18
Citrix über Browser und Access Gateway nutzen
Hallo liebe Forumgemeinde,
ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag
*aufgeregt*
Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.
Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.
Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.
Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.
Danke und Gruß
Aktuator
ich nutze dieses spitzen Forum schon seit langer Zeit um immer wieder Informationen und hilfreiche Tips zu bekommen. Bisher jedoch nur passiv, d.h. dies ist mein erster Beitrag
*aufgeregt*Und zwar wir nutzen in einem Unternehmen mit knapp 10 Mitarbeitern Citrix XenApp 6.5. auf eine Win 2008 R2 Server.
Die mobilen User wählen sich über einen VPN Client in die Firma ein und starten dann über den Citrix Receiver eine Session. Funktioniert auch alles seit längerem schon wunderbar.
Mein Chef hat jetzt aber in anderen Firmen gesehen, dass man solche Sessions auch über den Browser aufbauen kann. Vor allem auch viel schneller, da man sich die VPN Schritte spart.
Und hier bräuchte ich jetzt eure Hilfe und euren Rat.
Wie müsste man das umsetzen?
Habe gelesen, dass dies wohl mit dem Citrix Access Gateway zu machen wäre. Aber wo installiere ich das dann? Auf dem Citrix Server selbst oder besser auf einem separaten Server?
Wie findet ihr steht es dann mit der Sicherheit? So wie ich das bisher verstehe, ist dann die einzige Barriere das Userpasswort, richtig?
Beim VPN Client haben wir noch eine Zertifikatsauthentifizierung was es, finde ich, sicherer macht.
Bin um jeden Tip dankbar, da ich noch am Anfang stehe bei dieser Aufgabe.
Danke und Gruß
Aktuator
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202553
Url: https://administrator.de/contentid/202553
Printed on: April 25, 2024 at 04:04 o'clock
18 Comments
Latest comment
Moin,
richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.
Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).
Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.
lg,
Slainte
richtig, das geht über das Citrix Access Gateway. Auf dem/dne XenApps wird das Webinterface installiert, das CAG (das in der DMZ stehen sollte) stellt dann eine Art Portal im Internet bereit über das dann auf die XenApp Server zugegriffen werden kann.
Das CAG an sich gibt es als Echte Hardware oder als Virtuelle Appliance (z.b. für VMWare).
Authentifiziert wird gegen das Active Directory. Wem das zu wenig ist, der setzt Tokens (von RSA oder Aladdin) ein die pro Anmeldung ein OTP generieren.
lg,
Slainte
Danke!
D.h. ich sollte das CAG schon auf einem separaten Server installieren und diesen dann in die DMZ stellen.
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding das CAG erreichbar machen wäre nicht gut?
D.h. ich sollte das CAG schon auf einem separaten Server installieren und diesen dann in die DMZ stellen.
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding das CAG erreichbar machen wäre nicht gut?
Das CAG auf dem Server installieren auf dem bereits XenApp läuft und dann per Portforwarding
das CAG erreichbar machen wäre nicht gut?
Diese Möglichkeit existiert überhaupt nicht. CAG = HW Appliance oder Virtuelle Appliance!das CAG erreichbar machen wäre nicht gut?
Verstehe! Da muss ich mich dann nochmal genauer einlesen etc.
Gäbe es noch andere Alternativen? Z.B. XenApp direkt über Portfowarding erreichbar machen und das Ganze aber per SSL zu verschlüsseln?
Gäbe es noch andere Alternativen? Z.B. XenApp direkt über Portfowarding erreichbar machen und das Ganze aber per SSL zu verschlüsseln?
Wenn ich das Wort "Portforwarding" höre, schrillen bei mir die Alarmglocken.
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!
Gruß
sk
Auch bei Design und Implementierung von IT-Sicherheitskonzepten gibt es "Best Practices". Eine der wichtigsten Grundregeln lautet: "Es gibt keinen direkten Zugriff zwischen öffentlichem Netz und internem Netz". Der Weg führt immer über ein spezialisiertes Application-Layer-Gateway auf einem dedizierten Host in der bzw. einer DMZ. Übrigens auch für Verbindungen, die von inside nach outside initiiert werden!
Gruß
sk
@...sk...
ich gebe Dir absolut recht. Das ist sicherlich der richtige Weg. Da will ich auch hin, muss jedoch momentan mit dem Auskommen was ich habe. Ist nunmal leider so.
