Configurar grupos de direcciones

En algunas situaciones, los usuarios que se conectan con el cliente Citrix Secure Access necesitan una dirección IP única para NetScaler Gateway. Por ejemplo, en un entorno Samba, cada usuario que se conecta a una unidad de red asignada debe parecer originario de una dirección IP diferente. Al habilitar los grupos de direcciones (también conocidos como agrupación de IP) para un grupo, NetScaler Gateway puede asignar un alias de dirección IP único a cada usuario.

Los grupos de direcciones se configuran mediante direcciones IP de intranet. Es posible que los siguientes tipos de aplicaciones necesiten utilizar una dirección IP única que se extrae del grupo de direcciones IP:

• Voz sobre IP
• FTP activo
• Mensajería instantánea
• Shell seguro (SSH)
• Informática de red virtual (VNC) para conectarse al escritorio de un equipo
• Escritorio remoto (RDP) para conectarse a un escritorio cliente

Puede configurar NetScaler Gateway para asignar una dirección IP interna a los usuarios que se conectan a NetScaler Gateway. Las direcciones IP estáticas se pueden asignar a los usuarios o se puede asignar un rango de direcciones IP a un grupo, servidor virtual o al sistema de forma global.

NetScaler Gateway permite asignar direcciones IP de la red interna a los usuarios remotos. Una dirección IP de la red interna puede dirigirse a un usuario remoto. Si elige utilizar un rango de direcciones IP, el sistema asigna dinámicamente una dirección IP de ese rango a un usuario remoto a petición.

Al configurar grupos de direcciones, tenga en cuenta lo siguiente:

• Las direcciones IP asignadas deben redirigirse correctamente. Para garantizar la redirección correcta, tenga en cuenta lo siguiente:
  • Si no habilita la tunelización dividida, asegúrese de que las direcciones IP se puedan redirigir a través de dispositivos de traducción de direcciones de red (NAT).
  • Todos los servidores a los que se accede mediante conexiones de usuario con direcciones IP de intranet deben tener las puertas de enlace adecuadas configuradas para llegar a esas redes.
  • Configure puertas de enlace o una ruta estática en NetScaler Gateway para que el tráfico de red del software de usuario se enrute a la red interna.
• Solo se pueden utilizar máscaras de subred contiguas al asignar rangos de direcciones IP. Se puede asignar un subconjunto de un rango a una entidad de nivel inferior. Por ejemplo, si un intervalo de direcciones IP está enlazado a un servidor virtual, vincule un subconjunto del rango a un grupo.
• Los intervalos de direcciones IP no se pueden enlazar a varias entidades dentro de un nivel de enlace. Por ejemplo, un subconjunto de un intervalo de direcciones enlazado a un grupo no se puede enlazar a un segundo grupo.
• NetScaler Gateway no permite quitar ni desvincular direcciones IP mientras las utiliza activamente una sesión de usuario.
• Las direcciones IP de la red interna se asignan a los usuarios mediante la siguiente jerarquía:
  • Enlace directo del usuario
  • Grupo de direcciones asignadas
  • Grupo de direcciones asignadas a servidores virtuales
  • Rango global de direcciones
• Solo se pueden utilizar máscaras de subred contiguas para asignar rangos de direcciones. Sin embargo, un subconjunto de un rango asignado podría asignarse a una entidad de nivel inferior. Un intervalo de direcciones globales enlazado puede tener un rango vinculado a lo siguiente:
  • Servidor virtual
  • Grupo
  • Usuario
• Un intervalo de direcciones de servidor virtual enlazado puede tener un subconjunto enlazado a lo siguiente:
  • Grupo
  • Usuario

Un intervalo de direcciones de grupo enlazado puede tener un subconjunto enlazado a un usuario.

Cuando se asigna una dirección IP a un usuario, la dirección se reserva para el próximo inicio de sesión del usuario hasta que se agote el intervalo del grupo de direcciones. Cuando se agotan las direcciones, NetScaler Gateway recupera la dirección IP del usuario que más tiempo ha desconectado de NetScaler Gateway.

Si no se puede recuperar una dirección y todas las direcciones están en uso activo, NetScaler Gateway no permite que el usuario inicie sesión. Puede evitar esta situación permitiendo que NetScaler Gateway utilice la dirección IP asignada como dirección IP de intranet cuando el resto de direcciones IP no estén disponibles.

