Configuração e gestão do CAG – Citrix Access Gateway
Neste procedimento explica-se como configurar um dispositivo Citrix Access Gateway que nos permita conectar à nossa VPN usando este dispositivo. Se não tivermos fisicamente o hardware, podemos criar-nos uma máquina virtual de CAG para realizar testes, nunca para uso final – AQUI.

O primeiro de todo uma vez instalado é conectarnos al dispositivo con un navegador, si no hemos cambiado su direction IP, la que trae siempre cómo predeterminada es la 10.20.30.40, entramos y se la cambiamos, suponiendo que eso está configurado, abrimos um navegador a su IP por HTTPS y al puerto 9001. Pedirá utilizador y contraseña, si no se la hemos mudado el usuario por defecto es “raiz” e a palavra-passe “rootadmin”.

Em primeiro lugar, necesario es instalarnos la consola de administración, si no la tenemos la bajamos pulsando en el link “Install the Access Gateway Administration Tool”. Nos bajamos el instalador y lo ejecutamos para comenzar la instalación.

Comienza con un asistente para instalar el Access Gateway Administration Tool 4.5, “Próximo”

Aceitamos a licença “Aceito os termos do contrato de licença” & “Próximo”

Indicamos el usuario y la organización, Continuar “Próximo”,

“Instalar” para começar a instalá-lo,

…

Tras unos segundos ya lo tenemos instalado, “Acabar”,

Agora, lo executamos pinchando no ícone do escritorio “Access Gateway Administration Tool 4.5”

Ponemos la direction IP del dispositivo al que nos conectaremos para administrarlo, nuestro CAG, el usuario y la password, Clique em “Ligar”,

If es la primera vez que nos conectamos nos pedirá que confiemos en el certificado, Clique em “Sim, Confio neste certificado”

Se queremos confiar no certificado eternamente, “Sim”,

Do “Access Gateway Cluster” tenemos varias opciones interesantes para configurarlo, primero dentro, nos vamos a la pestaña de “General Networking”. Primeiro configuramos la DMZ, indicamos cuantas tenemos, si es una configuración simple, lo normal es tener una DMZ, y configuramos de las dos interfaces de red, las que nos interessa, si sólamente necesitamos una de ellas, Vamos marcar “Only use interface 0” o si nos nos interessam ambas pues “Usar ambas as interfaces”. Comprobamos que la configuração de red es la correcta (Endereço IP, Subnet mask Default Gateway IP address…) e indicamos el nombre que tendra desde el exterior este CAG en “External FQDN” con el nombre completo.

No “Name Service Providers” metemos los servidores DNS que resolveran los nombres DNS para este dispositivo.

La pestaña de “Licensing” la usaremos para configurar las licencias, si este applicance será servidor de licencias (si es el primero lo será) marcamos a primeira opção “Use este appliance como servidor de licenças” e clique em “Procurar…” para instalarsela, depois pulsaremos en “Enviar”. Si ya tenemos un dispositivo CAG de servidor de licencias, podemos conectarnos a él marcando la segunda opção “Use um appliance diferente como servidor de licenças”.

Para que coja los changes es necesario reiniciar el CAG, nos indica como hacerlo. “Aceitar”.

Para reiniciar o apagar el appliance nos vamos a “Access Gateway Cluster”, na aba de “Administração”, pulsar “Reiniciar” ou “Shutdown”.

Pedirá confirmación y se reinicia con “Reiniciar”.

Nada mau, ahora explicamos cómo criar utilizadores locais para poder conectarnos al CAG con la VPN. Olho, no tenemos por que usarlos, podemos usar el Directorio Activo de Windows y conectarnos a ele con RADIUS – AQUI, ou de outras formas. Esta es la simple, creamos unas cuentas de usuario que depois se daremos a nossos utilizadores finais para que as usen para conectarse. Para criar estes utilizadores, Vamos para a guia “Access Policy Manager” e com botão direito en “Utilizadores Locais” Selecionar “Novo Utilizador”.

Indicamos o nome do utilizador en “Nome de usuário” e atribuímos uma senha, Clique em “OKEY”.

Ahí podemos ver las cuentas de usuario que tenemos, em “Utilizadores Locais”,

Se pretendemos é que quando um utilizador se conecta à nossa VPN com o CAG no pase todo o tráfego por nossa red devemos habilitar uma opção chamada “Túnel dividido”, por exemplo, se quiserem navegar na internet enquanto estão ligados à VPN e não quiserem que todo o tráfego de internet passe pela VPN. Para fazer isso,, vamos para o separador “Políticas Globais de Cluster” e ativamos o check de “Ativar túnel dividido”. Além de em “Redes acessíveis” é onde indicaremos a que conexões de rede se ligarão quando fizerem login no CAG, podemos adicionar tantas quantas nos interessarem separadas por ; ou Enter. Inclusive, em vez de adicionar uma rede, podemos adicionar apenas um host, e assim só poderiam aceder a esse e não aos outros da rede. Quando terminarmos de configurar isso, guardamos as alterações com “Enviar”.

“OKEY”

Se quisermos guardar uma cópia de segurança da nossa configuração, nos conectamos com um navegador ao CAG por HTTPS e à porta 9001, autenticamo-nos e, uma vez dentro, clicamos na aba “Manutenção”, y simplesmente pinchando en “Guardar toda a configuração do sistema” > “Guardar a Config.” nos guardará un fichero llamado “config.restore” no nosso PC. Guardaremos a cópia de segurança num sítio seguro e se alguma vez precisamos restaurar tudo com que formateemos o CAG e os carros esta configuração de novo, desde “Upload Server Upgrade ou Saved Config.” Buscando el fichero con el botón de “Procurar…”

Se o que queremos es solicitar um certificado para poder trabalhar com SSL, y que sea un certificado auténtico para o nosso nome de CAG público, que demuestre quem somos y no le de problemas a los utilizadores diciendo que no somos de confianza. A partir do painel de “Access Gateway Administration Tool”, em “Access Gateway Cluster”, no “Pedido de Assinatura de Certificado”, rellenamos los dados que nos indica para solicitar um certificado e obter o CSR que posteriormente mandaremos a uma entidade emisora de certificados (CA), Para fazer isso, clique em “Gerar Pedido”.

Guardar-nos-á no nosso PC o ficheiro CSR chamado “myserver.csr” & “Salvar”,

“Aceitar”

Se editarmos o ficheiro com um bloco de notas, precisaremos da chave para solicitar um certificado.

Por exemplo, eu agora para o exemplo usarei um certificado temporário gratuito de rapidssl.com, Se preenchermos todos os passos, é aqui onde devemos colar o CSR (Pedido de assinatura de certificado).

Uma vez que já temos o certificado, para colocá-lo no CAG seria a partir da consola de “Access Gateway Administration Tool”, em “Access Gateway Cluster” no “Administração”, em “Carregar um certificado .crt” clicando em “Procurar…” nós selecionamos.

Procuramo-lo no nosso PC e clicamos em “Abrir”.

“Aceitar”, o certificado está instalado.

Para configurar a hora e a data no CAG, a partir do console de “Access Gateway Administration Tool”, em “Access Gateway Cluster” no “Date”, selecionamos o modo de sincronização para “Manual” a menos que tenhamos um servidor de hora na rede, e colocamos a data e a hora no campo de “Date” com o formato que nos indica “MMM DD, YYYY HH:DD:SS”, cuando esté bien, Clique em “Enviar”.
Está sería la configuración final del CAG en la DMZ:

Desde la parte del FW de internet deberíamos abrir única y exclusivamente el puerto 443 tcp al CAG para que los clientes puedan acceder a descargarse el software cliente y conectarse a la VPN. De la red LAN a la red DMZ deberíamos abrir únicamente el puerto 9001 tcp al CAG para poder administrarlo remotamente con las Administration Tools. Y de la red DMZ a la red LAN deberíamos abrir los puertos que nos interese, si usamos RADIUS redirigiremos el 1812 tcp y el 1813 tcp al servidor IAS. O 1494 TCP (o el 2598 tcp si usamos “Session reability”) al servidor citrix y si nos interesa el 1604 tcp para cuando desde el cliente de Citrix (PN o PNA) se haga el browsing para buscar la comunidad Citrix.
www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0







































