Configuration des pools d’adresses

Dans certains cas, les utilisateurs qui se connectent au plug-in Citrix Gateway ont besoin d’une adresse IP unique pour Citrix Gateway. Par exemple, dans un environnement Samba, chaque utilisateur qui se connecte à un lecteur réseau mappé doit apparaître comme provenant d’une adresse IP différente. Lorsque vous activez les pools d’adresses (également appelés pools d’adresses IP) pour un groupe, Citrix Gateway peut attribuer un alias d’adresse IP unique à chaque utilisateur.

Vous configurez des pools d’adresses à l’aide d’adresses IP intranet. Les types d’applications suivants peuvent avoir besoin d’utiliser une adresse IP unique extraite du pool d’adresses IP :

• Voix sur IP
• FTP actif
• Messagerie instantanée
• Shell sécurisé (SSH)
• Virtual Network Computing (VNC) pour se connecter au bureau d’un ordinateur
• Bureau à distance (RDP) pour se connecter à un poste de travail client

Vous pouvez configurer Citrix Gateway pour attribuer une adresse IP interne aux utilisateurs qui se connectent à Citrix Gateway. Les adresses IP statiques peuvent être attribuées aux utilisateurs ou une plage d’adresses IP peut être attribuée à un groupe, à un serveur virtuel ou au système globalement.

Citrix Gateway vous permet d’attribuer des adresses IP de votre réseau interne à vos utilisateurs distants. Une adresse IP sur le réseau interne peut s’adresser à un utilisateur distant. Si vous choisissez d’utiliser une plage d’adresses IP, le système attribue dynamiquement une adresse IP de cette plage à un utilisateur distant à la demande.

Lorsque vous configurez des pools d’adresses, tenez compte des points suivants :

• Les adresses IP attribuées doivent être routées correctement. Pour garantir le bon routage, prenez en compte les points suivants :
  • Si vous n’activez pas le split tunneling, assurez-vous que les adresses IP peuvent être routées via des périphériques NAT (Network Address Translation).
  • Tous les serveurs auxquels des connexions utilisateur accèdent avec des adresses IP intranet doivent disposer des passerelles appropriées configurées pour atteindre ces réseaux.
  • Configurez des passerelles ou un itinéraire statique sur Citrix Gateway afin que le trafic réseau provenant du logiciel utilisateur soit acheminé vers le réseau interne.
• Seuls les masques de sous-réseau contigus peuvent être utilisés lors de l’attribution de plages d’adresses IP. Un sous-ensemble d’une plage peut être affecté à une entité de niveau inférieur. Par exemple, si une plage d’adresses IP est liée à un serveur virtuel, liez un sous-ensemble de la plage à un groupe.
• Les plages d’adresses IP ne peuvent pas être liées à plusieurs entités au sein d’un niveau de liaison. Par exemple, un sous-ensemble d’une plage d’adresses lié à un groupe ne peut pas être lié à un deuxième groupe.
• Citrix Gateway ne vous permet pas de supprimer ou de délier des adresses IP lorsqu’elles sont activement utilisées par une session utilisateur.
• Les adresses IP réseau internes sont attribuées aux utilisateurs à l’aide de la hiérarchie suivante :
  • Liaison directe de l’utilisateur
  • Pool d’adresses assigné au groupe
  • Pool d’adresses attribué au serveur virtuel
  • Gamme mondiale d’adresses
• Seuls les masques de sous-réseau contigus peuvent être utilisés pour attribuer des plages d’adresses. Toutefois, un sous-ensemble d’une plage attribuée peut être affecté à une entité de niveau inférieur. Une plage d’adresses globale liée peut comporter une plage liée aux éléments suivants :
  • Serveur virtuel
  • Groupe
  • Utilisateur
• Une plage d’adresses de serveur virtuel liée peut comporter un sous-ensemble lié aux éléments suivants :
  • Groupe
  • Utilisateur

Une plage d’adresses de groupe lié peut comporter un sous-ensemble lié à un utilisateur.

Lorsqu’une adresse IP est attribuée à un utilisateur, elle est réservée pour la prochaine connexion de l’utilisateur jusqu’à ce que la plage du pool d’adresses soit épuisée. Lorsque les adresses sont épuisées, Citrix Gateway réclame l’adresse IP de l’utilisateur qui a été déconnecté de Citrix Gateway le plus longtemps.

Si une adresse ne peut pas être récupérée et que toutes les adresses sont activement utilisées, Citrix Gateway n’autorise pas l’utilisateur à ouvrir une session. Vous pouvez éviter cette situation en autorisant Citrix Gateway à utiliser l’adresse IP mappée comme adresse IP intranet lorsque toutes les autres adresses IP ne sont pas disponibles.

