Instalando y configurando Citrix Secure Gateway 3.0 – CSG 3.0

Impressão amigável, PDF & E-mail

Neste procedimento explica como garantir um entorno Citrix a través de internet através de CSG o Citrix Secure Gateway, esto además nos permitirá no tener que abrir los típicos puertos 1494 e 2598 del firewall, si no que simplesmente con el 443 o el que querramos pasará todo al CSG y este lo gestionará. Será una conexión segura mediante un certificado de servidor instalado en el servidor web.

Mi caso, tengo una red simple, sin DMZ ni nada, una LAN, una red normal, donde tengo un servidor (o que querramos) con Presentation Server y en uno deles con el interface web instalado (Web Interface), en W2K3PS01, o que quero é que meus clientes de fora de internet se conecten a ele de forma segura, para ello instalo CSG en un servidor (puede ser el mismo que el Presentation Server – PS, pero no es mi caso), ya que tengo un servidor web publicado aprovecharé y lo instalo en él, ya que CSG requiere IIS con un certificado de servidor. Yo en mi servidor web (W2K3WWW01) tengo una página web de empresa (porta 80) y una extranet segura (porta 443), necesito un puerto para fazer que mis clientes se conecten desde fora a mi CSG, utilizaré el 444 con capa segura. Más datos, yo que toco todo, mudei durante a instalação do PS a porta do XML do 80 ao 82, então a minha porta XML é a 82. Uma vez finalizado todo o processo de configuração, quando alguém quiser conectar-se à minha Interface Web a partir de fora deverá colocar https://www.bujarra.com:444, se não quisermos que só se conectem com o cliente web e sim com o Program Neighborhood, especificá-lo-emos durante a configuração do CSG. O normal é ter o W2K3WWW01 numa DMZ e mapear as portas 443, XML (82 No meu caso), 1494 e 2598 para o W2K3PS01.

Okey, Primeiras coisas primeiro, para instalar o CSG no W2K3WWW01 devemos colocar o CD de componentes nele, selecionaremos a segunda opção “Secure Gateway”.

E novamente “Secure Gateway”.

Irá surgir-nos um assistente, é uma instalação muito rápida e ocupa quase nenhum espaço e/ou desempenho no servidor, Clique em “Próximo”.

Aceitamos o acordo e “Próximo”,

Selecionar “Secure Gateway”, a primeira opção e “Próximo”,

O caminho onde será instalado por defeito, si estamos de acuerdo pulsamos en “Próximo”,

Com que utilizador os serviços do Secure Gateway serão iniciados, o normal é indicar “LocalSystem”, Continuar.

… esperamos unos segundos mientras se instala…

Okey, já, tão simples está instalado, “Acabar”,

Mas agora falta configurá-lo, Clique em “OKEY” para que nos apareça o assistente de configuração,

Que produtos vamos proteger, No meu caso, apenas “Metaframa Presentation Server”, Nós damos “OKEY”,

“Padrão” e “Próximo” (se quisermos personalizar um pouco mais podemos usar o assistente avançado),

Aqui mostrar-nos-á os certificados de servidor instalados neste IIS, se nenhum aparecer devemos ou gerá-lo com uma CA, ou comprá-los a alguma entidade emissora tipo Verisign, sem um certificado válido não podemos continuar, para instalar um ou gerá-lo se não soubermos podemos ver nestes procedimentos: Instalar uma CA –AQUI ou Instalar um certificado – AQUI. Nós damos “Próximo”,

Okey, este será a porta à qual os clientes se irão conectar de fora (desde internet), no meu caso usarei o 444 (e não o 443 que es que viene por defecto, es por que lo tengo en uno con una extranet de la empresa). “Próximo”.

