Cette procédure explique comment configurer un périphérique Citrix Access Gateway qui nous permet de nous connecter à notre VPN à l’aide de ce périphérique. Si nous n’avons pas physiquement le matériel, nous pouvons créer une machine virtuelle CAG pour effectuer des tests, Jamais pour une utilisation finale – ICI.

Lo primero de todo una vez instalado es conectarnos al dispositivo con un navegador, si no hemos cambiado su dirección IP, la que trae siempre cómo predeterminada es la 10.20.30.40, entramos y se la cambiamos, suponiendo que eso está configurado, abrimos un navegador a su IP por HTTPS y al puerto 9001. Pedirá usuario y contraseña, si no se la hemos cambiado el usuario por defecto es “racine” et le mot de passe “rootadmin”.

Tout d’abord, necesario es instalarnos la consola de administración, si no la tenemos la bajamos pulsando en el link “Install the Access Gateway Administration Tool”. Nos bajamos el instalador y lo ejecutamos para comenzar la instalación.

Comienza con un asistente para instalar el Access Gateway Administration Tool 4.5, “Prochain”

Nous acceptons la licence “J’accepte les termes du contrat de licence” & “Prochain”

Indicamos el usuario y la organización, Continuer “Prochain”,

“Installer” Pour commencer l’installation,

…

Tras unos segundos ya lo tenemos instalado, “Finir”,

Maintenant, lo ejecutamos pinchando en el icono del escritorio “Access Gateway Administration Tool 4.5”

Ponemos la dirección IP del dispositivo al que nos conectaremos para administrarlo, nuestro CAG, el usuario y el password, Cliquez sur “Relier”,

Si es la primera vez que nos conectamos nos pedirá que confiemos en el certificado, Cliquez sur “Oui, I trust this certificate”

Si queremos confiar en el certificado eternamente, “Oui”,

De la “Access Gateway Cluster” tenemos varias opciones interesantes para configurarlo, primero dentro, nos vamos a la pestaña de “General Networking”. Primero configuramos la DMZ, indicamos cuantas tenemos, si es una configuración simple, lo normal es tener una DMZ, y configuramos de las dos interfaces de red, las que nos interese, si sólamente necesitamos una de ellas, Nous marquerons “Only use interface 0” o si nos interesan ambas pues “Use both interfaces”. Comprobamos que la configuración de red es la correcta (Adresse IP, Subnet mask Default Gateway IP address…) e indicamos el nombre que tendra desde el exterior este CAG en “External FQDN” con el nombre completo.

Sur le “Name Service Providers” metemos los servidores DNS que resolveran los nombres DNS para este dispositivo.

La pestaña de “Licences” la usaremos para configurar las licencias, si este applicance será servidor de licencias (si es el primero lo será) Nous marquons la première option “Use this appliance as the license server” et cliquez sur “Parcourir…” para instalarsela, después pulsaremos en “Envoyer”. Si ya tenemos un dispositivo CAG de servidor de licencias, podemos conectarnos a él marcando la segunda opción “Use a different appliance as the license server”.

Para que coja los cambios es necesario reiniciar el CAG, nos indica cómo hacerlo. “Accepter”.

Para reiniciar o apagar el appliance nos vamos a “Access Gateway Cluster”, dans le “Administration”, palpiter “Redémarrer” ou “Arrêt”.

Pedirá confirmación y se reinicia con “Redémarrer”.

Pas mal, ahora explicamos cómo crear usuarios locales para poder conectarnos al CAG con la VPN. Oeil, no tenemos por que usarlos, podemos usar el Directorio Activo de Windows y conectarnos a él con RADIUS – ICI, o de más formas. Esta es la simple, creamos unas cuentas de usuario que luego se las daremos a nuestros usuarios finales para que las usen para conectarse. Para crear estos usuarios, Passons à l’onglet “Access Policy Manager” y con botón derecho en “Utilisateurs locaux” Choisir “Nouvel utilisateur”.

Indicamos el nombre del usuario en “Nom d’utilisateur” y le asignamos una contraseña, Cliquez sur “D’ACCORD”.