Enregistrement DNS IP Intranet

Si une adresse IP intranet est attribuée à une machine cliente et après l’établissement du tunnel VIP, le plug-in VPN vérifie si cette machine cliente est jointe au domaine. Si la machine cliente est une machine jointe à un domaine, le plug-in VPN lance le processus d’enregistrement DNS pour lier l’intranet du nom d’hôte de la machine à l’adresse IP intranet allouée. Cette inscription est annulée avant la désinstallation du tunnel.

Pour que l’enregistrement DNS soit réussi, assurez-vous que les nsapimgr boutons suivants sont définis. Assurez-vous également que le serveur DNS faisant autorité est configuré pour autoriser les mises à jour DNS « non sécurisées ».

• nsapimgr -ys enable_vpn_dns_override=1 : Cet indicateur est envoyé au client VPN Citrix Gateway avec les autres paramètres de configuration. Si cet indicateur n’est pas défini et que le client VPN intercepte une demande DNS/WINS, il envoie une requête HTTP « GET /DNS » correspondante au serveur virtuel Citrix Gateway via le tunnel pour obtenir l’adresse IP résolue. Toutefois, si l’indicateur ‘enable_vpn_dnstruncate_fix’ est défini, le client VPN transmet les requêtes DNS/WINS de manière transparente au serveur virtuel Citrix Gateway. Dans ce cas, le paquet DNS est envoyé tel quel au serveur virtuel Citrix Gateway via le tunnel VPN. Cela est utile dans les cas où les enregistrements DNS provenant des serveurs de noms configurés dans Citrix Gateway sont volumineux et ne rentrent pas dans le paquet de réponse UPD. Dans ce cas, lorsque le client recommence à utiliser TCP-DNS, ce paquet TCP-DNS atteint le serveur Citrix Gateway tel quel et, par conséquent, le serveur Citrix Gateway envoie une requête TCP-DNS à un serveur DNS.

• nsapimgr -ys enable_vpn_dnstruncate_fix=1 : cet indicateur est utilisé par le serveur Citrix Gateway lui-même. Si cet indicateur est défini, Citrix Gateway remplace la destination des « connexions TCP sur le port DNS » vers les serveurs DNS configurés sur Citrix Gateway (au lieu d’essayer de les envoyer à l’adresse IP du serveur DNS initialement présente dans le paquet TCP-DNS entrant). Pour les demandes DNS UDP, la valeur par défaut consiste à utiliser les serveurs DNS configurés pour la résolution DNS. Le plug-in Citrix Gateway pour Windows prend en charge les mises à jour DNS sécurisées et non sécurisées. La prise en charge de la mise à jour DNS sécurisée existe par défaut dans les versions 21.7.1.1 ou supérieures.

  La mise à jour DNS sécurisée sur le plug-in Windows est désactivée par défaut. Pour l’activer, créez une valeur de type REG_DWORD dans HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access et définissez-la sur 1.

  • Lorsque vous définissez la valeur sur 1, le plug-in VPN essaie d’abord la mise à jour non sécurisée du DNS. Si la mise à jour DNS non sécurisée échoue, le plug-in VPN essaie la mise à jour DNS sécurisée.
  • Pour essayer uniquement la mise à jour sécurisée du DNS, vous pouvez définir la valeur sur 2.

Pour plus d’informations sur la configuration de ces boutons, reportez-vous à la section https://support.citrix.com/article/CTX200243.

Configuration des pools d’adresses pour un utilisateur, un groupe ou un serveur virtuel

1. Dans l’utilitaire de configuration, dans le volet de navigation, développez Citrix Gateway, effectuez l’une des opérations suivantes :
   • Développez l’administration des utilisateurs de Citrix Gateway, puis cliquez sur Utilisateurs AAA.
   • Développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.
   • Développez Citrix Gateway, puis cliquez sur Serveurs virtuels.
2. Dans le volet d’informations, cliquez sur un utilisateur, un groupe ou un serveur virtuel, puis cliquez sur Ouvrir.
3. Sous l’onglet IP Intranet, dans Adresse IP et masque de réseau, tapez l’adresse IP et le masque de sous-réseau, puis cliquez sur Ajouter.
4. Répétez l’étape 3 pour chaque adresse IP que vous souhaitez ajouter au pool, puis cliquez sur OK.

Configuration des pools d’adresses à l’échelle

1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
2. Dans le volet d’informations, sous IP intranet, cliquez sur Pour attribuer une adresse IP statique unique ou un pool d’adresses IP à utiliser par toutes les sessions Citrix Gateway clientes, configurez les adresses IP intranet.
3. Dans la boîte de dialogue Liaison des adresses IP intranet, cliquez sur Action, puis sur Insérer.
4. Dans Adresse IP et masque de réseau, tapez l’adresse IP et le masque de sous-réseau, puis cliquez sur Ajouter.
5. Répétez les étapes 3 et 4 pour chaque adresse IP que vous souhaitez ajouter au pool, puis cliquez sur OK.

