Toon posts:

Citrix NFUSE connectie issue

Pagina: 1
Acties:

vrijdag 30 juli 2004 09:45

Acties:

Verwijderd

Topicstarter
We hebben hier een citrix server in het DMZ staan, als ik hem vanuit het DMZ wil benaderen gaat dat goed (via de NFUSE pagina ingesteld als specificic address translation to normal (normal is de local host).
Als ik vervolgens de Citrix server buiten het DMZ, maar binnen ons bedrijf wil benaderen kan je instellen dat indien het van onze gateway binnen ons bedrijf afkomt hij naar de alternative server moet gaan (ingesteld met altaddr). Gaat ook goed.

Echter nu wil ik hem ook buiten ons netwerk (dus op het internet) bekend maken, als eens client nu van buiten ons netwerk connectie maakt, krijgt hij het altaddr adres meegestuurd (wat dus het adres is van de default gateway van de server(de ica file van de Nfuse server).

Ik kan ook geen regel maken waarbij ik alle andere netwerken naar een alternatieve server laat wijzen. of zie ik iets over het hoofd? In de administrative guide van Citrix Nfuse staan 2 voorbeelden, maar ons voorbeeld staat er zowiezo niet bij.

Ik kan ook niet altadrr zo instellen dat het ons publieke internet adres reflexteert, omdat de locale firewall dat niet slikt (loop back kan waarschijnlijk niet in onze firewall).

Ik wil dus eigenlijk dat de ICA files devolgende server adres krijgen:
If uit DMZ then serveradress = 192.168.66.10
if uit bedrijf then serveradress=10.0.1.150
if buitenbedrijf then serveradress=212.13.14.15

Is dat mogelijk???

vrijdag 30 juli 2004 09:50

Acties:
  • dreambofh
  • Registratie: November 2000
  • Laatst online: 17-05-2020

dreambofh

Hoi,

Ik heb eens een citrix server achter NAT gezet (ook met nfuse e.d.) Dit werkt nadat je op de Citrix server een Alternate Address heb ingevoerd. volgens mijn was het commando:

altaddr [/server:servername] [/set alternateaddress ] [/v]

altaddr [/server:servername] [/set adapteraddress alternateaddress] [/v]

altaddr [/server:servername] [/delete] [/v]

altaddr [/server:servername] [/delete adapteraddress] [/v]

altaddr [/?]

vrijdag 30 juli 2004 10:29

Acties:

Verwijderd

Topicstarter
Ja maar ik moet dus eigenlijk meerdere alternate adresses hebben. Als ik alleen voor en achter de firewall wil gebruiken is het geen probleem. Als ik echter in een gecascade firewall opstelling wil connecteren moet je meerdere alternate adressen hebben.

vrijdag 30 juli 2004 10:31

Acties:

Verwijderd

Indien het 10 adres benaderbaar is uit de dmz, zou ik zeggen:

AlternateAddress=Mapped
ClientAddressMap=192.168.66.,Normal,10.0.1.,Normal*,Alternate

Zo niet, dan denk ik dat je WI 3.0 nodig hebt, waarmee je meerdere sites kunt aanmaken, en een beetje met de template.ica kunt spelen, om gedaan te krijgen wat jij wilt.

vrijdag 30 juli 2004 10:40

Acties:
  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

Nee. Zover mij bekend beschikt citrix slechts over 1 alternate address om dit te verzorgen.
Vind het trouwens vreemd om een Citrix server in de DMZ te plaatsen, why's that?

Waarom trouwens een NAT translatie tussen LAN en DMZ? da's niet nodig hoor. Gewoon in je routing tabellen van je LAN het subnet van je DMZ aangeven als verkeer via de machine die de brug creeert.

Stel LAN = 10.0.0.0/16, default router = 10.0.0.1
Stel DMZ = 192.168.0.0/24, default router = 192.168.0.1

Router heeft 3 nic's, LAN = 10.0.0.1, DMZ = 192.168.0.1, Internet = x.x.x.1 en x.x.x.2

Dan zou alle verkeer die van het LAN komt en naar de DMZ automatisch gerouteerd kunnen worden, en is de router/firewall hiervan op de hoogte. daar is dan geen alternate adres voor nodig.

Heb je het Altaddr over voor internet NAT translatie verbindingen.

Better to have loved and lost then never loved at all... yeah right.

vrijdag 30 juli 2004 12:25

Acties:

Verwijderd

Topicstarter
Dit is een test situatie, dadelijk gaat de Citrix server WEL naar de live netwerk omgeving.

Tot die tijd zou ik het in het DMZ willen testen op lekken en dergelijke. Dan zou het wel handig zijn als ik het gewoon vanaf alle drie de netwerk domeinen kan benaderen.

vrijdag 30 juli 2004 13:10

Acties:

Verwijderd

Verwijderd schreef op 30 juli 2004 @ 12:25:
Dit is een test situatie, dadelijk gaat de Citrix server WEL naar de live netwerk omgeving.
Tot die tijd zou ik het in het DMZ willen testen op lekken en dergelijke.
Dan staat de hoeveelheid werk, om het aan de praat te krijgen, niet in verhouding tot de tijd dat je het gaat gebruiken.
Installeer een CSG in je DMZ, zoals het hoort in dit soort situaties, en we praten nergens meer over.

vrijdag 30 juli 2004 14:16

Acties:

Verwijderd

Topicstarter
Ik zie het voordeel van een csg niet zo erg, ik snap wel dat het fijn is dat alles dan via poort 443 gaat, en je poort 1494 niet meer hoeft open te breken maar voor de rest zie ik geen voordelen.

