Logo faq-o-matic.net
Logo faq-o-matic.net

Citrix NetScaler und RNAT

von veröffentlicht am4. Dezember 2017, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: NetScaler, Netzwerk   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nutzt man einen Citrix Netscaler für externes NAT-ing und hat zusätzlich noch weitere interne Netze über statische Routen definiert, so wird man sehr schnell feststellen, dass sich der NetScaler hier untypisch verhält. Herkömmliche Routing- und Firewalling-Appliances benötigen extra ACLs für das NAT-ing von privaten IP Adressen, da diese normalerweise standardmäßig ausgeschlossen sind.

Der NetScaler arbeitet hier aber genau umgedreht und wendet NAT erst mal auf alle IP Adressen an, die nicht per ACL ausgeschlossen wurden.

Kurz zur Demotopologie:

 image001

Die bisherige RNAT Config des NetScalers beinhaltet lediglich:

set rnat 10.0.0.0 255.255.255.0 -natip 88.99.88.99

Versucht man also vom Client, einen externen Service zu erreichen, greift die RNAT Config wie gewollt und maskiert den Client hinter der IP des externen NetScaler Interfaces (88.99.88.99).

Möchte man allerdings vom Client 1 einen Gerät im Netzwerk 10.11.1.0/24 erreichen, wird man schnell feststellen, dass die RNAT-Config hier zu einem ungewollten Nebeneffekt führt. Ein Auszug der Firewall Logs macht den Administrator sehr schnell darauf aufmerksam:

 image002

Der NetScaler nutzt – da nicht anders definiert – auch bei der Verbindung zwischen Client 1 und Client 2 NAT Masquerading. Um dieses Verhalten der Topologie anzupassen und NAT für das Netz 10.11.1.0/24 abzuschalten, kann man mit der folgenden ACL das Netz ausschließen:

add ns acl ACL_RNAT ALLOW -srcIP = 10.0.0.0-10.0.0.254 -destIP "!=" 10.11.1.0-10.11.1.254
apply ns acls
set rnat ACL_RNAT -natIP 88.99.88.99

Sobald diese Policy aktiviert und die vorher angelegte RNAT Rule gelöscht wurde, wird NAT Masquerading für dieses Netz deaktiviert.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!