Kurze Frage dazu:
Was hälst Du von einem Server mit 2 Netzwerkkarten, eine fürs Internet und eine fürs LAN und alle Clients gehen dann über diesen Server? Auch nicht wirklich sicher oder schonmal einen Schritt besser? Der Server wäre halt auch (leider) gleichzeitig unser Small Business Server mit anderen Diensten wie AD, Exchange etc.
Danke und Gruß
ich gebe Dir absolut recht. Das ist sicherlich der richtige Weg. Da will ich auch hin, muss jedoch momentan mit dem Auskommen was ich habe. Ist nunmal leider so.
Kurze Frage dazu:
Was hälst Du von einem Server mit 2 Netzwerkkarten, eine fürs Internet und eine fürs LAN und alle Clients gehen dann über diesen Server? Auch nicht wirklich sicher oder schonmal einen Schritt besser? Der Server wäre halt auch (leider) gleichzeitig unser Small Business Server mit anderen Diensten wie AD, Exchange etc.
Danke und Gruß
Das bringt keine Vorteile - außer dass man dann das SMB-Protokoll von dieser Schnittstelle entbinden könnte. Aber letzteres sollte auf dem Router ohnehin nicht weitergeleitet werden.
Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.
Gruß
sk
Wenns gar nicht anders geht, virtualsiert man halt die DMZ. Das ist heute ohnehin Standard - allerdings hält man hierfür idealerweise eine separate physische Virtualisierungsinfrastruktur vor.
Gruß
sk
Ok, andere und richtige Vorgehensweise:
Wenn wir unser Netzwerk wie folgt aufrüsten und konfigurieren, wäre das dann so korrekt:
Gescheite Firewall kaufen, die einen dedizierten DMZ Port hat. Dort den Server anschließen auf dem Windows Server 2008 mit Hyper-V und Access Gateway drauf läuft.
Der XenApp Server läuft im normalen, gesicherten LAN. Die mobilen User machen dann von aussen eine Session auf das Access Gateway auf und können somit "normal" auf ihre XenApp Umgebung zugreifen.
Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss und dann aber über den Browser die Session aufbauen kann, z.B. über https://meinefirma.com/Remote
Gruß
Aktuator
Wenn wir unser Netzwerk wie folgt aufrüsten und konfigurieren, wäre das dann so korrekt:
Gescheite Firewall kaufen, die einen dedizierten DMZ Port hat. Dort den Server anschließen auf dem Windows Server 2008 mit Hyper-V und Access Gateway drauf läuft.
Der XenApp Server läuft im normalen, gesicherten LAN. Die mobilen User machen dann von aussen eine Session auf das Access Gateway auf und können somit "normal" auf ihre XenApp Umgebung zugreifen.
Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss und dann aber über den Browser die Session aufbauen kann, z.B. über https://meinefirma.com/Remote
Gruß
Aktuator
Moin,
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt
lg,
Slainte
nimm anstatt 2008/Hyper-V einen ESXi 5.1 und die Sache passt
Verstehe ich es richtig, dass der User aber auf jeden Fall den Citrix Receiver installiert haben muss
und dann aber über den Browser die Session aufbauen kann, ...
Ja der Client braucht auf jedenfall ein Stück Software installiert. Entweder den Reciever, oder das Web Online Plugin.und dann aber über den Browser die Session aufbauen kann, ...
lg,
Slainte
ok. Kannst mir noch kurz sagen warum Du VMware bevorzugst?
Danke!
In Kürze:
- Stabiler & Sicherer
- braucht Weniger Resourcen
- Stabiler & Sicherer
- Bootet von USB/SC Card
- Stabiler & Sicherer
- Stabiler & Sicherer
- braucht Weniger Resourcen
- Stabiler & Sicherer
- Bootet von USB/SC Card
- Stabiler & Sicherer
ok, super! Ich danke euch!
jetzt muss ich das Thema doch nochmal aufgreifen.
Ich habe jetzt nämlich 2 Anwendungen, die beide auf Port 443 ankommen. Einmal habe ich ActiveSync für mobile Clients und dann eben das Access Gateway.
Soweit ich weiss, kann man den Port bei ActiveSync nicht ändern.....kann ich das beim AG?? Und wenn nein, was dann?
Ich habe jetzt nämlich 2 Anwendungen, die beide auf Port 443 ankommen. Einmal habe ich ActiveSync für mobile Clients und dann eben das Access Gateway.
Soweit ich weiss, kann man den Port bei ActiveSync nicht ändern.....kann ich das beim AG?? Und wenn nein, was dann?
