12
Citrix Gateway und Sophos UTM
Hallo zusammen,
ich habe einige Fragen und hoffe, dass ihr mir dabei behilflich sein könnt.
Und zwar habe ich mir im Homelab eine Citrix Virtual Apps & Desktops Umgebung aufgebaut, die auch von intern soweit erstmal funktioniert, also Sessions lassen sich aufbauen, usw.
Nun möchte ich allerdings gerne die Umgebung mittels Citrix Gateway, bzw. ADC von außen über eine Sophos UTM erreichbar machen. Und genau an diesem Punkt komme ich gerade nicht vorwärts.
Ich habe gelesen, dass dies wohl in der UTM über DNAT-Regeln funktionieren soll, dies hat allerdings leider nicht so richtig funktioniert.
Ich habe zusätzlich in der UTM bereits einen Exchange erreichbar gemacht. Ist es irgendwie möglich, Gateway und Exchange "gleichzeitig" über die UTM erreichbar zu machen?
Hauptsächlich würde es mir jetzt allerdings nur erstmal um Citrix gehen, dass dieser von außen erreichbar ist.
Hat das schonmal jemand in seinem Homelab erfolgreich umgesetzt und kann mir da Tipps geben, wie das in der UTM genau zu konfigurieren ist?
Ich bedanke mich im Vorus für eure Tipps.
ich habe einige Fragen und hoffe, dass ihr mir dabei behilflich sein könnt.
Und zwar habe ich mir im Homelab eine Citrix Virtual Apps & Desktops Umgebung aufgebaut, die auch von intern soweit erstmal funktioniert, also Sessions lassen sich aufbauen, usw.
Nun möchte ich allerdings gerne die Umgebung mittels Citrix Gateway, bzw. ADC von außen über eine Sophos UTM erreichbar machen. Und genau an diesem Punkt komme ich gerade nicht vorwärts.
Ich habe gelesen, dass dies wohl in der UTM über DNAT-Regeln funktionieren soll, dies hat allerdings leider nicht so richtig funktioniert.
Ich habe zusätzlich in der UTM bereits einen Exchange erreichbar gemacht. Ist es irgendwie möglich, Gateway und Exchange "gleichzeitig" über die UTM erreichbar zu machen?
Hauptsächlich würde es mir jetzt allerdings nur erstmal um Citrix gehen, dass dieser von außen erreichbar ist.
Hat das schonmal jemand in seinem Homelab erfolgreich umgesetzt und kann mir da Tipps geben, wie das in der UTM genau zu konfigurieren ist?
Ich bedanke mich im Vorus für eure Tipps.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71436837211
Url: https://administrator.de/contentid/71436837211
Printed on: May 2, 2024 at 03:05 o'clock
12 Comments
Latest comment
Moin,
also wir haben das exakt so laufen (+ OTP-Lösung), aber nicht selbst umgesetzt - der Netscaler ist da schon komplexer.
Mein Tipp: such dir ein Systemhaus mit Skills rund um Citrix...
Grob zum Aufbau:
der DNS-Record "citrix.company.tld" löst auf einer unserer Public IPs auf. Die UTM reicht die Anfragen auf Port 443 weiter an den Netscaler. Der Netscaler stellt das Portal Citrix-Webportal (Frontstore), ergänzt um die Eingabe des zweiten Faktors, bereit. Ist die Anmeldung erfolgreich, sieht der User seine Apps/ Desktops.
Der Exchange ist via ReverseProxy (und div. Regeln) derzeit noch direkt an der UTM "aufrufbar", wird aber auch in naher Zukunft umgestellt werden -> der Netscaler soll das auch übernehmen.
also wir haben das exakt so laufen (+ OTP-Lösung), aber nicht selbst umgesetzt - der Netscaler ist da schon komplexer.
Mein Tipp: such dir ein Systemhaus mit Skills rund um Citrix...
Grob zum Aufbau:
der DNS-Record "citrix.company.tld" löst auf einer unserer Public IPs auf. Die UTM reicht die Anfragen auf Port 443 weiter an den Netscaler. Der Netscaler stellt das Portal Citrix-Webportal (Frontstore), ergänzt um die Eingabe des zweiten Faktors, bereit. Ist die Anmeldung erfolgreich, sieht der User seine Apps/ Desktops.
