Configuration de pools d’adresses
Dans certains cas, les utilisateurs qui se connectent au plug-in Citrix Gateway ont besoin d’une adresse IP unique pour Citrix Gateway. Par exemple, dans un environnement Samba, chaque utilisateur qui se connecte à un lecteur réseau mappé doit apparaître comme provenant d’une adresse IP différente. Lorsque vous activez les pools d’adresses (également appelés pools d’adresses IP) pour un groupe, Citrix Gateway peut attribuer un alias d’adresse IP unique à chaque utilisateur.
Vous configurez des pools d’adresses à l’aide d’adresses IP intranet. Les types d’applications suivants peuvent avoir besoin d’utiliser une adresse IP unique extraite du pool d’adresses IP :
- Voix sur IP
- FTP actif
- Messagerie instantanée
- Shell sécurisé (SSH)
- Virtual Network Computing (VNC) pour se connecter au bureau d’un ordinateur
- Bureau à distance (RDP) pour se connecter à un poste de travail client
Vous pouvez configurer Citrix Gateway pour attribuer une adresse IP interne aux utilisateurs qui se connectent à Citrix Gateway. Les adresses IP statiques peuvent être attribuées aux utilisateurs ou une plage d’adresses IP peut être attribuée à un groupe, à un serveur virtuel ou au système globalement.
Citrix Gateway vous permet d’attribuer des adresses IP de votre réseau interne à vos utilisateurs distants. Un utilisateur distant peut être adressé par une adresse IP sur le réseau interne. Si vous choisissez d’utiliser une plage d’adresses IP, le système attribue dynamiquement une adresse IP de cette plage à un utilisateur distant à la demande.
Lorsque vous configurez des pools d’adresses, tenez compte des points suivants :
- Les adresses IP attribuées doivent être routées correctement. Pour garantir le bon routage, prenez en compte les points suivants :
- Si vous n’activez pas le split tunneling, assurez-vous que les adresses IP peuvent être routées via des périphériques NAT (Network Address Translation).
- Tous les serveurs auxquels des connexions utilisateur accèdent avec des adresses IP intranet doivent disposer des passerelles appropriées configurées pour atteindre ces réseaux.
- Configurez des passerelles ou un itinéraire statique sur Citrix Gateway afin que le trafic réseau provenant du logiciel utilisateur soit acheminé vers le réseau interne.
- Seuls les masques de sous-réseau contigus peuvent être utilisés lors de l’attribution de plages d’adresses IP. Un sous-ensemble d’une plage peut être affecté à une entité de niveau inférieur. Par exemple, si une plage d’adresses IP est liée à un serveur virtuel, liez un sous-ensemble de la plage à un groupe.
- Les plages d’adresses IP ne peuvent pas être liées à plusieurs entités au sein d’un niveau de liaison. Par exemple, un sous-ensemble d’une plage d’adresses lié à un groupe ne peut pas être lié à un deuxième groupe.
- Citrix Gateway ne vous permet pas de supprimer ou de délier des adresses IP lorsqu’elles sont activement utilisées par une session utilisateur.
- Les adresses IP réseau internes sont attribuées aux utilisateurs à l’aide de la hiérarchie suivante :
- Liaison directe de l’utilisateur
- Pool d’adresses assigné au groupe
- Pool d’adresses attribué au serveur virtuel
- Gamme mondiale d’adresses
- Seuls les masques de sous-réseau contigus peuvent être utilisés pour attribuer des plages d’adresses. Toutefois, un sous-ensemble d’une plage attribuée peut être affecté à une entité de niveau inférieur.
Une plage d’adresses globale liée peut comporter une plage liée aux éléments suivants :
- Serveur virtuel
- Groupe
- Utilisateur
- Une plage d’adresses de serveur virtuel liée peut comporter un sous-ensemble lié aux éléments suivants :
- Groupe
- Utilisateur
Une plage d’adresses de groupe lié peut comporter un sous-ensemble lié à un utilisateur.
Lorsqu’une adresse IP est attribuée à un utilisateur, elle est réservée pour la prochaine connexion de l’utilisateur jusqu’à ce que la plage du pool d’adresses soit épuisée. Lorsque les adresses sont épuisées, Citrix Gateway réclame l’adresse IP de l’utilisateur qui a été déconnecté de Citrix Gateway le plus longtemps.
Si une adresse ne peut pas être récupérée et que toutes les adresses sont activement utilisées, Citrix Gateway n’autorise pas l’utilisateur à ouvrir une session. Vous pouvez éviter cette situation en autorisant Citrix Gateway à utiliser l’adresse IP mappée comme adresse IP intranet lorsque toutes les autres adresses IP ne sont pas disponibles.
Enregistrement DNS IP Intranet
Si une adresse IP intranet est attribuée à une machine cliente et après l’établissement du tunnel VIP, le plug-in VPN vérifie si cette machine cliente est jointe au domaine. Si la machine cliente est une machine appartenant à un domaine, le plug-in VPN lance le processus d’enregistrement DNS pour lier l’intranet du nom d’hôte de la machine à l’adresse IP intranet allouée. Cette inscription est annulée avant la désinstallation du tunnel.
Pour un enregistrement DNS réussi, assurez-vous que les boutons nsapimgr suivants sont définis. Assurez-vous également que le serveur DNS faisant autorité est configuré pour autoriser les mises à jour DNS « non sécurisées ».
-
nsapimgr -ys enable_vpn_dns_override=1 : cet indicateur est envoyé au client VPN NetScaler Gateway avec les autres paramètres de configuration. Si cet indicateur n’est pas défini et que le client VPN intercepte une requête DNS/WINS, il envoie une requête HTTP « GET /DNS » correspondante au serveur virtuel NetScaler Gateway via le tunnel pour obtenir l’adresse IP résolue. Toutefois, si l’indicateur ‘enable_vpn_dnstruncate_fix’ est défini, le client VPN transmet les demandes DNS/WINS de manière transparente au serveur virtuel NetScaler Gateway. Dans ce cas, le paquet DNS est envoyé tel qu’il est au serveur virtuel NetScaler Gateway via le tunnel VPN. Cela est utile dans les cas où les enregistrements DNS provenant des serveurs de noms configurés dans NetScaler Gateway sont volumineux et ne rentrent pas dans le paquet de réponse UPD. Dans ce cas, lorsque le client reprend l’utilisation de TCP-DNS, ce paquet TCP-DNS atteint le serveur NetScaler Gateway tel quel, et par conséquent le serveur NetScaler Gateway envoie une requête TCP-DNS à un serveur DNS.
-
nsapimgr -ys enable_vpn_dnstruncate_fix=1 : Cet indicateur est utilisé par le serveur NetScaler Gateway lui-même. Si cet indicateur est défini, NetScaler Gateway remplace la destination des « connexions TCP sur le port DNS » vers les serveurs DNS configurés sur NetScaler Gateway (au lieu d’essayer de les envoyer à l’adresse IP du serveur DNS initialement présente dans le paquet TCP-DNS entrant). Pour les demandes DNS UDP, la valeur par défaut consiste à utiliser les serveurs DNS configurés pour la résolution DNS.
Pour plus d’informations sur la configuration de ces boutons, reportez-vous à la section https://support.citrix.com/article/CTX200243.