Konfigurieren der VPN-Benutzererfahrung

Adresspools konfigurieren

In einigen Situationen benötigen Benutzer, die eine Verbindung mit dem Citrix Gateway-Plug-In herstellen, eine eindeutige IP-Adresse für Citrix Gateway. In einer Samba-Umgebung muss beispielsweise jeder Benutzer, der eine Verbindung zu einem zugeordneten Netzlaufwerk herstellt, von einer anderen IP-Adresse stammen. Wenn Sie Adresspools (auch IP-Pooling genannt) für eine Gruppe aktivieren, kann Citrix Gateway jedem Benutzer einen eindeutigen IP-Adressenalias zuweisen.

Sie konfigurieren Adresspools mit Intranet-IP-Adressen. Die folgenden Anwendungstypen müssen möglicherweise eine eindeutige IP-Adresse verwenden, die aus dem IP-Pool gezogen wird:

  • Voice over IP
  • Aktive FTP
  • Instant Messaging
  • Sichere Schale (SSH)
  • Virtual Network Computing (VNC) zum Herstellen einer Verbindung mit einem Computer-Desktop
  • Remote-Desktop (RDP) zum Herstellen einer Verbindung mit einem Client-Desktop

Sie können Citrix Gateway so konfigurieren, dass Benutzern, die eine Verbindung mit Citrix Gateway herstellen, eine interne IP-Adresse zugewiesen wird. Statische IP-Adressen können Benutzern zugewiesen werden oder ein Bereich von IP-Adressen kann einer Gruppe, einem virtuellen Server oder dem System global zugewiesen werden.

Mit Citrix Gateway können Sie Ihren Remote-Benutzern IP-Adressen aus Ihrem internen Netzwerk zuweisen. Ein Remote-Benutzer kann über eine IP-Adresse im internen Netzwerk adressiert werden. Wenn Sie einen Bereich von IP-Adressen verwenden, weist das System bei Bedarf dynamisch eine IP-Adresse aus diesem Bereich zu.

Beachten Sie beim Konfigurieren von Adresspools Folgendes:

  • Zugewiesene IP-Adressen müssen korrekt weitergeleitet werden. Beachten Sie Folgendes, um das korrekte Routing zu gewährleisten:
    • Wenn Sie Split-Tunneling nicht aktivieren, stellen Sie sicher, dass die IP-Adressen über NAT-Geräte (Network Address Translation) weitergeleitet werden können.
    • Für alle Server, auf die über Benutzerverbindungen mit Intranet-IP-Adressen zugegriffen wird, müssen die richtigen Gateways konfiguriert sein, um diese Netzwerke zu erreichen.
    • Konfigurieren Sie Gateways oder eine statische Route auf Citrix Gateway, damit der Netzwerkverkehr von der Benutzersoftware an das interne Netzwerk weitergeleitet wird.
  • Bei der Zuweisung von IP-Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines Bereichs kann einer untergeordneten Entität zugewiesen werden. Wenn beispielsweise ein IP-Adressbereich an einen virtuellen Server gebunden ist, binden Sie eine Teilmenge des Bereichs an eine Gruppe.
  • IP-Adressbereiche können nicht an mehrere Entitäten innerhalb einer Bindungsebene gebunden werden. Beispielsweise kann eine Teilmenge eines Adressbereichs, der an eine Gruppe gebunden ist, nicht an eine zweite Gruppe gebunden werden.
  • Citrix Gateway erlaubt es Ihnen nicht, IP-Adressen zu entfernen oder aufzuheben, während sie aktiv von einer Benutzersitzung verwendet werden.
  • Interne Netzwerk-IP-Adressen werden Benutzern mit der folgenden Hierarchie zugewiesen:
    • Direkte Bindung des Benutzers
    • Gruppe zugewiesener Adresspool
    • Zugewiesener Adresspool des virtuellen Servers
    • Globale Adressenvielfalt
  • Bei der Zuweisung von Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines zugewiesenen Bereichs kann jedoch einer untergeordneten Entität weiter zugewiesen werden. Ein gebundener globaler Adressbereich kann einen Bereich haben, der an Folgendes gebunden ist:
    • Virtueller Server
    • Gruppe
    • Benutzer
  • Für einen gebundenen virtuellen Server-Adressbereich kann eine Teilmenge an Folgendes gebunden sein:
    • Gruppe
    • Benutzer

Ein gebundener Gruppenadressbereich kann eine Teilmenge an einen Benutzer gebunden sein.

