CITRIX Nutzung friert mit Nutzung UI-Infrastruktur ein

Guten Morgen liebe Community,

ich nutze über meinen Arbeitgeber bzw. ein Projekt einen Citrix Zugang und arbeite dort in mehreren Environments.

Seitdem ich meine Infrastruktur zu Hause auf UI umgestellt habe, friert nach kurzer Zeit meine CITRIX Verbindung ein.

Folgendes Setup nutze ich (grob), um das Problem weiter einzugrenzen.

- aus dem Boden - VodafoneStation als Bridge zur UDM SE

- von der UDM SE geht´s zu diversen USW und vom USW bin ich wired mit dem besagten Laptop verbunden. Internetverbindung somit vorhanden.

Ich habe aufgrund mangelnder Zeit noch keine großen Firewall Regeln etabliert, jedoch aus dem CITRIX FAQ erstmal alle Ports weitergeleitet zur statischen Laptop-IP. Der Laptop läuft in einem separaten Subnet, die Kommunikation ist nur nach außen erlaubt. "LAN in" untereinander zu anderen Subs somit ausgeregelt.

Woher ich weiß das es definitiv irgendwie/irgendwo an meiner Konfig liegen muss? Wenn ich mit dem Laptop über einen mobilen Hotspot arbeite funktioniert CITRIX tadellos und wenn ich in wired in anderen Sites sitze funktioniert die Verbindung auch ohne Freeze nach 3 Minuten.

IT-Affinität/-Beruf ist vorhanden, jedoch ist der Aufbau meiner Infrastruktur zu Hause eher als Hobby. Ich bin kein NetzwerkAdmin.

Vielleicht hat irgendjemand eine Idee. Ich hatte heute Morgen kurz einen Switch vor die UDM gesetzt und so das WAN direkt auf den Laptop zu ziehen..... das das nicht funktioniert, ist mir dann nach drei Minuten Nachdenken auch aufgefallen

Ich danke euch schon mal für eventuelle Ideen/Anregungen. Wenn weitere Infos benötigt werden, helfe ich natürlich gerne.

Viele Grüße

Marcel

Quote from maxim.webster

Ursachen könnten das Threat Detection der UDM SE sein oder Du versuchst mal Deinem Laptop via DHCP immer die gleiche IP zuzuweisen.

Danke für die Tipps,

Threat Detection - hier sehe ich nix im Log und ausgeschaltet hatte ich es schon, ohne Erfolg.

DHCP - ist soeben wieder eingefroren

Am liebsten wäre mir ein "ungeschützter Zugang zum Internet, an allen Regeln vorbei" - geht das irgendwie umzusetzen? Über Profile demnach aus allen Regeln ausgrenzen? Ich benötige bzw. will für mein Arbeitsgerät keinen gesonderten Schutz...

Quote from gierig

Erstmal:

Greifst du direkt auf „Citrix“ zu oder via VPN ?

In welcher Geschmacksrichtung also ein Citrix Product denn überhaupt ?

Mitunter reicht ja schon Port 443 und Fertig.

Oder halt direkt rcp auf 3389 der auf der Citrix Appliance dann weiter die Applikation Cluster.

Via VPN,

Geschmacksrichtung ist via CITRIX Workspace die Workspace App, oder was meinst du?

Mit den Ports versuche ich später mal, danke.

Quote from gierig

In welcher FAQ steht den sowas ?

im Jahre 2023 wo die halbe Welt eh über CGNAT mit dem Intenet verbunden ist oder

sich VIELE eine Verbindung teilen (Satelliten Büros, Arbeiten von Starbucks, Homeoffice, Studies )

macht es wenig sinn Portweiterleitung vorauszusetzen.

Das klingt für mich immer ein wenig nach Boomer und alte muffige Socken

Grundsätzlich keine FAQ, eher SupportForum bzw. Dokumentation --> https://docs.citrix.com

Quote from gierig

Kannst du da eine Zeit festmachen ?

So nach dem Motto: Immer wenn ich mit Kaffe mache nach 4.3 min,

oder immer wenn ich 5 Minuten nichts mache im Citrix ?

Nach 2-3 Minuten friert das Bild ein, also unabhängig ob ich Kaffee hole, oder direkt bei der Eingabe/Arbeit.

Quote from gierig

ein VPN...

Jegliche Portweiterleitung ist also unsinnig (und potenziell risikohaft) weil der Verkehr ja über das VPN geht.

Selbst wenn nicht Workspace benötigt soweit ich weiß nur Port 443 funktioniert bestens hinter einem NAT Router.

Stimmt,

habe eine feste DHCP IP zugewiesen und hierauf 443 weitergeleitet.

Quote from gierig

Ich frage nochmal, WO GWNAU steht das Portweiterleitungen auf einen Citrix Workspace Client zu Lösung beitragen ?

Ich habe nicht gesagt das die Portweiterleitungen zu einer Lösung beitragen. Ich habe lediglich gesagt, dass ich aus der Dokumentation von CITRIX demnach alle Ports in die Weiterleitung gepackt habe. Diese sind jetzt entfernt, siehe VPN oben.

Quote from gierig

Ok,

Über Mobil funktioniert es, über den Unifi Zoo nicht. Hat es vorher am Festnetz funktioniert also du noch kein Unifi hattest ?

Oder hast du den Provider Geändert (oder nur die Zugriffs technologie)

Ja, es hat vor Unifi funktioniert, dort war es eine FB 6660 Cable. Provider ist leider immer noch VF.

Quote from gierig

TCP über Port 443 ist nun nicht besonders, da gibt auch keine nach "drei Minuten“ mach ich den ahn zu.

die üblichen VPN machen eigentlich auch keine Probleme (auch wenns andere Ports sind).

Wie gesagt, Weiterleitung ist eingerichtet.

Quote from gierig

Was doof sein könnte (ich wiederhole sind MTU Einstellungen die im VPN nu knapp bemessen sein könnten (deine IT kann es richten)

alternativ natürlich auch dein Verbindung. Die VodafoneStation ist noch der der Router oder fugiert das ding

nur Modem (also PPOE in UDM eingetragen) ?

Das könnte die IT richten, wird aber für mich als Unterauftragnehmer keinerlei Anpassungen machen, auch, weil ich aus deren Sichtweise Ausländer (CITRIX --> Niederlande) bin. Keine Extrawürste!

Zur VodafoneStation:

Quote from gierig

Geh mal auf die Unifi Device auf dein UDM, rechts im Seiten Fenster dann Settings.

und stell das MSS Camping von Auto auf Custom

und stell der Wert auf 1400 (von 1452) das sind 52 Bytes mehr

platz und eigentlich Verschwendung aber zum testen Optimal.

Funktioniert es dann Besser oder Schlechter ?

Display More

Habe ich getan und danach habe ich 7 Minuten "arbeiten" können, bis der Bildschirm eingefroren ist.

Guten Abend,

die IT-Abteilung (1stLvl) sagt ganz klar es liegt an mir und meiner Konfiguration. Da ich keine Standard-Hardware, vom ISP zugewiesene Hardware nutze, sieht man das Problem bei mir. Ich kann es aber wirklich nicht nachvollziehen - in dieser Hinsicht haben wir doch auch alles probiert?!

Das komische ist, ich habe meine CITRIX Einwahl spaßeshalber in der Stadt (wohne auf dem Land, kaum LTE) via iPhone Hotspot ausprobiert - rennt, ohne freezes!!

Da meine VF Station im BridgeMode läuft ist leider nur der LAN1 Port aktiviert, worüber die "nackte" IPv4 läuft. Besteht denn innerhalb der UDM SE die Möglichkeit, einen Port außerhalb als bypass an allen Regeln vorbei laufen zu lassen, so dass ich mit Port 12 bspw. ungeschützt ins Internet komme? Mein Arbeits-PC ist nämlich via Kabel am Port 12 angeschlossen.

Vielleicht hat noch irgendwer eine Idee....

Quote from gierig

auch wenn mir nichts einfällt...

Es gibt kein Port 12 an der UDM...

Richtig, war auch USW mit gemeint....

Quote from gierig

Laut Vodafone Anleitungen kann EIN Gerät per DHCP angeschlossen werden, wenn die Kiste als

Bridge Mode Konfiguriert ist. Dein PC alleinig über ein Kabel an Port 1 deiner Vodafone Station angeschlossen

MUSS also Funktionieren und die Internat geben.

Das teste ich beizeiten...und melde mich wieder

Um das Thema abzuschließen, eine kurze Info.
Es funktioniert jetzt, da ich mich aufgrund der miserablen Arbeitsqualität durch die Freezes durch jede Option der UDM durchgeklickt habe.

Sobald ich (gegeneinander ebenso getestet) Jumbo Frames und Flow Control aktiviert habe, ist die Verbindung stabil.

Ich bedanke mich bei allen Beteiligten dennoch für die Hilfe und die konstruktiven Beiträge.