Problema con proxy Squid
He instalado un proxy Squid en la empresa, este está en un rango de la 192.168.1.x, y su puerto de escucha es el por defecto 3128.
Hasta aquí funciona bien, me saca todos los reports de toda la gente ya se conecten desde dentro de la oficina como por VPN desde casa.
El problema viene cuando los usuarios quieren utilizar Citrix, ya sea desde dentro de las oficinas o desde fuera, el explorador les de un mensaje de:
The system returned:
(10061) WSAECONNREFUSED, Connection refused.
Este servidor tiene redirida una IP externa del rango 89.245.78.x:5478.
He mirado manuales y muchas páginas por internet, pero por mucho que he modificado los acl, tanto del port como del net src, nada funciona.
¿Alguien me podría echar una mano?
Hasta aquí funciona bien, me saca todos los reports de toda la gente ya se conecten desde dentro de la oficina como por VPN desde casa.
El problema viene cuando los usuarios quieren utilizar Citrix, ya sea desde dentro de las oficinas o desde fuera, el explorador les de un mensaje de:
The system returned:
(10061) WSAECONNREFUSED, Connection refused.
Este servidor tiene redirida una IP externa del rango 89.245.78.x:5478.
He mirado manuales y muchas páginas por internet, pero por mucho que he modificado los acl, tanto del port como del net src, nada funciona.
¿Alguien me podría echar una mano?
1 respuesta
Respuesta de carpena
1
A ver explicame eso un poco mejor, por que arreglar un problema de este tipo sin estar presente es bastante más complicado, a ver, tu tienes el programa squid haciendo de proxy en un sistema unix, con una dirección IP de la red privada 192.168.1.0 escuchando en el puerto 3128, ademas tenéis una VPN, ¿cómo tenéis montada la VPN?
Deduzco que excepto el citrix todo lo demás funciona perfectamente, la VPN, navegar, descargar, desde casa y desde dentro de la red, ¿no?
Según me comentas veo que el problema esta en que el servidor "Citrix Presentación Server", corrígeme si no es ese, te rechaza las conexiones dándote el error que me comentas.
Lo que no entiendo es lo de que, el servidor, tiene redirigida una IP externa, explicame un poco más eso, como lo tienes montado y porque lo has echo así, indicame los enrutadores, dispositivos, cortafuegos y todo lo demás que haya por medio para evitar fallos en las conexiones y en que los puertos estén abiertos, supongo que sabrás como hacerlo, también envía algún ping al servidor citrix a ver si ahí conexión, y ejecuta el programa cports de nirsoft o cualquier otro analizador de puertos para ver si de verdad esta activo el servidor en el puerto que me comentas, incluso puedes hacer un análisis de vulnerabilidades desde el cliente en el servidor para ver si de verdad esta abierto el puerto.
El problema que me comentas se da porque el servidor ha rechazado tu conexión, lo más probable es que te hayas equivocado a la hora de configurarlo en algún punto, puede ser que en el cuadro de dialogo conectar al equipo hayas puesto localhost, no puedes poner localhost, debes poner el nombre del ordenador al que deseas conectarte, el nombre debe de ser la dirección IP o el DNS, asegurate de que los puertos están abiertos, no ahí ningún cortafuegos impidiendo la conexión y que el cliente se conecta a ese puerto, también puede ser que se haya desactivado o no lo hayas habilitado, asegurate de que el servidor esta funcionando, reinicia el servidor y vuelve a ejecutar el citrix para estar más seguros.
Puede que no haya ninguna aplicación en el servidor habilitada, también puede ser que en el cliente no tengas ninguna conexión definida en el WinStation de configuración para el protocolo que estés usando, el error también aparece en la instalación de MetaFrame si el protocolo del cliente no se crea en la configuración de conexión de Citrix o se ha inhabilitado en la configuración de conexión de Citrix, asegurate de que el protocolo esta instalado y activo.
Pero como te dije el problema también puede ser por que no haya conectividad entre ellos o este fuera de la red o algún problema similar, para haber montado esto tienes que tener conocimientos de redes, ¿qué experiencia tienes?
Asegurate de que no te has equivocado en ningún punto, ni en el servidor, ni en la red.
Deduzco que excepto el citrix todo lo demás funciona perfectamente, la VPN, navegar, descargar, desde casa y desde dentro de la red, ¿no?
Según me comentas veo que el problema esta en que el servidor "Citrix Presentación Server", corrígeme si no es ese, te rechaza las conexiones dándote el error que me comentas.
