Gateway

Always On

La fonctionnalité Always On de NetScaler Gateway garantit que les utilisateurs sont toujours connectés au réseau de l’entreprise. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN.

Remarque

La fonctionnalité Always On prend en charge les portails captifs pour NetScaler 12.0 Build 51.24 et versions ultérieures.

Quand utiliser Always On

Utilisez Always On lorsque vous devez fournir une connectivité VPN transparente en fonction de l’emplacement de l’utilisateur et que vous devez empêcher l’accès au réseau d’un utilisateur qui n’est pas connecté à un VPN.  

Les scénarios suivants illustrent l’utilisation de Always On.  

  • Un employé démarre l’ordinateur portable en dehors du réseau de l’entreprise et a besoin d’aide pour établir la connectivité VPN.
    Solution : Lorsque l’ordinateur portable est démarré en dehors du réseau de l’entreprise, Always On établit un tunnel de manière transparente et fournit une connectivité VPN.
  • Un employé utilisant la connectivité VPN se déplace vers le réseau de l’entreprise. L’employé passe à un réseau d’entreprise mais reste connecté au tunnel VPN, ce qui n’est pas un état souhaitable.
    Solution : Lorsque l’employé se connecte au réseau de l’entreprise, Always On supprime le tunnel VPN et le transfère facilement vers le réseau de l’entreprise.
  • Un employé quitte le réseau de l’entreprise et ferme l’ordinateur portable (sans l’éteindre). L’employé a besoin d’aide pour établir la connectivité VPN lors de la reprise du travail sur l’ordinateur portable.
    Solution : Lorsque l’employé quitte le réseau de l’entreprise, Always On établit facilement un tunnel et fournit une connectivité VPN.
  • Une entreprise souhaite réglementer l’accès réseau fourni à ses utilisateurs lorsqu’ils ne sont pas connectés à un tunnel VPN.
    Solution : Selon la configuration, Always On limite l’accès, ce qui permet aux utilisateurs d’accéder uniquement au réseau de passerelle.

Comprendre le framework Always On

Always On connecte automatiquement un utilisateur à un tunnel VPN que le client a précédemment établi. La première fois que l’utilisateur a besoin d’un tunnel VPN, il doit se connecter à l’URL de NetScaler Gateway et établir le tunnel. Une fois la configuration Always On téléchargée sur le client, cette configuration entraîne l’établissement ultérieur du tunnel.

L’exécutable du client Citrix Secure Access est toujours en cours d’exécution sur l’ordinateur client. Lorsque l’utilisateur ouvre une session ou que le réseau change, le client Citrix Secure Access détermine si l’ordinateur portable de l’utilisateur se trouve sur le réseau de l’entreprise. Selon l’emplacement et la configuration, le client Citrix Secure Access établit un tunnel ou détruit un tunnel existant.

L’établissement du tunnel n’est lancé qu’une fois que l’utilisateur ouvre une session sur l’ordinateur. Le client Citrix Secure Access utilise les informations d’identification de l’ordinateur client pour s’authentifier auprès du serveur de passerelle et tente d’établir un tunnel.

Rétablissement automatique d’un tunnel

Le rétablissement automatique d’un tunnel est déclenché lorsqu’un tunnel VPN est détruit par NetScaler Gateway.

Remarque

Lorsque l’analyse des points de terminaison échoue, le client NetScaler Gateway ne tente pas à nouveau d’établir un tunnel, mais affiche un message d’erreur. En cas d’échec de l’authentification, le client NetScaler Gateway invite l’utilisateur à entrer ses informations d’identification.

