Gateway

始终启用

NetScaler Gateway 的“始终开启”功能可确保用户始终连接到企业网络。这种持久的 VPN 连接是通过自动建立 VPN 通道来实现的。

注意

始终开启功能支持 NetScaler 12.0 Build 51.24 及更高版本的强制门户。

何时使用“始终开启”

当您需要根据用户位置提供无缝 VPN 连接并且必须阻止未连接到 VPN 的用户访问网络时,请使用“始终开启”。  

以下场景说明了始终开机的用法。  

  • 员工在企业网络之外启动笔记本电脑,需要帮助才能建立 VPN 连接。 解决方案: 当笔记本电脑在企业网络外部启动时,Always Oon 无缝建立通道并提供 VPN 连接。
  • 使用 VPN 连接的员工进入企业网络。员工已切换到企业网络,但仍保持连接到 VPN 通道,这不是理想的状态。 解决方案: 当员工进入企业网络时,Always Oon 会拆除 VPN 通道并将员工无缝切换到企业网络。
  • 员工移出企业网络并关闭笔记本电脑(而不是关闭)。员工在笔记本电脑上恢复工作时需要帮助来建立 VPN 连接。 解决方案: 当员工移出企业网络时,Always On 会无缝建立通道并提供 VPN 连接。
  • 企业希望在用户未连接到 VPN 通道时规范向其提供的网络访问权限。 解决方案: 根据配置,始终开启会限制访问,允许用户仅访问网关网络。

了解永远在用的框架

Always Oon 会自动将用户连接到客户端之前建立的 VPN 通道。当用户首次需要 VPN 通道时,用户必须连接到 NetScaler Gateway URL 并建立通道。将 Always Oon 配置下载到客户端后,此配置将推动随后建立通道。

Citrix Secure Access 客户端可执行文件始终在客户端计算机上运行。当用户登录或网络发生变化时,Citrix Secure Access 客户端会确定用户笔记本电脑是否在企业网络上。根据位置和配置,Citrix Secure Access 客户端要么建立通道,要么拆除现有通道。

只有在用户登录到计算机后,才会启动通道建立。Citrix Secure Access 客户端使用客户端计算机的凭据向网关服务器进行身份验证,并尝试建立通道。

自动重建通道

当 NetScaler Gateway 关闭 VPN 通道时,会触发通道的自动重建。

注意

当端点分析失败时,NetScaler Gateway 客户端不会重新尝试建立通道,但会显示错误消息。如果身份验证失败,NetScaler Gateway 客户端会提示用户输入凭据。

支持无缝建立通道的用户验证方法

支持的用户身份验证方法如下:

  • 用户名 + AD 密码:如果使用 Windows 用户名和密码进行身份验证,Citrix Secure Access 客户端将使用这些凭据无缝建立通道。
  • 用户证书:如果使用用户证书进行身份验证并且客户端上只有一个证书,则 Citrix Secure Access 客户端将使用此证书无缝建立通道。如果安装了多个客户端证书,则在用户选择首选证书后建立通道。Citrix Secure Access 客户端将此首选证书用于以后的通道。

    如果智能卡共享用户证书,则与存储中存在的证书相比,如果证书是动态安装在存储区中的,则无法实现自动登录。

  • 用户证书和用户名 + AD 密码:此身份验证方法是前面描述的身份验证方法的组合。

注意

支持所有其他身份验证机制,但通道建立对于任何其他身份验证方法都不是无缝的。

始终开启的配置要求

企业管理员必须对受管设备强制执行以下操作:

  • 用户不能结束特定配置的进程/服务
  • 用户必须无法卸载软件包以进行特定配置
  • 用户必须无法更改特定的注册表项

注意

如果用户具有管理权限,则该功能可能无法按预期运行,例如非托管设备。

启用始终开启功能时的注意事项

在启用始终开启功能之前,请查看以下部分。

主要网络访问:建立通道后,将根据拆分通道配置确定到企业网络的流量。没有提供其他配置来覆盖此行为。

客户端计算机的代理设置:连接到网关服务器时会忽略客户端计算机的代理设置。

注意

不会忽略 NetScaler 设备的代理配置。只有客户端计算机的代理设置会被忽略。系统上配置了代理的用户会收到通知,说明 VPN 插件已忽略其代理设置。

配置始终开启

要配置始终开启,请在 NetScaler Gateway 设备上创建始终在线配置文件并应用该配置文件。

要创建“始终在线”配置文件:

