Blog IT

Configurando NetScaler Gateway 10.5 / Configuring NetScaler Gateway 10.5

En la entrada de hoy vamos a configurar nuestro Citrix NetScaler como Gateway para el acceso externo de nuestros usuarios al entorno de aplicaciones y escritorios virtuales.

El entorno consta de un servidor Storefront, un NS y nuestro firewall. Solo voy a configurar el acceso a través del NS, no voy a configurar balanceo ni optimizaciones… simplemente el acceso.

El NS lo configuraremos en una DMZ: 192.168.121.X

Siendo nuestra red interna la 192.168.111.X

Ns1

Nos vamos a la web de Citrix y descargamos la VM dependiendo del hypervisor que utilicemos. Importamos la máquina y la encendemos.

Ns2

Lo primero que nos va a pedir es la IP de administración. Es decir la NIP (NetScaler Ip Addreess). Le damos IP, máscara, puerta de enlace y salvamos.

Ns3

Ahora, accedemos desde un explorador a la NIP. Ojo, abrimos el puerto 80 desde la LAN (mejor si es solo un equipo de la misma) a la IP de la NIP en la DMZ para poder acceder.

Y nos logueamos con el usuario y password por defecto que son: nsroot / nsroot

Ns4

La NIP está configurada,

Ns5

Ahora vamos a configurar la SNIP (Subnet IP address). Esta IP es la que utiliza NS para comunicar los servicios con los servidores del entorno.

Ns6

Podéis ver aquí un buen gráfico explicativo.

Ns7

Le damos una IP, máscara y listo.

Ns8

Ahora vamos a darle un nombre al NS, le configuraremos el servidor DNS que sera nuestro DC y el timezone.

Ns9

Introducimos los datos…

Ns10

Ahora solo nos falta instalar la licencia para tener echa la configuración inicial.

Ns11

Descargaremos la licencia de MyCitrix y la importamos.

Ns12

Ya estamos preparados para empezar la configuración del Gateway. Para ello, nos vamos a NetScaler Gateway y ejecutaremos el Wizard

Ns13

Empieza el asistente…

Ns14

Aquí vamos a configurar una IP para la parte del NetScaler que hará la función de Gateway. Le daremos el puerto que va a utilizar (443 puerto seguro) y un nombre. Esta es la IP a la que vamos a atacar por el puerto que seleccionemos (443) desde nuestra IP pública. Por lo tanto, tendremos que configurar en el firewall, que todo lo que entre desde la WAN por el 443 lo redirija a esta ip de la DMZ.

Ns15

El siguiente paso del asistente será configurar el certificado que vamos a utilizar en el sitio. Este certificado lo podéis generar con una CA interna aunque siempre es mejor tener una certificado válido para no tener que andar desplegándolo en todos nuestros clientes.

Ns16

Una vez importado el certificado, vamos a configurar  la autenticación. Para ello utilizaremos LDAP. Y sincronizaremos el NS con nuestro AD.

Los datos a introducir son:

  • El nombre de unos de los DCs
  • La IP de este DC
  • El puerto de conexión que utilizaremos, en nuestro caso será LPAD over SLL 636* (puerto seguro)
  • Nuestra base DN: dc=lagonzalez, dc=local
  • Una cuenta del dominio para hacer consultas ldap. Este usuario no necesita permisos especiales así que no uséis el admin. Crearos usuario dedicado.
  • El Server logon name attribute: SamAccountName

*Para que NS comunique con el DC a través del 636 tendremos que abrir el puerto de la NIP (DMZ) al DC (LAN)

Ns17

Con esto ya terminamos el asistente.

Ns17_2

Nos aparece el mensaje de que hemos configurado satisfactoriamente el NS. Pero tranquilos, que aun quedan cosas…

Ns18

Lo primero que vamos a configurar ahora es un filtro para el acceso. De manera que solo permitamos el acceso a través del NS a los usuarios que estén en dicho grupo. Para ello, nos vamos a NetScaler Gateway > Virtual Servers y entramos en nuestro NS

Ns18_1

Nos vamos a la politica de LDAP,

Ns18_2

La editamos,

Ns19Ns20

Y añadimos un filtro de búsqueda que haga referencia a la ruta del AD de dicho grupo. Ahora solo podrán acceder los usuarios del grupo. Al resto les dará un error de autenticación al intentar loguearse contra el storefront del NS.

Este paso es opcional, pero aquí nos gusta hacer las cosas bien.

Ns21

Siguiente paso: Añadimos las aplicaciones publicadas para configurar el STA,

Ns22

Tras añadirlas aparecerá la configuración vacía. Eso lo vamos a remediar enseguida…

Ns23

Añadimos la IP de nuestro STA (Broker) el cual… estará en la lan. Por lo tanto, acordaros de abrir los puertos necesarios…Que puertos? Recordemos que la IP que comunica el NS contra los servidores es…. LA SNIP. En consecuencia, abriremos el XML de la SNIP contra el Broker. He introducimos la url completa del STA. Esperamos un poco y verificamos que se pone en verde. Si está en rojo… no hay comunicación.

Ns24

Seguimos avanzado. Ahora modificamos la política de sesión.

Ns25

En la pestaña de experiencia del cliente, Habilitamos el client accesss

Ns26

 

Configuramos y activamos el tipo de pluggin de single Sign-on para web

Ns27

Y activamos tanto el SSO para windows como el CCP.

Ns28

Habilitamos la acción por defecto de seguridad en la pestaña Security

Ns29

Y por último habilitamos el ICA proxy, configuramos la URL del storefront*, el modo en el que mostraremos el portal de acceso y dejaremos preconfigurado el dominio para que los usuarios no tengan que escribirlo.

*SNIP (DMZ) – Storefront (LAN) comunican por el 80 o 443.

Ns30

Ahora vamos a bordarlo y modificaremos el host del storefront para que pueda traducir el nombre de nuestro NetScaler Gateway. Modificar el host no es un poco “cochino”? No es mejor crear una zona en el DNS? FALSO. Nadie tiene porque saber quien es el NS en nuestro dominio excepto el Storefront. NetScaler es una herramienta de Seguridad aparte de muchas otras cosas.

Ns36

Solo nos queda un último paso en el NS. Definir para que vamos a utilizarlo. En esta ocasión, tendremos que marcar en la configuración del virtual server que lo utilizaremos como ICA only. Sino, con nuestra licencia de NSG solo entrará un usuario. Hay que decirle que las sesiones habilitadas serán ICA.

Ns31

Una vez configurado el NS, tenemos que modificar la configuración del Storefront existente para que utilice el NS. Agregamos el passthrough desde NSG en la autenticación del ST.

Ns32

También vamos a configurar las balizas internas y externas. Estas se utilizan para comprobar si la sesión de los usuarios se conecta de manera interna o externa.

Ns33

Ahora agregamos el dispositivo NS en el ST. Rellenamos los datos facilitando nombre del NetScaler Gateway, la url de acceso y su versión. Si teneis otras URLs de respuesta podeis añadirlas o sino poner la misma que la principal. Siguiente,

Ns34

Agregamos el STA y deshabilitamos la fiabilidad de la sesión porque utilizaremos el 1494. Creamos…

Ns35

Por último habilitamos el acceso remoto configurándolo Sin VPN y seleccionando el dispositivo de NS. Aceptamos

Ahora ya pueden disfrutar nuestros usuarios de sus aplicaciones y escritorios desde cualquier dispositivo, en cualquier lugar… y de forma segura.