fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  Все чаще желание "завалить" сервак, установить все заново без IIS Не надо этого делать. Через установку/удаление программ ты можешь модифицировать установку МетаФрэйм, удалив Веб-интерфейс. Потом удали IIS Цитата: попробую описать настройки сети и шлюзов (на сколько это возможно), если не возражаешь?! опиши, не возражаю Цитата:  Поскольку настройку Winroute производил не я и, вообще, немного туго понимаю как происходит фильтрация пакетов в этой программе Посмори тут http://www.kuban.ru/forum_new/forum10/modpage/FAQ/wr/index.shtml практически все расписано "от и до" Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 11:36 01-06-2005

Orand Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Есть RealIP привязанный к железке-роутеру. Роутер имеет свой IP для маршрутизации в локалку. Все это висит на 1-м сетевом интерфейсе Интернет-сервера, к примеру х.х.1.1. Роутер прослушивает порты 80, 443, 1494 (TCP) и 1604 (UDP). Кстати, в ссылке на FAQ, написано, что для Citrix XP это не обязательно, если не указано явно работать по UDP. 2. Второй сетевой интерфейс смотрит в локалку и имеет адрес к примеру х.х.2.1. 3. На этом серваке развернут DNS-контроллер и AD. На нем же установлен Winroute 4.2.х. 4. В Winroute настройки такие: Входящие пакеты на интерфейсе х.х.1.1: UDP any host port=53 => any host port>1023 => Perm; TCP any host any port => any host port>1023 => Perm; ICMP any host any port => any host any port => Perm; TCP any host any port => any host any port => Ignore; IP any host => any host => Ignore; Исходящие - No rules; Входящие на интерфейсе х.х.2.1: TCP any host any port => any host any port => Perm; Исходящие - No rules; Теперь настройка маппинга портов: все пакеты по TCP 80, 443, 1494 и UDP 1604 => внутренний IP Citrix-сервера (х.х.2.111) 5. При входе на сервер терминала логинюсь на машину, а не в домене. Все! Всего записей: 83 | Зарегистр. 17-05-2005 | Отправлено: 12:09 01-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Роутер прослушивает порты 80, 443, 1494 (TCP) и 1604 (UDP) Зачем он их прослушивает? Куда он их отправляет? Не понятно. Я так понял "белый" адрес есть только у роутера? Или 1-й интерфейс Интернет-сервера тоже имеет "белый" адрес? Цитата: Кстати, в ссылке на FAQ, написано, что для Citrix XP это не обязательно, если не указано явно работать по UDP  Я ж написал выше, без UDP у меня не получилось   Ваши настройки WinRoute в плане пакетного фильтра практически ничего не запрещают. Нафиг они тогда нужны? Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 17:11 01-06-2005

Orand Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Зачем он их прослушивает? Не будет слушать - не пропустит пакет (видимо я неправильно построил фразу; нужно было "открыт порт"). Цитата: Я так понял "белый" адрес есть только у роутера Да. Только у роутера. Мне его вообще при установке предлагали воткнуть в свич и не париться с двумя сетевыми интерфейсами на серваке. Но вся проблема уперлась как раз в Winroute. Как только развели на два сетевых интерфейса - стало все OK. Я думаю, что просто настройки Winroute сделаны неверно и тогда и сейчас. Благодаря Вам сейчас пытаюсь изучить, чтобы завтра изменить и проверить (народ-то работает, ничего остановить нельзя!). Цитата: Ваши настройки WinRoute в плане пакетного фильтра практически ничего не запрещают. Нафиг они тогда нужны? Трудно общаться с дилетантами? Ну, извините... я ж предупреждал, что не профи и все получил "в наследство". И не только это... Если утомил, Вы так и скажите, - я отстану. Всего записей: 83 | Зарегистр. 17-05-2005 | Отправлено: 17:51 01-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Не будет слушать - не пропустит пакет (видимо я неправильно построил фразу; нужно было "открыт порт"). А что, у роутера есть и "закрытые порты"? Сомневаюсь. Скорее всего ваш роутер просто перенаправляет все, что приходит на "белый" адрес на сетевой интерфейс 1 интернет-сервера. Так называемый мост. Что за модель роутера?     Напишите детально, что у вас стоит в WinRoute - Настройки - Дополнительно - Распределение портов   Грохните все правила фильтрации пакетов на всех интерфейсах в WinRoute и попробуйте без них (все равно они вам почти ничего не дают в плане файрвола)   А вообще идеи кончились, ибо imho в таком конфиге все должно работать на ура Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 10:01 02-06-2005

