Citrix NetScaler enviando FIN, ACK para clientes VPN SSL

1

Eu percebo que é improvável que alguém tenha uma resposta definitiva "Marque esta caixa para resolver isso", mas estou lutando com esse problema e espero que alguém com mais conhecimento do que eu possa me dar mais informações ou talvez alguns termos e frases para procurar.

Estou investigando um problema estranho com alguns dispositivos embarcados - a longa história é que alguns desses dispositivos (possivelmente executando uma versão de firmware específica) não estão disponíveis através da conexão NetScaler SSL VPN.

Isso é óbvio, mas durante a solução de problemas notei algo sobre o qual gostaria de saber mais.

Para testar, configurei um servidor IIS rápido para poder executar o WireShark e obter um fluxo de tráfego sutilmente diferente, dependendo de eu passar pela VPN ou não (a mesma máquina, usando o Putty no modo RAW).

Portanto, do WireShark no meu servidor IIS (.117 abaixo):

Sem a VPN, do cliente, recebo o seguinte tráfego:

SYN
ACK
[Nothing happens, until I type "GET / HTTP/1.1" into Putty]
HTTP GET
ACK
FIN, ACK

ComaVPN,eurecebodocliente:

SYNFIN,ACK[Nothinghappens,untilItype"GET / HTTP/1.1" into Putty]
HTTP GET
ACK
FIN, ACK

Do meu teste, eu acredito que tem que ser o NetScaler que está enviando aquele FIN espúrio (eu testei de uma máquina na DMZ, através do mesmo Firewall etc e ele não tem) e eu não acho que está fora do campo de possibilidades que um dispositivo embutido não goste.

Então, alguém pode explicar por que o NetScaler está fazendo isso e como posso mudá-lo? Eu presumo que é uma configuração de perfil TCP, mas não consigo descobrir isso.

Anexei duas capturas de tela da captura - as duas capturas estão usando o mesmo cliente < - > Servidor e o mesmo método (Putty). A única diferença é se eu me conecto através da VPN SSL ou não.

Atualização 1

Em um momento de dúvida, eu mudei o servidor Web para escutar na porta 81, em vez da porta 80. Com esta configuração, o aperto de mão está correto sem mensagens FIN spurious. Isso me leva a acreditar que será algo relacionado à otimização HTTP no NetScaler

    
por Dan 25.06.2015 / 10:51

0 respostas