CITRIX zonder netscaler/VPN

[playercp]

ik ben op zoek naar de mogelijkheid om citrix beschikbaar te maken zonder het gebruik via netscaler of VPN.
website laad wel geheel alleen de "ICA" bestand krijgt een foutmelding bij het opstarten.
het is iemand gelukt staat op internet maar helaas was er geen uitleg bij, dit word niet ondersteund door citrix zelf dus kan daar niet aankloppen

heeft iemand enig idee?

informatie:

versie: Xendesktop 7.6
foutmelding: "The connection to ‘(desktop naam)’ failed with status 1030"
gebruikers gebruiken citrix reciever, html5 plugin wordt ook gebruikt op locaties waar het niet geinstaleerd mag worden.
in het interne netwerk werkt alles naar behoren, probleem doet zich alleen voor buiten het netwerk

 

[dnties]

Ik mis de nodige informatie in je startposting:
a. Welke versie Citrix praten we over?
b. Je praat over "website", ik krijg dus het idee dat de gebruikers óf de Citrix Online Plugin óf de Citrix Receiver gebruiken?
c. Welke foutmelding komt naar voren bij het openen van het gedownloade .ICA bestand?
d. [Indien 'thuiswerken' bedoeld is, dus niet on-site werken met de Citrix server] Welke portforwarding en firewall regels zijn ingesteld om gebruikers in staat te stellen met de Citrix server(s) succesvol verbinding te maken?

Verder: Een paar schermafdrukken erbij kan het wat inzichtelijker maken wat er nu gebeurt / fout gaat.

Tijs.

 

[playercp]

dankje dnties voor de tip!
helemaal niet aan gedacht

topic is bijgewerkt.

ports zou de fout inderdaad kunnen veroorzaken, ik weet persoonlijk niet welke ports ik moet forwarden als ik GEEN netscaler op VPN wil gebruiken.

 

[dnties]

Je zou alvast kunnen beginnen met googelen op: The connection failed with status 1030
Krijg je alvast een hoop links waar hetzelfde probleem wordt behandeld.

Error 1030 betekent (helaas lekker algemeen):

The 1030 message is a generic network error indicating that connection has failed.

In (bijv.) deze case wordt gemeld:

After analyzing the issue, it was observed that the launch.ica file for the XenDesktop session appeared to contain a non-routable address.

Haal dus eens het gedownloade .ICA bestand "uit elkaar" en kijk wat er in staat. Geeft je (hopelijk) een idee waar het probleem vandaan komt.

Tijs.

 

[dnties]

Ik geef alvast een voorzetje:
a. Gebaseerd op hoe wij het hier hebben:
In launch.ICA die ik zojuist (vanaf Internet) van onze Citrix webserver gedownload heb staat (o.a.)
Address=citrix.klantnaam.nl:1494
dus (in dit voorbeeld):
i. citrix.klantnaam.nl moet voor thuiswerkers te resolven zijn naar het Internet ip-adres van de router/firewall waar de Citrix server over bereikbaar is.
ii. poort 1494 moet in de firewall open staan (WAN-to-LAN firewall regel) richting de Citrix server én die zelfde poort moet geportforward zijn náár de Citrix server.

Heb je een farm met meerdere citrix servers en de webserver voor de samenstelling van launch.ica is voorbereid op load-balancing over de Citrix servers (round robin, least amount of users of anderszins), dan is het aannemelijk dat je meerdere poorten in de firewall moet toestaan (zie ii. hier boven) en die poorten ook portforwarden naar hun respectievelijke Citrix server. Daarbij zul je mogelijk (gedeeltelijk) poort-translatie nodig hebben, zoals bij ons, waar we resp. poort 1494 in de firewall portforwarden naar poort 1494 van Citrix-server1, poort 1495 poort-transleren naar poort 1494 van Citrix-server2 en poort 1496 poort-transleren naar poort 1494 van Citrix-server3.
Ter illustratie/verduidelijking: launch.ICA kan dus, bij ons, voor thuiswerkers, 1 van de volgende Address regels bevatten:
Address=citrix.klantnaam.nl:1494
Address=citrix.klantnaam.nl:1495
Address=citrix.klantnaam.nl:1496

