Gateway

Konfiguration von Adresspools

In einigen Situationen benötigen Benutzer, die sich mit dem Citrix Gateway Plug-in verbinden, eine eindeutige IP-Adresse für Citrix Gateway. In einer Samba-Umgebung muss beispielsweise jeder Benutzer, der eine Verbindung zu einem zugeordneten Netzlaufwerk herstellt, scheinbar von einer anderen IP-Adresse stammen. Wenn Sie Adresspools (auch als IP-Pooling bezeichnet) für eine Gruppe aktivieren, kann Citrix Gateway jedem Benutzer einen eindeutigen IP-Adressalias zuweisen.

Sie konfigurieren Adresspools mit Intranet-IP-Adressen. Die folgenden Arten von Anwendungen müssen möglicherweise eine eindeutige IP-Adresse verwenden, die aus dem IP-Pool stammt:

  • Voice-Over-IP
  • Aktiv FTP
  • Instant Messaging
  • Sichere Shell (SSH)
  • Virtual Network Computing (VNC) zur Verbindung mit einem Computerdesktop
  • Remotedesktop (RDP), um eine Verbindung zu einem Clientdesktop herzustellen

Sie können Citrix Gateway so konfigurieren, dass Benutzern, die eine Verbindung zu Citrix Gateway herstellen, eine interne IP-Adresse zuweisen. Statische IP-Adressen können Benutzern zugewiesen werden oder ein Bereich von IP-Adressen kann einer Gruppe, einem virtuellen Server oder dem System global zugewiesen werden.

Mit Citrix Gateway können Sie Ihren Remote-Benutzern IP-Adressen aus Ihrem internen Netzwerk zuweisen. Ein Remote-Benutzer kann über eine IP-Adresse im internen Netzwerk angesprochen werden. Wenn Sie sich für die Verwendung eines IP-Adressbereichs entscheiden, weist das System einem Remote-Benutzer bei Bedarf dynamisch eine IP-Adresse aus diesem Bereich zu.

Beachten Sie beim Konfigurieren von Adresspools Folgendes:

  • Zugewiesene IP-Adressen müssen korrekt geroutet werden. Beachten Sie Folgendes, um das korrekte Routing sicherzustellen:
    • Wenn Sie kein Split-Tunneling aktivieren, stellen Sie sicher, dass die IP-Adressen über Geräte zur Netzwerkadressübersetzung (NAT) weitergeleitet werden können.
    • Auf allen Servern, auf die über Benutzerverbindungen mit Intranet-IP-Adressen zugegriffen wird, müssen die richtigen Gateways konfiguriert sein, um diese Netzwerke zu erreichen.
    • Konfigurieren Sie Gateways oder eine statische Route auf Citrix Gateway, damit der Netzwerkverkehr von der Benutzersoftware an das interne Netzwerk weitergeleitet wird.
  • Bei der Zuweisung von IP-Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines Bereichs kann einer untergeordneten Entität zugewiesen werden. Wenn beispielsweise ein IP-Adressbereich an einen virtuellen Server gebunden ist, binden Sie eine Teilmenge des Bereichs an eine Gruppe.
  • IP-Adressbereiche können nicht an mehrere Entitäten innerhalb einer Bindungsebene gebunden werden. Beispielsweise kann eine Teilmenge eines Adressbereichs, die an eine Gruppe gebunden ist, nicht an eine zweite Gruppe gebunden werden.
  • Citrix Gateway erlaubt es Ihnen nicht, IP-Adressen zu entfernen oder zu lösen, während sie aktiv von einer Benutzersitzung verwendet werden.
  • Interne Netzwerk-IP-Adressen werden Benutzern mithilfe der folgenden Hierarchie zugewiesen:
    • Direkte Bindung des Nutzers
    • Gruppe zugewiesener Adresspool
    • Dem virtuellen Server zugewiesener Adresspool
    • Globaler Adressbereich
  • Bei der Zuweisung von Adressbereichen können nur zusammenhängende Subnetzmasken verwendet werden. Eine Teilmenge eines zugewiesenen Bereichs kann jedoch weiter einer untergeordneten Entität zugewiesen werden. Ein gebundener globaler Adressbereich kann einen Bereich haben, der an Folgendes gebunden ist:
    • Virtueller Server
    • Gruppe
    • User
  • Ein gebundener Adressbereich eines virtuellen Servers kann eine Teilmenge haben, die an Folgendes gebunden ist:
    • Gruppe
    • User

Ein gebundener Gruppenadressbereich kann eine Teilmenge haben, die an einen Benutzer gebunden ist.

