NetScaler Gateway est une passerelle créée par Citrix qui permet notamment de faire de la répartition de charge et qui fournit un accès distant sécurisé à vos applications et bureaux publiés via XenApp, XenDesktop et XenMobile.

Dans ce tutoriel, nous installerons la version XenServer de NetScaler Gateway pour fournir un accès distant sécurisé à nos applications publiées via XenApp.
Néanmoins, la procédure est identique pour les bureaux publiés via XenDesktop.

Configuration utilisée :

• Serveur 1 / IP : 10.0.0.101 / Un serveur sous Win. Server 2012 avec un Active Directory (et une autorité de certification racine créée pour ne pas payer de certificat SSL)
• Serveur 2 / IP : 10.0.0.102 / Un serveur sous Win. Server 2012 où XenApp 7.6 est installé. (Ce serveur est lié à l'Active Directory)
• Serveur 3 / IP : 10.0.0.103 / Un serveur sous Win. Server 2012 où est installé le Virtual Delivery Agent ainsi que les applications que nous avons déjà publiées dans XenApp.
• Serveur 4 / IP : 10.0.0.105 / Le serveur de virtualisation XenServer 6.2.
• Serveur 5 / NetScaler Gateway avec 3 adresses IP (NSIP, SNIP et VIP) comme expliqué dans le tutoriel et dans le schéma ci-dessous.
• 1 ordinateur sous Windows ou autre pour tester l'accès distant aux applications et les bureaux mis à disposition via XenApp. (Cet ordinateur doit se trouver à l'extérieur de votre réseau local ou sur Internet *)

* Pour simuler un accès depuis l'extérieur, vous devez utiliser un PC qui se trouve en dehors du réseau local où se trouvent vos serveurs sous Windows Server.
Pour cela, vous avez 2 possibilités :

• demander à une connaissance pour qu'elle tente d'accéder à votre passerelle "NetScaler Gateway" avec son PC.
• utiliser 2 routeurs/switchs (physiques ou logiciels). 1 routeur/switch connecté à Internet et le 2ème routeur/switch doit être connecté sur le 1er.
  Ainsi, vous branchez vos serveurs sur le 2ème routeur. Et le PC qui sera branché sur le 1er routeur sera à l'extérieur du réseau local dans lequel vos serveurs se trouvent.
  Vous pourrez donc tester vous-même cet accès distant sans sortir de chez vous.

Note : L'autorité de certification n'est pas obligatoire, mais cela permet de tester votre configuration sans payer de Certificat SSL.

1. Téléchargement de NetScaler Gateway VPX
2. Installer et configurer la connexion réseau de NetScaler Gateway
3. Importation du certificat et de la clé privée de votre autorité de certification
4. Création du certificat du serveur NetScaler
5. Installation du certificat de l'autorité de certification pour StoreFront
6. Ajouter un serveur NTP
7. Sauvegardes et restaurations
8. Intégration avec les produits Citrix (dont XenApp/XenDesktop)
9. Ajout du certificat de l'autorité de certification au serveur virtuel
10. Configuration du serveur DNS local
11. Configuration du StoreFront pour permettre l'accès depuis la passerelle NetScaler
12. DMZ ou redirection de ports dans le routeur
13. Configuration du client distant
14. Test de NetScaler Gateway
    1. Interface web
    2. Citrix Receiver
    3. Mozilla Firefox
    4. Google Chrome

1. Téléchargement de NetScaler Gateway VPX

Pour commencer, il faut savoir que NetScaler Gateway est fourni sous la forme d'une machine virtuelle.
Dans notre cas, nous allons télécharger NetScaler Gateway (renommé NetScaler Unified Gateway depuis peu) pour le serveur de virtualisation XenServer de Citrix.

Note : un compte gratuit est nécessaire pour télécharger NetScaler Gateway et une licence d'évaluation pour ce programme. (Comme expliqué un peu plus loin dans ce tutoriel)

2. Installer et configurer la connexion réseau de NetScaler Gateway

Pour importer et installer la machine virtuelle NetScaler Gateway, installez XenCenter et connectez-vous à votre serveur XenServer.
Note : comme vous pouvez le voir sur l'image ci-dessous, il s'agit d'une nouvelle installation de XenServer.

Allez dans le menu : File -> Import.

Sélectionnez le fichier "NSVPX-XEN-11.0-64.34_nc.xva" téléchargé depuis le site de Citrix.