Orand Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Модель: D-Link 500T (Ethernet ADSL Router) 2. В распределении портов сейчас стоит: a) Прослушивает: 1494     Ожидание сигнала: <не определен>     Протокол: TCP     IP-адресата: <IP Citrix-server>     Порт адресата: 1494 b) Прослушивает: 1604     Ожидание сигнала: <не определен>     Протокол: UDP     IP-адресата: <IP Citrix-server>     Порт адресата: 1604 Больше ничего. 3. Насчет "грохнуть" - это я обязательно попробую (чуть позже) Да, кстати... После изменений в Winroute, его нужно перезапускать? Или все делается "на лету"? 4. Итак, много чего разъяснил! А то у меня идеи кончились к тому моменту, как я обратился на форум... так что в любом случае, - Спасибо!   Добавлено: УРА!!! Нашел!!!! Ура-ура-ура!!! Извиняйте... Удалил строку в Winroute (всего одну cтроку, самую последнюю на входящие пакеты!) "Deny => IP Aby host => Any host" И ВСЕ!!! Все заработало по Вашей схеме! СПАСИБО!!! БОЛЬШОЕ. Человеческое!!! Теперь попробую правильно настроить защиту в Winroute (опятьже почитаю Вашу статью!) Спасибо еще раз! Всего записей: 83 | Зарегистр. 17-05-2005 | Отправлено: 10:42 02-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: "Deny => IP Aby host => Any host"   Ну блин ничего удивительного. Это правило запрещает все пакеты, которые не удовлетворяют условиям разрешающих правил стоящих выше (в списке правил). Т.е. удалив его ты разрешил ВСЕ входящие пакеты. Верни его, и добавь разрешающие для цитрикса: Permit TCP Any Host Any Port -> 'внешний IP сервера' port 1494 Permit UDP Any Host Any Port -> 'внешний IP сервера' port 1604 и расположи их выше запрещающих в списке.   Цитата: Теперь попробую правильно настроить защиту в Winroute (опятьже почитаю Вашу статью!) Вот это правильно       ЗЫ ох люблю я этот WinRoute 4.2.x При грамотной настройке - непробиваемый файрволл! Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 11:36 02-06-2005 | Исправлено: fosfor, 17:16 02-06-2005

Orand Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добавил... Удалил.. Вернул... Не работает.   Добавлено: Исправил так: Permit TCP Any Host Any Port -> ANY HOST port 1494   Permit UDP Any Host Any Port -> ANY HOST port 1604 + Deny Any host -> Any Host (в конце) Работает. Усли указать во входящих пакетах Citrix-IP вместо ANY HOST - не работает. Блин! Хочу понимать!!! Почему?! Всего записей: 83 | Зарегистр. 17-05-2005 | Отправлено: 12:00 02-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ХЗ, может потому, что в настройках маппинга портов у тебя стоит   Цитата:  Ожидание сигнала: <не определен> поставь там IP внешнего интерфейса сервера (который в роутер воткнут), или вообще "белый" адрес роутера, т.е. поэксперементируй. Я так и не понял мост у тебя там или маршрутизация.   добавлено Блин пересмотрел то что тебе насоветовал, каюсь, накосячил с правилами Исправлю в том посте. (Конечно там не IP_citrix, а IP внешнего интерфейса сервера) Поэтому последнее ты сделал правильно, но несколько мягко Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 17:03 02-06-2005 | Исправлено: fosfor, 17:14 02-06-2005

Orand Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все! Все настроил и поправил. Все работает! На Внешнем/Входящие:   Permit TCP Any Host port>1023 -> IP_External_card port=1494   Permit UDP Any Host port>1023 -> IP_External_card port=1604   .... На Внешнем/Исходящие:   Permit TCP IP_citrix port=1494 -> Any Host port>1023   Permit UDP IP_citrix port=1604 -> Any Host port>1023   .... Вдруг кому еще пригодится?! fosfor Спасибо! Я те по идее пиво должен! Да, не одну Всего записей: 83 | Зарегистр. 17-05-2005 | Отправлено: 17:15 02-06-2005