Définir les options du pool d’adresses

Vous pouvez utiliser une stratégie de session ou les paramètres globaux de Citrix Gateway pour contrôler si des adresses IP intranet sont attribuées au cours d’une session utilisateur. La définition des options de pool d’adresses vous permet d’attribuer des adresses IP intranet à Citrix Gateway, tout en désactivant l’utilisation des adresses IP intranet pour un groupe particulier d’utilisateurs.

Vous pouvez configurer des pools d’adresses à l’aide d’une stratégie de session de l’une des trois manières suivantes :

• Nospillover - Lorsque vous configurez des pools d’adresses pour l’adresse IP intranet, vous obtenez une session avec une adresse IP disponible à partir du pool. Pour les utilisateurs qui ont utilisé toutes les adresses IP intranet disponibles, la page Transfer Logon apparaît.
• Spillover - Lorsque vous configurez des pools d’adresses et que l’adresse IP mappée est utilisée comme adresse IP intranet, l’adresse IP mappée est utilisée pour les utilisateurs qui ont utilisé toutes les adresses IP intranet disponibles.
• Désactivé : les poolsd’adresses ne sont pas configurés.

Remarque :

Si l’adresse IP mappée n’est pas configurée, SNIP est utilisé.

Pour définir des pools d’adresses

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies, puis cliquez sur Session.
2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
3. Dans Nom, tapez le nom de la politique.
4. À côté de Demander un profil, cliquez sur Nouveau.
5. Dans Nom, saisissez le nom du profil.
6. Dans l’onglet Configuration réseau, cliquez sur Avancé.
7. En regard de l’adresse IP intranet, cliquez sur Remplacer l’adresse globale, puis sélectionnez une option.
8. Si vous sélectionnez DÉBORDEMENT à l’étape 9, en regard de IP mappée, cliquez sur Override Global, sélectionnez le nom d’hôte de l’appliance, cliquez sur OK, puis cliquez sur Créer.
9. Dans la boîte de dialogue Créer une stratégie de session, créez une expression, cliquez sur Créer, puis cliquez sur Fermer.

Configuration de la page de connexion au transfert

Si un utilisateur ne dispose pas d’adresse IP intranet et tente ensuite d’établir une autre session avec Citrix Gateway, la page Transfer Logon s’affiche. La page Transfer Logon permet aux utilisateurs de remplacer leur session Citrix Gateway existante par une nouvelle session.

La page Transfer Logon peut également être utilisée si la demande de fermeture de session est perdue ou si l’utilisateur n’effectue pas une fermeture de session complète. Par exemple :

• Une adresse IP intranet statique est attribuée à un utilisateur et dispose d’une session Citrix Gateway existante. Si l’utilisateur essaie d’établir une deuxième session à partir d’un autre appareil, la page Transfer Logon apparaît et l’utilisateur peut transférer la session vers le nouvel appareil.
• Un utilisateur se voit attribuer cinq adresses IP intranet et dispose de cinq sessions via Citrix Gateway. Si l’utilisateur essaie d’établir une sixième session, la page Transfer Logon apparaît et l’utilisateur peut choisir de remplacer une session existante par une nouvelle session.

Remarques :

• Si aucune adresse IP attribuée à l’utilisateur n’est disponible et qu’une nouvelle session ne peut donc pas être établie, un message d’erreur s’affiche.

• Citrix Secure Access pour Android 23.12.1 et les versions ultérieures prennent en charge la fonctionnalité d’ouverture de session par transfert de NetScaler Gateway en mode VPN Always On.

La page Transfer Logon apparaît uniquement si vous configurez des pools d’adresses et désactivez le spillover.

Configurer un suffixe DNS

Lorsqu’un utilisateur ouvre une session sur Citrix Gateway et se voit attribuer une adresse IP, un enregistrement DNS correspondant à la combinaison nom d’utilisateur et adresse IP est ajouté au cache DNS de Citrix Gateway. Vous pouvez configurer un suffixe DNS à ajouter au nom d’utilisateur lorsque l’enregistrement DNS est ajouté au cache. Cela permet aux utilisateurs d’être référencés par le nom DNS, ce qui peut être plus facile à mémoriser qu’une adresse IP. Lorsque l’utilisateur se déconnecte de Citrix Gateway, l’enregistrement est supprimé du cache DNS.

Pour configurer un suffixe DNS

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies, puis cliquez sur Session.
2. Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez une stratégie de session, puis cliquez sur Ouvrir.
3. À côté de Demander un profil, cliquez sur Modifier.
4. Dans l’onglet Configuration réseau, cliquez sur Avancé.
5. À côté de Suffixe DNS IP de l’intranet, cliquez sur Override Global, saisissez le suffixe DNS, puis cliquez trois fois sur OK.