Lo que no entiendo es lo de que, el servidor, tiene redirigida una IP externa, explicame un poco más eso, como lo tienes montado y porque lo has echo así, indicame los enrutadores, dispositivos, cortafuegos y todo lo demás que haya por medio para evitar fallos en las conexiones y en que los puertos estén abiertos, supongo que sabrás como hacerlo, también envía algún ping al servidor citrix a ver si ahí conexión, y ejecuta el programa cports de nirsoft o cualquier otro analizador de puertos para ver si de verdad esta activo el servidor en el puerto que me comentas, incluso puedes hacer un análisis de vulnerabilidades desde el cliente en el servidor para ver si de verdad esta abierto el puerto.
El problema que me comentas se da porque el servidor ha rechazado tu conexión, lo más probable es que te hayas equivocado a la hora de configurarlo en algún punto, puede ser que en el cuadro de dialogo conectar al equipo hayas puesto localhost, no puedes poner localhost, debes poner el nombre del ordenador al que deseas conectarte, el nombre debe de ser la dirección IP o el DNS, asegurate de que los puertos están abiertos, no ahí ningún cortafuegos impidiendo la conexión y que el cliente se conecta a ese puerto, también puede ser que se haya desactivado o no lo hayas habilitado, asegurate de que el servidor esta funcionando, reinicia el servidor y vuelve a ejecutar el citrix para estar más seguros.
Puede que no haya ninguna aplicación en el servidor habilitada, también puede ser que en el cliente no tengas ninguna conexión definida en el WinStation de configuración para el protocolo que estés usando, el error también aparece en la instalación de MetaFrame si el protocolo del cliente no se crea en la configuración de conexión de Citrix o se ha inhabilitado en la configuración de conexión de Citrix, asegurate de que el protocolo esta instalado y activo.
Pero como te dije el problema también puede ser por que no haya conectividad entre ellos o este fuera de la red o algún problema similar, para haber montado esto tienes que tener conocimientos de redes, ¿qué experiencia tienes?
Asegurate de que no te has equivocado en ningún punto, ni en el servidor, ni en la red.
Ante todo muchas gracias por tu ayuda;
Te comento un poco mejor lo que he hecho.
Como te comentaba, instalé un proxy squid (pero está en un W2k3, aunque esto tampoco es relevante), está haciendo las escuchas a través del puerto 3128.
Configuré el directorio activo para que les forzara las conexiones de Internet hacia la 192.168.1.x:3128 y les quité la pestaña de Conexiones del Internet Explorer para que no pudieran tocar nada. Los usuarios de la red pueden conectarse al dominio o bien desde las oficinas (claro está je je) o bien desde una VPN desde casa. Una vez dentro del dominio, reciben las políticas del AD y les configura la conexión a Internet explicada antes.
Si lo único que hacen es navegar (web, descarga de archivos (no emules y etc), etc,) no hay problema, el proxy les permite el paso y queda el registro en el log del mismo.
El problema viene cuando quieren conectar al Servidor de Citrix. Este servidor lo tengo configurado con un subdominio citrix.midominio.com:1234 (que tiene una IP Fija de Internet 89.245.78.x:5478 y responde correctamente, tanto desde dentro como desde fuera) para que puedan conectarse desde cualquier lugar a el sin necesidad de tener que levantar una VPN. Pues bien, cuando los usuarios tienen definidas las políticas del AD de pasar a través del proxy, les lanza ese mensaje de error, si se las quito pueden entrar sin problemas, además hoy he detectado otra cosa que a lo mejor te ayuda más a poder saber el error.
Dentro de la empresa tenemos 5 salidas a Internet, los usuarios que se conectan, cogen por defecto del DHCP la puerta de enlace 192.168.1.6, tanto el servidor proxy como el de Citrix utilizan la misma puerta de enlace (que para el caso es la 192.168.1.5), sin embargo si al servidor proxy se la cambio por otra de ellas (la 1.6 por ejemplo) pueden conectar a Citrix sin problemas al igual que navegar. Pero esta configuración nos casca unos chequeos que nos realiza una empresa externa, ya que como no sale por el gateway 1.5, no les responde el ping.
No se si será algo del router de la 1.5 que no deje que pueda haber trafico entre ellos o que, pero la verdad es que es un Cisco y yo de CiscoOS se más bien poco y prefiero no tocar.
De lo de la experiencia que me comentas, llevo más de 10 años trabajando de Administrador de redes, pero nunca había configurado un squid (y como es gratis es lo que quieren :) ) y el error este no se de donde puede venir, así que tampoco va mal pedir ayuda de vez en cuando a gente que sepa más del tema.
Espero que esto pueda ayudarte un poco más a saber ande puede estar el problema.
Ah! He pasado el programa que me comentas, el cports, pero la verdad es que no lo entiendo muy bien, no obstante si cambiando el GW del proxy a la 1.6, la conexión a Citrix funciona bien, el puerto debería estar abierto, ¿así qué lo más probable es que el problema pueda andar por el router de la 1.5 no?
