[AGEE 8.0]+[AAC 4.5] Accès Refusé AGEE vers Web Interface

Bonjour,



J’ai un petit souci avec une Config partiellement en place chez un client, je vous plante le décor :





Depuis un boitier Access Gateway Enterprise Edition (NS8.0 Build 56.1), je monte un VPN dont la politique de session est la suivante :







J’ai crée une Stratégie d’accès sur mon AAC qui me fait pointer sur la ressource Web suivante :







Cette adresse est réutilisé comme page de démarrage des propriétés de la ressource Web :







Enfin l’interface Web est configurée de la façon suivante :

Réglages de la DMZ : Méthode d’accès par Passerelle directe

Réglages de la passerelle :

Serveur passerelle : CAG-FQDN

Port : 443

Activer la fiabilité de session : cocher

6 Serveurs STA configurés en utilisant l’équilibrage de charge



Puis enfin dans gérer la méthode d’accès :





Malgré ca, j’obtiens le message d’erreur : « L’accès est refusé. Veuillez contacter votre administrateur système » lorsque j’essaye d’accéder à l’interface Web une fois le tunnel monté depuis https://CAG-FQDN/CitrixLogonPoint/MonLogonPoint.



Lorsque la Web Interface est configurée en accès direct cela fonctionne, mais mon filtre sur le type d’accès des applications publiées n’est pas appliqué.



Le CTX115730 ne correspond pas a mon soucis puis qu’il ne s’applique pas dans un environnement VPN. Ainsi que le CTX116773.



Enfin j’ai essayé de suivre le CTX115407 :

Les événements du serveur m’indiquent que mon utilisateur a pu se connecter après que les scans de l’EPA soient OK



La suite étant de lancer des traces sur la Web Interface, pour le moment je ne suis pas trop chaud car la Web Interface est en PROD pour d’autre site…



Ma question : Est-il possible de configurer la méthode d’accès à l’aide d’Advanced Access Control pour un accès VPN et si oui comment ? (sachant que cela fonctionne lorsque j’utilise le boitier en mode PROXY ICA).



Merci pour cette petite lecture :slight_smile:

Bonjour,



Afin de démèler tout cela commençons par le commencement :



Il existe plusieurs type d’Access Gateway :


  • Access Gateway Standard : Chassis Type “2000”
  • Access Gateway Advanced : Access Gateway Standard + Advanced Access Control (AAC)
  • Access Gateway Enterprise : Chassis Type Netscaler



    L’Access Gateway “Standard” peut être virtualisée depuis la release 4.6

    L’Access Gateway Enterprise sortira sous forme virtualisée via une virtual appliance appelée Netscaler VPX.



    Le contexte étant positionné, il n’existe pas de solution “Access Gateway Enterprise (Netscaler) + Advanced Access Control”.



    Il faudra donc choisir dans votre cas Interface Web + Access Gateway Enterprise ou Interface Web + Access Gateway Standard + AAC.



    Le Reste est une question de configuration.





    Pierre Marmignon

Merci pour ta réponse Pierre, c’est hélas bien ce que je soupçonnais … :’(



Il ne me reste plus qu’à proposer les possibilités au client.