Instalando y configurando Citrix Secure Gateway 3.0 – CSG 3.0

Impressão amigável, PDF & Email

En este procedimiento se explica cómo asegurar un entorno Citrix a través de internet mediante CSG o Citrix Secure Gateway, esto además nos permitirá no tener que abrir los típicos puertos 1494 e 2598 del firewall, si no que simplemente con el 443 o el que querramos pasará todo al CSG y este lo gestionará. Será una conexión segura mediante un certificado de servidor instalado en el servidor web.

Mi caso, tengo una red simple, sin DMZ ni nada, una LAN, una red normal, donde tengo un servidor (o los que querramos) con Presentation Server y en uno de ellos con el interfaz web instalado (Web Interface), en W2K3PS01, lo que quiero es que mis clientes de fuera de internet se conecten a él de forma segura, para ello instalo CSG en un servidor (puede ser el mismo que el Presentation Server – PS, pero no es mi caso), ya que tengo un servidor web publicado aprovecharé y lo instalo en él, ya que CSG requiere IIS con un certificado de servidor. Yo en mi servidor web (W2K3WWW01) tengo una página web de empresa (porta 80) y una extranet segura (porta 443), necesito un puerto para hacer que mis clientes se conecten desde fuera a mi CSG, utilizaré el 444 con capa segura. Más datos, yo que toco todo, he cambiado durante la instalacion del PS el puerto del XML del 80 ao 82, así que mi puerto XML es el 82. Una vez finalizado todo el proceso de configuración cuando alguien se quiera conectar a mi Web Interface desde fuera deberán de poner https://www.bujarra.com:444, si no queremos que sólo se conecten con el cliente web y sí con el Program Neighborhood lo especificaremos durante la configuración del CSG. Lo normal es tener el W2K3WWW01 en una DMZ y mapear los puertos 443, XML (82 No meu caso), 1494 e 2598 al W2K3PS01.

Okey, Primeiras coisas primeiro, para instalar CSG en W2K3WWW01 debemos meter el CD de componentes en él, seleccionaremos la segunda opciónSecure Gateway”.

Y de nuevoSecure Gateway”.

Nos saltará un asistente, es una instalación muy rápida y apenas ocupa espacio y/o rendimiento en el servidor, Clique em “Próximo”.

Aceptamos el acuerdo y “Próximo”,

Selecionar “Secure Gateway”, la primera opción y “Próximo”,

El path donde lo instalará por defecto, si estamos de acuerdo pulsamos en “Próximo”,

Con que usuario se arrancarán los servicios de Secure Gateway, lo normal es indicarLocalSyatem”, Continuar.

esperamos unos segundos mientras se instala

Okey, já, tan simple está instalado, “Acabar”,

Pero ahora queda configurarlo, Clique em “OKEY” para que nos salte el asistente de configuración,

Que productos vamos a asegurar, No meu caso, apenas “Metaframa Presentation Server”, Nós damos “OKEY”,

“Padrão” e “Próximo” (si queremos personalizar un poco más podemos hacer el asistente avanzado),

Aquí nos mostrará los certificados de servidor instalados en este IIS, si no nos sale ninguno debemos o generarlo con una CA, o comprarlos a alguna entidad emisora tipo Verisign, si un certificado válido no podemos continuar, para instalar uno o generarlo si no sabemos podemos mirar en estos procedimientos: Instalar una CAAQUI o Instalar un certificadoAQUI. Nós damos “Próximo”,

Okey, este será el puerto al que se nos conectarán los clientes desde fuera (desde internet), en mi caso usaré el 444 (y no el 443 que es que viene por defecto, es por que lo tengo en uno con una extranet de la empresa). “Próximo”.