Registro DNS IP de intranet

Si se asigna una IP de intranet a un equipo cliente y después del establecimiento del túnel VIP, el complemento VPN comprueba si esa máquina cliente está unida a un dominio. Si la máquina cliente es una máquina unida a un dominio, el complemento VPN inicia el proceso de registro de DNS para vincular la intranet del nombre de host de la máquina con la dirección IP de intranet asignada. Este registro se revierte antes de la retirada del túnel.

Para que el registro DNS se realice correctamente, asegúrese de que los siguientes botones nsapimgrestén configurados. Asegúrese también de que el servidor DNS autoritativo esté configurado para permitir actualizaciones de DNS “no seguras”.

• nsapimgr -ys enable_vpn_dns_override=1: Este indicador se envía al cliente VPN de NetScaler Gateway junto con los demás parámetros de configuración. Si este indicador no está configurado y cuando el cliente VPN intercepta una solicitud de DNS/WINS, envía la correspondiente solicitud HTTP “GET /DNS” al servidor virtual de NetScaler Gateway a través del túnel para obtener la dirección IP resuelta. Sin embargo, si se establece el indicador “enable_vpn_dnstruncate_fix”, el cliente VPN reenvía las solicitudes de DNS/WINS de forma transparente al servidor virtual de NetScaler Gateway. En este caso, el paquete DNS se envía tal cual al servidor virtual de NetScaler Gateway a través del túnel VPN. Esto ayuda en los casos en que los registros DNS procedentes de los servidores de nombres configurados en NetScaler Gateway son enormes y no caben en el paquete de respuesta UPD. En este caso, cuando el cliente vuelve a usar TCP-DNS, este paquete TCP-DNS llega al servidor de NetScaler Gateway tal cual y, por lo tanto, el servidor de NetScaler Gateway realiza una consulta TCP-DNS a un servidor DNS.

• nsapimgr -ys enable_vpn_dnstruncate_fix=1: Este indicador lo utiliza el propio servidor de NetScaler Gateway. Si se establece este indicador, NetScaler Gateway supedita el destino de las “conexiones TCP en el puerto DNS” a los servidores DNS configurados en NetScaler Gateway (en lugar de intentar enviarlas a la IP del servidor DNS originalmente presente en el paquete TCP-DNS entrante). Para las solicitudes DNS UDP, el valor predeterminado es utilizar los servidores DNS configurados para la resolución DNS. El complemento de NetScaler Gateway para Windows admite actualizaciones de DNS seguras y no seguras. La compatibilidad con la actualización de DNS segura existe de forma predeterminada en las compilaciones 21.7.1.1 o posteriores.

  La actualización segura de DNS en el plug-in de Windows está inhabilitada de forma predeterminada. Para habilitarlo, cree un valor de tipo REG_DWORD en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Accessy configúrelo en 1.

  • Al establecer el valor en 1, el plug-in de VPN intenta primero la actualización de DNS no segura. Si la actualización de DNS no segura falla, el plug-in de VPN intenta realizar la actualización de DNS segura.
  • Para probar solo la actualización segura de DNS, puede establecer el valor en 2.

Para obtener más información sobre cómo configurar estos mandos, consulte.https://support.citrix.com/article/CTX200243

Configurar grupos de direcciones para un usuario, grupo o servidor virtual

1. En la utilidad de configuración, en el panel de navegación, expanda NetScaler Gatewayy realice una de las siguientes acciones:
   • Amplíe Administración de usuarios de NetScaler Gateway y, a continuación, haga clic en Usuarios AAA.
   • AmplíeNetScaler Gateway>Administración de usuariosy, a continuación, haga clic en Grupos AAA.
   • AmplíeNetScaler Gatewayy, a continuación, haga clic en Servidores virtuales.
2. En el panel de detalles, haga clic en un usuario, grupo o servidor virtual y, a continuación, haga clic en Abrir.
3. En la ficha IP de intranet, en Dirección IP y máscara de red, escriba la dirección IP y la máscara de subred y, a continuación, haga clic en Agregar.
4. Repita el paso 3 para cada dirección IP que quiera agregar al grupo y, a continuación, haga clic en Aceptar.

Configurar grupos de direcciones de forma global

1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
2. En el panel de detalles, en IP de intranet, haga clic en Para asignar una dirección IP estática única o un grupo de direcciones IP para que las usen todas las sesiones de cliente de NetScaler Gateway, configure las IP de intranet.
3. En el cuadro de diálogo Vincular IP de intranet, haga clic en Acción y, a continuación, en Insertar.
4. En Dirección IP y máscara de red, escriba la dirección IP y la máscara de subred y, a continuación, haga clic en Agregar.
5. Repita los pasos 3 y 4 para cada dirección IP que quiera agregar al grupo y, a continuación, haga clic en Aceptar.

