Configurar conexiones iniciadas por el servidor
Para cada usuario que inició sesión en NetScaler Gateway con direcciones IP habilitadas, el sufijo DNS se anexa al nombre de usuario y se agrega un registro de dirección DNS a la caché DNS del dispositivo. Esta técnica ayuda a proporcionar a los usuarios un nombre DNS en lugar de las direcciones IP de los usuarios.
Cuando se asigna una dirección IP a la sesión de un usuario, es posible conectarse al dispositivo del usuario desde la red interna. Por ejemplo, los usuarios que se conectan con el cliente de escritorio remoto o de computación en red virtual (VNC) pueden acceder al dispositivo de usuario para diagnosticar una aplicación problemática. También es posible que dos usuarios de NetScaler Gateway con direcciones IP de red internas que hayan iniciado sesión de forma remota se comuniquen entre sí a través de NetScaler Gateway. Permitir el descubrimiento de las direcciones IP de la red interna de los usuarios que han iniciado sesión en el dispositivo ayuda a esta comunicación.
Un usuario remoto puede utilizar el siguiente comando ping para descubrir la dirección IP de la red interna de un usuario que puede iniciar sesión en NetScaler Gateway:
ping \<username.domainname\>
Un servidor puede iniciar una conexión con un dispositivo de usuario de las siguientes formas:
-
Conexiones TCP o UDP. Las conexiones pueden originarse en un sistema externo de la red interna o en otro equipo que haya iniciado sesión en NetScaler Gateway. La dirección IP de red interna asignada a cada dispositivo de usuario que ha iniciado sesión en NetScaler Gateway se utiliza para estas conexiones. Se describen los distintos tipos de conexiones iniciadas por el servidor que admite NetScaler Gateway. Para las conexiones iniciadas por el servidor TCP o UDP, el servidor tiene conocimiento previo de la dirección IP y el puerto del dispositivo del usuario y establece una conexión con él. NetScaler Gateway intercepta esta conexión.
A continuación, el dispositivo del usuario establece una conexión inicial con el servidor y el servidor se conecta al dispositivo de usuario en un puerto conocido o derivado del primer puerto configurado.
En este caso, el dispositivo del usuario establece una conexión inicial con el servidor y, a continuación, intercambia puertos y direcciones IP con el servidor mediante un protocolo específico de la aplicación en el que se incrusta esta información. Esto permite que NetScaler Gateway admita aplicaciones, como conexiones FTP activas.
-
Comando Port. Se utiliza en un FTP activo y en determinados protocolos de voz sobre IP.
-
Conexiones entre plug-ins. NetScaler Gateway admite conexiones entre complementos mediante las direcciones IP de la red interna.
Con este tipo de conexión, dos dispositivos de usuario de NetScaler Gateway que utilizan el mismo NetScaler Gateway pueden iniciar conexiones entre sí. Un ejemplo de este tipo es el uso de aplicaciones de mensajería instantánea, como Office Communicator o Yahoo! Mensajero.
Si un usuario cierra la sesión de NetScaler Gateway y la solicitud de cierre de sesión no llega al dispositivo, el usuario puede volver a iniciar sesión con cualquier dispositivo y reemplazar la sesión anterior por una nueva. Esta función puede ser beneficiosa en implementaciones en las que se asigna una dirección IP por usuario.
Cuando un usuario inicia sesión en NetScaler Gateway por primera vez, se crea una sesión y se asigna una dirección IP al usuario. Si el usuario cierra la sesión pero se pierde la solicitud de cierre de sesión o el dispositivo del usuario no realiza un cierre de sesión limpio, la sesión se mantiene en el sistema. Si el usuario intenta iniciar sesión de nuevo desde el mismo dispositivo u otro dispositivo, tras una autenticación correcta, aparece un cuadro de diálogo de inicio de sesión de transferencia. Si el usuario decide transferir el inicio de sesión, la sesión anterior de NetScaler Gateway se cierra y se crea una nueva sesión. La transferencia de inicio de sesión está activa solo dos minutos después del cierre de sesión, y si se intenta iniciar sesión desde varios dispositivos simultáneamente, el último intento de inicio de sesión reemplaza la sesión original.
Configurar el rango de puertos privados para las conexiones iniciadas por el servidor
A partir de la versión 23.10.1.7 del cliente Citrix Secure Access, puede configurar un puerto privado que vaya del 49152 al 64535 para las conexiones iniciadas por el servidor (SIC). La configuración de puertos privados evita los conflictos que pueden surgir al utilizar los puertos para crear sockets entre el cliente Citrix Secure Access y las aplicaciones de terceros en las máquinas cliente. Esto solo se aplica si el controlador del WFP está en uso.
Puede configurar los puertos privados mediante el SicBeginPort
registro de VPN de Windows. Como alternativa, puede configurar el rango de puertos privados mediante un archivo JSON de personalización del complemento VPN en NetScaler.
Si un servidor inicia una conexión, el cliente Citrix Secure Access utiliza los primeros 1000 puertos, empezando por SicBeginPort
el Registro de VPN de Windows, para crear los sockets. Si el registro está configurado en un equipo cliente, la configuración del registro tiene prioridad sobre la configuración JSON de NetScaler.
El siguiente es un ejemplo de la configuración JSON del complemento VPN en NetScaler:
root@ADC# cat /var/netscaler/gui/vpn/pluginCustomization.json
{"SicBeginPort" : 51000}
<!--NeedCopy-->
Para obtener más información sobre la configuración del registro, consulte Claves de registro del cliente VPN de Windows de NetScaler Gateway.
Nota:
El rango de puertos predeterminado que se usa para crear sockets es 62500—63500.