  1. 在 NetScaler GUI 中,导航到 配置 > NetScaler Gateway > 策略 > AlwaysOn。
  2. AlwaysOn 配置文件 页面上,单击 添加
  3. 在“创建 AlwaysOn 配置文件”页面上,输入以下详细信息:
    • 名称 — 配置文件的名称。
    • **基于位置的 VPN(客户端注册表名称:LocationDetection)— 选择以下设置之一:
      • 远程 ,使客户端能够检测其是否在企业网络中,如果不在企业网络中,则建立通道。远程是默认设置。
      • 无论客户身在何 ,都可以让客户跳过位置检测并建立通道
    • 客户端控制 — 选择以下设置之一:
      • 拒绝以防止用户注销并连接到另一个网关。“拒绝”是默认设置。
      • 允许允许 用户注销并连接到另一个网关。
    • VPN 时的网络访问失败(客户端注册表名称:AlwaysOn) — 选择以下设置之一:
      • 完全访问权限 :在通道未建立时允许网络流量进出客户端。完全访问权限是默认设置。
      • 仅限于 Tor Gateway ,用于在通道未建立时防止网络流量流入或流出客户端。但是,允许进出网关 IP 地址的流量。

        注意: 在“仅到网关”模式下,只有虚拟服务器、DNS 和 DHCP 流量会被解除阻止。要取消阻止其他网站、IP 地址范围或 IP 地址,必须使用分号分隔的 FQDN、IP 地址范围或 IP 地址列表来设置 AlwaysOnAllowlist 注册表。 例如,mycompany.com,mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. 单击创建完成配置文件的创建。

要应用“始终在线”配置文件:

  1. 在 NetScaler 界面中,选择 配置 > NetScaler Gateway > 全局设置
  2. 在“全局设置”页面上,单击“更改全局设置”链接,然后选择“客户端体验”选项卡。
  3. AlwaysOn 配置文件名称 下拉菜单中,选择新创建的配置文件,然后单击 确定

注意: 可以在会话配置文件中进行类似的配置,以便在组级别、服务器杠杆或用户级别应用策略。

关于 IIP 的说明

机器级通道使用基于证书的身份验证,创建的会话将证书的公用名作为用户名。因此,如果设备证书具有唯一的公用名,则不同计算机的会话具有不同的用户名,因此具有不同的 IIP。确保生成具有唯一名称的设备证书。理想情况下,必须使用计算机名称作为设备证书的公用名。

管理员用户和非管理员用户不同配置的行为摘要

下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响Always On 功能。

networkAccessONVPNFailure 客户端控制 非管理员用户 管理员用户
fullaccess 允许 通道会自动建立。用户可以注销并远离网络。用户还可以指向另一个 NetScaler Gateway。 通道会自动建立。用户可以注销并远离企业网络。用户还可以指向另一个 NetScaler Gateway。
fullaccess 拒绝 通道会自动建立。用户无法注销或指向另一个 NetScaler Gateway。 通道会自动建立。用户可以卸载 Citrix Secure Access 客户端或移至另一个 NetScaler Gateway。
onlyToGateway 允许 通道会自动建立。用户可以注销(没有网络访问权限)。用户还可以指向另一个 NetScaler Gateway,在这种情况下,该访问权限仅授予新指向的 NetScaler Gateway。 通道会自动建立。用户可以卸载 Citrix Secure Access 客户端或移至另一个 NetScaler Gateway。
onlyToGateway 拒绝 通道会自动建立。用户无法注销或指向另一个 NetScaler Gateway。 通道会自动建立。用户可以卸载 Citrix Secure Access 客户端或移至另一个 NetScaler Gateway。

“始终打开”关闭时允许选定的 URL

即使 Always ON 关闭且网络已锁定,用户也可以访问一些网站。管理员可以使用 AlwaysOnAllowlist 注册表添加您希望在 AlwaysOnAllowlist 关闭时启用访问权限的网站。

注意:

  • 13.0 版本 47.x 及更高版本支持 AlwaysOnAllowlist 注册表。
  • AlwaysOnAllowlist 注册表位置是 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client。
  • AlwaysOnAllowlist 注册表中不支持通配符 URL/FQDN。

设置 AlwaysOnAllowlist 注册表

使用分号分隔的要允许访问的 FQDN、IP 地址范围或 IP 地址列表设置 AlwaysOnAllowlist 注册表。

例:例如.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

下图显示了一个示例 AlwaysOnAllowlist 注册表。

`Alwaysonwhitelist-registry`

始终启用