Gateway

Always On

Die Funktion Always On von NetScaler Gateway stellt sicher, dass Benutzer immer mit dem Unternehmensnetzwerk verbunden sind. Diese dauerhafte VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels erreicht.

Hinweis

Always On-Funktion unterstützt Captive-Portale für NetScaler 12.0 Build 51.24 und höher.

Wann sollte Always On verwendet werden

Verwenden Sie Always On, wenn Sie eine nahtlose VPN-Konnektivität basierend auf dem Benutzerstandort bereitstellen und den Netzwerkzugriff eines Benutzers verhindern müssen, der nicht mit einem VPN verbunden ist.  

Die folgenden Szenarien veranschaulichen die Verwendung von Always On.  

  • Ein Mitarbeiter startet den Laptop außerhalb des Unternehmensnetzwerks und benötigt Unterstützung beim Aufbau der VPN-Konnektivität.
    Lösung: Wenn der Laptop außerhalb des Unternehmensnetzwerks gestartet wird, richtet Always On nahtlos einen Tunnel ein und bietet VPN-Konnektivität.
  • Ein Mitarbeiter, der VPN-Konnektivität nutzt, wechselt ins Unternehmensnetzwerk. Der Mitarbeiter wird auf ein Unternehmensnetzwerk umgestellt, bleibt jedoch mit dem VPN-Tunnel verbunden, was kein wünschenswerter Zustand ist.
    Lösung: Wenn der Mitarbeiter in das Unternehmensnetzwerk wechselt, reißt Always On den VPN-Tunnel ab und schaltet den Mitarbeiter nahtlos in das Unternehmensnetzwerk um.
  • Ein Mitarbeiter bewegt sich außerhalb des Unternehmensnetzwerks und schließt den Laptop (nicht heruntergefahren). Der Mitarbeiter benötigt Unterstützung beim Aufbau der VPN-Konnektivität, wenn er die Arbeit am Laptop wieder aufnimmt.
    Lösung: Wenn der Mitarbeiter das Unternehmensnetzwerk verlässt, baut Always On nahtlos einen Tunnel auf und stellt VPN-Konnektivität bereit.
  • Ein Unternehmen möchte den Netzwerkzugriff regulieren, der seinen Benutzern gewährt wird, wenn sie nicht mit einem VPN-Tunnel verbunden sind.
    Lösung: Je nach Konfiguration schränkt Always On den Zugriff ein, sodass Benutzer nur auf das Gateway-Netzwerk zugreifen können.

Das Always On Framework verstehen

Always On verbindet einen Benutzer automatisch mit einem VPN-Tunnel, den der Client zuvor eingerichtet hat. Das erste Mal, wenn der Benutzer einen VPN-Tunnel benötigt, muss der Benutzer eine Verbindung zur NetScaler Gateway-URL herstellen und den Tunnel einrichten. Nachdem die Always On Konfiguration auf den Client heruntergeladen wurde, treibt diese Konfiguration den nachfolgenden Aufbau des Tunnels voran.

Die ausführbare Datei des Citrix Secure Access Clients wird immer auf dem Client-Computer ausgeführt. Wenn sich der Benutzer anmeldet oder sich das Netzwerk ändert, bestimmt der Citrix Secure Access Client, ob sich der Benutzer-Laptop im Unternehmensnetzwerk befindet. Je nach Standort und Konfiguration richtet der Citrix Secure Access Client entweder einen Tunnel ein oder reißt einen vorhandenen Tunnel ab.

Der Tunnelaufbau wird erst eingeleitet, nachdem sich der Benutzer am Computer anmeldet. Der Citrix Secure Access Client verwendet die Anmeldeinformationen des Client-Computers, um sich beim Gatewayserver zu authentifizieren, und versucht, einen Tunnel einzurichten.

Automatischer Wiedereinbau eines Tunnels

Die automatische Wiederherstellung eines Tunnels wird ausgelöst, wenn ein VPN-Tunnel von NetScaler Gateway abgerissen wird.

Hinweis

Wenn die Endpunktanalyse fehlschlägt, versucht der NetScaler Gateway-Client nicht erneut den Tunnelaufbau, zeigt jedoch eine Fehlermeldung an. Wenn ein Authentifizierungsfehler auftritt, fordert der NetScaler Gateway-Client den Benutzer zur Eingabe von Anmeldeinformationen auf.

