Configuration des pools d’adresses
Dans certains cas, les utilisateurs qui se connectent au client Citrix Secure Access ont besoin d’une adresse IP unique pour NetScaler Gateway. Par exemple, dans un environnement Samba, chaque utilisateur qui se connecte à un lecteur réseau mappé doit apparaître comme provenant d’une adresse IP différente. Lorsque vous activez des pools d’adresses (également appelés pool d’adresses IP) pour un groupe, NetScaler Gateway peut attribuer un alias d’adresse IP unique à chaque utilisateur.
Vous configurez des pools d’adresses à l’aide d’adresses IP intranet. Les types d’applications suivants peuvent avoir besoin d’utiliser une adresse IP unique extraite du pool d’adresses IP :
- Voix sur IP
- FTP actif
- Messagerie instantanée
- Shell sécurisé (SSH)
- Virtual Network Computing (VNC) pour se connecter au bureau d’un ordinateur
- Bureau à distance (RDP) pour se connecter à un poste de travail client
Vous pouvez configurer NetScaler Gateway pour attribuer une adresse IP interne aux utilisateurs qui se connectent à NetScaler Gateway. Les adresses IP statiques peuvent être attribuées aux utilisateurs ou une plage d’adresses IP peut être attribuée à un groupe, à un serveur virtuel ou au système globalement.
NetScaler Gateway vous permet d’attribuer des adresses IP de votre réseau interne à vos utilisateurs distants. Une adresse IP sur le réseau interne peut s’adresser à un utilisateur distant. Si vous choisissez d’utiliser une plage d’adresses IP, le système attribue dynamiquement une adresse IP de cette plage à un utilisateur distant à la demande.
Lorsque vous configurez des pools d’adresses, tenez compte des points suivants :
- Les adresses IP attribuées doivent être routées correctement. Pour garantir le bon routage, prenez en compte les points suivants :
- Si vous n’activez pas le split tunneling, assurez-vous que les adresses IP peuvent être routées via des périphériques NAT (Network Address Translation).
- Tous les serveurs auxquels des connexions utilisateur accèdent avec des adresses IP intranet doivent disposer des passerelles appropriées configurées pour atteindre ces réseaux.
- Configurez des passerelles ou un itinéraire statique sur NetScaler Gateway afin que le trafic réseau provenant du logiciel utilisateur soit acheminé vers le réseau interne.
- Seuls les masques de sous-réseau contigus peuvent être utilisés lors de l’attribution de plages d’adresses IP. Un sous-ensemble d’une plage peut être affecté à une entité de niveau inférieur. Par exemple, si une plage d’adresses IP est liée à un serveur virtuel, liez un sous-ensemble de la plage à un groupe.
- Les plages d’adresses IP ne peuvent pas être liées à plusieurs entités au sein d’un niveau de liaison. Par exemple, un sous-ensemble d’une plage d’adresses lié à un groupe ne peut pas être lié à un deuxième groupe.
- NetScaler Gateway ne vous permet pas de supprimer ou de dissocier des adresses IP lorsqu’elles sont activement utilisées par une session utilisateur.
- Les adresses IP réseau internes sont attribuées aux utilisateurs à l’aide de la hiérarchie suivante :
- Liaison directe de l’utilisateur
- Pool d’adresses assigné au groupe
- Pool d’adresses attribué au serveur virtuel
- Gamme mondiale d’adresses
- Seuls les masques de sous-réseau contigus peuvent être utilisés pour attribuer des plages d’adresses. Toutefois, un sous-ensemble d’une plage attribuée peut être affecté à une entité de niveau inférieur.
Une plage d’adresses globale liée peut comporter une plage liée aux éléments suivants :
- Serveur virtuel
- Groupe
- Utilisateur
- Une plage d’adresses de serveur virtuel liée peut comporter un sous-ensemble lié aux éléments suivants :
- Groupe
- Utilisateur
Une plage d’adresses de groupe lié peut comporter un sous-ensemble lié à un utilisateur.
Lorsqu’une adresse IP est attribuée à un utilisateur, elle est réservée pour la prochaine connexion de l’utilisateur jusqu’à ce que la plage du pool d’adresses soit épuisée. Lorsque les adresses sont épuisées, NetScaler Gateway récupère l’adresse IP de l’utilisateur qui est déconnecté de NetScaler Gateway le plus longtemps.
Si une adresse ne peut pas être récupérée et que toutes les adresses sont activement utilisées, NetScaler Gateway n’autorise pas l’utilisateur à se connecter. Vous pouvez éviter cette situation en autorisant NetScaler Gateway à utiliser l’adresse IP mappée comme adresse IP intranet lorsque toutes les autres adresses IP ne sont pas disponibles.
Enregistrement DNS IP Intranet
Si une adresse IP intranet est attribuée à une machine cliente et après l’établissement du tunnel VIP, le plug-in VPN vérifie si cette machine cliente est jointe au domaine. Si la machine cliente appartient à un domaine, le plug-in VPN lance le processus d’enregistrement DNS pour lier l’intranet du nom d’hôte de la machine à l’adresse IP intranet attribuée. Cette inscription est annulée avant la désinstallation du tunnel.
Pour que l’enregistrement DNS soit réussi, assurez-vous que les nsapimgr
boutons suivants sont définis. Assurez-vous également que le serveur DNS faisant autorité est configuré pour autoriser les mises à jour DNS « non sécurisées ».
-
nsapimgr
-ys enable_vpn_dns_override=1 : Cet indicateur est envoyé au client VPN NetScaler Gateway avec les autres paramètres de configuration. Si cet indicateur n’est pas défini et que le client VPN intercepte une demande DNS/WINS, il envoie une requête HTTP « GET /DNS » correspondante au serveur virtuel NetScaler Gateway via le tunnel pour obtenir l’adresse IP résolue. Toutefois, si l’indicateur « enable_vpn_dnstruncate_fix » est défini, le client VPN transmet les demandes DNS/WINS de manière transparente au serveur virtuel NetScaler Gateway. Dans ce cas, le paquet DNS est envoyé tel qu’il est au serveur virtuel NetScaler Gateway via le tunnel VPN. Cela est utile dans les cas où les enregistrements DNS provenant des serveurs de noms configurés dans NetScaler Gateway sont volumineux et ne rentrent pas dans le paquet de réponse UPD. Dans ce cas, lorsque le client reprend l’utilisation de TCP-DNS, ce paquet TCP-DNS atteint le serveur NetScaler Gateway tel quel, et par conséquent le serveur NetScaler Gateway envoie une requête TCP-DNS à un serveur DNS. -
nsapimgr -ys enable_vpn_dnstruncate_fix=1 : Cet indicateur est utilisé par le serveur NetScaler Gateway lui-même. Si cet indicateur est défini, NetScaler Gateway remplace la destination des « connexions TCP sur le port DNS » vers les serveurs DNS configurés sur NetScaler Gateway (au lieu d’essayer de les envoyer à l’adresse IP du serveur DNS initialement présente dans le paquet TCP-DNS entrant). Pour les demandes DNS UDP, la valeur par défaut consiste à utiliser les serveurs DNS configurés pour la résolution DNS. Le plug-in NetScaler Gateway pour Windows prend en charge les mises à jour DNS sécurisées et non sécurisées. La prise en charge de la mise à jour DNS sécurisée existe par défaut dans les versions 21.7.1.1 ou supérieures.
La mise à jour DNS sécurisée sur le plug-in Windows est désactivée par défaut. Pour l’activer, créez une valeur de type REG_DWORD dans
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access
et définissez-la sur 1.- Lorsque vous définissez la valeur sur 1, le plug-in VPN essaie d’abord la mise à jour non sécurisée du DNS. Si la mise à jour DNS non sécurisée échoue, le plug-in VPN essaie la mise à jour DNS sécurisée.
- Pour essayer uniquement la mise à jour sécurisée du DNS, vous pouvez définir la valeur sur 2.
Pour plus d’informations sur la configuration de ces boutons, reportez-vous à la section https://support.citrix.com/article/CTX200243.
Configuration des pools d’adresses pour un utilisateur, un groupe ou un serveur virtuel
- Dans l’utilitaire de configuration, dans le volet de navigation, développez NetScaler Gateway, effectuez l’une des opérations suivantes :
- Développez NetScaler Gateway User Administration, puis cliquez sur AAA Users.
- DéveloppezNetScaler Gateway>Administration des utilisateurs, puis cliquez sur Groupes AAA.
- DéveloppezNetScaler Gateway, puis cliquez sur Serveurs virtuels.
- Dans le volet d’informations, cliquez sur un utilisateur, un groupe ou un serveur virtuel, puis cliquez sur Ouvrir.
- Sous l’onglet IP Intranet, dans Adresse IP et masque de réseau, tapez l’adresse IP et le masque de sous-réseau, puis cliquez sur Ajouter.
- Répétez l’étape 3 pour chaque adresse IP que vous souhaitez ajouter au pool, puis cliquez sur OK.
Configuration des pools d’adresses à l’échelle
- Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway, puis cliquez sur Paramètres globaux.
- Dans le volet de détails, sous IP de l’intranet, cliquez sur Pour attribuer une adresse IP statique unique ou un pool d’adresses IP à utiliser par toutes les sessions client NetScaler Gateway, configurez les adresses IP de l’intranet.
- Dans la boîte de dialogue Liaison des adresses IP intranet, cliquez sur Action, puis sur Insérer.
- Dans Adresse IP et masque de réseau, tapez l’adresse IP et le masque de sous-réseau, puis cliquez sur Ajouter.