Méthodes d’authentification utilisateur prises en charge pour un établissement de tunnel transparent

Les méthodes d’authentification utilisateur prises en charge sont les suivantes :

  • Nom d’utilisateur et mot de passe AD : si le nom d’utilisateur et le mot de passe Windows sont utilisés pour l’authentification, le client Citrix Secure Access établit facilement le tunnel à l’aide de ces informations d’identification.
  • Certificat utilisateur : si un certificat utilisateur est utilisé pour l’authentification et qu’il n’existe qu’un seul certificat sur la machine cliente, le client Citrix Secure Access établit un tunnel en toute transparence à l’aide de ce certificat. Si plusieurs certificats clients sont installés, le tunnel est établi une fois que l’utilisateur a sélectionné le certificat préféré. Le client Citrix Secure Access utilise ce certificat préféré pour les tunnels ultérieurs.

    Si les cartes à puce partagent un certificat utilisateur, l’auto-connexion ne peut pas être réalisée si les certificats sont installés dynamiquement dans le magasin par rapport aux certificats présents dans le magasin.

  • Certificat utilisateur et nom d’utilisateur/mot de passe AD : Cette méthode d’authentification est la combinaison des méthodes d’authentification décrites précédemment.

Remarque

Tous les autres mécanismes d’authentification sont pris en charge, mais l’établissement du tunnel n’est pas transparent pour les autres méthodes d’authentification.

Configuration requise pour Always On

L’administrateur de l’entreprise doit appliquer les éléments suivants pour les appareils gérés :

  • L’utilisateur ne doit pas être en mesure de mettre fin au processus/service pour une configuration spécifique
  • L’utilisateur ne doit pas pouvoir désinstaller le package pour une configuration spécifique
  • L’utilisateur ne doit pas pouvoir modifier des entrées de registre spécifiques

Remarque

La fonctionnalité peut ne pas fonctionner comme prévu si l’utilisateur dispose de privilèges d’administration, comme dans le cas des appareils non gérés.

Considérations relatives à l’activation de la fonction Toujours

Consultez la section suivante avant d’activer la fonction Always On.

Accès réseau principal : Lorsque le tunnel est établi, le trafic vers le réseau d’entreprise est décidé en fonction de la configuration du tunnel partagé. D’autres configurations ne sont pas fournies pour remplacer ce comportement.

Paramètres proxy de la machine cliente : Les paramètres proxy de la machine cliente sont ignorés pour la connexion au serveur de passerelle.

Remarque

La configuration du proxy de l’appliance NetScaler n’est pas ignorée. Seuls les paramètres proxy de la machine cliente sont ignorés. Les utilisateurs qui ont un proxy configuré sur leurs systèmes sont informés que le plug-in VPN a ignoré leurs paramètres de proxy.

Configuration d’Always On

Pour configurer Always On, créez un profil Always On sur l’appliance NetScaler Gateway et appliquez le profil.

Pour créer un profil Always On :

  1. Dans l’interface graphique de NetScaler, accédez à Configuration > NetScaler Gateway > Policies> AlwaysOn.
  2. Sur la page Profils AlwaysOn, cliquez sur Ajouter.
  3. Sur la page Créer un profil AlwaysOn, entrez les informations suivantes :
    • Nom : nom de votre profil.
    • **VPN basé sur la localisation (nom de registre côté client : LocationDetection) : sélectionnez l’un des paramètres suivants :
      • À distance pour permettre à un client de détecter s’il se trouve dans le réseau d’entreprise et d’établir le tunnel s’il n’est pas dans le réseau d’entreprise. Remote est le paramètre par défaut.
      • Partout pour permettre à un client d’ignorer la détection de localisation et d’établir le tunnel, quel que soit l’emplacement du client
    • Contrôle du client : sélectionnez l’un des paramètres suivants :
      • Refuserpour empêcher l’utilisateur de se déconnecter et de se connecter à une autre passerelle. Refuser est le paramètre par défaut.
      • Permet à l’utilisateur de se déconnecter et de se connecter à une autre passerelle.
    • Accès réseau en cas d’échec VPN (nom de registre côté client : AlwaysOn) — Sélectionnez l’un des paramètres suivants :
      • Accès complet pour permettre au trafic réseau de circuler vers et depuis le client lorsque le tunnel n’est pas établi. L’accès intégral est le paramètre par défaut.
      • Seulement vers passerelle pour empêcher le trafic réseau de circuler vers ou depuis le client lorsque le tunnel n’est pas établi. Toutefois, le trafic à destination ou en provenance de l’adresse IP de la passerelle est autorisé.

        Remarque : En mode Uniquement vers passerelle, seul le serveur virtuel, le trafic DNS et DHCP sont débloqués. Pour débloquer d’autres sites Web, des plages d’adresses IP ou des adresses IP, vous devez définir le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules. Par exemple, mycompany.com,mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. Cliquez sur Créer pour terminer la création de votre profil.

Pour appliquer le profil Always On :

  1. Dans l’interface NetScaler, sélectionnez Configuration > NetScaler GatewayParamètres généraux.
  2. Sur la page Paramètres globaux, cliquez sur le lien Modifier les paramètres globaux, puis sélectionnez l’onglet Expérience client.
  3. Dans le menu déroulant Nom du profil AlwaysOn, sélectionnez le profil que vous venez de créer, puis cliquez sur OK.

Remarque : Une configuration similaire peut être effectuée dans le profil de session pour appliquer les stratégies au niveau du groupe, au niveau du serveur ou au niveau de l’utilisateur.

Note sur les IIP

Le tunnel au niveau de la machine utilise l’authentification basée sur les certificats et la session créée porte le nom commun du certificat en tant que nom d’utilisateur. Ainsi, si les certificats de périphériques ont des noms communs uniques, les sessions des machines différentes ont un nom d’utilisateur différent et donc des adresses IP différentes. Assurez-vous de générer un certificat d’appareil avec des noms uniques. Idéalement, vous devez utiliser des noms de machines comme nom commun du certificat de périphérique.

Résumé du comportement des différentes configurations pour les utilisateurs administrateurs et les utilisateurs non administrateurs

Le tableau suivant récapitule le comportement des différentes configurations. Il détaille également la possibilité que certaines actions de l’utilisateur puissent affecter la fonctionnalité Always On.

networkAccessONVPNFailure Contrôle des clients Utilisateur non administrateur Utilisateur administrateur
fullaccess Allow Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau. L’utilisateur peut également pointer vers un autre NetScaler Gateway. Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau d’entreprise. L’utilisateur peut également pointer vers un autre NetScaler Gateway.
fullaccess Deny Le tunnel est automatiquement établi. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre NetScaler Gateway. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Secure Access ou passer à un autre NetScaler Gateway.
onlyToGateway Allow Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session (pas d’accès réseau). L’utilisateur peut également pointer vers un autre NetScaler Gateway, auquel cas l’accès est accordé uniquement au NetScaler Gateway nouvellement pointé. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Secure Access ou passer à un autre NetScaler Gateway.
onlyToGateway Deny Le tunnel est automatiquement établi. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre NetScaler Gateway. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Secure Access ou passer à un autre NetScaler Gateway.

Autorisation des URL sélectionnées lorsque l’option Always On est en panne

Les utilisateurs peuvent accéder à quelques sites Web même lorsque Always On est en panne et que le réseau est verrouillé. Les administrateurs peuvent utiliser le registre AlwaysOnAllowList pour ajouter les sites Web auxquels vous souhaitez activer l’accès lorsque l’option AlwaysOnAllowList est inactive.

Remarque :

  • Le registreAlwaysOnAllowList est pris en charge à partir des versions 13.0 build 47.x et ultérieures.
  • L’emplacement du RegistreAlwaysOnAllowList est Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ Secure Access Client.
  • Les URL/FQDN génériques ne sont pas pris en charge dans le registre AlwaysOnAllowList.

Pour définir le registre AlwaysOnAllowList

Définissez le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules auxquels vous souhaitez autoriser l’accès.

Exemple : example.citrix.com ; 10.103.184.156 ; 10.102.0.0-10.102.255.100

La figure suivante présente un exemple de registre AlwaysOnAllowList.

`Alwaysonwhitelist-registry`

Always On