namen des Benutzers “Nutzername” und weisen Sie ein Kennwort, klicken Sie auf “OK”.

Dort können wir die Benutzerkonten sehen, die haben, in “lokale Benutzer”,

Wenn das, was wir wollen, ist, dass, wenn ein Benutzer auf unsere VPN mit CAG verbindet nicht den gesamten Datenverkehr durch unser Netzwerk passieren muss eine Option aktivieren aufgerufen “Split Tunneling”, zum Beispiel, wenn sie im Internet surfen, während mit dem VPN verbunden und wollen nicht alle Internet-Verkehr über den VPN. dies zu tun, wir gehen auf die Registerkarte “Global Cluster Policies” und wir ermöglichen die Prüfung von “Aktivieren Sie Split-Tunneling”. auch in “zugänglich Netzwerke” Dies ist, wo wir feststellen, dass die Netzwerkverbindungen anzeigt wird verbunden, wenn die CAG logeen, Wir können so viele Interessen bekommen wir getrennt ; o Geben Sie. Auch stattdessen ein Netzwerk von Putten können wir nur ein Host erhalten, und so konnten sie nur in das bekommen und nicht das andere Netzwerk. Wenn wir fertig sind gesetzt, Wir halten die Änderungen “einreichen”.

“OK”

Wenn wir wollen, eine Sicherungskopie Ihrer Konfiguration speichern, Wir verbinden mit einem Browser CAG für HTTPS und Port 9001, wir authentifizieren und einmal im Inneren wir auf die Registerkarte klicken “Instandhaltung”, und ein einfacher Klick auf “Speichern gesamte Systemkonfiguration” > “Save Config.” wir werden eine Datei speichern genannt “config.restore” unser PC. Hält die Sicherung an einem sicheren Ort, und wenn Sie jemals alles wiederherstellen müssen, die die CAG und cargemos diese Konfiguration wieder formateemos, von “Laden Server-Upgrade oder Saved Config.” Suche nach der Datei mit der Schaltfläche “Durchsuche…”

Wenn wir wollen, für ein Zertifikat beantragen mit SSL zu arbeiten, und ist ein authentisches Zertifikat für unseren Namen öffentlich CAG, um zu zeigen, wer wir sind und kein Problem zu sagen, dass die Benutzer nicht vertrauenswürdig sind. Von der Konsole “Access Gateway Administration Tool”, in “Access Gateway Cluster”, Tab “Zertifikatsignieranforderung”, Wir füllen die Daten, die uns sagt, ein Zertifikat anfordern und die CSR anschließend an eine Zertifizierungsstelle senden zu erhalten (CA), Dazu klicken Sie auf “generieren Sie anfordern”.

Wir werden unseren PC der CSR-Datei mit dem Namen behalten “myserver.csr” & “speichern”,

“akzeptieren”

Wenn Sie die Datei mit einem Notebook bearbeiten, der Schlüssel Bedarf ein Zertifikat anfordern.

Zum Beispiel das Beispiel jetzt für ein kostenloses temporäres Zertifikat Ich werde verwenden rapidssl.com, Wenn wir alle Schritte in diesem füllen ist es, wo wir die CSR einfügen müssen (Zertifikatsignieranforderung).

Nachdem wir bereits zertifiziert, ihn in die CAG würde von der Konsole zu bekommen, “Access Gateway Administration Tool”, in “Access Gateway Cluster” Tab “Verwaltung”, in “Hochladen .crt Zertifikat” klicken auf “Durchsuche…” wählen sie es.

Wir suchen in unserem PC und klicken Sie auf “offen”.

“akzeptieren”, ist bereits Zertifikat installiert.

So stellen Sie die Uhrzeit und das Datum auf dem CAG, von der Konsole “Access Gateway Administration Tool”, in “Access Gateway Cluster” Tab “Datum”, wählen Sie den sync mode “Handbuch” es sei denn wir einen Zeitserver im Netzwerk, und wir setzen das Datum und die Zeit auf dem Gebiet “Datum” das Format, das uns sagt, “MMM DD, YYYY HH:MM:SS”, wenn gut, klicken Sie in “einreichen”.

Dies würde die endgültige Konfiguration des CAG in der DMZ sein:

ein

Da die FW sollte der Internet öffnet ausschließlich Port 443 tcp die CAG so dass die Kunden zugreifen können und die Client-Software, um das VPN zu verbinden. LAN-Netzwerk mit dem DMZ-Netzwerk sollte nur Port öffnen 9001 tcp die CAG sie aus der Ferne mit Administration Tools verwalten. Und der DMZ zum LAN-Netzwerk sollten die Ports öffnen, die uns interessiert, Wenn Sie die Verwendung RADIUS umleiten 1812 tcp und 1813 tcp den IAS-Server. die 1494 tcp (oder 2598 tcp Sie verwenden “Session reability”) Citrix-Server und wenn wir daran interessiert sind, 1604 tcp, wenn der Client von Citrix (PN o PNA) Das Surfen wird die Citrix-Community zu lokalisieren.

www.bujarra.com – Hector Herrero – nheobing@bujarra.com – v 1.0


Letzte Artikel von Hector Herrero (Alle anzeigen)