Configuration de pools d’adresses

Dans certains cas, les utilisateurs qui se connectent au plug-in Citrix Gateway ont besoin d’une adresse IP unique pour Citrix Gateway. Par exemple, dans un environnement Samba, chaque utilisateur qui se connecte à un lecteur réseau mappé doit apparaître provenir d’une adresse IP différente. Lorsque vous activez les pools d’adresses (également appelé pool d’adresses IP) pour un groupe, Citrix Gateway peut attribuer un alias d’adresse IP unique à chaque utilisateur.

Vous configurez des pools d’adresses à l’aide d’adresses IP intranet. Les types d’applications suivants peuvent avoir besoin d’utiliser une adresse IP unique qui est tirée du pool d’adresses IP :

  • Voix sur IP
  • FTP actif
  • Messagerie instantanée
  • Coque sécurisée (SSH)
  • Virtual Network Computing (VNC) pour se connecter à un ordinateur de bureau
  • Bureau à distance (RDP) pour se connecter à un poste de travail client

Vous pouvez configurer Citrix Gateway pour attribuer une adresse IP interne aux utilisateurs qui se connectent à Citrix Gateway. Les adresses IP statiques peuvent être attribuées à des utilisateurs ou une plage d’adresses IP peut être attribuée à un groupe, à un serveur virtuel ou au système globalement.

Citrix Gateway vous permet d’attribuer des adresses IP de votre réseau interne à vos utilisateurs distants. Un utilisateur distant peut être adressé par une adresse IP sur le réseau interne. Si vous choisissez d’utiliser une plage d’adresses IP, le système affecte dynamiquement une adresse IP de cette plage à un utilisateur distant à la demande.

Lorsque vous configurez des pools d’adresses, tenez compte des éléments suivants :

  • Les adresses IP assignées doivent être routées correctement. Pour garantir le routage correct, tenez compte des éléments suivants :
    • Si vous n’activez pas le split tunneling, assurez-vous que les adresses IP peuvent être routées via des périphériques NAT (Network Address Translation).
    • Tous les serveurs auxquels des connexions utilisateur ont accès avec des adresses IP intranet doivent avoir les passerelles appropriées configurées pour atteindre ces réseaux.
    • Configurez des passerelles ou un itinéraire statique sur Citrix Gateway afin que le trafic réseau provenant du logiciel utilisateur soit acheminé vers le réseau interne.
  • Seuls les masques de sous-réseau contigus peuvent être utilisés lors de l’attribution de plages d’adresses IP. Un sous-ensemble d’une plage peut être affecté à une entité de niveau inférieur. Par exemple, si une plage d’adresses IP est liée à un serveur virtuel, liez un sous-ensemble de la plage à un groupe.
  • Les plages d’adresses IP ne peuvent pas être liées à plusieurs entités au sein d’un niveau de liaison. Par exemple, un sous-ensemble d’une plage d’adresses lié à un groupe ne peut pas être lié à un deuxième groupe.
  • Citrix Gateway ne vous permet pas de supprimer ou de délier les adresses IP lorsqu’elles sont activement utilisées par une session utilisateur.
  • Les adresses IP réseau internes sont attribuées aux utilisateurs à l’aide de la hiérarchie suivante :
    • Liaison directe de l’utilisateur
    • Groupe d’adresses attribué
    • Pool d’adresses attribué au serveur virtuel
    • Gamme mondiale d’adresses
  • Seuls les masques de sous-réseau contigus peuvent être utilisés pour attribuer des plages d’adresses. Toutefois, un sous-ensemble d’une plage assignée peut être affecté à une entité de niveau inférieur. Une plage d’adresses globale liée peut avoir une plage liée aux éléments suivants :
    • Serveur virtuel
    • Groupe
    • Utilisateur
  • Une plage d’adresses de serveur virtuel liée peut avoir un sous-ensemble lié aux éléments suivants :
    • Groupe
    • Utilisateur

Une plage d’adresses de groupe liée peut avoir un sous-ensemble lié à un utilisateur.

Lorsqu’une adresse IP est attribuée à un utilisateur, l’adresse est réservée à la prochaine ouverture de session de l’utilisateur jusqu’à ce que la plage de pool d’adresses soit épuisée. Lorsque les adresses sont épuisées, Citrix Gateway réclame l’adresse IP de l’utilisateur qui est déconnecté de Citrix Gateway le plus longtemps.

Si une adresse ne peut pas être récupérées et que toutes les adresses sont activement utilisées, Citrix Gateway n’autorise pas l’utilisateur à ouvrir une session. Vous pouvez éviter cette situation en autorisant Citrix Gateway à utiliser l’adresse IP mappée comme adresse IP intranet lorsque toutes les autres adresses IP ne sont pas disponibles.

Inscription DNS IP Intranet

Si une adresse IP intranet est allouée à une machine cliente et après l’établissement du tunnel VIP, le plugin VPN vérifie si cette machine cliente est jointe au domaine. Si la machine cliente est une machine jointe au domaine, le plugin VPN initie le processus d’enregistrement DNS pour lier l’intranet du nom d’hôte de la machine à l’adresse IP de l’intranet allouée. Cet enregistrement est annulé avant la désinstallation du tunnel.

Pour réussir l’enregistrement DSN, assurez-vous que les boutons nsapimgr suivants sont définis. Assurez-vous également que le serveur DNS faisant autorité est configuré pour autoriser les mises à jour DNS « non sécurisées ».

  • nsapimgr -ys enable_vpn_dns_override = 1 : Cet indicateur est envoyé au client VPN NetScaler Gateway avec les autres paramètres de configuration.** Si cet indicateur n’est pas défini et lorsque le client VPN intercepte une requête DNS/WINS, il envoie une requête http-request correspondante « GET /DNS » au serveur virtuel NetScaler Gateway sur le tunnel pour obtenir l’adresse IP résolue. Toutefois, si l’indicateur’enable_vpn_dnstruncate_fix’est défini, le client VPN transmet les demandes DNS/WINS de manière transparente au serveur virtuel NetScaler Gateway. Dans ce cas, le paquet DNS est envoyé tel qu’il est au serveur virtuel NetScaler Gateway via le tunnel VPN. Cela aide dans les cas où les enregistrements DNS provenant des serveurs de noms configurés dans NetScaler Gateway sont énormes et ne rentrent pas dans le paquet de réponse UDP. Dans ce cas, lorsque le client revient à utiliser TCP-DNS, ce paquet TCP-DNS atteint le serveur NetScaler Gateway tel quel, et donc le serveur NetScaler Gateway effectue une requête TCP-DNS à un serveur DNS.

  • nsapimgr -ys enable_vpn_dnstruncate_fix = 1 : Cet indicateur est utilisé par le serveur NetScaler Gateway lui-même.** Si cet indicateur est défini, NetScaler Gateway remplace la destination des « connexions TCP sur le port DNS » vers les serveurs DNS configurés sur NetScaler Gateway (au lieu d’essayer de les envoyer au serveur DNS IP initialement présent dans le paquet TCP-DNS entrant). Pour les requêtes DNS UDP, la valeur par défaut est d’utiliser les serveurs DNS configurés pour la résolution DNS.

Pour plus d’informations sur la définition de ces boutons, reportez-vous à la sectionhttps://support.citrix.com/article/CTX200243.