Als ik per applicatie toch eis dat hij de hoogste encryptie aanzet, de IIS zo inelkaar knutsel dat hij certificaten gebruikt (en de naam en wachtwoord dus encrypt naar de NFUSE server stuurt) dan kan er toch niets meer mis gaan?

Voor de rest zie ik die CSG alleen maar conflicteren met de IIS die ook op poort 443 staat te luisteren en met Nfuse diensten wil gaan verlenen. Maar misschien zie ik het wel verkeerd :) (sta altijd open voor goede argumenten)

vrijdag 30 juli 2004 14:18

Acties:

Verwijderd

Topicstarter
btw, wat als je meerdere netwerkkaarten in 1 Citrix server steekt, welk adres is dan het localhost adres? Het adres waarvan de client komt? Dus stel:
Citrix server
2 netwerkkaarten 192.168.1.1 en 192.168.2.1 een client komt uit het 192.168.1 domein, krijgt hij dan als localhost 192.168.1.1 in zijn ICA file meegestuurd? (met meegestuurd bedoel ik het ICA bestand welke door NFUSE gemaakt wordt.)

vrijdag 30 juli 2004 14:52

Acties:

Verwijderd

Verwijderd schreef op 30 juli 2004 @ 14:16:
Ik zie het voordeel van een csg niet zo erg, ik snap wel dat het fijn is dat alles dan via poort 443 gaat, en je poort 1494 niet meer hoeft open te breken maar voor de rest zie ik geen voordelen.
1 public ip nodig, en als je firewall PAT ondersteund, benje alleen poort 443 op dat ene adres kwijt. Tevens is het een goede protectie, omdat direct connecteren naar je citrix doos niet meer gaat.
Als ik per applicatie toch eis dat hij de hoogste encryptie aanzet, de IIS zo inelkaar knutsel dat hij certificaten gebruikt (en de naam en wachtwoord dus encrypt naar de NFUSE server stuurt) dan kan er toch niets meer mis gaan?
Geef me het public ip van je server maar eens, dan kan ik je zeggen of alles goed gegaan is :)

Voor de rest zie ik die CSG alleen maar conflicteren met de IIS die ook op poort 443 staat te luisteren en met Nfuse diensten wil gaan verlenen. Maar misschien zie ik het wel verkeerd :) (sta altijd open voor goede argumenten)
CSG 2.0 gebruikt een interne reverse proxy menthode om de IIS inhoud weer te geven. Geen conflicten, en geen problemen. public ip, 1 ssl certificaat, en 1 poort open

vrijdag 30 juli 2004 14:53

Acties:

Verwijderd

Verwijderd schreef op 30 juli 2004 @ 14:18:
2 netwerkkaarten 192.168.1.1 en 192.168.2.1 een client komt uit het 192.168.1 domein, krijgt hij dan als localhost 192.168.1.1 in zijn ICA file meegestuurd? (met meegestuurd bedoel ik het ICA bestand welke door NFUSE gemaakt wordt.)
Ja. Maar een multihomed citrix server is iets complexer om op te zetten.

vrijdag 30 juli 2004 15:00

Acties:

Verwijderd

Topicstarter
Want?? Ik zie het probleem niet zo.. als hij de local host gewoon anders maakt..

vrijdag 30 juli 2004 15:20

Acties:

Verwijderd

Verwijderd schreef op 30 juli 2004 @ 15:00:
Want?? Ik zie het probleem niet zo....
Success, en kom maar terug als het niet wil lukken.

vrijdag 30 juli 2004 16:32

Acties:

Verwijderd

Topicstarter
Net getest, in de citrix server zitten 2 netwerkkaarten 1 voor domein 192.168.66 en een voor 192.168.1 vanuit beide domeinen met een webbrowser de nfuse pagina geladen en gepubliceerde applicaties opgestart. Geen vuiltje aan de lucht.

Maar misschien staat er bij mij toevallig iets goeds

vrijdag 30 juli 2004 16:43

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 22:33

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Verwijderd schreef op 30 juli 2004 @ 09:45:

Ik wil dus eigenlijk dat de ICA files devolgende server adres krijgen:
If uit DMZ then serveradress = 192.168.66.10
if uit bedrijf then serveradress=10.0.1.150
if buitenbedrijf then serveradress=212.13.14.15

Is dat mogelijk???
Ja. Ten eerste moet je de DMZ gewoon vergeten. Wie gaat er nu een connectie maken vanuit een DMZ? Je maakt een connectie vanuit het LAN, of vanuit buiten. Meer niet.
Dan is het antwoord ook een stuk simpeler. Dan stuur je het buitenverkeer door naar het alternate adres (alternate), en het binnen verkeer direct door (normal). Zou moeten werken.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

vrijdag 30 juli 2004 21:46

Acties:

Verwijderd

Topicstarter
hee Smiley wil je eens kijken naar mijn Nfuse/IIS config? Ik ga alleen mijn public IP niet hier posten, dan snap je wel.. Laat ff bericht achter op barenddelange@hetnet.nl aub.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq