Always On
La función Always On de NetScaler Gateway garantiza que los usuarios estén siempre conectados a la red empresarial. Esta conectividad VPN persistente se consigue mediante el establecimiento automático de un túnel VPN.
Nota
La función Always On admite portales cautivos para NetScaler ADC 12.0 compilación 51.24 y versiones posteriores.
Cuándo usar Always On
Utilice Always On cuando necesite proporcionar conectividad VPN fluida basada en la ubicación del usuario y tenga que impedir el acceso a la red de un usuario que no está conectado a una VPN.
En los siguientes casos se ilustra el uso de Always On.
- Un empleado inicia el portátil fuera de la red empresarial y necesita ayuda para establecer la conectividad VPN.
Solución: Cuando el portátil se inicia fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN. - Un empleado que utiliza conectividad VPN se traslada a la red empresarial. El empleado se cambia a una red empresarial pero permanece conectado al túnel VPN, lo cual no es un estado deseable.
Solución: Cuando el empleado se traslada a la red empresarial, Always On derriba el túnel VPN y cambia sin problemas al empleado a la red empresarial. - Un empleado se traslada fuera de la red empresarial y cierra el portátil (no lo apaga). El empleado necesita ayuda para establecer la conectividad VPN al reanudar el trabajo en el portátil.
Solución:Cuando el empleado se mueve fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN. - Una empresa quiere regular el acceso a la red que se proporciona a sus usuarios cuando no están conectados a un túnel VPN.
Solución: Según la configuración, Always On restringe el acceso, lo que permite a los usuarios acceder únicamente a la red de puerta de enlace.
Comprensión del marco Always On
Always On conecta automáticamente a un usuario a un túnel VPN que el cliente ha establecido previamente. La primera vez que el usuario necesita un túnel VPN, debe conectarse a la URL de NetScaler Gateway y establecer el túnel. Una vez descargada la configuración Always On en el cliente, esta configuración impulsa el establecimiento posterior del túnel.
El ejecutable del cliente de NetScaler Gateway siempre se ejecuta en el equipo cliente. Cuando el usuario inicia sesión o cambia la red, el cliente de NetScaler Gateway determina si el portátil del usuario se encuentra en la red empresarial. Según la ubicación y la configuración, el cliente de NetScaler Gateway establece un túnel o derriba un túnel existente.
El establecimiento del túnel se inicia solo después de que el usuario inicie sesión en el equipo. El cliente Citrix Gateway utiliza las credenciales de la máquina cliente para autenticarse en el servidor de puerta de enlace e intenta establecer un túnel.
Restablecimiento automático de un túnel
El restablecimiento automático de un túnel se activa cuando NetScaler Gateway derriba un túnel VPN.
Nota
En el error de End-Point Analysis, el cliente de NetScaler Gateway no vuelve a intentar establecer el túnel, pero muestra un mensaje de error. Si se produce un error de autenticación, el cliente de NetScaler Gateway solicita credenciales al usuario.
Métodos de autenticación de usuarios compatibles para establecer túneles sin problemas
Los métodos de autenticación de usuarios compatibles son los siguientes:
- Nombre de usuario + contraseña de AD: si el nombre de usuario y la contraseña de Windows se utilizan para la autenticación, el cliente de NetScaler Gateway establece el túnel sin problemas mediante estas credenciales.
-
Certificado de usuario: si se utiliza un certificado de usuario para la autenticación y solo hay un certificado en la máquina cliente, el cliente Citrix Secure Access establece un túnel sin problemas mediante este certificado. Si hay varios certificados de cliente instalados, el túnel se establece después de que el usuario haya seleccionado el certificado preferido. El cliente Citrix Secure Access usa este certificado preferido para túneles posteriores.
Si las tarjetas inteligentes comparten un certificado de usuario, no se puede lograr el inicio de sesión automático si los certificados se instalan de forma dinámica en el almacén en comparación con los certificados presentes en el almacén.
- Certificado de usuario y nombre de usuario + contraseña de AD: Este método de autenticación es la combinación de métodos de autenticación descritos anteriormente.
Nota
Se admiten todos los demás mecanismos de autenticación, pero el establecimiento del túnel no es transparente para ningún otro método de autenticación. Se requiere la intervención del usuario para todos los demás métodos de autenticación.
Requisitos de configuración para siempre activado
El administrador empresarial debe aplicar lo siguiente para los dispositivos administrados:
- El usuario no debe poder finalizar el proceso/servicio para una configuración específica
- El usuario no debe poder desinstalar el paquete para una configuración específica
- El usuario no debe poder cambiar entradas de registro específicas
Nota
Es posible que la función no funcione como se esperaba si el usuario tiene privilegios de administración, como en el caso de los dispositivos no administrados.
Consideraciones al habilitar la función Always On
Revise la siguiente sección antes de habilitar la función Siempre activado.
Acceso a la red principal: Cuando se establece el túnel, el tráfico hacia la red empresarial se decide en función de la configuración de túnel dividido. No se proporcionan otras configuraciones para anular este comportamiento.
Configuración de proxy del equipo cliente: la configuración del proxy del equipo cliente se ignora para conectarse al servidor de puerta de enlace.
Nota
No se ignora la configuración de proxy del dispositivo Citrix ADC. Solo se ignoran las configuraciones de proxy del equipo cliente. Los usuarios que tienen un proxy configurado en sus sistemas reciben una notificación de que el complemento VPN ha ignorado su configuración de proxy.
Cuando el valor de configuración se establece en «Denegar», se aplican los siguientes cambios:
- IU del cliente: las opciones de cierre de sesión y Salir del menú contextual del complemento y de la interfaz de usuario del complemento están inhabilitadas. Los usuarios no pueden cambiar la URL de la puerta de enlace.
- Inicio de sesión en el explorador: no se permite el inicio de sesión del explorador en una puerta de enlace diferente. Los controles de cliente están inhabilitados.
Configuración de Always On
Para configurar Always On, cree un perfil Always On en el dispositivo NetScaler Gateway y aplíquelo.
Para crear un perfil Always On:
- En la GUI de NetScaler ADC, vaya a Configuración > NetScaler Gateway > Directivas > AlwaysOn.
- En la página Perfiles de AlwaysOn, haga clic en Agregar.
- En la página Crear perfil de AlwaysOn, introduzca los siguientes detalles:
- Nombre: El nombre de su perfil.
- **VPN basada en ubicación (nombre del registro del lado del cliente: LocationDetection): seleccione una de las siguientes opciones:
- Remoto para permitir que un cliente detecte si está en la red empresarial y establezca el túnel si no en la red empresarial. El ajuste predeterminado es el control remoto.
- En todas partes para permitir que un cliente omita la detección de ubicación y establezca el túnel independientemente de la ubicación del cliente
-
Control de cliente: Seleccione una de las siguientes opciones:
- Denegarpara impedir que el usuario cierre la sesión y se conecte a otra puerta de enlace. Denegar es la configuración predeterminada.
- Permitir que el usuario cierre sesión y se conecte a otra puerta de enlace.
-
Error de acceso a la red en VPN (nombre del registro del lado del cliente: AlwaysOn): Seleccione una de las siguientes opciones:
- Acceso completo para permitir que el tráfico de red fluya hacia y desde el cliente cuando el túnel no está establecido. Acceso completo es la configuración predeterminada.
-
Solo a puerta de enlace para evitar que el tráfico de red fluya hacia o desde el cliente cuando el túnel no está establecido. Sin embargo, se permite el tráfico hacia o desde la dirección IP de la puerta de enlace.
Nota: En el modo Solo a puerta de enlace, solo se desbloquean el servidor virtual, el DNS y el tráfico DHCP. Para desbloquear otros sitios web, intervalos de direcciones IP o direcciones IP, debe configurar el registro AlwaysOnAllowlist con una lista separada por punto y coma de FQDN, intervalos de direcciones IP o direcciones IP. Por ejemplo, miempresa.com,micdn.com,10.120.67.0-10.120.67.255,67.67.67.67
- Haga clic en Crear para terminar de crear su perfil.
Para aplicar el perfil Always On:
- En la interfaz de NetScaler ADC, seleccione Configuración > NetScaler Gateway > Configuración global.
- En la página Configuración global, haga clic en el vínculo Cambiar configuración global y, a continuación, seleccione la ficha Experiencia del cliente.
- En el menú desplegable Nombre de perfil de AlwaysOn, seleccione el perfil recién creado y haga clic en Aceptar.
Nota
Se puede realizar una configuración similar en el perfil de sesión para aplicar las directivas a nivel de grupo, servidor o usuario.
Nota sobre los IIP
El túnel de nivel de máquina utiliza la autenticación basada en certificados y la sesión que se crea tiene el nombre común del certificado como nombre de usuario. Por lo tanto, si los certificados de dispositivo tienen nombres comunes únicos, las sesiones de diferentes máquinas tienen un nombre de usuario diferente y, por lo tanto, diferentes IIP. Asegúrese de generar un certificado de dispositivo con nombres únicos. Idealmente, debe utilizar los nombres de las máquinas como el nombre común del certificado del dispositivo.
Resumen de comportamiento de diferentes configuraciones para usuarios administradores y usuarios no administradores
En la tabla siguiente se resume el comportamiento de las distintas configuraciones. También detalla la posibilidad de que el usuario realice ciertas acciones, lo que puede afectar a la funcionalidad de Always On.
Error de acceso a la red en VPN | Control de clientes | Usuario no administrador | Usuario administrador |
---|---|---|---|
fullaccess |
Permitir | El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red. El usuario también puede apuntar a otro NetScaler Gateway. | El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red empresarial. El usuario también puede apuntar a otro NetScaler Gateway. |
fullaccess |
Negar | El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro NetScaler Gateway. | El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway. |
onlyToGateway | Permitir | El túnel se establece automáticamente. El usuario puede cerrar la sesión (sin acceso a la red). El usuario también puede apuntar a otro NetScaler Gateway, en cuyo caso, el acceso se otorga únicamente al NetScaler Gateway que acaba de apuntar. | El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway. |
onlyToGateway | Negar | El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro NetScaler Gateway. | El túnel se establece automáticamente. El usuario puede desinstalar el cliente de NetScaler Gateway o trasladarse a otro NetScaler Gateway. |
Permitir las URL seleccionadas cuando Always On está inactivo
Los usuarios pueden acceder a algunos sitios web incluso cuando Always On está inactivo y la red está bloqueada. Los administradores pueden usar el registro AlwaysOnAllowlist para agregar los sitios web a los que desea habilitar el acceso cuando AlwaysOn esté inactivo.
Nota:
- El registroAlwaysOnAllowlist se admite desde la versión 13.0 build 47.x y posteriores.
- La ubicación del registro deAlwaysOnAllowlist es Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client.
- Las URLs/FQDN comodín no se admiten en el registro AlwaysOnAllowlist.
Para establecer el registro AlwaysOnAllowlist
Configure el registro AlwaysOnAllowlist con una lista separada por punto y coma de FQDN, intervalos de direcciones IP o direcciones IP a los que desea permitir el acceso.
Ejemplo: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100
La siguiente ilustración muestra un registro de ejemplo de AlwaysOnAllowlist.