Ahí podremos ver las cuentas de usuario que tenemos, dans “Utilisateurs locaux”,

Si lo que pretendemos es que cuando un usuario se conecte a nuestra VPN con el CAG no pase todo el trafico por nuestra red debemos habilitar una opción llamada “Split Tunneling”, por ejemplo si quieren navegar por internet mientras están conectados a la VPN y no quieres que todo el trafico de internet pase por la VPN. Pour ce faire,, Passons à l’onglet “Global Cluster Policies” y habilitamos el check de “Enable split tunneling”. De plus, dans “Accesible networks” es donde indicaremos a que conexiones de red se conectarán cuando se logeen en el CAG, podemos meter tantas nos interesen separadas por ; o Enter. Incluso en vez de meter una red podemos meter sólo un host, y así sólo podrían entrar en ese y no en los demás de la red. Cuando acabemos de configurarlo, guardamos los cambios con “Envoyer”.

“D’ACCORD”

Si queremos guardar un backup de nuestra configuración, nos conectamos con un navegador al CAG por HTTPS y al puerto 9001, nos autenticamos y una vez dentro pinchamos en la pestaña “Entretien”, y simplemente pinchando en “Save entire system configuration” > “Save Config.” nos guardará un fichero llamado “config.restore” en nuestro PC. Guardaremos la copia de seguridad en un sitio seguro y si alguna vez necesitamos restaurar todo con que formateemos el CAG y le cargemos esta configuración de nuevo, depuis “Upload Server Upgrade or Saved Config.” buscando el fichero con el botón de “Parcourir…”

Si lo que queremos es solicitar un certificado para poder trabajar con SSL, y que sea un certificado auténtico para nuestro nombre de CAG público, que demuestre quienes somos y no le de problemas a los usuarios diciendo que no somos de confianza. Desde la consola de “Access Gateway Administration Tool”, dans “Access Gateway Cluster”, sur le “Demande de signature de certificat”, rellenamos los datos que nos indica para solicitar un certificado y obtener el CSR que posteriormente mandaremos a una entidad emisora de certificados (CA), Pour ce faire, cliquez sur “Generate Request”.

Nos guardará en nuestro PC el fichero CSR llamado “myserver.csr” & “Sauvegarder”,

“Accepter”

Si editamos el fichero con un bloc de notas, necesitaremos la clave para solicitar un certificado.

Por ejemplo yo ahora para el ejemplo usare un certificado temporal gratuito de rapidssl.com, si rellenamos todos los pasos en este es donde debemos pegar el CSR (Certificate signing request).

Una vez que tenemos ya el certificado, para meterlo en el CAG sería desde la consola de “Access Gateway Administration Tool”, dans “Access Gateway Cluster” sur le “Administration”, dans “Upload a .crt certificate” en cliquant sur “Parcourir…” Nous le sélectionnons.

Lo buscamos en nuestro PC y pulsamos en “Ouvrir”.

“Accepter”, ya está el certificado instalado.

Para configurar la hora y la fecha en el CAG, de la “Access Gateway Administration Tool”, dans “Access Gateway Cluster” sur le “Date”, seleccionamos el modo de sincronización a “Manuelle” a menos que tengamos un servidor de hora en la red, y metemos la fecha y la hora en el campo de “Date” con el formato que nos indica “MMM DD, YYYY HH:MM:SS”, cuando esté bien, Cliquez sur “Envoyer”.

Está sería la configuración final del CAG en la DMZ:

Desde la parte del FW de internet deberíamos abrir única y exclusivamente el puerto 443 tcp al CAG para que los clientes puedan acceder a descargarse el software cliente y conectarse a la VPN. De la red LAN a la red DMZ deberíamos abrir únicamente el puerto 9001 tcp al CAG para poder administrarlo remotamente con las Administration Tools. Y de la red DMZ a la red LAN deberíamos abrir los puertos que nos interese, si usamos RADIUS redirigiremos el 1812 tcp y el 1813 tcp al servidor IAS. Le 1494 TCP (ou le 2598 tcp si usamos “Session reability”) al servidor citrix y si nos interesa el 1604 tcp para cuando desde el cliente de Citrix (PN o PNA) se haga el browsing para buscar la comunidad Citrix.

www.bujarra.com – Héctor Herrero – Nh*****@bu*****.cOm – v 1.0