No usaré restricciones, Então “Próximo”,

Okey, ahora necesito indicar quien es el servidor STA (STA es el servidor Metaframe que tiene la BD de los Presentation Server, si sólo tenemos un PS será ese, o si tenemos más será el primer PS que se instalo en la comunidad) así que para agregarlo pulsamos sobre “Adicionar” y en FQDN debemos indicar su nombre completo, o “Caminho” lo dejamos como está y enProtocol settingsindicamos cual es el puerto con el que se comunicará el CSG con el PS, que es el de XML, en mi caso el 82. No hace falta que el tráfico entre la STA y el CSG vaya seguro, ya que eso es nuestra LAN, Nós damos “OKEY” y después a “Próximo”,

Nos pregunta por el Web Interface, donde esta y de que forma, en mi caso el Web Interface está en W2K3PS01 (tiene que ser la web predeterminada del sitio web) y en el puerto 80, así que pongo la primera opciónIndirecty desmarco el check por que no está instalado en este servidor. Indico abajo los datos que me pide y damos a “Próximo”

Que tipo de eventos queremos que nos ponga en el Visor de Sucesos, nos creará un apartado sólo para él de Secure Gateway, en mi caso indico errores y eventos ‘fatales’, Nós damos “Próximo”,

Marcamos el check deStart the Secure Gatewaypara que nos inicie el servicio de CSG. E clique em “Acabar”.

Nada mau, la parte del CSG ya está finalizada, ahora unos retoques en el PS, cuando un cliente desde internet se conecta a Citrix, se conecta a nuestra IP pública (No meu caso 190.30.90.50) y de esa IP se le reenvia al servidor PS, el PS responde a la IP de la petición que no es la del cliente, así que la conexión fallaría por que le devuelve su IP privada en vez de la públcia y desde fuera lógicamente no se puede conectar a la privada. En el PS se abre una consola de MSDOS y agregamos como dirección alternativa la dirección pública del CSG, con ALTDDR, así que desde una consola de MSDOS en los PS: “altaddr IPPUBLICA /sety comprobamos que está bien metida conaltaddr”.

Okey, ahora desde el servidor que tiene el Web Interface, abrimos la consola: “Incio” > “Programas” > “Citrix” > “Metaframe Presentarion Server” > “Access Suite Console para Presentation Server”. Y vamos hastaComponentes de la suite” > “Herramientas de configuración” > “Interfaz weby sobre el nuestro, Botão direito “Administrar el acceso seguro de clientes” > “Modificar la configuración de la DMZ

En la conexiónPredeterminado” Clicamos no botão “Modificary en vez que seaDirecta” Vontade “Directa con Segure Gatewayy Aceptamos. Si desde nuestra LAN los puestos también acceden al Web Interface y no queremos que usen CSG (ya que están en la LAN), podemos agregar un rango IP y decirle que es una conexión directa (pulsaríamos en “Adicionar…” y metemos el rango IP de nuestra LAN con su mascara, indicamos en el método de acceso que seaDirecta”. Aceptamos todo.

Y ahora de nuevo, desde, “Componentes de la suite” > “Herramientas de configuración” > “Interfaz weby sobre el nuestro, Botão direito “Administrar el acceso seguro de clientes” > “Modificar configuración de Secure Gateway”.

Em “Servidor Secure Gatewaypondremos quien es el servidor CSG (yo pongo www.bujarra.com por que es mi nombre público y al que hace nombre mi certificado del IIS, si el certificado hace nombre al nombre del servidor pondríamos W2K3WWW01, Por exemplo), en elPuerto de Secure Gatewaypondremos el que hemos establecido durante la configuración, o 444 No meu caso. E em “URL de Secure Ticket Authoritycomprobamos que sea nuestro servidor STA (el primer PS) con el puerto del XML (en mi caso el 82), aceptamos todo.

Nada mau, ahora para probarlo, necesitamos lógicamente mapear el puerto 444 del firewall al servidor CSG, una vez hecho eso, nos vamos a internet con un portátil con modem, ou o que quer que seja, que no estemos en su LAN, para probarlo, abrimos una web a https://www.bujarra.com:444 y nos deberá abrir el interfaz web, nos autenticamos y abrimos alguna aplicación publicada.

Para comprobar si realmente está funcionando el CSG, abrimos el icono de la barra en el PC cliente.

Y veremos que sale un candado, eso indica que la conexión pasa por el CSG.


Postagens recomendadas

VPN com Citrix NetScaler II - Exigir certificados para acessar
Ler
VPN com Citrix NetScaler I - Implantação & Pré-autenticação
Ler
Novas equipes na Citrix
Ler
VPN com Citrix NetScaler IV - Sempre ligado
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Instalación y configuración de Citrix Conferencing Manager

19 Outubro 2008

Instalación y configuración de Citrix Desktop Server 1.0

19 Outubro 2008