Aantekening1: Wij gebruiken geen Session Reliability. Anders zou ook poort 2598 betrokken zijn in de hele setup (firewall, portforwarding etc.)
Aantekening2: Wij hebben het zo gedaan dat de firewall regels alleen toegang naar Citrix toestaan (incl. diens website) voor de Internet ip-adressen van de thuislocatie van de werknemers, die we opgeslagen hebben in de firewall. Het is afhankelijk van jullie beleid of je toestaat dat iedereen "overal vandaan" kan thuiswerken of alleen (zoals in ons geval) vanaf het Internet ip-adres dat de werknemers hebben doorgegeven als behorend bij hun thuisadres.
[Overigens staan we, bij uitzondering, ook toe dat er 2 of soms zelfs 3 Internet ip-adressen worden doorgegeven van locaties waar de werknemer vaak is, zoals bijv. een tweede baan, adres van vaste (LAT-)partner etc.)]

b. De Citrix server moet over de router/firewall kunnen communiceren met de thuiswerkers. Dat was blijkbaar niet geregeld in de case die ik in mijn vorige posting aanhaalde.
Kan (bijv.) zijn het instellen van het ip-adres van de router/firewall als standaardgateway (al dan niet via een extra netwerkkaart op een andere LAN-segment), routeringsregels die hetzelfde bereiken etc.
Hoe en wat in te regelen daaromtrent is helemaal afhankelijk van de netwerkinrichting bij jullie on-site.

Ik vermoed dat je met bovenstaande informatie en tips een heel eind moet kunnen komen.

Tijs.

 

[playercp]

ik heb wat je zei even in het ica bestand de adress naam naar het externe IP veranderd (om tijdelijk DNS resolving meldingen te voorkomen).
helaas ben ik nog niet verder gekomen

ik heb port 1494 geforward in de router, die staat richting de citrix server.

na deze 2 dingen kan ik nog niet connecten met de machine.

zijn er nog andere dingen die ik moet doen om een verbinding mogelijk te maken zonder netscaler?
in de citrix server bijvoorbeeld?

voor jou info, dit gaat om een klein projectje die ik thuis uitvoer (niet bedrijfs gerelateerd )
dit is dan ook mijn eerste keer dat ik citrix geinstaleerd heb en dergelijk, nog vrij onbekend dus met citrix.

bedankt voor de hulp die je al geboden hebt!

--EDIT--

wat mij opvalt is dat als ik de port 1494 forward richting de server duurt het stukken langer voordat de foutmelding (1030) komt en krijgt die bij canyouseeme.org me timed out..
met de port 1494 naar de machine die klaar gemaakt is voor connecties dat dit veel sneller de melding krijgt en de port wel zie met canyouseeme.org

 

[dnties]

Ik snap niets van je EDIT.
Wat is (bijv.) "de machine die klaar gemaakt is voor connecties"?
En firewalls (op router en/of citrix servers), hoe zit het daarmee?

Schermafdrukken/netwerkplaatjes/firewall regels schermafdrukken/portforwarding schermafdrukken zouden MOGELIJK wat duidelijk maken.

Tijs.

 

[playercp]

Ik ben overgestapt op Netscaler, hier ben ik een stukje verder gekomen na mijn idee
Toch zit ik helaas weer vast, ik zit er momenteel mee dat mijn AD niet bereikbaar is via de ip van de netscaler, als ik via de ip doe van de AD dan komt die wel door.

ook heb ik een certificaat probleem (geen goede certificaat), moet je een betaalde certificaat hebben om dit te laten werken?
kan het zijn dat de AD niet via de ip van de netscaler niet bereikbaar is door de certificaat

 

[dnties]

Begin eens met een duidelijke netwerktekening hier te posten, want we zitten hier permanent te gokken hoe de situatie is.
Noem routers, ip-adressen aan de binnenkant van je netwerk etc.

Tijs.

 

[playercp]

hierbij de tekening:
Link is verwijderd, niet meer van toepassing.

stelt niet veel voor maar toch..

 

[dnties]

Het geeft in ieder geval wat inzicht.
Toch, als ik de setup zo bekijk
a. Heb je geen Citrix farm, dus begrijp ik niet wat je bedoelde met "de machine die klaar gemaakt is voor connecties", want ik zie maar 1 Citrix server?
b. Ook vanwege a. en de relatief simpele netwerksetup had ik verwacht dat portforwarding poort 1494 naar 192.168.1.13 (=citrix server) gewoon had moeten werken.
Natuurlijk heb ik geen inzicht in je firewall WAN-to-LAN regels (en mogelijk blokkerende LAN-to-WAN regels!).
Ik zou persoonlijk zeker ook daar in kijken.

Goed, terug naar wat jij eerder schreef: Je werkt nu via Netscaler. Ik vond dit artikel, geen idee of het zinvol is voor je (ik vermoed van niet).

Wat wil je dat de Netscaler doet? Een soort proxy spelen (en waarvoor dan? LDAP?), of moet die zelfstandig LDAP queries (of wat anders?) richting de Domeincontroller afvuren? Wil je 'm gebruiken voor Single Sign On? Pass through authentication? [Ik ken Netscaler niet ...]

