aktuator
Goto Top

Citrix über Browser und Access Gateway nutzen

Hallo liebe Forumgemeinde,

ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag face-smile *aufgeregt*

Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.

Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.

Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.

Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.

Danke und Gruß
Aktuator

Content-ID: 202553

Url: https://administrator.de/forum/citrix-ueber-browser-und-access-gateway-nutzen-202553.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

SlainteMhath
SlainteMhath 28.02.2013 um 14:07:39 Uhr
Goto Top
Moin,

richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.

Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).

Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.

lg,
Slainte
Aktuator
Aktuator 28.02.2013 um 14:52:50 Uhr
Goto Top
Danke!
D.h. ich sollte das CAG schon auf einem separaten Server installieren und diesen dann in die DMZ stellen.
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding das CAG erreichbar machen wäre nicht gut?
SlainteMhath
SlainteMhath 28.02.2013 um 15:00:21 Uhr
Goto Top
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding
das CAG erreichbar machen wäre nicht gut?
Diese Möglichkeit existiert überhaupt nicht. CAG = HW Appliance oder Virtuelle Appliance!
Aktuator
Aktuator 28.02.2013 um 15:15:05 Uhr
Goto Top
Verstehe! Da muss ich mich dann nochmal genauer einlesen etc.

Gäbe es noch andere Alternativen? Z.B. XenApp direkt über Portfowarding erreichbar machen und das Ganze aber per SSL zu verschlüsseln?
sk
sk 02.03.2013, aktualisiert am 03.03.2013 um 03:31:46 Uhr
Goto Top
Wenn ich das Wort "Portforwarding" höre, schrillen bei mir die Alarmglocken.
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!

Gruß
sk
Aktuator
Aktuator 04.03.2013 um 09:42:20 Uhr
Goto Top
@...sk...

ich gebe Dir absolut recht. Das ist sicherlich der richtige Weg. Da will ich auch hin, muss jedoch momentan mit dem Auskommen was ich habe. Ist nunmal leider so.

Kurze Frage dazu:
Was hälst Du von einem Server mit 2 Netzwerkkarten, eine fürs Internet und eine fürs LAN und alle Clients gehen dann über diesen Server? Auch nicht wirklich sicher oder schonmal einen Schritt besser? Der Server wäre halt auch (leider) gleichzeitig unser Small Business Server mit anderen Diensten wie AD, Exchange etc.

Danke und Gruß
sk
sk 04.03.2013 um 16:21:36 Uhr
Goto Top
Das bringt keine Vorteile - außer dass man dann das SMB-Protokoll von dieser Schnittstelle entbinden könnte. Aber letzteres sollte auf dem Router ohnehin nicht weitergeleitet werden.

Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.

Gruß
sk
Aktuator
Aktuator 04.03.2013 um 17:50:58 Uhr
Goto Top
Ok, andere und richtige Vorgehensweise:

Wenn wir unser Netzwerk wie folgt aufrüsten und konfigurieren, wäre das dann so korrekt:

Gescheite Firewall kaufen, die einen dedizierten DMZ Port hat. Dort den Server anschließen auf dem Windows Server 2008 mit Hyper-V und Access Gateway drauf läuft.
Der XenApp Server läuft im normalen, gesicherten LAN. Die mobilen User machen dann von aussen eine Session auf das Access Gateway auf und können somit "normal" auf ihre XenApp Umgebung zugreifen.

Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss und dann aber über den Browser die Session aufbauen kann, z.B. über https://meinefirma.com/Remote

Gruß
Aktuator
SlainteMhath
SlainteMhath 05.03.2013 um 08:20:19 Uhr
Goto Top
Moin,

nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt face-smile

Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss
und dann aber über den Browser die Session aufbauen kann, ...
Ja der Client braucht auf jedenfall ein Stück Software installiert. Entweder den Reciever, oder das Web Online Plugin.

lg,
Slainte
Aktuator
Aktuator 05.03.2013 um 16:31:26 Uhr
Goto Top
Zitat von @SlainteMhath:
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt face-smile

ok. Kannst mir noch kurz sagen warum Du VMware bevorzugst?
Danke!
SlainteMhath
SlainteMhath 05.03.2013 um 16:36:06 Uhr
Goto Top
In Kürze:
- Stabiler & Sicherer
- braucht Weniger Resourcen
- Stabiler & Sicherer
- Bootet von USB/SC Card
- Stabiler & Sicherer

face-smile
Aktuator
Aktuator 06.03.2013 um 09:38:12 Uhr
Goto Top
ok, super! Ich danke euch!
Aktuator
Aktuator 08.03.2013 um 11:37:48 Uhr
Goto Top
jetzt muss ich das Thema doch nochmal aufgreifen.
Ich habe jetzt nämlich 2 Anwendungen, die beide auf Port 443 ankommen. Einmal habe ich ActiveSync für mobile Clients und dann eben das Access Gateway.
Soweit ich weiss, kann man den Port bei ActiveSync nicht ändern.....kann ich das beim AG?? Und wenn nein, was dann?
sk
sk 08.03.2013 um 14:34:05 Uhr
Goto Top
Selbst wenn sich der Port von CAG nicht ändern lassen sollte, kannst Du ihn ja an der Firewall "drehen". Die bessere Alternative wären es allerdings, mehrere öffentliche IP-Adressen zu verwenden.

Gruß
sk
Aktuator
Aktuator 08.03.2013 um 15:40:56 Uhr
Goto Top
wir haben momentan nur eine IP.
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port gedreht werden muss?

Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an und dann könnte ich es natürlich an der Firewall übersetzen....weiss aber nicht, ob man dem Citrix Client das sagen kann.
sk
sk 09.03.2013 um 12:40:13 Uhr
Goto Top
Zitat von @Aktuator:
wir haben momentan nur eine IP.

Dann wäre es an der Zeit, dies zu überdenken.


Zitat von @Aktuator:
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?

Der Client muss in diesem Fall selbstverständlich auf einem anderen Port anfragen.


Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an ...

Keine Ahnung. Ist nicht meine Baustelle. Aber wolltest Du bzw. der Chef nicht ohnehin die clientlose, rein browserbasierte Variante nutzen? http://www.youtube.com/watch?v=u9GyL-6K3xU


Gruß
sk
Aktuator
Aktuator 10.03.2013 um 00:48:16 Uhr
Goto Top
ok, ich habe jetzt mal Access Gateway als Trial runtergeladen und installiert.
Und es erschlägt mich einfach nur! AG braucht ja als Basis NetScaler und da gibt es ja unendlich viele Konfigmöglichkeiten und ich komme damit leider nicht klar....

Darf ich nochmal zusammenfassen und um euren Rat bitten:
Momentan wählen wir uns über VPN Client ein und können dann über Browser die Citrix Site aufrufen: http://servername/XenApp

Ich will ja jetzt quasi "nur" dass diese Site über https://UnsereDomain.com/XenApp erreichbar ist und der Datenverkehr dabei verschlüsselt wird. Benötige ich da denn wirklich den, wie ich finde, riesen Aufwand mit dem Access Gateway inkl. Netscaler?

Könnte ich denn nicht z.B. einen ISA Server (ich weiss heisst jetzt TMG) in die DMZ stellen, und der leitet die Anfragen weiter an meinen internen Citrix Server? Und zusätzlich kaufen wir uns noch Zertifikate von Verisign oder so und das wars?

Der TMG Server läuft ja mittlerweile auch schon aus, was ist da eigentlich der Nachfolger bzw. Alternative.

Hoffe ihr könnt mir nochmal helfen, denn ich bin langsam mit meinem Wissen am Ende...

Danke und Gruß
Aktuator
Herbrich19
Herbrich19 10.10.2013 um 19:23:22 Uhr
Goto Top
Hallo,

Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.

LG, Herbrich

PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.