Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 22663 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Citrix Secure Gateway via WAS/WAF

unzhurst
Does anyone know if it is possible to publish a citrix secure gateway machine via web application security? CSG is configured to use ssl and has a wildcard cert installed. Via DNAT i got it working, but at the moment no chance via WAS/WAF. Is there any clue?

regards
Patrick


This thread was automatically locked due to age.
  • 0
    Has anyone an idea if it works or not - is there a clue to get it working?

    Regards,
    Patrick
  • 0 in reply to unzhurst
    It's a good question and a response is also interesting for me.

    A colleague have installed a "Citrix Receiver", it comes as a
    VMware Red Hat Applinace and communicate over Port 443
    with the outside world.

    Over the WAF Feature it dosn't work at the moment where the
    ica-file is transmited and the client want to connect.

    Greetings from Germany
    Frazen
  • 0
    That's a Citrix product.  I think that Citrix doesn't like to play with proxies.  At least, I haven't had any luck with them.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Ugh, what a literal pain in the you-know-what.  Citrix and proxies can work, but it doesn't like to play well together - it's been years since I did this, and even wrote a technical article or two for an application vendor to work with Citrix, which they said couldn't be made to work with Citrix, lol.  

    I have not ever attempted via WAF.  I would think you would point WAF (Site Path Routing) to the secure gateway address to start, after adding the server of course.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    same problem, WAF won't work, DNAT works. Whenever someone find's a solution, pleeeease tell me! :-)

    ng, Berndt
  • 0 in reply to Admin Öpag
    If you have a commercial license, I'd recommend that you start a case with Sophos Support -- they can take a look at it and figure it out.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    I have the same problem! Citrix Access Gateway via WAF is not working or shows only a blank page. Google Chrome shows something like "too many proxies". With DNAT no problems.
    I tried with several WAF-Profiles (everything deavtivated, basic- and fullprofile), but only blank page
  • 0 in reply to msp2010
    Has noone got it to work till now?
    By using the ipadress and not the dns-name and taking Chromium, some parts seems working. 

    Taking Firefox or IE it produces failures like 'to many redirections' or 'to many proxies' or something else.

    Maybe someone of Sophos read this and has a solution or a howto ??

    Thanks
    Firebear
  • 0 in reply to firebear_01
    I have Citrix and its DNAT only to have to working.  The Citrix CAG needs to be externally facing for it to work correctly, WAF is very limited and only good for websites.
  • 0 in reply to occadmin
    Anyone had any luck with this yet?

    I have had some success setting this up with netscaler v10.5 and UTM 9.2. I can get as far as authenticating through the netscaler to xenapp however attempting to launch any published apps results in a connection timeout.

    It appears to me that since the Sohpos WAF is changing the source IP address to it self the netscaler is unable to respond to the originating IP address resulting in a connection timeout.

    As mentioned this appears to work fine when set up using a NAT instead, however this isnt an option for me at the moment as i also need to have OWA running on the same port number (443) and (as far as i know) i can only achieve this using the WAF and the built in SNI as i only have the single public IP address.
Unfiltered HTML