Configuración de grupos de direcciones

En algunas situaciones, los usuarios que se conectan con el plug-in de Citrix Gateway necesitan una dirección IP única para Citrix Gateway. Por ejemplo, en un entorno de Samba, cada usuario que se conecta a una unidad de red asignada debe aparecer para originarse de una dirección IP diferente. Cuando habilita grupos de direcciones (también conocidos como agrupación de IP) para un grupo, Citrix Gateway puede asignar un alias de dirección IP único a cada usuario.

Configurar grupos de direcciones mediante direcciones IP de intranet. Es posible que los siguientes tipos de aplicaciones necesiten usar una dirección IP única que se extrae del grupo IP:

  • Voz sobre IP
  • FTP activo
  • Mensajería instantánea
  • Shell seguro (SSH)
  • Computación de red virtual (VNC) para conectarse a un escritorio de equipo
  • Escritorio remoto (RDP) para conectarse a un escritorio cliente

Puede configurar Citrix Gateway para asignar una dirección IP interna a los usuarios que se conectan a Citrix Gateway. Las direcciones IP estáticas se pueden asignar a los usuarios o un rango de direcciones IP se puede asignar a un grupo, servidor virtual o al sistema globalmente.

Citrix Gateway le permite asignar direcciones IP de su red interna a los usuarios remotos. Un usuario remoto puede ser dirigido por una dirección IP en la red interna. Si decide utilizar un intervalo de direcciones IP, el sistema asigna dinámicamente una dirección IP de ese intervalo a un usuario remoto a petición.

Cuando configure grupos de direcciones, tenga en cuenta lo siguiente:

  • Las direcciones IP asignadas deben enrutarse correctamente. Para garantizar el enrutamiento correcto, tenga en cuenta lo siguiente:
    • Si no habilita la tunelización dividida, asegúrese de que las direcciones IP se pueden enrutar a través de dispositivos de traducción de direcciones de red (NAT).
    • Cualquier servidor al que tengan acceso las conexiones de usuario con direcciones IP de intranet debe tener las puertas de enlace adecuadas configuradas para llegar a esas redes.
    • Configure puertas de enlace o una ruta estática en Citrix Gateway para que el tráfico de red del software de usuario se enrute a la red interna.
  • Solo se pueden utilizar máscaras de subred contiguas al asignar rangos de direcciones IP. Se puede asignar un subconjunto de un rango a una entidad de nivel inferior. Por ejemplo, si un intervalo de direcciones IP está enlazado a un servidor virtual, vincule un subconjunto del intervalo a un grupo.
  • Los intervalos de direcciones IP no se pueden enlazar a varias entidades dentro de un nivel de enlace. Por ejemplo, un subconjunto de un rango de direcciones enlazado a un grupo no puede enlazarse a un segundo grupo.
  • Citrix Gateway no permite quitar o desvincular direcciones IP mientras las usa activamente una sesión de usuario.
  • Las direcciones IP de red interna se asignan a los usuarios mediante la siguiente jerarquía:
    • Enlace directo del usuario
    • Grupo de direcciones asignado a grupos
    • Grupo de direcciones asignado al servidor virtual
    • Rango global de direcciones
  • Solo se pueden utilizar máscaras de subred contiguas para asignar rangos de direcciones. Sin embargo, un subconjunto de un rango asignado podría asignarse a una entidad de nivel inferior. Un rango de direcciones global enlazado puede tener un rango enlazado a lo siguiente:
    • Servidor virtual
    • Grupo
    • Usuario
  • Un intervalo de direcciones de servidor virtual enlazado puede tener un subconjunto vinculado a lo siguiente:
    • Grupo
    • Usuario

Un rango de direcciones de grupo enlazado puede tener un subconjunto enlazado a un usuario.

Cuando se asigna una dirección IP a un usuario, la dirección se reserva para el siguiente inicio de sesión del usuario hasta que se agote el intervalo del grupo de direcciones. Cuando se agotan las direcciones, Citrix Gateway recupera la dirección IP del usuario que ha cerrado la sesión de Citrix Gateway más tiempo.

Si no se puede recuperar una dirección y todas las direcciones están en uso activamente, Citrix Gateway no permite al usuario iniciar sesión. Puede evitar esta situación permitiendo que Citrix Gateway utilice la dirección IP asignada como dirección IP de intranet cuando todas las demás direcciones IP no estén disponibles.

Registro DNS IP de Intranet

Si se asigna una IP de intranet a un equipo cliente y después del establecimiento del túnel VIP, el complemento VPN comprueba si esa máquina cliente está unida al dominio. Si el equipo cliente es un equipo unido a un dominio, el complemento VPN inicia el proceso de registro DNS para vincular la intranet del nombre de host del equipo con la dirección IP de intranet asignada. Este registro se revierte antes de la retirada del túnel.

Para un registro DSN exitoso, asegúrese de que se han establecido los siguientes perillas nsapimgr. Asegúrese también de que el servidor DNS autorizado esté configurado para permitir actualizaciones DNS “no seguras”.

  • nsapimgr -ys enable_vpn_dns_override=1: Este indicador se envía al cliente VPN NetScaler Gateway junto con los otros parámetros de configuración. Si este indicador está desconfigurado y cuando el cliente VPN intercepta una solicitud DNS/WINS, envía una solicitud http-request “GET /DNS” correspondiente al servidor virtual NetScaler Gateway a través del túnel para obtener la dirección IP resuelta. Sin embargo, si se establece el indicador ‘enable_vpn_dnstruncate_fix’, el cliente VPN reenvía las solicitudes DNS/WINS de forma transparente al servidor virtual NetScaler Gateway. En este caso, el paquete DNS se envía tal cual al servidor virtual NetScaler Gateway a través del túnel VPN. Esto ayuda en los casos en que los registros DNS que regresan de los servidores de nombres configurados en NetScaler Gateway son enormes y no caben en el paquete de respuesta UPD. En este caso, cuando el cliente vuelve a utilizar TCP-DNS, este paquete TCP-DNS llega al servidor NetScaler Gateway tal cual y, por lo tanto, el servidor NetScaler Gateway realiza una consulta TCP-DNS a un servidor DNS.

  • nsapimgr -ys enable_vpn_dnstruncate_fix=1: Este indicador es utilizado por el propio servidor NetScaler Gateway. Si se establece este indicador, NetScaler Gateway reemplaza el destino de las “conexiones TCP en el puerto DNS” a los servidores DNS configurados en NetScaler Gateway (en lugar de intentar enviarlos a la IP del servidor DNS presente originalmente en el paquete TCP-DNS entrante). Para las solicitudes DNS UDP, el valor predeterminado es utilizar los servidores DNS configurados para la resolución DNS.

Para obtener más información sobre la configuración de estos perillas, consultehttps://support.citrix.com/article/CTX200243.

Configuración de grupos de direcciones