Wenn einem Benutzer eine IP-Adresse zugewiesen wird, ist die Adresse für die nächste Anmeldung des Benutzers reserviert, bis der Adresspoollbereich erschöpft ist. Wenn die Adressen erschöpft sind, fordert Citrix Gateway die IP-Adresse des Benutzers zurück, der am längsten von Citrix Gateway abgemeldet ist.

Wenn eine Adresse nicht zurückgewonnen werden kann und alle Adressen aktiv verwendet werden, erlaubt Citrix Gateway dem Benutzer nicht, sich anzumelden. Sie können diese Situation verhindern, indem Sie Citrix Gateway erlauben, die zugeordnete IP-Adresse als Intranet-IP-Adresse zu verwenden, wenn alle anderen IP-Adressen nicht verfügbar sind.

Intranet-IP-DNS-Registrierung

Wenn einem Client-Computer eine Intranet-IP zugewiesen wird und der VIP-Tunnel eingerichtet wurde, prüft das VPN-Plug-In, ob dieser Client-Computer einer Domäne beigetreten ist. Wenn es sich bei dem Client-Computer um einen in eine Domäne eingebundenen Computer handelt, initiiert das VPN-Plug-In den DNS-Registrierungsprozess, um den Hostnamen des Computers im Intranet mit der zugewiesenen Intranet-IP-Adresse zu verknüpfen. Diese Registrierung wird vor der Wiederherstellung des Tunnels rückgängig gemacht.

Stellen Sie für eine erfolgreiche DNS-Registrierung sicher, dass die folgenden nsapimgr-Regler gesetzt sind. Stellen Sie außerdem sicher, dass der autorisierende DNS-Server “nicht sichere” DNS-Updates zulässt.

  • nsapimgr -ys enable_vpn_dns_override=1: Dieses Flag wird zusammen mit den anderen Konfigurationsparametern an den NetScaler Gateway-VPN-Client gesendet. Wenn dieses Flag nicht gesetzt ist und der VPN-Client eine DNS/WINS-Anfrage abfängt, sendet er über den Tunnel eine entsprechende HTTP-Anfrage „GET /DNS“ an den virtuellen NetScaler Gateway-Server, um die aufgelöste IP-Adresse abzurufen. Wenn jedoch das Flag ‘enable_vpn_dnstruncate_fix’ gesetzt ist, leitet der VPN-Client die DNS/WINS-Anfragen transparent an den virtuellen NetScaler Gateway-Server weiter. In diesem Fall wird das DNS-Paket unvereinbar über den VPN-Tunnel an den virtuellen NetScaler Gateway-Server gesendet. Dies hilft in Fällen, in denen die DNS-Datensätze, die von den im NetScaler Gateway konfigurierten Nameservern zurückkommen, riesig sind und nicht in das UPD-Antwortpaket passen. Wenn in diesem Fall der Client auf die Verwendung von TCP-DNS zurückgreift, erreicht dieses TCP-DNS-Paket den NetScaler Gateway-Server wie es ist, und daher stellt der NetScaler Gateway-Server eine TCP-DNS-Abfrage an einen DNS-Server.

  • nsapimgr -ys enable_vpn_dnstruncate_fix=1: Dieses Flag wird vom NetScaler Gateway-Server selbst verwendet. Wenn dieses Flag gesetzt ist, überschreibt NetScaler Gateway das Ziel für die „TCP-Verbindungen am DNS-Port“ zu den auf NetScaler Gateway konfigurierten DNS-Servern (anstatt zu versuchen, sie an die DNS-Server-IP zu senden, die ursprünglich im eingehenden TCP-DNS-Paket enthalten war). Für UDP-DNS-Anfragen wird standardmäßig die konfigurierte DNS-Server für die DNS-Auflösung verwendet.

Weitere Informationen zum Einstellen dieser Regler finden Sie unter https://support.citrix.com/article/CTX200243.

Konfiguration von Adresspools