Sélectionnez le serveur XenServer sur lequel vous souhaitez importer cette machine virtuelle.

Sélectionnez l'espace de stockage dans lequel vous voulez importer cette VM.

A l'étape "Networking", vous verrez l'adresse MAC assignée à votre machine virtuelle.
Note : vous aurez besoin de cette adresse MAC pour que votre licence (en version d'évaluation) soit valable pour cette machine virtuelle.

Cliquez sur "Finish".

Une fois importée, la machine virtuelle démarrera automatiquement.
En allant dans l'onglet Console de la machine virtuelle, vous verrez le démarrage de NetScaler.

Au premier démarrage de cette machine virtuelle, vous devrez configurer l'interface réseau de NetScaler.
Néanmoins, si vous avez déjà cherché des informations concernant NetScaler sur Internet, vous avez dû voir que cette machine virtuelle aura 3 adresses IP. Ce qui un peu déroutant au premier abord.

Tout d'abord, il est possible d'assigner plusieurs adresses IP différentes pour une même interface réseau. C'est aussi possible sous Windows.
Ensuite, voici les différentes adresses IP que vous pourrez définir avec NetScaler :

• NSIP - NetScaler IP Address : l'adresse IP principale de NetScaler que vous définissez au premier démarrage de NetScaler. Cette adresse IP vous permettra d'accéder à l'interface web permettant de gérer la configuration de NetScaler.
• SNIP - Subnet IP Address : une ou plusieurs adresses IP permettant à NetScaler de communiquer avec les contrôleurs XenApp, StoreFront, ... sur le même réseau local, ainsi qu'avec des serveurs présents dans des sous-réseaux (d'où le terme "subnet").
• VIP - Virtual Server IP Address ou Virtual IP Address : il s'agit de l'adresse IP d'un serveur virtuel permettant, par exemple, d'accéder aux applications publiées dans XenApp via la passerelle NetScaler.
• dans les versions de précédentes de NetScaler, vous aurez aussi MIP - Mapped IP address. Il s'agit aussi de l'adresse IP que vous définirez au premier démarrage de NetScaler. Néanmoins, dans la version 11, vous n'en aurez pas besoin.

Sources : citrix.com et support.citrix.com

Bref, dans notre cas, nous utiliserons ces adresses IP pour NetScaler :

• NSIP : 10.0.0.110 / Masque de sous-réseau : 255.0.0.0
• SNIP : 10.0.0.111 / Masque de sous-réseau : 255.0.0.0
• VIP : 10.0.0.112 / Masque de sous-réseau : 255.0.0.0

Donc, au premier démarrage, nous indiquerons :

• NetScaler's IPv4 address : 10.0.0.110
• Netmask (masque de sous-réseau) : 255.0.0.0
• Gateway IPv4 address (adresse IP du routeur) : 10.0.0.1

Ensuite, laissez la valeur 4 par défaut et appuyez sur Enter pour sauvegarder cette configuration réseau.

Ensuite, patientez jusqu'à ce que le grand message "WARNING: Access to this system is for authorized users only" s'affiche.
Comme vous pouvez le voir, il est possible de se connecter en ligne de commandes sur NetScaler.

Les identifiants (nom d'utilisateur / mot de passe) par défaut sont : nsroot / nsroot

Pour continuer la configuration de NetScaler, accédez à l'interface web de NetScaler en tapant l'adresse : http://10.0.0.110/
Note : l'adresse IP 10.0.0.110 est la NSIP (NetScaler IP Address)

Comme indiqué précédemment, les identifiants (nom d'utilisateur / mot de passe) par défaut sont : nsroot / nsroot

Participez au programme d'amélioration de Citrix si vous le souhaitez.

Comme vous pouvez le voir, l'étape 1 est déjà configurée. En effet, il s'agit de la configuration réseau que nous avons indiquée lors du premier démarrage de NetScaler.
Maintenant, on vous demande une adresse IP de sous-réseau (Subnet IP Address). Cliquez sur l'étape "Subnet IP Address".

Comme expliqué sur le schéma, la SNIP ou Subnet IP Address permet à NetScaler de communiquer avec les serveurs qui se trouvent en arrière-plan (XenApp, StoreFront, ...).
Dans notre cas, nous allons indiquer ceci :

• Subnet IP Address : 10.0.0.111
• Netmask : 255.0.0.0

Puis, cliquez sur "Done".

