Requisitos de puerto
Para permitir que los dispositivos y las aplicaciones se comuniquen con XenMobile®, debes abrir puertos específicos en tus firewalls. Las siguientes tablas enumeran los puertos que deben estar abiertos.
Abrir puertos para que Citrix Gateway y XenMobile administren aplicaciones
Abre los siguientes puertos para permitir las conexiones de usuario desde Citrix Secure Hub™, Citrix Receiver y el complemento de Citrix Gateway a través de Citrix Gateway a los siguientes componentes:
- XenMobile
- StoreFront™
- Citrix Virtual Apps and Desktops™
- Citrix Gateway connector™ para Exchange ActiveSync
- Otros recursos de red internos, como sitios web de intranet
Para habilitar el tráfico a Launch Darkly desde Citrix ADC, puedes usar las direcciones IP indicadas en este artículo del Centro de conocimiento de asistencia.
Para obtener más información sobre Citrix Gateway, consulta la documentación de Citrix Gateway. Esa documentación incluye información sobre las direcciones IP de Citrix ADC (NSIP), IP de servidor virtual (VIP) e IP de subred (SNIP).
| Puerto TCP | Descripción | Origen | Destino |
|---|---|---|---|
| 21 o 22 | Se usa para enviar paquetes de asistencia a un servidor FTP o SCP. | XenMobile | Servidor FTP o SCP |
| 53 (TCP y UDP) | Se usa para conexiones DNS. | Citrix Gateway, XenMobile | Servidor DNS |
| 80 | Citrix Gateway pasa la conexión VPN al recurso de red interno a través del segundo firewall. Esta situación suele ocurrir si los usuarios inician sesión con el complemento de Citrix Gateway. | Citrix Gateway | Sitios web de intranet |
| 80 u 8080; 443 | Puerto XML y de Secure Ticket Authority (STA) que se usa para la enumeración, la emisión de tickets y la autenticación. Citrix recomienda usar el puerto 443. | Tráfico de red XML de StoreFront y Web Interface; STA de Citrix Gateway | Virtual Apps o Desktops |
| 123 (TCP y UDP) | Se usa para los servicios de Network Time Protocol (NTP). | Citrix Gateway; XenMobile | Servidor NTP |
| 389 | Se usa para conexiones LDAP no seguras | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Microsoft Active Directory |
| 443 | Se usa para conexiones a StoreFront desde Citrix Receiver™ o Receiver for Web a Virtual Apps and Desktops. | Internet | Citrix Gateway |
| 443 | Se usa para conexiones a XenMobile para la entrega de aplicaciones web, móviles y SaaS. | Internet | Citrix Gateway |
| 443 | Se usa para la comunicación general de dispositivos con XenMobile Server. | XenMobile | XenMobile |
| 443 | Se usa para conexiones de dispositivos móviles a XenMobile para la inscripción. | Internet | XenMobile |
| 443 | Se usa para conexiones de XenMobile a Citrix Gateway connector para Exchange ActiveSync. | XenMobile | Citrix Gateway connector para Exchange ActiveSync |
| 443 | Se usa para conexiones de Citrix Gateway connector para Exchange ActiveSync a XenMobile. | Citrix Gateway connector para Exchange ActiveSync | XenMobile |
| 443 | Se usa para la URL de devolución de llamada en implementaciones sin autenticación de certificados. | XenMobile | Citrix Gateway |
| 514 | Se usa para conexiones entre XenMobile y un servidor syslog. | XenMobile | Servidor syslog |
| 636 | Se usa para conexiones LDAP seguras. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
| 1494 | Se usa para conexiones ICA® a aplicaciones basadas en Windows en la red interna. Citrix recomienda mantener este puerto abierto. | Citrix Gateway | Virtual Apps o Desktops |
| 1812 | Se usa para conexiones RADIUS. | Citrix Gateway | Servidor de autenticación RADIUS |
| 2598 | Se usa para conexiones a aplicaciones basadas en Windows en la red interna mediante la fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. | Citrix Gateway | Virtual Apps o Desktops |
| 3268 | Se usa para conexiones LDAP no seguras de Microsoft Global Catalog. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
| 3269 | Se usa para conexiones LDAP seguras de Microsoft Global Catalog. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
| 9080 | Se usa para el tráfico HTTP entre Citrix ADC y el Citrix Gateway connector para Exchange ActiveSync. | Citrix ADC | Citrix Gateway connector para Exchange ActiveSync |
