URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20358
[ Назад ]

Исходное сообщение
"Ext..-> Cisco ASA -> CitrixMetaFrame = не видит сервер"

Отправлено skatet , 19-Янв-10 17:20 
Всем привет, снова вопрос, на 1й никто не смог ответить )

Есть ASA 5505, на ней 3 интерфейса: внешний 99.99.99.99, внутренний офиса 192.168.0.111 и внутренний в сторону одной фирмы для поднятия ipsec.

АСА форвадит пакеты с внешних адресов на внутренние сервера, с ФТП и HTTP сервером все ок, работает, на ситрикс-сервер телнетом на 99.99.99.99:1494 заходит, получаю ответ ICA, но вот с клиента самого зайти не могу - просто не видит ни приложения ни сервер Ситрикс, а телнетом заходит. В настройках клиента (версии 7100 и 10200) ставлю альтернативный адрес - не помогает, доступа на сервер ситрикс для администрирования нету.

Сиска форвадит и 1494|tcp и 1604|udp порты, 2598|tcp не используется.

Возможно проблема в:
MTU
Роутах
NAT

Сетевые настройки АСы:
1 сеть в офис - 192.168.0.111
2 сеть кот смотрит в сторону одной фирмы - 10.4.248.34, здесь же подымаем туннель с фирмой обращаясь на 10.4.248.5
3 сеть внешняя со стат. айпи, к примеру 99.99.99.99

Внутренние сервера:
192.168.0.189:ftp - форвадинг извне работает
192.168.0.189:http - форвадинг извне работает
10.24.1.30:citrix(по IPSec туннелю) - телнетом заходит но клиент не видит.

: Saved
:
ASA Version 8.0(2)
!
hostname asa5505
enable password * encrypted
names
!
interface Vlan1
nameif bnk
security-level 10
ip address 10.4.248.174 255.255.255.0
!
interface Vlan2
nameif office
security-level 100
ip address 192.168.0.111 255.255.255.0
!
interface Vlan3
nameif unet
security-level 0
ip address 99.99.99.99 255.255.255.252
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 3
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
passwd * encrypted
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

object-group network ClientCitrix
network-object host 192.168.0.178
network-object host 192.168.0.77

object-group network Salons1
network-object host 94.94.94.94

object-group network Salons2
network-object host 93.93.93.93

object-group network Servers
network-object host 88.88.88.88
network-object host 77.77.77.77

