Alarmanlagen stören Citrix

Alles rund um Netzwerktechnik und Protokolle
dante
Posts: 128
Joined: 2010-04-20 12:50

Alarmanlagen stören Citrix

Post by dante »

Hi zusammen,

wir haben bei uns ein interessantes Phänomen entdeckt und leider hat da keiner eine Lösung parat.

Es geht um folgendes:

Zwei identische (Honeywell-)Alarmanlagen sollen ins Netz um via Web konfigurierbar zu sein.

Wenn beide Anlagen im Netz hängen, können Citrix-Clients keine Verbindung mehr zu den Servern aufbauen. Es werden veröffentlichte Anwendungen benutzt. Wenn nur eine von beiden (egal welche) aktiv ist, klappts.

Nach ein paar Wireshark-Sniffs ist folgendes ans Tageslicht gekommen:
  • Der Client macht einen Broadcast an Port 1604 (ICA-Protokoll)
  • Alle Citrix-Server antworten darauf
  • Alarmanlage schickt auf den Broadcast ein ICMP Type 3 Code 3 (also Destination Unreachable/Port Unreachable) zurück
  • Der Client schickt zu einem bestimmten (immer der selbe, ich kenne Citrix nicht so gut und weiß nicht, welche Rollen es da gibt) Server eine Anfrage mit dem Anwendungsnamen "DESKTOP" und seinem Hostname und bekommt eine Antwort
  • Eine Session kann aufgebaut werden
Wenn jetzt aber beide Anlagen im Netz hängen und damit auch zwei ICMP Response kommen, fängt der Client an "DESKTOP" via DNS auflösen zu wollen. Nachdem das fehlschlägt wird das ganze via Netbios versucht. Es wird nie eine Session aufgebaut.

Um das nachzustellen habe ich auf meinem Notebook per Netcat den Port 1604 aufgemacht. Die Broadcasts kommen an. Danach habe ich via iptables alle Verbindungen an Port 1604 rejected. Unicast Pakete (wie z.B. mittels telnet) werden rejected, es wird ein ICMP Type 3 Code 3 als Antwort geschickt. Nur bei einem Broadcast wird das Paket direkt gedroppt.

Ich kenne jetzt die Spezifikationen nicht, aber könnte es sein, dass Broadcasts in solchen Fällen immer verworfen werden?

Was könnte noch das Problem sein? Meine Idee war, dass das ICA-Protokoll die Anzahl der "Fehlschläge" auswertet und dann einfach irgendwie dichtmacht, wenn zwei solcher ICMP Responses ankommen.

Verwirrung macht sich breit :-?
ZWNobyAiSGVsbCB5ZWFoLCBiYXNlNjQiIHwgYmFzZTY0ClNHVnNiQ0I1WldGb0xDQmlZWE5sTmpRSw==
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Alarmanlagen stören Citrix

Post by nyxus »

Eine Idee zu dem Problem habe ich gerade nicht. Aber ich würde das anders angehen: Alarmanlagen gehören nicht in ein Client-Segment sondern in eine DMZ. Und schon kommen keine Broadcasts mehr an und auch keine Unreachables zurück.
dante
Posts: 128
Joined: 2010-04-20 12:50

Re: Alarmanlagen stören Citrix

Post by dante »

Das wäre mein Plan B ;)

Falls alle Stränge reißen, werden die Anlagen in ein separates VLAN verfrachtet.
ZWNobyAiSGVsbCB5ZWFoLCBiYXNlNjQiIHwgYmFzZTY0ClNHVnNiQ0I1WldGb0xDQmlZWE5sTmpRSw==