xboxnico16
Goto Top

Citrix Gateway und Sophos UTM

Hallo zusammen,

ich habe einige Fragen und hoffe, dass ihr mir dabei behilflich sein könnt.

Und zwar habe ich mir im Homelab eine Citrix Virtual Apps & Desktops Umgebung aufgebaut, die auch von intern soweit erstmal funktioniert, also Sessions lassen sich aufbauen, usw.

Nun möchte ich allerdings gerne die Umgebung mittels Citrix Gateway, bzw. ADC von außen über eine Sophos UTM erreichbar machen. Und genau an diesem Punkt komme ich gerade nicht vorwärts.

Ich habe gelesen, dass dies wohl in der UTM über DNAT-Regeln funktionieren soll, dies hat allerdings leider nicht so richtig funktioniert.

Ich habe zusätzlich in der UTM bereits einen Exchange erreichbar gemacht. Ist es irgendwie möglich, Gateway und Exchange "gleichzeitig" über die UTM erreichbar zu machen?

Hauptsächlich würde es mir jetzt allerdings nur erstmal um Citrix gehen, dass dieser von außen erreichbar ist.

Hat das schonmal jemand in seinem Homelab erfolgreich umgesetzt und kann mir da Tipps geben, wie das in der UTM genau zu konfigurieren ist?

Ich bedanke mich im Vorus für eure Tipps.

Content-ID: 71436837211

Url: https://administrator.de/contentid/71436837211

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

em-pie
em-pie 20.09.2023 um 08:59:16 Uhr
Goto Top
Moin,

also wir haben das exakt so laufen (+ OTP-Lösung), aber nicht selbst umgesetzt - der Netscaler ist da schon komplexer.
Mein Tipp: such dir ein Systemhaus mit Skills rund um Citrix...

Grob zum Aufbau:
der DNS-Record "citrix.company.tld" löst auf einer unserer Public IPs auf. Die UTM reicht die Anfragen auf Port 443 weiter an den Netscaler. Der Netscaler stellt das Portal Citrix-Webportal (Frontstore), ergänzt um die Eingabe des zweiten Faktors, bereit. Ist die Anmeldung erfolgreich, sieht der User seine Apps/ Desktops.
Der Exchange ist via ReverseProxy (und div. Regeln) derzeit noch direkt an der UTM "aufrufbar", wird aber auch in naher Zukunft umgestellt werden -> der Netscaler soll das auch übernehmen.
Spirit-of-Eli
Spirit-of-Eli 20.09.2023 um 09:47:49 Uhr
Goto Top
Moin,

du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.

Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.

Gruß
Spirit
mbehrens
mbehrens 20.09.2023 um 14:51:56 Uhr
Goto Top
DNAT ist bei einer Sophos UTM das richtige Mittel.

Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
xboxnico16
xboxnico16 23.09.2023 um 12:29:39 Uhr
Goto Top
Zitat von @mbehrens:

DNAT ist bei einer Sophos UTM das richtige Mittel.

Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.

Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.

Wie genau gehe ich da in der UTM vor? Ich tippe Mal auf eine DNAT-Regel auf die IP des Gateways?

MFG
xboxnico16
xboxnico16 23.09.2023 um 12:32:11 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.

Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.

Gruß
Spirit

Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.

LG
xboxnico16
xboxnico16 23.09.2023 um 12:36:36 Uhr
Goto Top
Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?
Spirit-of-Eli
Spirit-of-Eli 23.09.2023 um 18:58:51 Uhr
Goto Top
Zitat von @xboxnico16:

Zitat von @Spirit-of-Eli:

Moin,

du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.

Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.

Gruß
Spirit

Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.

LG

Wie soll das funktionieren?? Und wieso "nur noch"?

Der Netscaler kann reverse Proxy und auch Loadbalancer spielen. Aber ersetzt doch keine Firewall..
Spirit-of-Eli
Spirit-of-Eli 23.09.2023 um 19:02:22 Uhr
Goto Top
Zitat von @xboxnico16:

Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?

Nein, deine "dynamische IP" wird nach wie vor von deiner UTM gehalten und das DNS Thema kannst du wohl auch darüber fahren.

Bezüglich Netscaler kann ich dir nicht sagen ob es öffentliche Guids gibt. Wenn du das so groß aufbaust, arbeitest du entweder bei einem Dienstleister und kommst eh an die Dokus wie auch Schulungen heran. Oder kaufst dir halt den Support ein.
Ohne Citrix Lizenzen läuft der ganze Spaß ja nun auch nicht.
mbehrens
mbehrens 23.09.2023 um 20:48:21 Uhr
Goto Top
Zitat von @xboxnico16:

Zitat von @mbehrens:

DNAT ist bei einer Sophos UTM das richtige Mittel.

Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.

Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.

Wenn man soviele Ressourcen und Lizenzen hat, kann man das machen. Ich würde stattdessen nochmal genau nachlesen, worin der genaue Unterschied zwischen Gateway und ADC liegt und wie dieser zustande kommt.

Wie genau gehe ich da in der UTM vor? Ich tippe Mal auf eine DNAT-Regel auf die IP des Gateways?

Ja, in der Regel hängt man die Maschine eher nicht direkt an den öffentlichen IP Kreis.
xboxnico16
xboxnico16 26.09.2023 um 23:36:31 Uhr
Goto Top
Danke erstmal für die ganzen Tipps und Ratschläge.

Ich werde das mal testen.
xboxnico16
xboxnico16 15.10.2023 aktualisiert um 22:40:24 Uhr
Goto Top
So ich habe jetzt mal ein bisschen mit UTM und Citrix Gateway experimentiert.

Ich habe jetzt eine DNAT-Regel mit der IP des Gateways erstellt. Dies scheint auch soweit zu funktionieren.

Allerdings bekomme ich jetzt beim aufrufen der Domain einen 503-Service unavailable oder einen 400 "Bad Request" Error.

Was habe ich übersehen?

Danke
xboxnico16
xboxnico16 29.10.2023 um 00:53:40 Uhr
Goto Top
Hi,

ich habe mir jetzt einen Server bei Hetzner inklusive Public-IPs gemietet.

Jetzt bekomme ich Citrix Gateway soweit von außen erreichbar, allerdings erhalte ich nach der Anmeldung in Gateway die Fehlermeldung "Die Anforderung konnte nicht abgeschlossen werden".

Ebenfalls erscheint bei der Konfiguration von Storefront in ADC die Fehlermeldung: "StoreFront could not be contacted. The status of the server is DOWN"

Beide Server haben eine Public-IP von Hetzner bekommen.

Was habe ich hier übersehen.

Ich bedanke mich nochmals für Unterstützung.