- Répétez les étapes 3 et 4 pour chaque adresse IP que vous souhaitez ajouter au pool, puis cliquez sur OK.
Définir les options du pool d’adresses
Vous pouvez utiliser une stratégie de session ou les paramètres globaux de NetScaler Gateway pour contrôler si des adresses IP intranet sont attribuées au cours d’une session utilisateur. La définition des options du pool d’adresses vous permet d’attribuer des adresses IP intranet à NetScaler Gateway, tout en désactivant l’utilisation des adresses IP intranet pour un groupe d’utilisateurs particulier.
Vous pouvez configurer des pools d’adresses à l’aide d’une stratégie de session de l’une des trois manières suivantes :
-
Nospillover
- Lorsque vous configurez des pools d’adresses pour l’adresse IP intranet, vous obtenez une session avec une adresse IP disponible à partir du pool. Pour les utilisateurs qui ont utilisé toutes les adresses IP intranet disponibles, la page Transfer Logon apparaît. - Spillover - Lorsque vous configurez des pools d’adresses et que l’adresse IP mappée est utilisée comme adresse IP intranet, l’adresse IP mappée est utilisée pour les utilisateurs qui ont utilisé toutes les adresses IP intranet disponibles.
- Désactivé : les poolsd’adresses ne sont pas configurés.
Remarque :
Si l’adresse IP mappée n’est pas configurée, SNIP est utilisé.
Pour définir des pools d’adresses
- Dans l’utilitaire de configuration, sous l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway > Policies,puis cliquez sur Session.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Configuration réseau, cliquez sur Avancé.
- En regard de l’adresse IP intranet, cliquez sur Remplacer l’adresse globale, puis sélectionnez une option.
- Si vous sélectionnez DÉBORDEMENT à l’étape 9, en regard de IP mappée, cliquez sur Override Global, sélectionnez le nom d’hôte de l’appliance, cliquez sur OK, puis cliquez sur Créer.
- Dans la boîte de dialogue Créer une stratégie de session, créez une expression. Cliquez sur Créer, puis sur Fermer.
Configurer la page Transfer Logon
Si un utilisateur ne dispose pas d’adresse IP intranet et essaie ensuite d’établir une autre session avec NetScaler Gateway, la page Transfer Logon apparaît. La page Transfer Logon permet aux utilisateurs de remplacer leur session NetScaler Gateway existante par une nouvelle session.
La page Transfer Logon peut également être utilisée si la demande de fermeture de session est perdue ou si l’utilisateur n’effectue pas une fermeture de session complète. Par exemple :
- Une adresse IP intranet statique est attribuée à un utilisateur et possède déjà une session NetScaler Gateway. Si l’utilisateur essaie d’établir une deuxième session à partir d’un autre appareil, la page Transfer Logon apparaît et l’utilisateur peut transférer la session vers le nouvel appareil.
- Un utilisateur se voit attribuer cinq adresses IP intranet et dispose de cinq sessions via NetScaler Gateway. Si l’utilisateur essaie d’établir une sixième session, la page Transfer Logon apparaît et l’utilisateur peut choisir de remplacer une session existante par une nouvelle session.
Remarques :
Si aucune adresse IP attribuée à l’utilisateur n’est disponible et qu’une nouvelle session ne peut donc pas être établie, un message d’erreur s’affiche.
Citrix Secure Access pour Android 23.12.1 et versions ultérieures prennent en charge la fonctionnalité de connexion par transfert de NetScaler Gateway en mode VPN Always On.
La page Transfer Logon apparaît uniquement si vous configurez des pools d’adresses et désactivez le spillover.
Configurer un suffixe DNS
Lorsqu’un utilisateur se connecte à NetScaler Gateway et se voit attribuer une adresse IP, un enregistrement DNS pour la combinaison nom d’utilisateur et adresse IP est ajouté au cache DNS de NetScaler Gateway. Vous pouvez configurer un suffixe DNS à ajouter au nom d’utilisateur lorsque l’enregistrement DNS est ajouté au cache. Cela permet aux utilisateurs d’être référencés par le nom DNS, ce qui peut être plus facile à mémoriser qu’une adresse IP. Lorsque l’utilisateur se déconnecte de NetScaler Gateway, l’enregistrement est supprimé du cache DNS.
Pour configurer un suffixe DNS
- Dans l’utilitaire de configuration, sous l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway > Policies,puis cliquez sur Session.
- Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez une stratégie de session, puis cliquez sur Ouvrir.
- À côté de Demander un profil, cliquez sur Modifier.
- Dans l’onglet Configuration réseau, cliquez sur Avancé.
- À côté de Suffixe DNS IP de l’intranet, cliquez sur Override Global, saisissez le suffixe DNS, puis cliquez trois fois sur OK.