Otra consulta, el proxy, como te he comentado el puerto de escucha del proxy es el 3128, los ordenadores, como por ejemplo el de Citrix, el puerto por el que reciben ellos, ¿es el que sea no? el 80 o el 21, ¿No entra para nada el 3128 del proxy no?
Muchas gracias de nuevo por tu ayuda, y perdona por la chapa.
Saludos
Te comento un poco mejor lo que he hecho.
Como te comentaba, instalé un proxy squid (pero está en un W2k3, aunque esto tampoco es relevante), está haciendo las escuchas a través del puerto 3128.
Configuré el directorio activo para que les forzara las conexiones de Internet hacia la 192.168.1.x:3128 y les quité la pestaña de Conexiones del Internet Explorer para que no pudieran tocar nada. Los usuarios de la red pueden conectarse al dominio o bien desde las oficinas (claro está je je) o bien desde una VPN desde casa. Una vez dentro del dominio, reciben las políticas del AD y les configura la conexión a Internet explicada antes.
Si lo único que hacen es navegar (web, descarga de archivos (no emules y etc), etc,) no hay problema, el proxy les permite el paso y queda el registro en el log del mismo.
El problema viene cuando quieren conectar al Servidor de Citrix. Este servidor lo tengo configurado con un subdominio citrix.midominio.com:1234 (que tiene una IP Fija de Internet 89.245.78.x:5478 y responde correctamente, tanto desde dentro como desde fuera) para que puedan conectarse desde cualquier lugar a el sin necesidad de tener que levantar una VPN. Pues bien, cuando los usuarios tienen definidas las políticas del AD de pasar a través del proxy, les lanza ese mensaje de error, si se las quito pueden entrar sin problemas, además hoy he detectado otra cosa que a lo mejor te ayuda más a poder saber el error.
Dentro de la empresa tenemos 5 salidas a Internet, los usuarios que se conectan, cogen por defecto del DHCP la puerta de enlace 192.168.1.6, tanto el servidor proxy como el de Citrix utilizan la misma puerta de enlace (que para el caso es la 192.168.1.5), sin embargo si al servidor proxy se la cambio por otra de ellas (la 1.6 por ejemplo) pueden conectar a Citrix sin problemas al igual que navegar. Pero esta configuración nos casca unos chequeos que nos realiza una empresa externa, ya que como no sale por el gateway 1.5, no les responde el ping.
No se si será algo del router de la 1.5 que no deje que pueda haber trafico entre ellos o que, pero la verdad es que es un Cisco y yo de CiscoOS se más bien poco y prefiero no tocar.
De lo de la experiencia que me comentas, llevo más de 10 años trabajando de Administrador de redes, pero nunca había configurado un squid (y como es gratis es lo que quieren :) ) y el error este no se de donde puede venir, así que tampoco va mal pedir ayuda de vez en cuando a gente que sepa más del tema.
Espero que esto pueda ayudarte un poco más a saber ande puede estar el problema.
Ah! He pasado el programa que me comentas, el cports, pero la verdad es que no lo entiendo muy bien, no obstante si cambiando el GW del proxy a la 1.6, la conexión a Citrix funciona bien, el puerto debería estar abierto, ¿así qué lo más probable es que el problema pueda andar por el router de la 1.5 no?
Otra consulta, el proxy, como te he comentado el puerto de escucha del proxy es el 3128, los ordenadores, como por ejemplo el de Citrix, el puerto por el que reciben ellos, ¿es el que sea no? el 80 o el 21, ¿No entra para nada el 3128 del proxy no?
Muchas gracias de nuevo por tu ayuda, y perdona por la chapa.
Saludos
Con lo que me comentas esta claro que el servidor Citrix esta bien, el fallo esta en la configuración de la red, y en concreto en el dispositivo Cisco 192.168.1.5, estoy casi seguro de que el problema esta en un fallo en la configuración de los puertos, no del servidor Citrix ni del Squid ni de los clientes, al menos por lo que me comentas es lo que deduzco, observa a ver si poniendo a un cliente la puerta por defecto 1.5 puede navegar por Internet (ver páginas Web) lo que implica que la resolución DNS de y la salida a Internet del 1.5 estarían bien, si esto funciona me queda decir que el problema ya esta casi seguro en un problema en los puertos del 1.5, no se si puedes tener acceso a el o si es de la otra empresa que me comentas, a lo mejor el cisco tiene habilitado el cortafuegos, en cuyo caso tendrás que abrir el puerto 3128 en el cisco, a lo mejor, si te esta permitido y sabes como reconfigurarlo después o te lo pueden reconfigurar en la empresa de los chequeos te vendría bien resetear el router Cisco a su estado original a ver si así te funciona y deducimos en ello que el problema es de una configuración del enrutador, pero que no se te olvide después de resetear volverle a poner al Cisco la IP 192.168.1.6 para hacer la prueba o el Proxy no tendrá puerta de enlace y la prueba no servirá para nada, si no sabes como manejar el Cisco yo te puedo dar una idea, aunque no he entendido bien que es lo que tiene que hacer esa empresa que me comentas ni a que recursos tiene que acceder..