Unterstützte Benutzerauthentifizierungsmethoden für nahtlosen Tunnelaufbau

Die unterstützten Benutzerauthentifizierungsmethoden lauten wie folgt:

  • Benutzername + AD-Kennwort: Wenn der Windows-Benutzername und das Kennwort für die Authentifizierung verwendet werden, richtet der Citrix Secure Access Client den Tunnel mithilfe dieser Anmeldeinformationen nahtlos ein.
  • Benutzerzertifikat: Wenn ein Benutzerzertifikat für die Authentifizierung verwendet wird und nur ein Zertifikat auf der Clientmaschine vorhanden ist, baut der Citrix Secure Access Client mithilfe dieses Zertifikats nahtlos einen Tunnel auf. Wenn mehrere Clientzertifikate installiert sind, wird der Tunnel eingerichtet, nachdem der Benutzer das bevorzugte Zertifikat ausgewählt hat. Der Citrix Secure Access Client verwendet dieses bevorzugte Zertifikat für spätere Tunnel.

    Wenn die Smartcards ein Benutzerzertifikat gemeinsam nutzen, kann die automatische Anmeldung nicht erreicht werden, wenn die Zertifikate im Speicher im Vergleich zu den im Speicher vorhandenen Zertifikaten dynamisch installiert werden.

  • Benutzerzertifikat und Benutzername + AD-Kennwort: Diese Authentifizierungsmethode ist die Kombination zuvor beschriebener Authentifizierungsmethoden.

Hinweis

Alle anderen Authentifizierungsmechanismen werden unterstützt, aber der Tunnelaufbau ist für keine anderen Authentifizierungsmethoden nahtlos.

Konfigurationsanforderungen für AlwaysOn

Der Unternehmensadministrator muss für die verwalteten Geräte Folgendes durchsetzen:

  • Der Benutzer darf den Prozess/Dienst für eine bestimmte Konfiguration nicht beenden können
  • Der Benutzer darf das Paket für eine bestimmte Konfiguration nicht deinstallieren können
  • Der Benutzer darf bestimmte Registrierungseinträge nicht ändern können

Hinweis

Die Funktion funktioniert möglicherweise nicht wie erwartet, wenn der Benutzer über Administratorrechte verfügt, wie bei nicht verwalteten Geräten.

Überlegungen beim Aktivieren der AlwaysOn Funktion

Lesen Sie den folgenden Abschnitt, bevor Sie die Funktion Always On aktivieren.

Primärer Netzwerkzugriff: Wenn der Tunnel eingerichtet ist, wird der Verkehr zum Unternehmensnetzwerk basierend auf der Split-Tunnelkonfiguration festgelegt. Andere Konfigurationen sind nicht vorgesehen, um dieses Verhalten außer Kraft zu setzen.

Proxy-Einstellungen des Clientcomputers: Proxy-Einstellungen des Clientcomputers werden für die Verbindung mit dem Gateway-Server ignoriert.

Hinweis

Die Proxykonfiguration der NetScaler Appliance wird nicht ignoriert. Nur die Proxy-Einstellungen des Clientcomputers werden ignoriert. Benutzer, die einen Proxy auf ihren Systemen konfiguriert haben, werden benachrichtigt, dass das VPN-Plug-In ihre Proxy-Einstellungen ignoriert hat.

Konfigurieren von Always On

Erstellen Sie zum Konfigurieren von Always On ein Alwayson-Profil auf dem NetScaler Gateway-Gerät und wenden Sie das Profil an.

So erstellen Sie ein Alwayson-Profil:

  1. Navigieren Sie in der NetScaler GUI zu Konfiguration > NetScaler Gateway > Richtlinien > AlwaysOn.
  2. Klicken Sie auf der Seite AlwaysOn-Profile auf Hinzufügen.
  3. Geben Sie auf der Seite „ AlwaysOn-Profil erstellen “ die folgenden Details ein:
    • Name — Der Name für Ihr Profil.
    • **Standortbasiertes VPN (clientseitiger Registrierungsname: LocationDetection) — Wählen Sie eine der folgenden Einstellungen aus:
      • Remote, damit ein Client erkennen kann, ob er sich im Unternehmensnetzwerk befindet, und den Tunnel einrichten kann, wenn nicht im Unternehmensnetzwerk. Remote ist die Standardeinstellung.
      • Überall, um einen Kunden die Standorterkennung überspringen zu lassen und den Tunnel einzurichten, unabhängig vom Standort des Kunden
    • Clientsteuerung — Wählen Sie eine der folgenden Einstellungen aus:
      • Verweigern, um zu verhindern, dass sich der Benutzer abmeldet und eine Verbindung zu einem anderen Gateway herstellt. Verweigern ist die Standardeinstellung.
      • Ermöglicht es dem Benutzer, sich abzumelden und eine Verbindung zu einem anderen Gateway herzustellen.
    • Netzwerkzugriff bei VPN-Fehler (clientseitiger Registrierungsname: AlwaysOn) — Wählen Sie eine der folgenden Einstellungen aus:
      • Voller Zugriff, damit der Netzwerkverkehr zum und vom Client fließen kann, wenn der Tunnel nicht eingerichtet ist. Voller Zugriff ist die Standardeinstellung.
      • Nur zum Gateway, um zu verhindern, dass Netzwerkverkehr zum oder vom Client fließt, wenn der Tunnel nicht eingerichtet ist. Der Verkehr zur oder von der Gateway-IP-Adresse ist jedoch zulässig.

        Hinweis: Im Modus Nur zum Gateway werden nur der virtuelle Server, das DNS und der DHCP-Verkehr entsperrt. Um andere Websites, IP-Adressbereiche oder IP-Adressen zu entsperren, müssen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen festlegen. Zum Beispiel mycompany.com, mycdn.com, 10.120.67.0-10.120.67.255.67,67,67,67

  4. Klicke auf Erstellen, um die Erstellung deines Profils abzuschließen.

So wenden Sie das Alwayson-Profil an:

  1. Wählen Sie in der NetScaler-Schnittstelle Konfiguration > NetScaler Gateway > Globale Einstellungen aus.
  2. Klicken Sie auf der Seite Globale Einstellungen auf den Link Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.
  3. Wählen Sie im Dropdown-Menü AlwaysON-Profilname das neu erstellte Profil aus und klicken Sie auf OK.

Hinweis: Eine ähnliche Konfiguration kann im Sitzungsprofil vorgenommen werden, um die Richtlinien auf Gruppenebene, Serverhebel oder Benutzerebene anzuwenden.

Hinweis zu IIPs

Der Tunnel auf Maschinenebene verwendet die zertifikatbasierte Authentifizierung, und die erstellte Sitzung hat den allgemeinen Namen des Zertifikats als Benutzernamen. Wenn Gerätezertifikate eindeutige gemeinsame Namen haben, haben die Sitzungen verschiedener Computer unterschiedliche Benutzernamen und damit unterschiedliche IIPs. Stellen Sie sicher, dass Sie ein Gerätezertifikat mit eindeutigen Namen generieren. Im Idealfall müssen Sie Maschinennamen als allgemeinen Namen des Gerätezertifikats verwenden.

Verhaltensübersicht verschiedener Konfigurationen für Admin-Benutzer und Nicht-Admin-Benutzer

In der folgenden Tabelle wird das Verhalten für verschiedene Konfigurationen zusammengefasst. Es beschreibt auch die Möglichkeit bestimmter Benutzeraktionen, die sich auf die Always-On-Funktionalität auswirken können.

networkAccessONVPNFailure Kontrolle durch den Kunden Nicht-Admin-Benutzer Admin-Benutzer
fullaccess Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Netzwerk fernbleiben. Der Benutzer kann auch auf ein anderes NetScaler Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Unternehmensnetzwerk fernhalten. Der Benutzer kann auch auf ein anderes NetScaler Gateway verweisen.
fullaccess Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes NetScaler Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Secure Access Client deinstallieren oder zu einem anderen NetScaler Gateway wechseln.
onlyToGateway Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden (kein Netzwerkzugriff). Der Benutzer kann auch auf ein anderes NetScaler Gateway verweisen. In diesem Fall wird der Zugriff nur auf das neu gerichtete NetScaler Gateway gewährt. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Secure Access Client deinstallieren oder zu einem anderen NetScaler Gateway wechseln.
onlyToGateway Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes NetScaler Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann den Citrix Secure Access Client deinstallieren oder zu einem anderen NetScaler Gateway wechseln.

Ausgewählte URLs zulassen, wenn “Immer ein” nicht aktiviert ist

Benutzer können auf einige Websites zugreifen, selbst wenn Always On nicht verfügbar ist und das Netzwerk gesperrt ist. Administratoren können die AlwaysOnAllowList-Registrierung verwenden, um die Websites hinzuzufügen, auf die Sie Zugriff gewähren möchten, wenn Always On nicht verfügbar ist.

Hinweis:

  • Die AlwaysOnAllowList-Registrierung wird ab Version 13.0 Build 47.x und höher unterstützt.
  • Der AlwaysOnAllowList-Registrierungsspeicherort ist Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client.
  • Platzhalter-URLs/FQDNs werden in der AlwaysOnAllowList-Registrierung nicht unterstützt.

So legen Sie die AlwaysOnAllowlist-Registrierung fest

Legen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen fest, auf die Sie Zugriff gewähren möchten.

Beispiel: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

Die folgende Abbildung zeigt ein Beispiel für eine AlwaysOnAllowlist-Registrierung.

`Alwaysonwhitelist-registry`