我目前在防火墙 (ASA 5505) 后面的 Windows 服务器 2003 上有一个 citrix 安全网关,其中 citrix 端口转发到 citrix 服务器。它与它指向的两个 citrix 服务器位于同一个 LAN 上。当用户在 LAN 内连接时,我希望网关为他们提供他们尝试连接的 citrix 服务器的私有 IP 地址,当他们从 Internet 连接时,我是要提供的公共 IP。
如果我将连接设置为直接连接,则一切都可以在 LAN 上运行,但由于 ICA 文件中的地址将是私有地址,因此它们无法连接到它。
如果我设置为直接网关,将提供公共 IP,互联网用户可以连接,但 LAN 上的用户将无法连接。ASA 似乎停止了连接,因为它是一个 LAN IP,它试图访问公共 IP,然后返回到 LAN 内部。
我最终做的是将设置更改为已翻译。我添加了指向公共地址和私有地址的 DNS 记录。如果您在局域网上,它将解析为私人,如果您在互联网上,它将解析为公众。这似乎可行,但现在在 LAN 上,一些应用程序将无法加载,并且会出现大量 SSL 握手错误。
关于执行此操作的正确方法的任何建议?
正确的方法是设置两个不同的 Web Interface 站点。一种外用,一种内用。
更好的方法是将 CSG 放在两个防火墙之间,或者放在您的 DMZ 中,然后在您的防火墙后面有另一个 Web Interface 服务器供内部使用。
或者,您不能配置两种不同的连接类型吗?一个直接,一个网关直接?