Llevo unos días jugando con un cacharro de estos (que no había tocado en mi vida), mas o menos lo tengo funcionando así que… ahí va mi configuración.
Este cacharro es un Balanceador/Acelerador de Citrix. Te lo venden como un appliance o como una imagen para montarla en un entorno virtual (mi caso).
Hay dos formas de montarlo, con dos tarjetas o con una. En nuestro caso, dado que la arquitectura de la red deja bastante que desear optamos por montarlo solo con 1 tarjeta de red.
La configuración quedo mas o menos así:
– 1 ip de administración (Netscaler IP)
– 1 ip de «servicio» (Mapped IP) (Es la que se encarga de la autenticacion y de contactar con el Webinterface y el STA).
– 1 ip de «servicio» (Virtual IP) (Es sobre la que se monta el Access Gateway (Sobre la que hay que hacer NAT de la ip publica)).
A nivel de red no hay mucho mas que tocar, aunque se puede jugar bastante). Default Gw hacia la pata de tu firewall y listo.
Necesitas un certificado para hacerlo funcionar así que, pestaña SSL
Puedes crear uno de test que hace el propio equipo o solicitar alguno (http://www.thawte.com/ te deja hacer uno de test (21 días) y 2048 bits (ojo con la licencia que te han dejado).
Para hacer el certificado, primero te creas tu RSA key …
Donde:
-Key-filename es el nombre del archivo con el que lo guardas (en el appliance)
-Key-Size: Tamaño de la Key (minimo 2048 para Thawtee).
-PEM Passphrase: La clave de tus Keys.
Una vez que las tienes, generas el CSR para pasarelo a la web y que te manden el certificado.
Donde:
– Request file name: El nombre del archivo que contendra el CSR (para guardarlo en el appliance)
– Key File Name: El nombre del fichero con la key que has creado antes
– PEM Passphrase: Las que has puesto antes en la key
– Common Name: El nombre de la web a la que le vas a poner el certificado (miweb.pepito.com)
– Organization Name: Pues eso mismo, el nombre de tu carnica… digo empresa.
Una vez generado … copy&paste a la web para que te manden el certificado. Una vez que lo hagan vas a «Manage Certificates/Keys/CSRs» y los importas (el certificado que te mandan, el intermedio y el root).
Despues de importarlos tienes que instalarlos … > SSL -> Certificates -> Install. Pones el nombre del certificado (el que vas a referenciar luego en los servers, el fichero que te han pasado con el certificado, el fichero de keys con el que generaste el certificado (y la password si la pusiste). Importas y listo.
Ahora creamos el Virtual Server. Para hacerlo vamos a Access Gateway -> Virtual Server y Add
Name: El nombre del virtual server (que sera accesible desde internet)
IP Adress: La ip que hemos dedicado a «Virtual IP».
Tiene que estar marcado SmartAccess Mode y Down state flush
Si has importado tus certificados deberían aparecerte en la ventana de la izquierda, añádelo y listo.
Autenticacion:
– La ponemos en enable y creamos una politica.
Le ponemos un nombre y definimos un servidor (el que tenga el Active Directory).
Nombre, ip y tipo de servidor (Directorio activo en mi caso). Necesitas una cuenta con la que autenticarte y que tenga permisos de lectura sobre la DN donde estén tus usuarios (Los que van a autenticarse desde fuera).
Cambias Security type a TLS y marcas las siguientes 3 opciones (Authentication, User required y Allow password change (si lo quieres permitir)).
Se puede probar la conexión (Retrieve Attributes). La primera vez tarda un montón (casi 20 minutos en mi caso). Si falla el error sale casi instantáneo así que, no pierdes nada por darle.
Ojo con las expresiones, si no están en ns_true no funciona.
Politicas:
Definimos una politica…
Tienes que definir un profile …
Esta es la importante … aquí es donde se define la URL del Web interface de tu granja citrix.
Otra vez, ojito con el ns_true sino esta puesto no funciona.
Aquí definimos el STA.
Y listo…con esta configuración funciona. Yo tuve problemas con el certificado (que tiene que estar instalado (el root y el intermedio) también en el Web interface).
**Actualización**
Echarle un ojo a esta web
http://www.jasonsamuel.com/2014/07/02/mitigating-ddos-and-brute-force-attacks-against-a-citrix-netscaler-access-gateway/
Al menos configurar Max login attemps y failed login timeout en cada virtual server.
monitorizacion
http://support.citrix.com/article/CTX132381
Toda la mib …