| 30001 | API de administración para la preparación inicial del servicio HTTPS | LAN interna | XenMobile Server |
| 9443 | Se usa para el tráfico HTTPS entre Citrix ADC y el Citrix Gateway connector para Exchange ActiveSync. | Citrix ADC | Citrix Gateway connector para Exchange ActiveSync |
| 45000; 80 | Se usa para la comunicación entre dos máquinas virtuales de XenMobile cuando se implementan en un clúster. El puerto 80 es para la comunicación entre nodos y para la descarga SSL. | XenMobile | XenMobile |
| 8443 | Se usa para la inscripción, XenMobile Store y la administración de aplicaciones móviles (MAM). | XenMobile; Citrix Gateway; Dispositivos; Internet | XenMobile |
| 4443 | Se usa para acceder a la consola de XenMobile por parte de un administrador a través del explorador. También se usa para descargar registros y paquetes de asistencia para todos los nodos del clúster de XenMobile desde un nodo. | Punto de acceso (explorador); XenMobile | XenMobile |
| 27000 | El puerto predeterminado que se usa para acceder al servidor de licencias externo de Citrix. | XenMobile | Servidor de licencias de Citrix |
| 7279 | El puerto predeterminado que se usa para comprobar las licencias de Citrix. | XenMobile | Demonio de proveedor de Citrix |
| 161 | Se usa para el tráfico SNMP mediante el protocolo UDP. | Administrador SNMP | XenMobile |
| 162 | Se usa para enviar alertas de trampa SNMP al administrador SNMP desde XenMobile. El origen es XenMobile y el destino es el Administrador SNMP. | XenMobile | Administrador SNMP |
Abrir puertos de XenMobile para administrar dispositivos
Abre los siguientes puertos para permitir que XenMobile se comunique en tu red.
| Puerto TCP | Descripción | Origen | Destino |
|---|---|---|---|
| 25 | Puerto SMTP predeterminado para el servicio de notificaciones de XenMobile. Si tu servidor SMTP usa un puerto diferente, asegúrate de que tu firewall no bloquee ese puerto. | XenMobile | Servidor SMTP |
| 80 y 443 | Conexión de Enterprise App Store a Apple iTunes App Store o Google Play (debe usar el puerto 80). Se usa para la compra por volumen de Apple. Se usa para publicar aplicaciones desde las tiendas de aplicaciones de iOS o Secure Hub para Android. | XenMobile |
ax.apps.apple.com y *.mzstatic.com; vpp.itunes.apple.com; login.live.com; *.notify.windows.com; play.google.com, android.clients.google.com, android.l.google.com
|
| 80 o 443 | Se usa para conexiones salientes entre XenMobile y Nexmo SMS Notification Relay. | XenMobile | Servidor de retransmisión de notificaciones SMS de Nexmo |
| 389 | Se usa para conexiones LDAP no seguras. | XenMobile | Servidor de autenticación LDAP o Active Directory |
| 443 | Se usa para la inscripción y la configuración del agente para Android. | Internet | XenMobile |
| 443 | Se usa para la inscripción y la configuración del agente para dispositivos Android y Windows, y para el cliente de asistencia remota de MDM. | LAN e Wi-Fi de Internet | XenMobile |
| 1433 | Se usa de forma predeterminada para conexiones a un servidor de bases de datos remoto (opcional). | XenMobile | Servidor SQL |
| 443 o 2197 | Se usa para enviar notificaciones APN a *.push.apple.com
|
XenMobile | Internet (hosts APN que usan la dirección IP pública 17.0.0.0/8 |
| 5223 | Se usa para conexiones salientes de APN desde dispositivos iOS a *.push.apple.com. |
Dispositivos iOS | Internet (hosts APN que usan la dirección IP pública 17.0.0.0/8) |
| 8081 | Se usa para túneles de aplicaciones desde el cliente de asistencia remota de MDM opcional. El valor predeterminado es 8081. | Cliente de asistencia remota | XenMobile |
| 8443 | Se usa para la inscripción de dispositivos iOS. | Internet; LAN y Wi-Fi | XenMobile |
Requisito de puerto para la conectividad del servicio AutoDiscovery
Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Secure Hub para Android puedan acceder al servicio Citrix AutoDiscovery (ADS) desde la red interna. Necesitas acceso al ADS para descargar las actualizaciones de seguridad disponibles a través del ADS.