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Смотрел за этой темой, пробовал и чё то у меня не пошло. Может подскажите в чём причина?   Значит у меня дело такое: есть удалённый офис, там стоит Citrix на серваке w2k3? есть выделенка с постоянным IP. Я сижу в другом офисе, у меня свой цитрикс и своя выделенка. В удалённом офисе имеется прокса, на которой я переназначаю порты, в цитриксе ввёл альтернативный адрес. У себя в канторе так же на проксе переназначил порты, ломлюсь клиентом и вижу ферму, но как только хочу увидет в ферме папки и приложения опубликованные, так мой клиент начинает в моей сетке искать внутренний IP удалённого цитрикса. Естественно у меня в сетке его нет.   Вот и не пойму в каком этапе загвоздка. Может чё то ещё пропустил? За ранее благодарю. ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 15:52 15-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kamerton Цитата: В удалённом офисе имеется прокса, на которой я переназначаю порты Прокси работает только с протоколом http. так что я думаю у вас там что-то вроде программного маршрутизатора Цитата: У себя в канторе так же на проксе переназначил порты А это зачем? Чтоб из той конторы подключались к вашему серваку?   Цитата: мой клиент начинает в моей сетке искать внутренний IP удалённого цитрикса Как вы это поняли? Расскажите детально. Пока навскидку: 1) А не совпадают ли у вас имена цитрикс-ферм в двух конторах? 2) Возможно вы ошибаетесь на этапе создания коннекта к удаленной ферме, а именно забываете про очень важную галочку "Use alternate address for firewall connection". Без нее как раз клиент будет "искать не тот IP-адрес"     Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 18:14 15-06-2005 | Исправлено: fosfor, 18:20 15-06-2005

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору fosfor Спасибо что откликнулись! По порядку: 1. Данные в моем офисе.    Citrix - ferma XX ip 1.2.3.4    Прокса - ip 1.2.3.44 (внешний) 2. Удалённый офис.    Citrix ferma YY ip 5.6.7.8    Прокса - ip 5.6.7.8 (внешний) Прокса простая до ужаса, больше мне не нужно (UserGate) Пробовал по разному сделать. Но коннектился к удалённому офису через настройку Цитата: "Use alternate address for firewall connection".   В удалённом офисе сделал перенаправление портов с внешнего 1494 на citrix и с 80 тоже самое сделал. А вот как обратно переправить не понял я!! На Citrix удалённом сделал ещё altaddr 1.2.3.44 Что ещё упустил, сразу не схватываю. Понимаю что както нужно от удалённо получать ответы, но как, не знаю?! ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 07:34 16-06-2005 | Исправлено: Kamerton, 09:07 16-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kamerton Цитата: А вот как обратно переправить не понял я ... Понимаю что както нужно от удалённо получать ответы, но как, не знаю?! Я с UserGate не работал, но там есть NAT, включите его (ну раз вы пробросили порты, значит NAT скорее всего включен) и настройте правила чтобы   Цитата: На Внешнем/Входящие:     Разрешить TCP Any Host port>1023 -> IP_External_card port=1494     Разрешить UDP Any Host port>1023 -> IP_External_card port=1604     ....   На Внешнем/Исходящие:     Разрешить TCP IP_citrix port=1494 -> Any Host port>1023     Разрешить UDP IP_citrix port=1604 -> Any Host port>1023 Возможно в UserGate это делается (называется) по-другому но смысл операций тот же, разрешить ЮзерГаду маршрутизацию пакетов к и от Citrix. Проверьте доступность удаленного Citrix-сервера с помощью telnet, как я писал выше Цитата: telnet 1.2.3.44 1494   Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 09:53 16-06-2005