Wenn einem Benutzer eine IP-Adresse zugewiesen wird, wird die Adresse für die nächste Anmeldung des Benutzers reserviert, bis der Adresspoolbereich erschöpft ist. Wenn die Adressen erschöpft sind, ruft Citrix Gateway die IP-Adresse von dem Benutzer zurück, der am längsten von Citrix Gateway abgemeldet ist.

Wenn eine Adresse nicht zurückgefordert werden kann und alle Adressen aktiv verwendet werden, lässt Citrix Gateway dem Benutzer die Anmeldung nicht zu. Sie können diese Situation verhindern, indem Sie Citrix Gateway erlauben, die zugeordnete IP-Adresse als Intranet-IP-Adresse zu verwenden, wenn alle anderen IP-Adressen nicht verfügbar sind.

Intranet-IP-DNS-Registrierung

Wenn einer Client-Maschine eine Intranet-IP zugewiesen wird und nach der Einrichtung des VIP-Tunnels überprüft das VPN-Plugin, ob dieser Client-Computer Domänenbeitritt ist. Wenn es sich bei dem Client-Computer um eine domänengebundene Maschine handelt, initiiert das VPN-Plugin den DNS-Registrierungsprozess, um das Hostnamen-Intranet der Maschine mit der zugewiesenen Intranet-IP-Adresse zu verknüpfen. Diese Registrierung wird vor der De-Einrichtung des Tunnels rückgängig gemacht.

Stellen Sie für eine erfolgreiche DSN-Registrierung sicher, dass die folgenden nsapimgr-Regler gesetzt sind. Stellen Sie außerdem sicher, dass der autorisierende DNS-Server so eingestellt ist, dass “nicht sichere” DNS-Updates zugelassen werden.

  • nsapimgr -ys enable_vpn_dns_override = 1: Dieses Flag wird zusammen mit den anderen Konfigurationsparametern an den NetScaler Gateway VPN-Client gesendet. Wenn dieses Flag nicht gesetzt ist und wenn der VPN-Client eine DNS/WINS-Anforderung abfängt, sendet er eine entsprechende “GET /DNS” http-Anfrage an den virtuellen NetScaler Gateway-Server über den Tunnel, um die aufgelöste IP-Adresse zu erhalten. Wenn jedoch das Flag “enable_vpn_dnstruncate_fix” gesetzt ist, leitet der VPN-Client die DNS/WINS -Anfragen transparent an den virtuellen NetScaler Gateway-Server weiter. In diesem Fall wird das DNS-Paket wie es an den virtuellen NetScaler Gateway-Server über den VPN-Tunnel gesendet. Dies hilft in Fällen, in denen die DNS-Einträge, die von den im NetScaler Gateway konfigurierten Namenservern zurückkommen, enorm sind und nicht in das UPD-Antwortpaket passen. Wenn der Client in diesem Fall auf die Verwendung von TCP-DNS zurückgreift, erreicht dieses TCP-DNS-Paket den NetScaler Gateway-Server wie er ist, und daher stellt der NetScaler Gateway-Server eine TCP-DNS-Abfrage an einen DNS-Server.

  • nsapimgr -ys enable_vpn_dnstruncate_fix = 1: Dieses Flag wird vom NetScaler Gateway-Server selbst verwendet. Wenn dieses Flag gesetzt ist, überschreibt NetScaler Gateway das Ziel für die “TCP-Verbindungen am DNS-Port” zu den DNS-Servern, die auf NetScaler Gateway konfiguriert sind (anstatt sie an die DNS-Server-IP zu senden, die ursprünglich im eingehenden TCP-DNS-Paket vorhanden ist). Bei UDP-DNS-Anforderungen werden standardmäßig die konfigurierten DNS-Server für die DNS-Auflösung verwendet.

Weitere Hinweise zum Einstellen dieser Regler finden Sie unterhttps://support.citrix.com/article/CTX200243.

Adresspools konfigurieren