Nota:
Es posible que las conexiones ADS no sean compatibles con tu servidor proxy. En este caso, permite que la conexión ADS omita el servidor proxy.
Si quieres habilitar la fijación de certificados, realiza los siguientes requisitos previos:
- Recopila los certificados de XenMobile Server y Citrix ADC. Los certificados deben estar en formato PEM y deben ser un certificado público, no la clave privada.
- Ponte en contacto con el servicio de asistencia de Citrix y solicita la habilitación de la fijación de certificados. Durante este proceso, se te pedirán tus certificados.
La fijación de certificados requiere que los dispositivos se conecten al ADS antes de que el dispositivo se inscriba. Este requisito garantiza que la información de seguridad más reciente esté disponible para Secure Hub. Para que Secure Hub inscriba un dispositivo, este debe poder acceder al ADS. Por lo tanto, abrir el acceso al ADS dentro de la red interna es fundamental para permitir que los dispositivos se inscriban.
Para permitir el acceso al ADS para Secure Hub para Android o iOS, abre el puerto 443 para el siguiente FQDN:
| FQDN | Puerto | Uso de IP y puerto |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub - Comunicación ADS a través de CloudFront |
Para obtener información sobre las direcciones IP compatibles, consulta Centros de almacenamiento basados en la nube de AWS.
Requisitos de red de Android Enterprise
Para obtener información sobre las conexiones salientes que debes tener en cuenta al configurar entornos de red para Android Enterprise, consulta el artículo de asistencia de Google, Requisitos de red de Android Enterprise.
Requisitos de puerto para XenMobile
Los siguientes hosts de destino deben ser accesibles desde la red para crear una empresa de Google Play administrado y para acceder al iFrame de Google Play administrado. Google puso a disposición el iFrame de Google Play administrado para los desarrolladores de EMM con el fin de simplificar la búsqueda y aprobación de aplicaciones. Para usar el iFrame de Google Play administrado, el explorador desde el que accedes a la consola de XenMobile debe tener acceso a Google Play.
| Host de destino | Puerto | Descripción |
|---|---|---|
play.google.com |
TCP/443 | Se usa para Google Play Store, registro de Play Enterprise |
*.googleapis.com |
TCP/443 | Se usa para Google Mobile Management, API de Google, API de Google Play Store, FCM |
accounts.youtube.com, accounts.google.com
|
TCP/443 | Se usa para la autenticación de la cuenta |
apis.google.com |
TCP/443 | Se usa para los servicios web de Google |
ogs.google.com |
TCP/443 | Se usa para elementos de la interfaz de usuario de iFrame |
notifications.google.com |
TCP/443 | Se usa para notificaciones de escritorio y móviles |
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
|
TCP/443 | Se usa para contenido generado por el usuario de Google Fonts. Por ejemplo, los iconos de las aplicaciones en la tienda |
cri.pki.goog, ocsp.pki.goog
|
TCP/443 | Se usa para la validación de certificados |