6
Netscaler CAG und Sophos UTM WAF
Hallo zusammen,
ich habe folgendes Problem:
Ich Betreibe zur Zeit eine Citrix Testumgebung mit einem Netscaler 10.5 als CAG. Der Netscaler ist von Extern per Sophos UTM mittels DNAT auf 443 problemlos erreichbar (https://citrix.meinedomain.de). ICA Sessions lassen sich erfolgreich aufbauen.
Da in meiner Umgebung nun noch ein Exchange Server hinzugekommen ist, möchte ich dessen OWA Seite natürlich auch gerne erreichen (https://mail.meineseite.de).
Da beide Services auf 443 lauschen kann ich also nur die WAF der Sophos UTM einsetzen. Dies funktioniert aber mit meinem Netscaler nicht. Die Zertifikate (GoDaddy) sind alle korrekt gebunden. Ich kann mich auch am CAG anmelden und bekomme meinen Apps und Desktops angezeigt. Starten lässt sich jedoch keine Anwendung. Die STA im Netscaler ist korrekt eingerichtet.
Habt ihr eine Idee, wie ich beide Services per WAF ohne DNAT einrichten kann?
Vielen Dank
ich habe folgendes Problem:
Ich Betreibe zur Zeit eine Citrix Testumgebung mit einem Netscaler 10.5 als CAG. Der Netscaler ist von Extern per Sophos UTM mittels DNAT auf 443 problemlos erreichbar (https://citrix.meinedomain.de). ICA Sessions lassen sich erfolgreich aufbauen.
Da in meiner Umgebung nun noch ein Exchange Server hinzugekommen ist, möchte ich dessen OWA Seite natürlich auch gerne erreichen (https://mail.meineseite.de).
Da beide Services auf 443 lauschen kann ich also nur die WAF der Sophos UTM einsetzen. Dies funktioniert aber mit meinem Netscaler nicht. Die Zertifikate (GoDaddy) sind alle korrekt gebunden. Ich kann mich auch am CAG anmelden und bekomme meinen Apps und Desktops angezeigt. Starten lässt sich jedoch keine Anwendung. Die STA im Netscaler ist korrekt eingerichtet.
Habt ihr eine Idee, wie ich beide Services per WAF ohne DNAT einrichten kann?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 311462
Url: https://administrator.de/contentid/311462
Printed on: April 25, 2024 at 21:04 o'clock
6 Comments
Latest comment
Hat niemand eine Idee?
Hi,
Die einzige mögliche Lösung wäre, Port 443 weiterhin direkt an den Netscaler durchzureichen und dann auf dem Netscaler mittels Content switching die owa Anfragen intern weiterzuleiten. Ob oder wie gut das funktioniert kann ich leider nicht sagen, da ich nie die Zeit hatte das in meinem Lab fertig zu bauen.
Solltest du eine funktionierende Konfiguration hinbekommen, wäre ich auch sehr an deiner Lösung interessiert.
Liebe Grüße
Terminatorthree
Die einzige mögliche Lösung wäre, Port 443 weiterhin direkt an den Netscaler durchzureichen und dann auf dem Netscaler mittels Content switching die owa Anfragen intern weiterzuleiten. Ob oder wie gut das funktioniert kann ich leider nicht sagen, da ich nie die Zeit hatte das in meinem Lab fertig zu bauen.
Solltest du eine funktionierende Konfiguration hinbekommen, wäre ich auch sehr an deiner Lösung interessiert.
Liebe Grüße
Terminatorthree
Hi,
das ist eine super Idee. Dann könnte ich für OWA sogar eine 2-Faktor-Authentifizierung einbauen.
Ich hatte zwar das CAG auf einen anderen Port gelegt und diesen per DNAT erreichbar gemacht, aber das finde ich äußerst unschön, zumal einige Enterprise Firewalls so abgeschottet sind, das ausgehender HTTPS Traffic nur über Port 443 laufen darf
Ich frage mich nur, ob dieses Vorhaben so extrem von produktiven Einsätzen abweicht? Es muss doch Unternehmen geben, die keine 2 IP Adressen haben aber trotzdem Citrix mit einem CAG nutzen.
Falls ich Zeit finde und es erfolgreich umsetzen kann, werde ich meine Erfahrung hier posten.
Interessant wäre nur zu Wissen, wieso es nicht funktioniert. Das kann nur an der gecapselten ICA Session liegen, aber so richtig greifbar ist es für mich nicht.
Ein schönes Wochenende wünsch ich
das ist eine super Idee. Dann könnte ich für OWA sogar eine 2-Faktor-Authentifizierung einbauen.