object-group network DM_INLINE_NETWORK_1
group-object ClientCitrix
group-object Salons1
group-object Salons2
group-object Servers
object-group network DM_INLINE_NETWORK_2
group-object ClientCitrix
group-object Salons1
group-object Salons2
group-object Servers
object-group network DM_INLINE_NETWORK_3
group-object ClientCitrix
group-object Salons1
group-object Salons2
group-object Servers
object-group network Office
network-object 192.168.0.0 255.255.255.0
object-group network ServerCitrix
network-object host 10.24.1.129
network-object host 10.24.1.130
network-object host 10.24.1.131
network-object host 10.4.248.1
object-group network DM_INLINE_NETWORK_4
group-object ClientCitrix
group-object Salons1
group-object Salons2
group-object Servers
object-group service DM_INLINE_SERVICE_1
service-object tcp eq citrix-ica
service-object udp eq 1604
object-group service DM_INLINE_TCP_1 tcp
port-object eq 2598
port-object eq citrix-ica
access-list vpn extended permit ip 10.25.212.0 255.255.255.0 10.24.1.0 255.255.255.0
access-list lan extended permit tcp object-group DM_INLINE_NETWORK_1 object-group ServerCitrix object-group DM_INLINE_TCP_1
access-list lan extended permit udp object-group DM_INLINE_NETWORK_2 object-group ServerCitrix eq 1604
access-list lan extended permit icmp object-group DM_INLINE_NETWORK_3 object-group ServerCitrix
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any source-quench
access-list 101 extended permit icmp any any unreachable
access-list 101 extended permit icmp any any time-exceeded
access-list outside_access_in_ftp extended permit tcp object-group DM_INLINE_NETWORK_4 interface unet eq www
access-list outside_access_in_ftp extended permit object-group DM_INLINE_SERVICE_1 any interface unet
access-list outside_access_in_ftp extended permit tcp any interface unet eq ftp
access-list FROMOFFICE extended permit ip 192.168.0.0 255.255.255.0 10.24.1.0 255.255.255.0
access-list FROMOFFICE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list FROMOFFICE extended permit icmp 192.168.0.0 255.255.255.0 any echo
pager lines 24
logging enable
logging buffered debugging
logging asdm informational
mtu bnk 1500
mtu office 1500
mtu unet 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (unet) 1 interface
nat (office) 1 192.168.0.0 255.255.255.0
static (bnk,unet) tcp interface citrix-ica 10.24.1.130 citrix-ica netmask 255.255.255.255
static (bnk,unet) udp interface 1604 10.24.1.130 1604 netmask 255.255.255.255
static (office,unet) tcp interface www 192.168.0.189 www netmask 255.255.255.255
static (office,unet) tcp interface ftp 192.168.0.189 ftp netmask 255.255.255.255
static (office,bnk) 10.25.212.1 192.168.0.77 netmask 255.255.255.255
static (unet,bnk) 10.25.212.4 77.77.77.77 netmask 255.255.255.255
static (office,bnk) 10.25.212.2 192.168.0.178 netmask 255.255.255.255
access-group 101 in interface bnk
access-group FROMOFFICE in interface office
access-group outside_access_in_ftp in interface unet
route unet 0.0.0.0 0.0.0.0 99 1
route bnk 10.24.1.0 255.255.255.0 10.4.248.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.77 255.255.255.255 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map mymap 10 match address vpn
crypto map mymap 10 set pfs
crypto map mymap 10 set peer 10.4.248.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set security-association lifetime seconds 2700
crypto map mymap interface bnk
crypto isakmp enable bnk
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet 192.168.0.77 255.255.255.255 office
telnet timeout 5
ssh 192.168.0.77 255.255.255.255 office
ssh timeout 60
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
!
class-map INSPECT
match default-inspection-traffic
!
!
policy-map global_policy
class INSPECT
  inspect icmp
  inspect ftp
!
service-policy global_policy global
ntp server 192.168.0.111 source office
tunnel-group 10.4.248.1 type ipsec-l2l
tunnel-group 10.4.248.1 ipsec-attributes
pre-shared-key *
prompt hostname context
Cryptochecksum:320447fb75a5516278c9165e43c079cc
: end
asdm image disk0:/asdm-602.bin
no asdm history enable

Заранее Благодарю.


Содержание

Сообщения в этом обсуждении
"Ext..-> Cisco ASA -> CitrixMetaFrame = не видит сервер"
Отправлено sh_ , 19-Янв-10 18:50 
А сниффером не пробовали смотреть, какие пакеты не проходят?

"Ext..-> Cisco ASA -> CitrixMetaFrame = не видит сервер"
Отправлено skatet , 19-Янв-10 21:44 
>А сниффером не пробовали смотреть, какие пакеты не проходят?

ну тут я могу только на самой АСе логи смотреть, ибо на стороне сервера у меня доступа нет.

Я кстати еще не сказал - я подключался к ситриксу , но по такой схеме:

Я конекчусь с сети 192.168.0.0/24 на внешний адрес 99.99.99.99:1494, коннект проходит, но реально клиент связывается с сервером по внутреннему адресу 10.24.1.130 к которому я прописываю на своей машине роут через 192.168.0.111 (route -p add 10.24.1.130 mask 255.255.255.255 192.168.0.111). И если я роут удалю то соотв клиент не подключается.


И еще, нашел в инете:
------------------------------
Post:
Запоздалый (на полттора года) ответ на актуальную тему проблемы с подключением к опубликованным приложениям в Citrix и настройками KWF. Озадачен проблемой очень давно. Наконец решение найдено.
1. Необходимо настроить порт маппинг с внешнего IP роутера на внутренний IP сервера Citrix следующие порты
TCP 1494
TCP 2598
UDP 1604
2. На сервере Citrix в командной строке установит альтернативный IP
altaddr /set {внешний IP роутера}
3. В настройках клиента Citrix установит галочку Use alternate address for firewall connection (для этого нажать копку Firewall в настройках клиента)
------------------------------
- мне это не помогло, правда на стороне сервера изменений сделать не могу.
Всё, после этого проблема решена.