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору fosfor Понятие NAT в случае с использованием Цитата: "Use alternate address for firewall connection".   немного несовместимо. в данном случае с использованием хождения через альтернативный адрес, поидее он должен с клиента сам ломиться на внешний ip адрес удалённого офиса. Тут как бы всё понятно. Но непонятно каким боком всплывает порт 1023? каким боком он там появляется? я так понимаю по описанной записи: Цитата: На Внешнем/Входящие:     Разрешить TCP Any Host port>1023 -> IP_External_card port=1494     Разрешить UDP Any Host port>1023 -> IP_External_card port=1604     ....   На Внешнем/Исходящие:     Разрешить TCP IP_citrix port=1494 -> Any Host port>1023     Разрешить UDP IP_citrix port=1604 -> Any Host port>1023 Что на внешней карточке слушается порт 1023 от любого источника и перенаправляються пакеты на порт 1494 к серверу цитрикс.   И с внутренней карточки проксы слушается порт 1494 и перенаправляется на любой сервер!? Мне вот этот момент непонятен? при чём тут 1023 порт, как он всплывает вдруг? ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 10:04 16-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kamerton Цитата: Понятие NAT в случае с использованием   Цитата: "Use alternate address for firewall connection".   немного несовместимо. в данном случае с использованием хождения через альтернативный адрес, поидее он должен с клиента сам ломиться на внешний ip адрес удалённого офиса В данном случае firewall - это ваш комп с UserGate. Citrix находится за ним, и имеет совсем другой IP-адрес в локальной сети. Поэтому вы назначаете ему альтернативный адрес. Галочка говорит клиенту что надо "использовать альтернативный адрес цитрикс-сервера для соединения через файрволл". Фактически клиент соединяется с файрволом который перенаправляет запросы на цитрикс-сервер. NAT используется UserGate (и WinRoute) для трансляции ответов цитрикс-сервера в интернет. Для перенаправления запросов из интернета на цитрикс-сервер используется маппинг портов. Так что все тут совместимо. И не путайте понятия Proxy/NAT/Route. Цитата: непонятно каким боком всплывает порт 1023 Дословно в вашем случае правило звучит так: "Разрешить TCP-пакет с любого хоста и порта больше 1023 на порт 1494 компа с UserGate" Т.е. 1023 в данном случае обозначает нижнюю границу портов, с которых может   происходить подключение удаленного клиента. Это для пущей безопасности онли. Можете поставить "Разрешить TCP-пакет с любого хоста и любого порта на порт 1494 компа с UserGate" и результат будет тем же, кроме того, что будут разрешены ЛЮБЫЕ TCP-пакеты на порт 1494 Цитата: И с внутренней карточки проксы слушается порт 1494 и перенаправляется на любой сервер!? Нифига. Тут как раз NAT работает, см. выше Т.е. с внутренней карточки UserGate ничего слушать не надо, надо просто "пронатить" этот пакет наружу в интернет Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 10:48 16-06-2005

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Т.е. 1023 в данном случае обозначает нижнюю границу портов ООО! протормозил.. не обратил внимание на знак больше... Завтра попробую. Спасибо.. Вернусь в любом случае к нашей беседе.. ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 16:44 16-06-2005

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ё - маё... Всё работает как надо. Достаточно было только задействовать NAT. А я чё то даже не попробовал. В общем включил я NAT и в клиенте даже не писал что мол ходить через прокси. Просто указал внешний ip удалённого офиса. А там настроил перенаправление пакетов, с порта 1494 внешнего на порт 1494 к citrix, и обратно тоже самое. Хотя, я псмотрел, вроде обратно необязательно, он его не юзает совсем. хватает текущего. И всё работает.   fosfor Спасибо!! ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 15:02 17-06-2005

ForestMan Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня другая проблема. Клиент с правами юзера опубликованное приложение видит, но оно не запускается, соединение в трее висит, потом тихо исчезает. С админскими правами таких проблем нет. Где можно поправить? Всего записей: 257 | Зарегистр. 10-12-2003 | Отправлено: 22:57 23-06-2005

fosfor Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ForestMan Дай права юзеру на ветку реестра   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing можешь сделать их (права) такими же как у группы Power Users (Опытные пользователи) и все будет работать Всего записей: 203 | Зарегистр. 27-04-2005 | Отправлено: 23:17 23-06-2005

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » CITRIX Metaframe XP проблема запуска приложений

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование