Gateway

Always On

January 26, 2024

Contribución de:

La función Always On de NetScaler Gateway garantiza que los usuarios estén siempre conectados a la red empresarial. Esta conectividad VPN persistente se consigue mediante el establecimiento automático de un túnel VPN.

Nota

La función Always On admite portales cautivos para NetScaler ADC 12.0 compilación 51.24 y versiones posteriores.

Cuándo usar Always On

Utilice Always On cuando necesite proporcionar conectividad VPN fluida basada en la ubicación del usuario y tenga que impedir el acceso a la red de un usuario que no está conectado a una VPN.

En los siguientes casos se ilustra el uso de Always On.

Un empleado inicia el portátil fuera de la red empresarial y necesita ayuda para establecer la conectividad VPN.
Solución: Cuando el portátil se inicia fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN.
Un empleado que utiliza conectividad VPN se traslada a la red empresarial. El empleado se cambia a una red empresarial pero permanece conectado al túnel VPN, lo cual no es un estado deseable.
Solución: Cuando el empleado se traslada a la red empresarial, Always On derriba el túnel VPN y cambia sin problemas al empleado a la red empresarial.
Un empleado se traslada fuera de la red empresarial y cierra el portátil (no lo apaga). El empleado necesita ayuda para establecer la conectividad VPN al reanudar el trabajo en el portátil.
Solución:Cuando el empleado se mueve fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN.
Una empresa quiere regular el acceso a la red que se proporciona a sus usuarios cuando no están conectados a un túnel VPN.
Solución: Según la configuración, Always On restringe el acceso, lo que permite a los usuarios acceder únicamente a la red de puerta de enlace.

Comprensión del marco Always On

Always On conecta automáticamente a un usuario a un túnel VPN que el cliente ha establecido previamente. La primera vez que el usuario necesita un túnel VPN, debe conectarse a la URL de NetScaler Gateway y establecer el túnel. Una vez descargada la configuración Always On en el cliente, esta configuración impulsa el establecimiento posterior del túnel.

El ejecutable del cliente de NetScaler Gateway siempre se ejecuta en el equipo cliente. Cuando el usuario inicia sesión o cambia la red, el cliente de NetScaler Gateway determina si el portátil del usuario se encuentra en la red empresarial. Según la ubicación y la configuración, el cliente de NetScaler Gateway establece un túnel o derriba un túnel existente.

El establecimiento del túnel se inicia solo después de que el usuario inicie sesión en el equipo. El cliente Citrix Gateway utiliza las credenciales de la máquina cliente para autenticarse en el servidor Gateway e intenta establecer un túnel.

Restablecimiento automático de un túnel

El restablecimiento automático de un túnel se activa cuando NetScaler Gateway derriba un túnel VPN.

Nota

En el error de End-Point Analysis, el cliente de NetScaler Gateway no vuelve a intentar establecer el túnel, pero muestra un mensaje de error. Si se produce un error de autenticación, el cliente de NetScaler Gateway solicita credenciales al usuario.

Métodos de autenticación de usuarios compatibles para establecer túneles sin problemas

Los métodos de autenticación de usuarios compatibles son los siguientes:

Nombre de usuario + contraseña de AD: si el nombre de usuario y la contraseña de Windows se utilizan para la autenticación, el cliente de NetScaler Gateway establece el túnel sin problemas mediante estas credenciales.
Certificado de usuario: si se utiliza un certificado de usuario para la autenticación y solo hay un certificado en la máquina, el cliente de NetScaler Gateway establece el túnel sin problemas mediante este certificado. Si hay varios certificados de cliente instalados, el túnel se establece después de que el usuario haya seleccionado el certificado preferido. El cliente Citrix Gateway usa esta preferencia para los próximos túneles establecidos.
Certificado de usuario y nombre de usuario + Contraseña de AD: este método de autenticación es la combinación de los métodos de autenticación descritos anteriormente.

Nota

Se admiten todos los demás mecanismos de autenticación, pero el establecimiento del túnel no es transparente para ningún otro método de autenticación. Se requiere la intervención del usuario para todos los demás métodos de autenticación.

Requisitos de configuración para siempre activado

El administrador empresarial debe aplicar lo siguiente para los dispositivos administrados:

El usuario no debe poder finalizar el proceso/servicio para una configuración específica
El usuario no debe poder desinstalar el paquete para una configuración específica
El usuario no debe poder cambiar entradas de registro específicas

Nota

Es posible que la función no funcione como se esperaba si el usuario tiene privilegios de administración, como en el caso de los dispositivos no administrados.

Consideraciones al habilitar la función Always On

Revise la siguiente sección antes de habilitar la función Siempre activado.

Acceso a la red principal: Cuando se establece el túnel, el tráfico hacia la red empresarial se decide en función de la configuración de túnel dividido. No se proporcionan configuraciones adicionales para anular este comportamiento.

Configuración de proxy del equipo cliente: la configuración del proxy del equipo cliente se ignora para conectarse al servidor de puerta de enlace.

Nota

La configuración del proxy del dispositivo NetScaler ADC no se ignora. Solo se ignoran las configuraciones de proxy del equipo cliente. Los usuarios que tienen un proxy configurado en sus sistemas reciben una notificación de que el complemento VPN ha ignorado su configuración de proxy.

Cuando el valor de configuración se establece en “Denegar”, se aplican los siguientes cambios:

IU del cliente: las opciones de cierre de sesión y Salir del menú contextual del complemento y de la interfaz de usuario del complemento están inhabilitadas. Los usuarios no pueden cambiar la URL de la puerta de enlace.
Inicio de sesión en el explorador: no se permite el inicio de sesión del explorador en una puerta de enlace diferente. Los controles de cliente están inhabilitados.

Configuración de Always On

Para configurar Always On, cree un perfil Always On en el dispositivo NetScaler Gateway y aplíquelo.

Para crear un perfil Always On:

En la GUI de NetScaler ADC, vaya a Configuración > NetScaler Gateway > Directivas > AlwaysOn.
En la página Perfiles de AlwaysOn, haga clic en Agregar .
En la página Crear perfil de AlwaysOn, introduzca los siguientes detalles:
- Nombre: El nombre de su perfil.
- VPN basada en ubicación: Seleccione una de las siguientes opciones:
  - Remotopara permitir a un cliente detectar si está o no en la red empresarial y establecer el túnel si no está en la red empresarial. Esta es la opción predeterminada.
  - En todaspartes para permitir al cliente omitir la detección de ubicación y establecer el túnel independientemente de la ubicación del cliente
- Control de cliente: Seleccione una de las siguientes opciones:
  - Denegarpara impedir que el usuario cierre la sesión y se conecte a otra puerta de enlace. Esta es la opción predeterminada.
  - Permitir que el usuario cierre la sesión y se conecte a otra puerta de enlace.
- Acceso a la red en caso de error VPN: Seleccione una de las siguientes opciones:
  - Acceso completo para permitir que el tráfico de red fluya hacia y desde el cliente cuando el túnel no está establecido. Esta es la opción predeterminada.
  - Solo a puerta de enlace para evitar que el tráfico de red fluya hacia o desde el cliente cuando el túnel no está establecido. Sin embargo, se permite el tráfico hacia o desde la dirección IP de la puerta de enlace.
Haga clic en Crear para terminar de crear su perfil.

Para aplicar el perfil Always On:

En la interfaz de NetScaler ADC, seleccione Configuración > NetScaler Gateway > Configuración global.
En la página Configuración global, haga clic en el vínculo Cambiar configuración global y, a continuación, seleccione la ficha Experiencia del cliente.
En el menú desplegable Nombre de perfil AlwaysOn, seleccione el perfil recién creado y haga clic en Aceptar.

Nota

Se puede realizar una configuración similar en el perfil de sesión para aplicar las directivas a nivel de grupo, servidor o usuario.

Nota sobre los IIP

El túnel a nivel de máquina utiliza la autenticación basada en certificados y la sesión que se crea tiene el nombre común del certificado como nombre de usuario. Por lo tanto, si los certificados de dispositivo tienen nombres comunes únicos, las sesiones de los distintos equipos tienen un nombre de usuario diferente y, por lo tanto, diferentes IIP. Asegúrese de generar un certificado de dispositivo con nombres únicos. Idealmente, debe utilizar los nombres de las máquinas como nombre común del certificado de dispositivo.

Resumen de comportamiento de diferentes configuraciones para usuarios administradores y usuarios no administradores

En la tabla siguiente se resume el comportamiento de las distintas configuraciones. También detalla la posibilidad de que el usuario realice ciertas acciones, lo que puede afectar a la funcionalidad de Always On .

Error de acceso a la red en VPN	Control de clientes	Usuario no administrador	Usuario administrador
`fullaccess`	Permitir	El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red. El usuario también puede apuntar a otro NetScaler Gateway.	El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red empresarial. El usuario también puede apuntar a otro NetScaler Gateway.
`fullaccess`	Negar	El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro NetScaler Gateway.	El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway.
onlyToGateway	Permitir	El túnel se establece automáticamente. El usuario puede cerrar la sesión (sin acceso a la red). El usuario también puede apuntar a otro NetScaler Gateway, en cuyo caso, el acceso se otorga únicamente al NetScaler Gateway que acaba de apuntar.	El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway.
onlyToGateway	Negar	El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro NetScaler Gateway.	El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

Always On

January 26, 2024

Contribución de:

January 26, 2024

Contribución de:

En este artículo

Cuándo usar Always On
Comprensión del marco Always On
Consideraciones al habilitar la función Always On
Configuración de Always On
Nota sobre los IIP