Der Exchange ist via ReverseProxy (und div. Regeln) derzeit noch direkt an der UTM "aufrufbar", wird aber auch in naher Zukunft umgestellt werden -> der Netscaler soll das auch übernehmen.
Moin,
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
DNAT ist bei einer Sophos UTM das richtige Mittel.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
Zitat von @mbehrens:
DNAT ist bei einer Sophos UTM das richtige Mittel.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
DNAT ist bei einer Sophos UTM das richtige Mittel.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.
Wie genau gehe ich da in der UTM vor? Ich tippe Mal auf eine DNAT-Regel auf die IP des Gateways?
MFG
Zitat von @Spirit-of-Eli:
Moin,
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
Moin,
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.
LG
Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?
Zitat von @xboxnico16:
Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.
LG
Zitat von @Spirit-of-Eli:
Moin,
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
Moin,
du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.
Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.
Gruß
Spirit
Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.
LG
Wie soll das funktionieren?? Und wieso "nur noch"?
Der Netscaler kann reverse Proxy und auch Loadbalancer spielen. Aber ersetzt doch keine Firewall..
Zitat von @xboxnico16:
Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?
Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?
Nein, deine "dynamische IP" wird nach wie vor von deiner UTM gehalten und das DNS Thema kannst du wohl auch darüber fahren.
Bezüglich Netscaler kann ich dir nicht sagen ob es öffentliche Guids gibt. Wenn du das so groß aufbaust, arbeitest du entweder bei einem Dienstleister und kommst eh an die Dokus wie auch Schulungen heran. Oder kaufst dir halt den Support ein.
Ohne Citrix Lizenzen läuft der ganze Spaß ja nun auch nicht.
Zitat von @xboxnico16:
Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.
Zitat von @mbehrens:
DNAT ist bei einer Sophos UTM das richtige Mittel.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
DNAT ist bei einer Sophos UTM das richtige Mittel.
Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.
Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.
Wenn man soviele Ressourcen und Lizenzen hat, kann man das machen. Ich würde stattdessen nochmal genau nachlesen, worin der genaue Unterschied zwischen Gateway und ADC liegt und wie dieser zustande kommt.
Wie genau gehe ich da in der UTM vor? Ich tippe Mal auf eine DNAT-Regel auf die IP des Gateways?
Ja, in der Regel hängt man die Maschine eher nicht direkt an den öffentlichen IP Kreis.
Danke erstmal für die ganzen Tipps und Ratschläge.
Ich werde das mal testen.
Ich werde das mal testen.
So ich habe jetzt mal ein bisschen mit UTM und Citrix Gateway experimentiert.
Ich habe jetzt eine DNAT-Regel mit der IP des Gateways erstellt. Dies scheint auch soweit zu funktionieren.
Allerdings bekomme ich jetzt beim aufrufen der Domain einen 503-Service unavailable oder einen 400 "Bad Request" Error.
Was habe ich übersehen?
Danke
Ich habe jetzt eine DNAT-Regel mit der IP des Gateways erstellt. Dies scheint auch soweit zu funktionieren.
Allerdings bekomme ich jetzt beim aufrufen der Domain einen 503-Service unavailable oder einen 400 "Bad Request" Error.
Was habe ich übersehen?
Danke
Hi,
ich habe mir jetzt einen Server bei Hetzner inklusive Public-IPs gemietet.
Jetzt bekomme ich Citrix Gateway soweit von außen erreichbar, allerdings erhalte ich nach der Anmeldung in Gateway die Fehlermeldung "Die Anforderung konnte nicht abgeschlossen werden".
Ebenfalls erscheint bei der Konfiguration von Storefront in ADC die Fehlermeldung: "StoreFront could not be contacted. The status of the server is DOWN"
Beide Server haben eine Public-IP von Hetzner bekommen.
Was habe ich hier übersehen.
Ich bedanke mich nochmals für Unterstützung.
ich habe mir jetzt einen Server bei Hetzner inklusive Public-IPs gemietet.
Jetzt bekomme ich Citrix Gateway soweit von außen erreichbar, allerdings erhalte ich nach der Anmeldung in Gateway die Fehlermeldung "Die Anforderung konnte nicht abgeschlossen werden".
Ebenfalls erscheint bei der Konfiguration von Storefront in ADC die Fehlermeldung: "StoreFront could not be contacted. The status of the server is DOWN"
Beide Server haben eine Public-IP von Hetzner bekommen.
Was habe ich hier übersehen.
Ich bedanke mich nochmals für Unterstützung.
