Konfigurieren der VPN-Benutzererfahrung

AlwaysON

Die AlwaysON-Funktion von Citrix Gateway stellt sicher, dass Benutzer immer mit dem Unternehmensnetzwerk verbunden sind. Diese persistente VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels erreicht.

Hinweis:

Die AlwaysON-Funktion unterstützt Captive-Portale für Citrix ADC 12.0 Build 51.24 und höher.

Wann sollte AlwaysON verwendet werden?

Verwenden Sie AlwaysON, wenn Sie eine nahtlose VPN-Konnektivität basierend auf dem Benutzerstandort bereitstellen müssen und den Netzwerkzugriff durch einen Benutzer verhindern müssen, der nicht mit einem VPN verbunden ist.  

Die folgenden Szenarien veranschaulichen die Verwendung von AlwaysON.  

  • Ein Mitarbeiter startet den Laptop außerhalb des Unternehmensnetzwerks und benötigt Unterstützung beim Aufbau einer VPN-Konnektivität.
    Lösung: Wenn der Laptop außerhalb des Unternehmensnetzwerks gestartet wird, baut AlwaysON nahtlos einen Tunnel auf und bietet VPN-Konnektivität.
  • Ein Mitarbeiter, der VPN-Konnektivität verwendet, wechselt in das Unternehmensnetzwerk. Der Mitarbeiter wird auf das Unternehmensnetzwerk umgestellt, bleibt aber mit dem VPN-Tunnel verbunden, was kein wünschenswerter Zustand ist.
    Lösung: Wenn der Mitarbeiter in das Unternehmensnetzwerk wechselt, reißt AlwaysON den VPN-Tunnel ab und schaltet den Mitarbeiter nahtlos in das Unternehmensnetzwerk um.
  • Ein Mitarbeiter bewegt sich außerhalb des Unternehmensnetzwerks und schließt den Laptop (nicht heruntergefahren). Der Mitarbeiter benötigt Unterstützung, um VPN-Konnektivität bei der Wiederaufnahme der Arbeit am Laptop herzustellen.
    **Lösung:** Wenn sich der Mitarbeiter außerhalb des Unternehmensnetzwerks bewegt, baut AlwaysON nahtlos einen Tunnel auf und stellt VPN-Konnektivität bereit.
  • Ein Unternehmen möchte den Netzwerkzugriff regeln, der seinen Benutzern zur Verfügung gestellt wird, wenn sie nicht mit einem VPN-Tunnel verbunden sind.
    Lösung: Je nach Konfiguration schränkt AlwaysON den Zugriff ein, sodass Benutzer nur auf das Gateway-Netzwerk zugreifen können.

Grundlegendes zum AlwaysON-Framework

AlwaysON verbindet einen Benutzer automatisch mit einem VPN-Tunnel, den der Client zuvor eingerichtet hat. Wenn der Benutzer zum ersten Mal einen VPN-Tunnel benötigt, muss er sich mit der Citrix Gateway-URL verbinden und den Tunnel einrichten. Nachdem die AlwaysON-Konfiguration auf den Client heruntergeladen wurde, treibt diese Konfiguration die anschließende Einrichtung des Tunnels an.

Die ausführbare Datei des Citrix Gateway-Clients wird immer auf dem Clientcomputer ausgeführt. Wenn sich der Benutzer anmeldet oder sich das Netzwerk ändert, bestimmt der Citrix Gateway-Client, ob sich das Benutzer-Laptop im Unternehmensnetzwerk befindet. Je nach Standort und Konfiguration richtet der Citrix Gateway-Client entweder einen Tunnel ein oder reißt einen vorhandenen Tunnel ab.

Der Tunnelaufbau wird erst initiiert, nachdem sich der Benutzer am Computer anmeldet. Der Citrix Gateway Client verwendet die Anmeldeinformationen des Clientcomputers zur Authentifizierung beim Gatewayserver und versucht, einen Tunnel einzurichten.

Automatische Wiederherstellung eines Tunnels

Die automatische Wiederherstellung eines Tunnels wird ausgelöst, wenn ein VPN-Tunnel von Citrix Gateway abgerissen wird.

