Bonjour,
Je rencontres des difficultés pour paramétrer ma future secure gateway.
J’en ai actuellement une qui fonctionne mais je dois la migrer (changement d’OS/d’hébergeur et de ferme citrix)
Voila ce que j’ai actuellement qui fonctionne :
-Une SG (3.2) qui tourne sur une VM (vsphere 4.1) sur un 2003 R2 Ed Standard. Elle heberge la WI. J’y ai un certificat délivré par une PKI interne d’installé.
j’ai un nom de domaine public qui pointe vers mon ip public et mon firewall a une regle qui nat le traffic entrant sur cette ip sur le port https vers l’ip de ce serveur qui n’est PAS en dmz ( mais dans l’ancien lan serveur (192.168.101/24)).
Ce serveur fait partie d’une ferme PS 4.5 dans laquelle il ne reste quasi plus de serveurs. Elle renvoie vers des bureaux citrix qui sont publiés sur ma nouvelle ferme (XA 6.5).
Tout ca fonctionne tout a fait bien.
Voila ce qui pose problème :
-On me demande de migrer la SG dans mon nouvel environnement de prod. J’ai donc remonté une PKI (car l’ancienne est sur datacollector de l’ancienne ferme citrix et va donc disparaître) et une SG+WI sur cet environnement.
Ma future SG (3.3) tourne sur une vm (Vsphere 5.5) sur un 2008 R2 ed Entreprise. Elle héberge la WI. J’y ai un certificat délivré par ma nouvelle PKI interne d’installé.
Afin de pouvoir faire cohabiter les deux SG pendant la période de “transfert” j’ai une regle de firewall qui dit que tout le traffic entrant à destination de mon ip_public:80 en https est naté vers l’adresse ip de ce serveur qui EST en DMZ.
Ce serveur n’est pa membre du domaine (preco citrix) mais declaré dans le DNS.
La web interface est en passerelle directe
Lorsque j’attaque donc https://mon_domaine:80 j’arrive bien sur la mire d’authentification de ma nouvelle SG.
L’authentification se passe bien. J’accede a mes applications publiées.
Lorsque je lance un bureau publié, j’ai le message d’erreur suivant :
"Impossible de lancer votre application. Contactez votre service d’assistance et fournissez-leur les informations suivantes : Impossible de se connecter au serveur Citrix Xenapp. Des problèmes réseau empêchent votre connexion. Veuillez réessayer. Si le probleme persiste, appelez votre service d’assistance."
Le diag de la secure gateway est ok
DEPUIS ma vm en dmz :
-telnet vers le STA sur port 1494 -> OK
-telnet vers le STA sur port 2598 -> OK
Merci pour votre aide
PS : il se peut que j’edite e poste si d’autres precisions me viennent entre temps !
Bonjour
Toujours des problèmes ?
Si oui, que contient le .ICA généré par la WI pour les lignes BrowserProtocol, TransportDriver et SSLProxyHost notamment ?
Bonjour,
Voici le contenu de l’ica lorsque je lance l’un des bureaux publiés avec un utilisateur de test :
[Encoding]
InputEncoding=UTF8
[WFClient]
CPMAllowed=On
ProxyFavorIEConnectionSetting=Yes
ProxyTimeout=30000
ProxyType=Auto
ProxyUseFQDN=Off
RemoveICAFile=yes
TransparentKeyPassthrough=FullScreenOnly
TransportReconnectEnabled=Off
VSLAllowed=On
Version=2
VirtualCOMPortEmulation=Off
[ApplicationServers]
Bureau GNO=
[Bureau GNO]
Address=;40;STAD3E3A7DBED20;88FC8C34C5D86DED0FF7726E33DA2CA9
AutologonAllowed=ON
BrowserProtocol=HTTPonTCP
CGPSecurityTicket=On
ClearPassword=4BAB09639E9FC0
ClientAudio=On
DesiredColor=8
DesiredHRES=4294967295
DesiredVRES=4294967295
DoNotUseDefaultCSL=On
Domain=E6BE9C06524F0FA8
FontSmoothingType=0
HTTPBrowserAddress=!
InitialProgram=#Bureau GNO
LPWD=0
LaunchReference=TqPdAg7HEWVo9WPWe2OsJrPngxH/mO8tKGRI6gxI5E8=
Launcher=WI
LocHttpBrowserAddress=!
LogonTicket=4BAB09639E9FC0E6BE9C06524F0FA8
LogonTicketType=CTXS1
LongCommandLine=
NRWD=16
ProxyTimeout=30000
ProxyType=Auto
SFRAllowed=Off
SSLCiphers=all
SSLEnable=On
SSLProxyHost=mon_domaine:443
SecureChannelProtocol=Detect
SessionsharingKey=-vMrdTm9vNEc9sCx3q5JOEQ
StartIFDCD=1399130135089
StartSCD=1399130135089
TRWD=0
TWIMode=Off
Title=Bureau GNO
TransportDriver=TCP/IP
UILocale=fr
WinStationDriver=ICA 3.0
[Compress]
DriverNameWin16=pdcompw.dll
DriverNameWin32=pdcompn.dll
[EncRC5-0]
DriverNameWin16=pdc0w.dll
DriverNameWin32=pdc0n.dll
[EncRC5-128]
DriverNameWin16=pdc128w.dll
DriverNameWin32=pdc128n.dll
[EncRC5-40]
DriverNameWin16=pdc40w.dll
DriverNameWin32=pdc40n.dll
[EncRC5-56]
DriverNameWin16=pdc56w.dll
DriverNameWin32=pdc56n.dll
Si j’ai bien compris la question et les compléments :
Ton client ICA va donc contacter ‘mon domaine’ par le protocole ICA/SL sur le port 443.
Cf. ligne
SSLProxyHost=mon_domaine:443
Est ce bien ce que tu voulais ?
Comment va alors se faire la redirection vers ta SG sur ton firewall ?
N as pas déjà ce port utilisé pour ta SG actuelle ?
Si le problème est bien là, je suggérerai - provisoirement ? - un port alternatif (80443 par exemple)
- à préciser dans la configuration de la WI comme port
- à rediriger vers SG:443 depuis ton firewall
Si j’ai bien compris …
Bonjour,
Merci, je vais tester ca et vous tiens au courant