ICA CITRIX - Não Consiggo acessar conexão Remota

1. ICA CITRIX - Não Consiggo acessar conexão Remota

johnfelix
(usa Slackware)

Enviado em 21/09/2007 - 17:21h

Trabalho numa empresa que todo trabalho é concentrado no servidor da matriz em BH. Nós logamos nesta máquina usando o Metaframe XP (via navegador) digitamos o endereço (https://webcorp.nomeempresa.com.br/citrix/metaframexp/default/frameset.asp) e o mesmo abre uma página com autenticação, para que funcione é necessário ter instalado o cliente ica no computador, ao digitar os dados de login aparece uma janela para aceitarmos o certificado ssl, clico em ok e aparece a janela com grupos de ações clico no grupo específico e sou logado no computador. O que acontece de diferente quando ativo o squid é que não aparece somente uma janela para aceitar o certificado ssl, aparece várias vezes e depois de clicar varias vezes no ok ele me exibe os grupos ao clicar no respectivo grupo sou desconectado do metaframe e me aparece uma mensagem Your session with the Web server has expired. You have been logged out.

Estou usando o squid for windows para teste de implantação se funcionar poder ser que instale em uma máquina linux.

logs: access.log

1190405214.968 3437 192.168.0.5 TCP_MISS/200 26638 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200..183. -
1190405215.375 875 192.168.0.5 TCP_MISS/200 1303 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.70 -
1190405215.375 485 192.168.0.5 TCP_MISS/200 1297 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.70 -
1190405215.453 578 192.168.0.5 TCP_MISS/200 3207 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.71 -
1190405215.515 578 192.168.0.5 TCP_MISS/200 3207 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.71 -
1190405219.171 203 192.168.0.5 TCP_MISS/200 3197 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.70 -
1190405219.390 203 192.168.0.5 TCP_MISS/200 3018 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.71 -
1190405219.687 250 192.168.0.5 TCP_MISS/200 3595 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.70 -
1190405220.718 1015 192.168.0.5 TCP_MISS/200 16639 CONNECT webcorp.nomeempresa.com.br:443 - DIRECT/200.166.183.71 -

squid.conf

http_port 3128
visible_hostname kurumin

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs c:/squid/var/spool/squid 2048 16 256
cache_access_log c:/squid/var/logs/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

sslproxy_capath c:/etc/ca

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 80 443 563 1494 2598
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow purge localhost
http_access deny purge

acl bloqueados url_regex -i "c:/squid/etc/bloqueados"
http_access deny bloqueados

acl redelocal src 192.168.0.0/24
http_access allow localhost

acl almoco time 12:00-14:00
acl orkut dstdomain orkut.com www.orkut.com
http_access allow orkut almoco

http_access allow redelocal

http_access deny all

0 0

Quote

2. ICA

prgs.linux
(usa CentOS)

Enviado em 14/12/2007 - 09:08h

Cara uso citrix aqui na empresa onde Administro e tenho um proxy na porta 3128 iptables e meus usuarios da rede interna tem que se indentificar pra sair pra internet.
Meu cenario e parecido com o seu , tenho clientes que precisam se conectar de fora meu B.D fica no 2003 , mais porem trabalho com METAFRAME XP que so roda no 2000 server
que tive que fazer?????

primeiramente fiz em rede local ....ok tudo bunitim redondimm....agora meu problema e acessar de fora.....HUMMMMM............sera que ia dar certooo?????
- primeira coisa foi instalar o cliente Citrix e criar um arquivo ".ica" esse arquivo contem algumas informaçoes, nome de usuario que vai logar no meu 2003,ip externo no meu caso um no-ip..hehehe,e a porta.

ok....mais tinha uma coisa que barrava .....nao e o proxy
frizo pra vc naum e o proxy......ele pede pra autentivar normalmente.....como tivesse em rede local
tive que fazer regra de NAT na porta que ele usa 1449 e redirecionar para meu server 2000.
pronto

#############################################

regras

INTERNET="eth0"
REDE_INTERNA="eth1"
METAFRAME="1449"

########################################

# Liberando entrada

iptables -A INPUT -p tcp -s 0/0 --dport $METAFRAME -j ACCEPT
iptables -A OUTPUT -p tcp -d 0/0 --sport $METAFRAME -j ACCEPT

########################################

# NAT
iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $METAFRAME -m state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $INTERNET -o $REDE_INTERNET -p tcp --dport $METAFRAME -m state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $METAFRAME -m state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $METAFRAME -m state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $METAFRAME -j DNAT --to 192.168.0.100:1449

Obs: estou levando em consideraçao que seu fw tem o ip 192.168.0.100

**** nao esquecer de abrir esta porta 1449 no seu modem ADSL e redireciona-la para seu FW 192.168.0.100 ****

Linux: Profissionais fizeram o TITANIC amadores a ARCA de NOÉ ..........

0 0

Quote

3. Re: ICA CITRIX - Não Consiggo acessar conexão Remota

hugoalvarez
(usa Debian)

Enviado em 07/09/2008 - 02:23h

Aconselho que você atravesse os pacotes entrantes sem passar pelo squid através de NAT e configure os clients para fazer a conexão utilizando proxy.

Adicione a linha UseAlternateAddress=1 na seção [WFClient] dos arquivos .ica dos clientes e configure o servidor para receber os pedidos de conexão através de NAT.

Sobre os certificados ative o serviço Certificate authorities (acho que é isso heeheh) do Windows e emita certificados para os clientes instalarem e não terem mais a mensagem de erro ou utilize o openssl, ele tem a mesma função, no caso do windows a distribuição é facilitada caso tenha um AD, pode-se colocar uma policie para instalar os certificados automaticamente, se clientes externos fizerem a conexão aí só comprando um certificado mesmo, o CAcert é gratuito mas ainda não é padrão nas autoridades já cadastradas como confiavéis para os clientes Windows, então o processo de instalação tem que ser manual.

0 0

Quote