Instalando y configurando Citrix Secure Gateway 3.0 – CSG 3.0

Print Friendly, PDF i correu electrònic

En este procediment se explica cómo assegurar un entorn Citrix a través de internet mitjançant CSG o Citrix Secure Gateway, esto además nos permitirá no tener que abrir los típicos puertos 1494 y 2598 del tallafocs, si no que simplement amb el 443 o el que querramos pasará tot al CSG i este lo gestionará. Será una connexió segura mediante un certificado de servidor instalado en el servidor web.

Mi caso, tengo una red simple, sin DMZ ni nada, una LAN, una red normal, donde tengo un servidor (o los que querramos) con Presentation Server y en un d'ells amb la interfície web instal·lada (Web Interface), en W2K3PS01, el que vull és que els meus clients fora d'internet es connecten a ell de forma segura, para ello instalo CSG en un servidor (puede ser el mateix que el Presentation Server – PS, pero no es mi caso), ya que tengo un servidor web publicado aprovecharé y lo instal·lo en él, ya que CSG requiere IIS con un certificado de servidor. Yo en mi servidor web (W2K3WWW01) tengo una página web de empresa (port 80) y una extranet segura (port 443), necessito un puerto para hacer que mis clients se connecten des de fora a mi CSG, utilizaré el 444 con capa segura. Más datos, yo que toco todo, he canviat durant la instal·lació del PS el puerto del XML del 80 al 82, així que el meu port XML és el 82. Una vegada finalitzat tot el procés de configuració quan algú se voldrà connectar a mi Web Interface des de fora haurem de posar https://www.bujarra.com:444, si no volem que només se connecten amb el client web i sí amb el Program Neighborhood lo especificarem durant la configuració del CSG. Lo normal es tener el W2K3WWW01 en una DMZ y mapear los puertos 443, XML (82 en el meu cas), 1494 y 2598 al W2K3PS01.

Val, el primer, para instal·lar CSG en W2K3WWW01 hem de mesurar el CD de components en él, seleccionaremos la segona opció “Secure Gateway”.

Y de nuevo “Secure Gateway”.

Nos saltará un asistente, és una instal·lació muy ràpida i només ocupa l'espai i/o rendiment en el servidor, polsem sobre “Next”.

Acceptamos el acuerdo y “Next”,

Seleccionem “Secure Gateway”, la primera opció y “Next”,

El camí donde lo installarà por defecto, si estamos d'acord pulsamos en “Next”,

Con que usuario se arrancarán los serveis de Secure Gateway, lo normal es indicar “LocalSyatem”, continuem.

… esperem unos segundos mentre instal·la…

Val, ja, tan simple está instalado, “Finish”,

Però ara queda configurarlo, posem en “OK” para que salte el jugador de configuració,

Que productos vamos a assegurar, en el meu cas, només “Metaframa Presentation Server”, donem a “OK”,

“Standard” y “Next” (si volem personalitzar un poc més podem fer l'assistent avançat),

Aquí nos mostrarà els certificats de servidor instal·lat en aquest IIS, si no ens en venem ningú hem de generar amb una CA, o comprarlos a alguna entitat emisora tipo Verisign, si un certificat vàlid no podem continuar, per instal·lar un generarlo si no sabem que podem mirar en aquests procediments: Instal·la una CA –AKI o Instal·lar un certificat – AKI. Donem a “Next”,

Val, este serà el puerto al que se nos connectaran los clients des de fuera (des d'internet), en el meu cas usaré el 444 (y no el 443 que es que viene por defecto, es por que lo tengo en uno con una extranet de la empresa). “Next”.

No usaré restricciones, així que “Next”,

Val, ara necesito indicar qui és el servidor STA (STA es el servidor Metaframe que tiene la BD de los Presentation Server, si solo tenemos un PS será ese, o si tenemos más serà el primer PS que se instal·larà en la comunidad) así que para agregarlo pulsamos sobre “Add” y en FQDN debemos indicar su nombre completo, el “Path” lo dejamos como está y en “Protocol settings” indicamos cuál es el puerto con el que se comunicará el CSG con el PS, que és el de XML, en el meu cas el 82. No fa falta que el trànsit entre la STA i el CSG vaya seguro, ya que eso es la nostra LAN, donem a “OK” i després a “Next”,

Nos pregunta por el Web Interface, donde esta y de que forma, en mi caso el Web Interface está en W2K3PS01 (tiene que ser la web predeterminada del sitio web) y en el puerto 80, así que pongo la primera opció “Indirect” i desmarco el check por que no está instalado en aquest servidor. Indico abajo los datos que me pide y damos a “Next”

Que tipo de eventos queremos que nos ponga en el Visor de Sucesos, nos creará un apart sólo para él de Secure Gateway, en mi cas indico errors y esdeveniments 'fatales', donem a “Next”,

Marcamos el check de “Start the Secure Gateway” para que nos inicie el servei de CSG. I posem sobre “Finish”.

Bé, la part del CSG ya está finalizada, ara uns retoques en el PS, quan un client d'internet es connecta a Citrix, se connecta a la nostra IP pública (en el meu cas 190.30.90.50) y de esa IP se le reenvia al servidor PS, el PS responde a la IP de la petición que no es la del cliente, así que la conexión fallaría por que le devuelve su IP privada en vez de la públcia y desde fuera lógicament no se puede connectar a la privada. En el PS se abre una consola de MSDOS y agregamos como dirección alternativa la dirección pública del CSG, con ALTDDR, així que des de una consola de MSDOS en los PS: “altaddr IPPUBLICA /set” y comprobamos que está bien metida con “altaddr”.

Val, ahora desde el servidor que tiene el Web Interface, Abrimos la consola: “Incio” > “Programes” > “Citrix” > “Metaframe Presentarion Server” > “Access Suite Console para Presentation Server”. Y vamos hasta “Componentes de la suite” > “Eines de configuració” > “Interfaz web” y sobre el nuestro, botó dret “Administrar el acceso seguro de clientes” > “Modificar la configuració de la DMZ”

A la connexió “Predeterminat” posem al botó “Modificar” i en comptes que sigui “Directa” posarem “Directa amb Secure Gateway” i Acceptem. Si des de la nostra LAN els punts també accedeixen a la Web Interface i no volem que facin servir CSG (ja que estan a la LAN), podem afegir un rang IP i dir-li que és una connexió directa (clicaríem a “Agregar…” i introduïm el rang IP de la nostra LAN amb la seva màscara, indiquem al mètode d'accés que sigui “Directa”. Acceptamos tot.

I ara de nou, des de, “Componentes de la suite” > “Eines de configuració” > “Interfaz web” y sobre el nuestro, botó dret “Administrar el acceso seguro de clientes” > “Modificar configuració de Secure Gateway”.

En “Servidor Secure Gateway” posarem qui és el servidor CSG (jo poso www.bujarra.com perquè és el meu nom públic i al que fa referència el meu certificat de l'IIS, si el certificat fa referència al nom del servidor posaríem W2K3WWW01, per exemple), en el “Port de Secure Gateway” pondremos el que hem establert durant la configuració, el 444 en el meu cas. I en “URL de Secure Ticket Authority” comprovamos que sea el nostre servidor STA (el primer PS) amb el puerto del XML (en el meu cas el 82), aceptamos todo.

Bé, ara per probarlo, hem de mapear lògicament el port 444 del tallafocs al servidor CSG, una vez hecho eso, anem a internet amb un portàtil amb modem, o el que sigui, que no estemos en la seva LAN, per provar-lo, abrimos una web a https://www.bujarra.com:444 y nos deberà obrir el interfície web, ens autenticamos i abrimos alguna aplicació publicada.

Para comprobar si realment está funcionando el CSG, abrimos el icono de la barra en el PC cliente.

Y veremos que sale un candado, eso indica que la conexión pasa por el CSG.


Posts recomanats

VPN amb Citrix NetScaler IV - AlwaysON
Llegir
VPN amb Citrix NetScaler II - Requerint certificats per accedir
Llegir
VPN amb Citrix NetScaler I - Desplegament & preautenticació
Llegir
Nou Teams a Citrix
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Instalación y configuración de Citrix Conferencing Manager

19 d'October de 2008

Instal·lació i configuració de Citrix Desktop Server 1.0

19 d'October de 2008