Definir opciones de agrupación

Puede utilizar una directiva de sesión o la configuración global de NetScaler Gateway para controlar si se asignan direcciones IP de intranet durante una sesión de usuario. La definición de opciones de grupo de direcciones le permite asignar direcciones IP de intranet a NetScaler Gateway, al tiempo que inhabilita el uso de direcciones IP de intranet para un grupo determinado de usuarios.

Puede configurar grupos de direcciones mediante una directiva de sesión de una de las tres formas siguientes:

• Nospillover - Al configurar grupos de direcciones para direcciones IP de intranet, se obtiene una sesión con una IP disponible del grupo. Para los usuarios que han usado todas las direcciones IP de intranet disponibles, aparece la página Transferir inicio de sesión.
• Spillover: Cuando configura grupos de direcciones y la IP asignada se utiliza como dirección IP de intranet, la dirección IP asignada se utiliza para los usuarios que han utilizado todas las direcciones IP de intranet disponibles.
• Desactivado : los grupos de direcciones no están configurados.

Nota:

Si la dirección IP asignada no está configurada, se utiliza SNIP.

Para definir grupos de direcciones

1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
3. En Nombre, escriba un nombre para la directiva.
4. Junto a Solicitar perfil, haga clic en Nuevo.
5. En Nombre , escriba un nombre para el perfil.
6. En la ficha Configuración de red, haga clic en Avanzadas.
7. Junto a IP de intranet, haga clic en Sobrescribir global y, a continuación, selecciona una opción.
8. Si selecciona SPILLOVER en el paso 9, junto a IP asignada, haga clic en Supeditación global, seleccione el nombre de host del dispositivo, haga clic en Aceptar y, a continuación, haga clic en Crear.
9. En el cuadro de diálogo Crear directiva de sesión, cree una expresión. Haga clic en Crear y, a continuación, en Cerrar.

Configurar la página Transferir inicio de sesión

Si un usuario no tiene una dirección IP de intranet disponible y, a continuación, intenta establecer otra sesión con NetScaler Gateway, aparece la página Transferir inicio de sesión. La página Transferir inicio de sesión permite a los usuarios reemplazar su sesión actual de NetScaler Gateway por una nueva sesión.

La página Transferir inicio de sesión también se puede usar si se pierde la solicitud de cierre de sesión o si el usuario no realiza un cierre de sesión limpio. Por ejemplo:

• A un usuario se le asigna una dirección IP de intranet estática y ya tiene una sesión de NetScaler Gateway. Si el usuario intenta establecer una segunda sesión desde un dispositivo diferente, aparece la página Transferir inicio de sesión y el usuario puede transferir la sesión al nuevo dispositivo.
• A un usuario se le asignan cinco direcciones IP de intranet y tiene cinco sesiones a través de NetScaler Gateway. Si el usuario intenta establecer una sexta sesión, aparece la página Transferir inicio de sesión y el usuario puede optar por reemplazar una sesión existente por una nueva.

Notas:

• Si el usuario no tiene una dirección IP asignada disponible por la que no se puede establecer una nueva sesión, aparece un mensaje de error.

• Citrix Secure Access para Android 23.12.1 y versiones posteriores admiten la función de transferencia de inicio de sesión de NetScaler Gateway en el modo Always On VPN.

La página Transferir inicio de sesión solo aparece si configura grupos de direcciones y inhabilita la transferencia.

Configurar un sufijo DNS

Cuando un usuario inicia sesión en NetScaler Gateway y se le asigna una dirección IP, se agrega un registro DNS para la combinación de nombre de usuario y dirección IP a la caché DNS de NetScaler Gateway. Puede configurar un sufijo DNS para que se agregue al nombre de usuario cuando se agregue el registro DNS a la caché. Esto permite hacer referencia a los usuarios mediante el nombre DNS, que puede ser más fácil de recordar que una dirección IP. Cuando el usuario cierra sesión en NetScaler Gateway, el registro se elimina de la caché DNS.

Para configurar un sufijo DNS

1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
2. En el panel de detalles, en la ficha Directivas, seleccione una directiva de sesión y, a continuación, haga clic en Abrir.
3. Junto a Solicitar perfil, haga clic en Modificar.
4. En la ficha Configuración de red, haga clic en Avanzadas.
5. Junto a Sufijo DNS de IP de intranet, haga clic en Supeditación global, escriba el sufijo DNS y, a continuación, haga clic en Aceptar tres veces.