Назад | Перейти на главную страницу

Citrix NetScaler отправляет FIN, ACK для клиентов SSL VPN

Я понимаю, что вряд ли у кого-то здесь есть определенный ответ «Установите этот флажок, чтобы решить эту проблему», но я борюсь с этой проблемой и надеюсь, что кто-то, обладающий большими знаниями, чем я, сможет дать мне больше понимания или, возможно, некоторые термины и фразы, которые нужно искать.

Я исследую странную проблему с некоторыми встроенными устройствами - короче говоря, некоторые из этих устройств (возможно, с определенной версией прошивки) недоступны через соединение NetScaler SSL VPN.

На самом деле, это кстати, но во время устранения неполадок я заметил кое-что, о чем хотел бы узнать больше.

Для тестирования я настроил быстрый сервер IIS, чтобы я мог запускать WireShark и получать слегка различающийся поток трафика в зависимости от того, прохожу ли я через VPN или нет (та же машина, с использованием Putty в режиме RAW).

Итак, из WireShark на моем сервере IIS (.117 ниже):

Без VPN от Клиента я получаю следующий трафик:

SYN
ACK
[Nothing happens, until I type "GET / HTTP/1.1" into Putty]
HTTP GET
ACK
FIN, ACK

С помощью VPN от клиента я получаю:

SYN
FIN, ACK
[Nothing happens, until I type "GET / HTTP/1.1" into Putty]
HTTP GET
ACK
FIN, ACK

Судя по моему тестированию, я считаю, что это должен быть NetScaler, который отправляет этот ложный FIN (я тестировал с машины в DMZ, через тот же брандмауэр и т. Д., И у него его нет), и я не думаю, что это вышло о возможностях того, что встроенному устройству это может не понравиться.

Итак, может ли кто-нибудь объяснить, почему NetScaler делает это и как я могу это изменить? Я предполагаю, что это конфигурация профиля TCP, но я не могу понять это.

Я приложил два снимка экрана захвата - оба захвата используют один и тот же клиент <-> сервер и один и тот же метод (Putty). Единственная разница в том, подключаюсь ли я через SSL VPN или нет.

Обновление 1

В момент удивления я изменил веб-сервер на прослушивание порта 81, а не порта 80. При такой конфигурации рукопожатие правильное, без ложных сигналов. FIN Сообщения. Это наводит меня на мысль, что это как-то связано с оптимизацией HTTP на NetScaler.