Netscaler CAG und Sophos UTM WAF
Hallo zusammen,
ich habe folgendes Problem:
Ich Betreibe zur Zeit eine Citrix Testumgebung mit einem Netscaler 10.5 als CAG. Der Netscaler ist von Extern per Sophos UTM mittels DNAT auf 443 problemlos erreichbar (https://citrix.meinedomain.de). ICA Sessions lassen sich erfolgreich aufbauen.
Da in meiner Umgebung nun noch ein Exchange Server hinzugekommen ist, möchte ich dessen OWA Seite natürlich auch gerne erreichen (https://mail.meineseite.de).
Da beide Services auf 443 lauschen kann ich also nur die WAF der Sophos UTM einsetzen. Dies funktioniert aber mit meinem Netscaler nicht. Die Zertifikate (GoDaddy) sind alle korrekt gebunden. Ich kann mich auch am CAG anmelden und bekomme meinen Apps und Desktops angezeigt. Starten lässt sich jedoch keine Anwendung. Die STA im Netscaler ist korrekt eingerichtet.
Habt ihr eine Idee, wie ich beide Services per WAF ohne DNAT einrichten kann?
Vielen Dank
ich habe folgendes Problem:
Ich Betreibe zur Zeit eine Citrix Testumgebung mit einem Netscaler 10.5 als CAG. Der Netscaler ist von Extern per Sophos UTM mittels DNAT auf 443 problemlos erreichbar (https://citrix.meinedomain.de). ICA Sessions lassen sich erfolgreich aufbauen.
Da in meiner Umgebung nun noch ein Exchange Server hinzugekommen ist, möchte ich dessen OWA Seite natürlich auch gerne erreichen (https://mail.meineseite.de).
Da beide Services auf 443 lauschen kann ich also nur die WAF der Sophos UTM einsetzen. Dies funktioniert aber mit meinem Netscaler nicht. Die Zertifikate (GoDaddy) sind alle korrekt gebunden. Ich kann mich auch am CAG anmelden und bekomme meinen Apps und Desktops angezeigt. Starten lässt sich jedoch keine Anwendung. Die STA im Netscaler ist korrekt eingerichtet.
Habt ihr eine Idee, wie ich beide Services per WAF ohne DNAT einrichten kann?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311462
Url: https://administrator.de/forum/netscaler-cag-und-sophos-utm-waf-311462.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
Die einzige mögliche Lösung wäre, Port 443 weiterhin direkt an den Netscaler durchzureichen und dann auf dem Netscaler mittels Content switching die owa Anfragen intern weiterzuleiten. Ob oder wie gut das funktioniert kann ich leider nicht sagen, da ich nie die Zeit hatte das in meinem Lab fertig zu bauen.
Solltest du eine funktionierende Konfiguration hinbekommen, wäre ich auch sehr an deiner Lösung interessiert.
Liebe Grüße
Terminatorthree
Die einzige mögliche Lösung wäre, Port 443 weiterhin direkt an den Netscaler durchzureichen und dann auf dem Netscaler mittels Content switching die owa Anfragen intern weiterzuleiten. Ob oder wie gut das funktioniert kann ich leider nicht sagen, da ich nie die Zeit hatte das in meinem Lab fertig zu bauen.
Solltest du eine funktionierende Konfiguration hinbekommen, wäre ich auch sehr an deiner Lösung interessiert.
Liebe Grüße
Terminatorthree
Hi,
Wieso es nicht funktioniert ist eigentlich recht schnell erklärt. Die WAF ist eben nur eine "Application" Firewall für die Application Web/HTTPS. D.h. das natürlich der Webtraffic an dieser Stelle entsprechend analysiert und anhand dessen weitergeleitet wird. Da die gekapselte ICA Session aber keine klassischen HTTP Header mehr enthält (sondern den ICA Datenstrom), kann dieser Traffic nicht von der WAF analysiert und dem richtigen Ziel zugeordnet werden.
Der einzige "Workaround" den ich von anderen WAFs dafür kenne, ist es, ein Defaultziel für Traffic festzulegen, der nicht analysiert werden kann. Ob die UTM das aber überhaupt kann und wenn ja ob es mit ICA zusammen funktioniert, kann ich nicht sagen. Mein Lab ist leider nie so weit gekommen.
Solltest du in dieser Hinsicht irgendwelche Erkenntnisse erlangen, wäre ich sehr dankbar, wenn du sie an dieser Stelle teilen könntest.
Grüße
Terminatorthree
Wieso es nicht funktioniert ist eigentlich recht schnell erklärt. Die WAF ist eben nur eine "Application" Firewall für die Application Web/HTTPS. D.h. das natürlich der Webtraffic an dieser Stelle entsprechend analysiert und anhand dessen weitergeleitet wird. Da die gekapselte ICA Session aber keine klassischen HTTP Header mehr enthält (sondern den ICA Datenstrom), kann dieser Traffic nicht von der WAF analysiert und dem richtigen Ziel zugeordnet werden.
Der einzige "Workaround" den ich von anderen WAFs dafür kenne, ist es, ein Defaultziel für Traffic festzulegen, der nicht analysiert werden kann. Ob die UTM das aber überhaupt kann und wenn ja ob es mit ICA zusammen funktioniert, kann ich nicht sagen. Mein Lab ist leider nie so weit gekommen.
Solltest du in dieser Hinsicht irgendwelche Erkenntnisse erlangen, wäre ich sehr dankbar, wenn du sie an dieser Stelle teilen könntest.
Grüße
Terminatorthree
Das klingt sehr interessant.
Ich möchte Citrix ebenfalls gerne in meinem Homelab zum laufen bekommen.
Könntest du mir sagen, wie du die Sophos UTM konfiguriert hast, also welche Sachen du wo konfiguriert hast, dass es läuft.
Ich habe ebenfalls bereits einen Exchange über die UTM aus dem Internet erreichbar gemacht, dieser funktioniert ohne Probleme.
Nun möchte ich eben auch noch dasselbe mit Citrix machen.
Wäre klasse, wenn du mir Hilfestellung dazu geben könntest.
Ich möchte Citrix ebenfalls gerne in meinem Homelab zum laufen bekommen.
Könntest du mir sagen, wie du die Sophos UTM konfiguriert hast, also welche Sachen du wo konfiguriert hast, dass es läuft.
Ich habe ebenfalls bereits einen Exchange über die UTM aus dem Internet erreichbar gemacht, dieser funktioniert ohne Probleme.
Nun möchte ich eben auch noch dasselbe mit Citrix machen.
Wäre klasse, wenn du mir Hilfestellung dazu geben könntest.