В настоящее время у меня есть защищенный шлюз Citrix на сервере Windows 2003 за брандмауэром (ASA 5505) с переадресацией портов Citrix на серверы Citrix. Он находится в той же локальной сети, что и два сервера Citrix, на которые он указывает. Когда пользователь подключается к локальной сети, я хочу, чтобы шлюз выдал ему частный IP-адрес сервера Citrix, к которому они пытаются подключиться, а когда они подключаются из Интернета, мне нужно предоставить общедоступный IP-адрес.
Если я установлю прямое соединение, тогда все будет работать в локальной сети, но поскольку адрес в файле ICA будет частным адресом, они не смогут подключиться к нему.
Если я установлю шлюз напрямую, будет предоставлен общедоступный IP-адрес, и пользователи Интернета смогут подключаться, но пользователи в локальной сети не смогут подключиться. Кажется, что ASA останавливает соединение, поскольку это IP-адрес локальной сети, пытающийся получить доступ к общедоступному IP-адресу, а затем вернуться в локальную сеть.
В итоге я изменил настройку на переведенный. Я добавил DNS-запись, указывающую на публичный адрес и частный адрес. Если вы находитесь в локальной сети, он разрешится в частном порядке, а если вы в Интернете, он разрешится в общедоступном. Кажется, это работает, но теперь в локальной сети пара приложений не загружается, и возникает множество ошибок установления связи SSL.
Есть какие-нибудь предложения о том, как это сделать?
Правильный способ - настроить два разных сайта Web Interface. Один для внешнего использования и один для внутреннего использования.
Еще лучший способ - разместить CSG между двумя брандмауэрами или в вашей DMZ, а затем иметь другой сервер Web Interface за вашим брандмауэром для внутреннего использования.
Как вариант, нельзя настроить два разных типа подключения? Один прямой, один прямой шлюз?