Hinweis:

Bei Endpunktanalyse-Fehlern versucht der Citrix Gateway Client nicht die Einrichtung des Tunnels erneut, zeigt aber eine Fehlermeldung an. Wenn ein Authentifizierungsfehler auftritt, fordert der Citrix Gateway-Client den Benutzer zur Eingabe von Anmeldeinformationen auf.

Unterstützte Benutzerauthentifizierungsmethoden für den nahtlosen Tunnelaufbau

Die unterstützten Benutzerauthentifizierungsmethoden lauten wie folgt:

  • Benutzername + AD-Kennwort: Wenn der Windows-Benutzername und das Kennwort für die Authentifizierung verwendet werden, erstellt der Citrix Gateway Client den Tunnel mithilfe dieser Anmeldeinformationen nahtlos.
  • Benutzerzertifikat: Wenn für die Authentifizierung ein Benutzerzertifikat verwendet wird und nur ein Zertifikat auf dem Computer vorhanden ist, stellt der Citrix Gateway-Client den Tunnel mithilfe dieses Zertifikats nahtlos her. Wenn mehrere Clientzertifikate installiert sind, wird der Tunnel eingerichtet, nachdem der Benutzer das bevorzugte Zertifikat ausgewählt hat. Der Citrix Gateway Client verwendet diese Voreinstellung für später etablierte Tunnel.
  • Benutzerzertifikat und Benutzername + AD-Kennwort: Diese Authentifizierungsmethode ist die Kombination von zuvor beschriebenen Authentifizierungsmethoden.

Hinweis:

Alle anderen Authentifizierungsmechanismen werden unterstützt, der Tunnelaufbau ist jedoch nicht nahtlos für andere Authentifizierungsmethoden. Benutzereingriff ist für alle anderen Authentifizierungsmethoden erforderlich.

Konfigurationsanforderungen für AlwaysON

Der Unternehmensadministrator muss für die verwalteten Geräte Folgendes erzwingen:

  • Der Benutzer darf nicht in der Lage sein, den Prozess/Dienst für eine bestimmte Konfiguration zu beenden
  • Der Benutzer darf das Paket für bestimmte Configuration nicht deinstallieren können
  • Benutzer darf bestimmte Registrierungseinträge nicht ändern können

Hinweis:

Das Feature funktioniert möglicherweise nicht wie erwartet, wenn der Benutzer über Administratorrechte verfügt, wie bei nicht verwalteten Geräten.

Überlegungen beim Aktivieren der AlwaysON-Funktion

Lesen Sie den folgenden Abschnitt, bevor Sie die AlwaysON-Funktion aktivieren.

Primärer Netzwerkzugriff: Wenn der Tunnel eingerichtet wird, wird der Datenverkehr zum Unternehmensnetzwerk basierend auf Split-Tunnel-Konfiguration entschieden. Zusätzliche Konfigurationen werden nicht bereitgestellt, um dieses Verhalten zu überschreiben.

Proxy-Einstellungen des Client-Computers: Proxy-Einstellungen des Client-Computers werden für die Verbindung mit dem Gateway-Server ignoriert.

Hinweis:

Die Proxykonfiguration der Citrix ADC-Appliance wird nicht ignoriert. Nur die Proxy-Einstellungen des Client-Computers werden ignoriert. Benutzer, die einen Proxy auf ihren Systemen konfiguriert haben, werden benachrichtigt, dass das VPN-Plug-in ihre Proxy-Einstellungen ignoriert hat.

Wenn der Konfigurationswert auf “Verweigern” gesetzt ist, gelten die folgenden Änderungen:

  • Client-Benutzeroberfläche - Die Abmelde- und Beendigungsoptionen aus dem Plug-in-Kontextmenü und der Plug-in-Benutzeroberfläche sind deaktiviert. Benutzer dürfen die Gateway-URL nicht ändern.
  • Browseranmeldung - Browser-Anmeldung bei einem anderen Gateway ist nicht zulässig. Client-Steuerelemente sind deaktiviert.

Konfigurieren von AlwaysON

Erstellen Sie zum Konfigurieren von AlwaysON ein AlwaysON-Profil auf der Citrix Gateway-Appliance und wenden Sie das Profil an.