Haz lo que te he dicho y si no te funciona reseteando a 0 el enrutador respóndeme a las siguientes preguntas, de lo contrario, si te funciona, ya sabremos cual es el problema y la solución:
¿Hacia dónde dices que tienen los clientes forzada la salida con las AD a la 192.168.1.x? ¿Cuál es esa X? ¿Es decir cual es la puerta de enlace de los clientes?
¿El servidor Citrix donde esta localizado? ¿Dentro de la red empresarial? ¿Fuera? ¿Si esta fuera? ¿Cómo es que tiene la puerta de enlace 1.6? Si esta dentro, como le has puesto la IP fija, has creado una regla en el 1.6 y has utilizado el NO-IP, ¿o cómo?
Me vendría muy bien para saber que pasa, que me hicieses un diagrama en Visio o con el Paint de toda la red incluyendo todas las IP, máscaras, VPN, dispositivos, PC´s todo bien detallado y explicado, porque la red que me comentas es una red bastante compleja por lo que veo.
Toda la información que puedas añadir podría ayudar.
Otra cosa, ¿toda esa red la montaste tu solo?
Quizá yo no pueda ayudarte tanto como crees, mi experiencia es de Explotación de Sistemas Informáticos de FP de grado medio como habrás visto en mi ficha de experto y solo he aprobado el primer año, estoy haciendo el segundo (que por cierto no se si aprobare porque casi no voy a clase), tengo solo 18 años y no tengo ningún tipo de experiencia profesional en nada que ver con la informática, soy una especie de mini hacker casero pero nada más, con todo esto quiero decir que no creo que pueda ayudarte mucho, porque si tienes 10 años de experiencia en redes creo que me vas a dejar atrás por completo, así que quizá te vendría mejor preguntar a otro experto, de todas formas haz lo que te dije si crees que puede funcionar y pregúntame lo que quieras pero medítalo tu antes y no te fíes mucho de lo que digo porque seguro que tu sabes más que yo de Redes.
Haz lo que te he dicho y si no te funciona reseteando a 0 el enrutador respóndeme a las siguientes preguntas, de lo contrario, si te funciona, ya sabremos cual es el problema y la solución:
¿Hacia dónde dices que tienen los clientes forzada la salida con las AD a la 192.168.1.x? ¿Cuál es esa X? ¿Es decir cual es la puerta de enlace de los clientes?
¿El servidor Citrix donde esta localizado? ¿Dentro de la red empresarial? ¿Fuera? ¿Si esta fuera? ¿Cómo es que tiene la puerta de enlace 1.6? Si esta dentro, como le has puesto la IP fija, has creado una regla en el 1.6 y has utilizado el NO-IP, ¿o cómo?
Me vendría muy bien para saber que pasa, que me hicieses un diagrama en Visio o con el Paint de toda la red incluyendo todas las IP, máscaras, VPN, dispositivos, PC´s todo bien detallado y explicado, porque la red que me comentas es una red bastante compleja por lo que veo.
Toda la información que puedas añadir podría ayudar.
Otra cosa, ¿toda esa red la montaste tu solo?
Quizá yo no pueda ayudarte tanto como crees, mi experiencia es de Explotación de Sistemas Informáticos de FP de grado medio como habrás visto en mi ficha de experto y solo he aprobado el primer año, estoy haciendo el segundo (que por cierto no se si aprobare porque casi no voy a clase), tengo solo 18 años y no tengo ningún tipo de experiencia profesional en nada que ver con la informática, soy una especie de mini hacker casero pero nada más, con todo esto quiero decir que no creo que pueda ayudarte mucho, porque si tienes 10 años de experiencia en redes creo que me vas a dejar atrás por completo, así que quizá te vendría mejor preguntar a otro experto, de todas formas haz lo que te dije si crees que puede funcionar y pregúntame lo que quieras pero medítalo tu antes y no te fíes mucho de lo que digo porque seguro que tu sabes más que yo de Redes.
Abre también en el cortafuegos del Cisco el puerto 5478 si no vas a resetear el Cisco por el motivo que sea y pefieres tocar el cortafuegos.
Bueno, al final he realizado algunos cambios en la red para que pudiera funcionar y ya funciona, no obstante te doy un Excelente por el interés mostrado.
Muchas gracias.
Muchas gracias.