Je noemt Active Directory. Mogelijk geeft deze link inzicht hoe Netscaler met je domeincontroller te (laten) verbinden of inzicht in wat je nu (nog) fout zou hebben staan.

M.b.t. certificaat: Kijk ook even hier. En ja, een commercieel certificaat is zwaar geprefereerd t.o.v. een self-signed versie; alhoewel je in een test-omgeving wel met een self-signed certificaat kunt werken, is zoiets in een live omgeving 'not done'.

Wij doen het gewoon zonder Netscaler en het werkt. Wij raden zelf de Citrix Online plug-in - Web aan, omdat de Receiver soms problemen geeft (supertrage respons / schermupdates).

Tijs.

 

[playercp]

mijn citrix omgeving zit ook in 1 server storefront, delivery controller etc.
"de machine die klaar gemaakt is voor connecties" bedoelde ik mee de win 8 voor uitrol .

ik ga aan de slag met de certificaat en kijk of ik dan verder kom.
Netscaler gebruik ik nu omdat ik het gewoon werkend wil hebben voor extern gebruik, ben tot alles bereid !

--EDIT--

zojuist heb ik het met de ceritficaat geprobeert, alleen helaas niet verder gekomen.
extern kom ik er nog steeds niet in.

wat ik vergeten ben te melden is dat intern alles weer werkt.
ook ben ik erachter gekomen dat de AD de gegevens extern en intern goed/fout keurt, dus die werkt ook.

Internet explorer
ik krijg bij het gaan naar de website de volgende over het certificaat:
https://db.tt/5AJiOzBJ
vervolgens ga ik verder, log ik in en krijg ik het volgende:
https://db.tt/hfGZPmpc

Google chrome
bij google chrome krijg ik de volgende melding na het inloggen:
https://db.tt/m7CCK2hY

 

[dnties]

Ik moet nu passen, want Netscaler c.s. gebruiken we hier niet.

Hopelijk reageert er nog iemand anders. Verder raad ik je aan om rond te kijken op de website van Sjoerd van den Nieuwenhof (al diverse zaken van gelinkt, ondertussen, hier in de discussiedraad), misschien kan zijn blog en andere info je verder helpen.

Tijs.

 

[playercp]

Tijs,
Hartstikke bedankt voor de moeite die je gedaan hebt voor me!

Mag ik vragen hoe het bij jullie zit met de verbinding zonder Netscaler?
en wat voor versie citrix gebruiken jullie?

 

[dnties]

We gebruiken nog de oude Presentation Manager 4.5 [we faseren Citrix later dit jaar uit voor Terminal Services (Windows 2012)].
Hoe onze verbindingen eruit zien heb ik eerder al aangegeven: Simpelweg poorten open zetten in de firewall voor de medewerkers en portforwarding van diezelfde poorten.

Ik had (dus) verwacht dat je het jou ook werkend zou krijgen, zéker nu je duidelijk hebt gemaakt maar 1 Citrix server te hebben.
Mogelijk snage is als je (zoals wij) een blok van externe ip-adressen hebt, dan moet je opletten bij de firewalling en bij de portforwarding.

Tijs.

 

[playercp]

even om jullie op de hoogte te houden met sommige die dezelfde problemen hebben.
tot nu toe ben ik een aantal stappen verder.

Ik heb een tijdelijke gratis certificaat mogen ontvangen om te testen, certificaat probleem is hiermee opgelost!

vervolgens heb ik veel op google moeten zoeken na een tijdje heb ik het gevonden wat mijn probleem was met http 500, er schijnt in de nieuwste versie Netscaler VPX (1000) iets niet helemaal lekker te lopen in de Web Interface Address.
Deze herkent niet altijd de FQDN
je moet deze aanpassen naar bijvoorveeld https://1.1.1.1/citrix/"de gekozen naam"Web
Dit zal je moeten doen in:
->Netscaler Gateway
->Policies
->session
->session profiles
hier bevinden zich (in mijn geval)2 mappen, in beide zal dit gedaan moeten worden.
edit de 2 mappen bij Published Application zal je Web Interface Address moeten vinden, hier dient het aangepast te worden.

---

Nu zit ik met het volgende probleem dat is dat bij externe de melding komt dat de desktop niet gestart kan worden.
Houd jullie op de hoogte!
suggesties zijn natuurlijk welkom!

--EDIT--

Zojuist zijn al mijn problemen opgelost!
mijn problemen hadden te maken met dat de STA en de Web Interface Address allebei met IP moesten door de netscaler.