1. Получение сертификата для Access Gateway из доменного Центра сертификации.
2. Настройка Access Gateway Enterprise Edition для VPN доступа.
3. Проверка.
Преамбула
Предполагается, что NetScaler VPX уже развернут и настроен.
domain.local - внутренний доменdomain.com - внешний домен
10.0.0.201 - Domain Controller, DNS, NTP Server, Certificate Authority (CA)
10.0.0.240 - NetScaler_1
10.0.0.241 - NetScaler_2
10.0.0.241 - Access Gateway Virtual Server (ag.domain.com)
10.0.0.243 - NetScaler subnet IP
1. Получение сертификата для Access Gateway из доменного Центра сертификации.
Изначально необходимо получить сертификат для Access Gateway.
!! Внимание. 90% проблем в работе Access Gateway связаны с некорректно настроенными довериями/сертификатами!!
Открываем меню SSL и выбираем Create RSA Key
Нажимаем Create, затем Close
Создаем запрос на сертификат.
Указываем имя запроса, созданный ключ, задаем пароль для сертификата и заполняем основные значения для сертификата.
Common Name - то имя по которому будет идти обращение к Access Gateway.
Теперь понадобится утилита для SFTP доступа к NetScaler. Я обычно использую WinSCP
Подключаемся к NetScaler используя учётку nsroot. Открываем путь
/flash/nsconfig/ssl
и открыть во встроенном редакторе.
Далее открываем Web портал Центра сертификации, в данном примере это контроллер домена и переходим по ссылке запросить сертификат.
Указываем Имя, полученный сертификат, файл ключа и заданный пароль.
Нажимаем Install и Close
2. Настройка Access Gateway Enterprise Edition для VPN доступа.
Будем настраивать простой VPN с локальной аутентификацией.
Заходим Access Gateway - Users и нажимаем Add...
Access Gateway - Policies - Session
Задаем имя политики; устанавливаем простое выражение разрешено - все; нажимаем New для создания нового профиля.
Задаем имя профиля; указываем Split Tunnel - ON; Authorization - ALLOW
Если Split Tunnel выключен, то ВЕСЬ трафик с клиентской машины будет завернут Access Gateway plugin'ом в VPN тунель. Если клиент должен быть и в своей сети(например интернет) и подключен к корпоративной сети, то Split Tunnel должен быть включен.
подробнее в eDocs
Далее необходимо создать политику Аутентификации
Access Gateway - Policies - Authentication - Local - Add...
Так как Split Tunnel включен, необходимо задать адреса которые Access Gateway plugin будет заворачивать в VPN тунель(иначе он даже не будет подключатся с ошибкой Split tunneling is enabled and an intranet application is not configured.). В данном случае разрешается получить доступ ко все локальной сети.
Осталось создать сам сервер Access Gateway. Нажимаем
Access Gateway - Virtual Servers - Add...
И указываем имя, ip адрес и сертификат. Mode должно быть SmartAccess
На закладке Authentication добавляем созданную политику аутентификации.
Добавляем политику доступа
И добавляем список разрешенных ресурсов
Нажимаем Create и Close.
PS: не забывать периодически сохранять конфигурацию. Если настроено High Availability то при внесении изменений можно получить предупреждение о том, что изменения внесены только на одну ноду. Это нормально, в течении некоторого времени ноды синхронизируются.
Access Gateway для VPN доступа настроен.
3. Проверка
На клиентской машине в браузере открываемhttps://ag.domain.com
Входим под учёткой локально созданного пользователя
Узел Access Gateway рекомендуется добавить в доверенные узлы
IE - Сервис - Свойства обозревателя - Безопасность - Надежные узлы - Узлы - Добавить
Если на клиенте не установлен Access Gateway plugin, то будет предложено его скачать и установить(по размеру он не очень большой ~4Mb; для установки понадобятся права Администратора на клиентской машине)
После установки появится табличка о необходимости дождаться подключения
После того как соединение будет установлено должно появится сообщение:
Если на машине ранее уже был установлен Citrix Reciever, то всплывающее окно появляться не будет, а проверить статус можно только самостоятельно через окно About.
Далее можно, что-то открыть из локальной сети или для проверки использовать ping
первый - до подключения VPN, второй после
Комментариев нет:
Отправить комментарий