Selbst wenn sich der Port von CAG nicht ändern lassen sollte, kannst Du ihn ja an der Firewall "drehen". Die bessere Alternative wären es allerdings, mehrere öffentliche IP-Adressen zu verwenden.
Gruß
sk
Gruß
sk
wir haben momentan nur eine IP.
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port gedreht werden muss?
Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an und dann könnte ich es natürlich an der Firewall übersetzen....weiss aber nicht, ob man dem Citrix Client das sagen kann.
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port gedreht werden muss?
Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an und dann könnte ich es natürlich an der Firewall übersetzen....weiss aber nicht, ob man dem Citrix Client das sagen kann.
Dann wäre es an der Zeit, dies zu überdenken.
Zitat von @Aktuator:
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?
Ich verstehe nicht, wie ich den Port in der Firewall drehen kann. Es kommen ja Citrix + ActiveSync
Anfragen auf Port 443 an. Woher weiss dann die Firewall welche Anfrage auf einen anderen Port
gedreht werden muss?
Der Client muss in diesem Fall selbstverständlich auf einem anderen Port anfragen.
Oder kann man dem Citrix Client einfach sagen, komm über Port 1234 an ...
Keine Ahnung. Ist nicht meine Baustelle. Aber wolltest Du bzw. der Chef nicht ohnehin die clientlose, rein browserbasierte Variante nutzen? http://www.youtube.com/watch?v=u9GyL-6K3xU
Gruß
sk
ok, ich habe jetzt mal Access Gateway als Trial runtergeladen und installiert.
Und es erschlägt mich einfach nur! AG braucht ja als Basis NetScaler und da gibt es ja unendlich viele Konfigmöglichkeiten und ich komme damit leider nicht klar....
Darf ich nochmal zusammenfassen und um euren Rat bitten:
Momentan wählen wir uns über VPN Client ein und können dann über Browser die Citrix Site aufrufen: http://servername/XenApp
Ich will ja jetzt quasi "nur" dass diese Site über https://UnsereDomain.com/XenApp erreichbar ist und der Datenverkehr dabei verschlüsselt wird. Benötige ich da denn wirklich den, wie ich finde, riesen Aufwand mit dem Access Gateway inkl. Netscaler?
Könnte ich denn nicht z.B. einen ISA Server (ich weiss heisst jetzt TMG) in die DMZ stellen, und der leitet die Anfragen weiter an meinen internen Citrix Server? Und zusätzlich kaufen wir uns noch Zertifikate von Verisign oder so und das wars?
Der TMG Server läuft ja mittlerweile auch schon aus, was ist da eigentlich der Nachfolger bzw. Alternative.
Hoffe ihr könnt mir nochmal helfen, denn ich bin langsam mit meinem Wissen am Ende...
Danke und Gruß
Aktuator
Und es erschlägt mich einfach nur! AG braucht ja als Basis NetScaler und da gibt es ja unendlich viele Konfigmöglichkeiten und ich komme damit leider nicht klar....
Darf ich nochmal zusammenfassen und um euren Rat bitten:
Momentan wählen wir uns über VPN Client ein und können dann über Browser die Citrix Site aufrufen: http://servername/XenApp
Ich will ja jetzt quasi "nur" dass diese Site über https://UnsereDomain.com/XenApp erreichbar ist und der Datenverkehr dabei verschlüsselt wird. Benötige ich da denn wirklich den, wie ich finde, riesen Aufwand mit dem Access Gateway inkl. Netscaler?
Könnte ich denn nicht z.B. einen ISA Server (ich weiss heisst jetzt TMG) in die DMZ stellen, und der leitet die Anfragen weiter an meinen internen Citrix Server? Und zusätzlich kaufen wir uns noch Zertifikate von Verisign oder so und das wars?
Der TMG Server läuft ja mittlerweile auch schon aus, was ist da eigentlich der Nachfolger bzw. Alternative.
Hoffe ihr könnt mir nochmal helfen, denn ich bin langsam mit meinem Wissen am Ende...
Danke und Gruß
Aktuator
Hallo,
Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.
LG, Herbrich
PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.
Ich behallte immer die VPN Einwahl (über IPsec) bei, in RZ steht dann (mit genug IP,s) ein Root Server der mit ESXi Veirtualisiert ist. Darauf laufen die Gateway Programme. Also einmal ein CSG (Presentation Server 4.0^^) und einmal ein Exchange Client Acces Server (CAS). Diese Lösung ist Kostengünstig und einfach.
LG, Herbrich
PS: Ich wollte nur einen kleinen Tipp geben wie ich es realisieren werde, den ich Arbeite gerade auch an diesen Project.
