Configurar grupos de direcciones
En algunas situaciones, los usuarios que se conectan con el plug-in de NetScaler Gateway necesitan una dirección IP única para NetScaler Gateway. Por ejemplo, en un entorno Samba, cada usuario que se conecta a una unidad de red asignada debe parecer originario de una dirección IP diferente. Al habilitar los grupos de direcciones (también conocidos como agrupación de IP) para un grupo, NetScaler Gateway puede asignar un alias de dirección IP único a cada usuario.
Los grupos de direcciones se configuran mediante direcciones IP de intranet. Es posible que los siguientes tipos de aplicaciones necesiten utilizar una dirección IP única que se extrae del grupo de direcciones IP:
- Voz sobre IP
- FTP activo
- Mensajería instantánea
- Shell seguro (SSH)
- Informática de red virtual (VNC) para conectarse al escritorio de un equipo
- Escritorio remoto (RDP) para conectarse a un escritorio cliente
Puede configurar NetScaler Gateway para asignar una dirección IP interna a los usuarios que se conectan a NetScaler Gateway. Las direcciones IP estáticas se pueden asignar a los usuarios o se puede asignar un rango de direcciones IP a un grupo, servidor virtual o al sistema de forma global.
NetScaler Gateway permite asignar direcciones IP de la red interna a los usuarios remotos. Se puede direccionar a un usuario remoto mediante una dirección IP en la red interna. Si elige utilizar un rango de direcciones IP, el sistema asigna dinámicamente una dirección IP de ese rango a un usuario remoto a petición.
Al configurar grupos de direcciones, tenga en cuenta lo siguiente:
- Las direcciones IP asignadas deben redirigirse correctamente. Para garantizar la redirección correcta, tenga en cuenta lo siguiente:
- Si no habilita la tunelización dividida, asegúrese de que las direcciones IP se puedan redirigir a través de dispositivos de traducción de direcciones de red (NAT).
- Todos los servidores a los que se accede mediante conexiones de usuario con direcciones IP de intranet deben tener las puertas de enlace adecuadas configuradas para llegar a esas redes.
- Configure puertas de enlace o una ruta estática en NetScaler Gateway para que el tráfico de red del software de usuario se enrute a la red interna.
- Solo se pueden utilizar máscaras de subred contiguas al asignar rangos de direcciones IP. Se puede asignar un subconjunto de un rango a una entidad de nivel inferior. Por ejemplo, si un intervalo de direcciones IP está enlazado a un servidor virtual, vincule un subconjunto del rango a un grupo.
- Los intervalos de direcciones IP no se pueden enlazar a varias entidades dentro de un nivel de enlace. Por ejemplo, un subconjunto de un intervalo de direcciones enlazado a un grupo no se puede enlazar a un segundo grupo.
- NetScaler Gateway no permite quitar ni desvincular direcciones IP mientras las utiliza activamente una sesión de usuario.
- Las direcciones IP de la red interna se asignan a los usuarios mediante la siguiente jerarquía:
- Vinculación directa del usuario
- Grupo de direcciones asignadas
- Grupo de direcciones asignadas a servidores virtuales
- Rango global de direcciones
- Solo se pueden utilizar máscaras de subred contiguas para asignar rangos de direcciones. Sin embargo, un subconjunto de un rango asignado podría asignarse a una entidad de nivel inferior.
Un intervalo de direcciones globales enlazado puede tener un rango vinculado a lo siguiente:
- Servidor virtual
- Grupo
- Usuario
- Un intervalo de direcciones de servidor virtual enlazado puede tener un subconjunto enlazado a lo siguiente:
- Grupo
- Usuario
Un intervalo de direcciones de grupo enlazado puede tener un subconjunto enlazado a un usuario.
Cuando se asigna una dirección IP a un usuario, la dirección se reserva para el próximo inicio de sesión del usuario hasta que se agote el intervalo del grupo de direcciones. Cuando se agotan las direcciones, NetScaler Gateway recupera la dirección IP del usuario que más tiempo ha desconectado de NetScaler Gateway.
Si no se puede recuperar una dirección y todas las direcciones están en uso activo, NetScaler Gateway no permite que el usuario inicie sesión. Puede evitar esta situación permitiendo que NetScaler Gateway utilice la dirección IP asignada como dirección IP de intranet cuando el resto de direcciones IP no estén disponibles.
Registro DNS IP de intranet
Si se asigna una IP de intranet a una máquina cliente y, una vez establecido el túnel VIP, el complemento VPN comprueba si esa máquina cliente está unida a un dominio. Si la máquina cliente es una máquina unida a un dominio, el complemento VPN inicia el proceso de registro de DNS para vincular la intranet del nombre de host de la máquina con la dirección IP de la intranet asignada. Este registro se revierte antes de la retirada del túnel.
Para que el registro de DNS se realice correctamente, asegúrese de que estén configurados los siguientes botones nsapimgr. Asegúrese también de que el servidor DNS autorizado esté configurado para permitir actualizaciones DNS “no seguras”.
-
nsapimgr -ys enable_vpn_dns_override=1: este indicador se envía al cliente VPN de NetScaler Gateway junto con los demás parámetros de configuración. Si este indicador está desconfigurado y cuando el cliente VPN intercepta una solicitud DNS/WINS, envía una solicitud http-request “GET /DNS” correspondiente al servidor virtual NetScaler Gateway a través del túnel para obtener la dirección IP resuelta. Sin embargo, si se establece el indicador ‘enable_vpn_dnstruncate_fix’, el cliente VPN reenvía las solicitudes DNS/WINS de forma transparente al servidor virtual de NetScaler Gateway. En este caso, el paquete DNS se envía tal cual al servidor virtual de NetScaler Gateway a través del túnel VPN. Esto ayuda en los casos en que los registros DNS procedentes de los servidores de nombres configurados en NetScaler Gateway son enormes y no caben en el paquete de respuesta UPD. En este caso, cuando el cliente vuelve a usar TCP-DNS, este paquete TCP-DNS llega al servidor de NetScaler Gateway tal cual y, por lo tanto, el servidor de NetScaler Gateway realiza una consulta TCP-DNS a un servidor DNS.
-
nsapimgr -ys enable_vpn_dnstruncate_fix=1: Este indicador lo utiliza el propio servidor de NetScaler Gateway. Si se establece este indicador, NetScaler Gateway reemplaza el destino de las “conexiones TCP en el puerto DNS” a los servidores DNS configurados en NetScaler Gateway (en lugar de intentar enviarlos a la IP del servidor DNS presente originalmente en el paquete TCP-DNS entrante). Para las solicitudes DNS UDP, el valor predeterminado es utilizar los servidores DNS configurados para la resolución DNS.
Para obtener más información sobre cómo configurar estos mandos, consulte.https://support.citrix.com/article/CTX200243