A l'étape 3, nous devrons indiquer le nom d'hôte de NetScaler, l'adresse IP du serveur DNS à utiliser et le fuseau horaire à utiliser.

Indiquez ceci :

• Host Name (nom d'hôte) : nsgw (qui signifie NetScaler Gateway, mais vous pouvez mettre le nom que vous voulez)
• DNS IP Address : l'adresse IP de votre serveur DNS local. Si vous n'avez pas installé de serveur DNS manuellement, indiquez l'adresse IP du serveur Active Directory sur lequel un serveur DNS a été installé automatiquement lors de l'installation de l'Active Directory. Ceci permettra à NetScaler de résoudre les adresses du genre : xenapp.mon-domaine.lan, storefront.mon-domaine.lan, ...
• Time Zone : le fuseau horaire à utiliser

Après cette configuration, NetScaler va devoir redémarrer. Cliquez sur "Yes".

Patientez pendant le redémarrage de NetScaler.

Pour terminer la configuration initiale de NetScaler, vous devrez importer un fichier de licence pour utiliser NetScaler.
Si vous étiez connecté lors du téléchargement de NetScaler, une licence (en version d'évaluation) est en attente d'attribution dans votre compte Citrix.

Cliquez sur l'étape "Licenses".

Comme vous pouvez le voir sur la droite, NetScaler affiche un Host ID. Après vérification, il s'agit simplement de l'adresse MAC de la machine virtuelle sans les ":".

Depuis peu, le téléchargement de NetScaler Unified Gateway génère une licence d'évaluation "Citrix Store NetScaler Gateway Enterprise VPX - Evaluation (90 day)" qui ne fonctionnera pas avec NetScaler.

Pour obtenir gratuitement une licence d'évaluation pour NetScaler, vous devrez aller sur la page "NetScaler ADC", puis cliquer sur les boutons "Essayer gratuitement" et "Send my license now". (Vous devez être connecté sur Citrix.com pour effectuer cette opération)
Cela génèrera une licence "Citrix Store NetScaler VPX 1000 - Platinum Edition - Evaluation (90 Day)" dans votre compte Citrix.

Pour la retrouver, allez dans votre compte et repérez l'option "Activer et attribuer les licences" ou "Gérer des licences".
Ensuite, allez dans l'onglet "Activer et attribuer les licences".

Dans la liste, vous trouverez 2 licences d'évaluation :

• Celle qui ne vous servira à rien : Citrix Store NetScaler Gateway Enterprise VPX - Evaluation (90 day)
• Et la bonne : Citrix Store NetScaler VPX 1000 - Platinum Edition - Evaluation (90 Day)

Pour que cette licence Platinum soit valable pour votre installation de NetScaler, vous devez d'abord indiquer l'adresse MAC (sans les :) de votre machine virtuelle "NetScaler Virtual Appliance" dans la case Host ID.
Ensuite, cliquez sur "Continuer".

Note : pour trouver l'adresse MAC de votre machine virtuelle, sélectionnez votre VM "NetScaler Virtual Appliance" et allez dans l'onglet "Networking".

Sélectionnez la licence et cliquez sur "Télécharger".

Note : sur l'image ci-dessous, vous voyez que nous sommes dans l'onglet "Réattribuer". En effet, nous avions déjà attribué cette licence lors de nos tests en local.

Le fichier téléchargé aura une extension ".lic".

Dans l'interface web de NetScaler, cliquez sur le bouton "Browse" et sélectionnez votre fichier de licence.

Si votre licence est valable pour cette installation de NetScaler, le message "1 License(s) Updated Successfully" s'affichera.
Cliquez sur "Reboot".

Cliquez sur "Yes" pour sauvegarder la configuration avant de redémarrer.

Ensuite, une fenêtre "Licenses" s'affichera avec toutes les options disponibles avec la licence "Platinum".

Pour terminer la configuration de base de NetScaler, faites un clic droit sur le menu "NetScaler Gateway" et cliquez sur "Enable Feature".

Si vous voulez changer le mot de passe du compte "nsroot", allez dans le menu "System -> User Administration -> Users".
Ensuite, sélectionnez cet utilisateur et clique sur le bouton "Change Password".

Indiquez un nouveau mot de passe et cliquez sur OK.