No usaré restricciones, Então “Próximo”,

Okey, ahora necesito indicar quem es el servidor STA (STA es el servidor Metaframe que tiene la BD de los Presentation Server, si sólo tenemos un PS será ese, o si tenemos más será el primer PS que se instalo en la comunidad) así que para agregarlo pulsamos sobre “Adicionar” y en FQDN devemos indicar su nombre completo, o “Caminho” lo dejamos como está y en “Protocol settings” indicamos cual es el puerto con el que se comunicará el CSG con el PS, que es el de XML, no meu caso o 82. No hace falta que el tráfico entre la STA y el CSG vaya seguro, ya que eso es nuestra LAN, Nós damos “OKEY” y después a “Próximo”,

Nos pregunta por el Web Interface, donde está y de que forma, en mi caso el Web Interface está en W2K3PS01 (tiene que ser la web predeterminada del sitio web) y en el puerto 80, así que pongo la primera opción “Indirect” y desmarco el check por que no está instalado en este servidor. Indico abaixo los datos que me pide y damos a “Próximo”

Que tipo de eventos queremos que nos ponga en el Visor de Sucesos, nos creará un apartado sólo para ele de Secure Gateway, en mi caso indico erros y eventos 'fatales', Nós damos “Próximo”,

Assinalamos a opção de “Start the Secure Gateway” para que nos inicie el servicio de CSG. E clique em “Acabar”.

Nada mau, la parte del CSG ya está finalizada, ahora unos retoques en el PS, when un client from internet se conecta a Citrix, se conecta a nossa IP pública (No meu caso 190.30.90.50) y de esa IP se le reenvia al servidor PS, o PS responde ao IP do pedido que não é o do cliente, então a ligação falharia porque devolve o seu IP privado em vez do público e, externamente, logicamente, não se pode ligar ao privado. No PS abre-se uma consola MSDOS e adicionamos como endereço alternativo o endereço público do CSG, com ALTDDR, então, a partir de uma consola MSDOS nos PS: “altaddr IPPUBLICA /set” e verificamos que está bem inserido com “altaddr”.

Okey, agora, a partir do servidor que tem o Web Interface, abrimos la consola: “Incio” > “Programas” > “Citrix” > “Metaframe Presentarion Server” > “Access Suite Console para Presentation Server”. E vamos até “Componentes de la suite” > “Ferramentas de configuração” > “Interfaz web” e sobre o nosso, Botão direito “Administrar o acesso seguro de clientes” > “Modificar as configurações da DMZ”

Na ligação “Predeterminado” Clicamos no botão “Modificar” e em vez de ser “Directa” Vontade “Direta com Secure Gateway” y Aceptamos. Se a partir da nossa LAN os postos também acedem ao Web Interface e não queremos que usem o CSG (ya que están en la LAN), podemos agregar un rango IP y decirle que es una conexión directa (pulsaríamos en “Adicionar…” y metemos el rango IP de nuestra LAN con su máscara, indicamos en el método de acceso que sea “Directa”. Aceitamos tudo.

Y ahora de nuevo, desde, “Componentes de la suite” > “Ferramentas de configuração” > “Interfaz web” e sobre o nosso, Botão direito “Administrar o acesso seguro de clientes” > “Modificar configuração de Secure Gateway”.

Em “Servidor Secure Gateway” pondremos quem es el servidor CSG (yo pongo www.bujarra.com por que es mi nome público y al que hace nombre mi certificado del IIS, si el certificado hace nombre al nombre del servidor pondríamos W2K3WWW01, Por exemplo), no “Puerto de Secure Gateway” pondremos el que hemos estabelecido durante la configuração, o 444 No meu caso. E em “URL de Secure Ticket Authority” comprobamos que sea nuestro servidor STA (el primer PS) con el puerto del XML (no meu caso o 82), aceptamos todo.

Nada mau, agora para probarlo, necesitamos lógicamente mapear el puerto 444 del firewall al servidor CSG, uma vez feito isso, nos vamos a internet con un portátil com modem, ou o que quer que seja, que no estemos en su LAN, para probarlo, abrimos una web a https://www.bujarra.com:444 y nos deverás abrir a interface web, nos autenticamos y abrimos alguma aplicação publicada.

Para comprobar si realmente está funcionando el CSG, abrimos el icono de la barra en el PC cliente.

Y veremos que sale un candado, eso indica que la conexión pasa por el CSG.


Postagens recomendadas

VPN com Citrix NetScaler I - Implantação & Pré-autenticação
Ler
VPN com Citrix NetScaler IV - Sempre ligado
Ler
Novas equipes na Citrix
Ler
VPN com Citrix NetScaler II - Exigir certificados para acessar
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Instalação y configuração de Citrix Conferência Manager

19 Outubro 2008

Instalação y configuração de Citrix Desktop Server 1.0

19 Outubro 2008