NetScaler/ADC VPN Verbindung zu Nicht-HTTP Zielen scheitert

Wenn ein Benutzer über den ADC eine VPN Verbindung aufgebaut hat und versucht Ziele im internen Netzwerk zu erreichen, so kann es passieren dass HTTP Ziele erreicht werden können, aber Nicht-HTTP Ziele nicht. Hintergrund dazu ist häufig eine HTTP Traffic-Policy mit der Expression "true" bzw. "ns_true". 

 

Mit aktuelleren Versionen von ADC wurde das SSO Verhalten abgeändert, so dass nicht mehr grundsätzlich an das Backend-System die Zugangsdaten weitergeleitet werden. Entsprechend ist eine Traffic-Policy erforderlich die dies gezielt ermöglicht. In vielen Artikeln wurde allerdings "empfohlen" eine Policy nach dem Schema anzulegen:

add vpn trafficAction UG_Traf_Prof_SSO http -SSO ON

add vpn trafficPolicy UG_Traf_Pol_SSO true UG_Traf_Prof_SSO

 

Im Falle eines VPN Tunnels bedeutet dies allerdings, dass unter Umständen die Traffic Policy nur noch HTTP Verkehr zulässt und der Nicht-HTTP Verkehr terminiert wird. Um dies zum lösen sollte die Traffic-Policy zielgerichteter sein. Zum Beispiel könnte statt dem "true" die Policy nur noch gelten für einen speziellen Ziel-Port oder für eine Ziel-IP. 

CLIENT.IP.DST.EQ(1.2.3.4)
CLIENT.TCP.DSTPORT.EQ(80)

 

Somit lautet das Beispiel von oben:

add vpn trafficAction UG_Traf_Prof_SSO http -SSO ON

add vpn trafficPolicy UG_Traf_Pol_SSO "CLIENT.IP.DST.EQ(1.2.3.4) && CLIENT.TCP.DSTPORT.EQ(80)" UG_Traf_Prof_SSO