Ich hatte zwar das CAG auf einen anderen Port gelegt und diesen per DNAT erreichbar gemacht, aber das finde ich äußerst unschön, zumal einige Enterprise Firewalls so abgeschottet sind, das ausgehender HTTPS Traffic nur über Port 443 laufen darf
Ich frage mich nur, ob dieses Vorhaben so extrem von produktiven Einsätzen abweicht? Es muss doch Unternehmen geben, die keine 2 IP Adressen haben aber trotzdem Citrix mit einem CAG nutzen.
Falls ich Zeit finde und es erfolgreich umsetzen kann, werde ich meine Erfahrung hier posten.
Interessant wäre nur zu Wissen, wieso es nicht funktioniert. Das kann nur an der gecapselten ICA Session liegen, aber so richtig greifbar ist es für mich nicht.
Ein schönes Wochenende wünsch ich
Hi,
Wieso es nicht funktioniert ist eigentlich recht schnell erklärt. Die WAF ist eben nur eine "Application" Firewall für die Application Web/HTTPS. D.h. das natürlich der Webtraffic an dieser Stelle entsprechend analysiert und anhand dessen weitergeleitet wird. Da die gekapselte ICA Session aber keine klassischen HTTP Header mehr enthält (sondern den ICA Datenstrom), kann dieser Traffic nicht von der WAF analysiert und dem richtigen Ziel zugeordnet werden.
Der einzige "Workaround" den ich von anderen WAFs dafür kenne, ist es, ein Defaultziel für Traffic festzulegen, der nicht analysiert werden kann. Ob die UTM das aber überhaupt kann und wenn ja ob es mit ICA zusammen funktioniert, kann ich nicht sagen. Mein Lab ist leider nie so weit gekommen.
Solltest du in dieser Hinsicht irgendwelche Erkenntnisse erlangen, wäre ich sehr dankbar, wenn du sie an dieser Stelle teilen könntest.
Grüße
Terminatorthree
Wieso es nicht funktioniert ist eigentlich recht schnell erklärt. Die WAF ist eben nur eine "Application" Firewall für die Application Web/HTTPS. D.h. das natürlich der Webtraffic an dieser Stelle entsprechend analysiert und anhand dessen weitergeleitet wird. Da die gekapselte ICA Session aber keine klassischen HTTP Header mehr enthält (sondern den ICA Datenstrom), kann dieser Traffic nicht von der WAF analysiert und dem richtigen Ziel zugeordnet werden.
Der einzige "Workaround" den ich von anderen WAFs dafür kenne, ist es, ein Defaultziel für Traffic festzulegen, der nicht analysiert werden kann. Ob die UTM das aber überhaupt kann und wenn ja ob es mit ICA zusammen funktioniert, kann ich nicht sagen. Mein Lab ist leider nie so weit gekommen.
Solltest du in dieser Hinsicht irgendwelche Erkenntnisse erlangen, wäre ich sehr dankbar, wenn du sie an dieser Stelle teilen könntest.
Grüße
Terminatorthree
Hallo, nach lange Zeit habe ich es nun geschafft.
Man muss auf dem Storefront "Optimales HDX Routing" konfigurieren.
Ich kann nun über den Reverse Proxy auf mein CAG zugreifen und Apps- und Desktops starten. Jedoch zur Zeit nur über den IE.
Meine Konfig:
Netscaler VPX 11.1
Storefront 3.9
DDC 7.12
Sophos UTM 9.411
Receiver 4.6
Man muss auf dem Storefront "Optimales HDX Routing" konfigurieren.
Ich kann nun über den Reverse Proxy auf mein CAG zugreifen und Apps- und Desktops starten. Jedoch zur Zeit nur über den IE.
Meine Konfig:
Netscaler VPX 11.1
Storefront 3.9
DDC 7.12
Sophos UTM 9.411
Receiver 4.6
Das klingt sehr interessant.
Ich möchte Citrix ebenfalls gerne in meinem Homelab zum laufen bekommen.
Könntest du mir sagen, wie du die Sophos UTM konfiguriert hast, also welche Sachen du wo konfiguriert hast, dass es läuft.
Ich habe ebenfalls bereits einen Exchange über die UTM aus dem Internet erreichbar gemacht, dieser funktioniert ohne Probleme.
Nun möchte ich eben auch noch dasselbe mit Citrix machen.
Wäre klasse, wenn du mir Hilfestellung dazu geben könntest.
Ich möchte Citrix ebenfalls gerne in meinem Homelab zum laufen bekommen.
Könntest du mir sagen, wie du die Sophos UTM konfiguriert hast, also welche Sachen du wo konfiguriert hast, dass es läuft.
Ich habe ebenfalls bereits einen Exchange über die UTM aus dem Internet erreichbar gemacht, dieser funktioniert ohne Probleme.
Nun möchte ich eben auch noch dasselbe mit Citrix machen.
Wäre klasse, wenn du mir Hilfestellung dazu geben könntest.