So erstellen Sie ein AlwaysON-Profil:

  1. Navigieren Sie in der Citrix ADC-Benutzeroberfläche zu Konfiguration > Citrix Gateway > Richtlinien > AlwaysON.
  2. Klicken Sie auf der Seite AlwaysON-Profile auf Hinzufügen.
  3. Geben Sie auf der Seite AlwaysON-Profil erstellen die folgenden Details ein:
    • Name — Der Name für Ihr Profil.
    • Standortbasiertes VPN — Wählen Sie eine der folgenden Einstellungen aus:
      • Remote, damit ein Client erkennen kann, ob er sich im Unternehmensnetzwerk befindet oder nicht, und den Tunnel einrichtet, wenn er nicht im Unternehmensnetzwerk ist. Dies ist die Standardeinstellung.
      • Überall, damit der Client die Standorterkennung überspringen und den Tunnel unabhängig vom Standort des Clients einrichten kann
    • Clientsteuerung — Wählen Sie eine der folgenden Einstellungen aus:
      • Verweigern, um zu verhindern, dass sich der Benutzer abmeldet und eine Verbindung zu einem anderen Gateway herstellen kann. Dies ist die Standardeinstellung.
      • Erlauben Sie, dass Benutzer sich abmelden und eine Verbindung zu einem anderen Gateway herstellen können.
    • Netzwerkzugriff bei VPN-Fehler — Wählen Sie eine der folgenden Einstellungen aus:
      • Vollzugriff, damit der Netzwerkverkehr zum und vom Client fließen kann, wenn der Tunnel nicht eingerichtet ist. Dies ist die Standardeinstellung.
      • Nur zum Gateway, um zu verhindern, dass der Netzwerkverkehr zum oder vom Client fließt, wenn der Tunnel nicht eingerichtet ist. Der Datenverkehr zur oder von der Gateway-IP-Adresse ist jedoch zulässig.
  4. Klicken Sie auf Erstellen, um das Erstellen Ihres Profils abzuschließen.

So wenden Sie das AlwaysON-Profil an:

  1. Wählen Sie in der Citrix ADC-Schnittstelle Konfiguration > Citrix Gateway > Globale Einstellungenaus.
  2. Klicken Sie auf der Seite Globale Einstellungen auf den Link Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.
  3. Wählen Sie im Dropdownmenü AlwaysON-Profilname das neu erstellte Profil aus, und klicken Sie auf OK.

Hinweis:

Eine ähnliche Konfiguration kann im Sitzungsprofil durchgeführt werden, um die Richtlinien auf Gruppenebene, Serverhebel oder Benutzerebene anzuwenden.

Verhaltensübersicht verschiedener Konfigurationen für Admin-Benutzer und Nicht-Admin-Benutzer

Die folgende Tabelle fasst das Verhalten für verschiedene Konfigurationen zusammen. Es beschreibt auch die Möglichkeit bestimmter Benutzeraktionen, die sich auf die AlwaysON-Funktionalität auswirken können.

networkAccessONVPNFailure Clientsteuerung Nicht-Admin-Benutzer Admin-Benutzer
fullaccess Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und sich vom Netzwerk abmelden. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und sich vom Unternehmensnetzwerk abmelden. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen.
fullaccess Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Allow Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden (kein Netzwerkzugriff). Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. In diesem Fall wird der Zugriff nur auf das neu zugespitzte Citrix Gateway gewährt. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Verweigern Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Gateway Client deinstallieren oder zu einem anderen Citrix Gateway wechseln.

Whitelisting URLs, wenn AlwaysOn heruntergefahren ist

Benutzer können auf einige Websites zugreifen, auch wenn AlwaysOn ausgefallen ist und das Netzwerk gesperrt ist. Administratoren können die AlwaysOnWhiteList-Registrierung verwenden, um die Websites hinzuzufügen, auf die Sie zugreifen möchten, wenn AlwaysOn heruntergefahren ist.

Hinweis:

  • DieAlwaysOnWhiteList-Registrierung wird ab Version 13.0 Build 47.x und höher unterstützt.
  • AlwaysOnWhiteList-Registrierungsspeicherort ist Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client.
  • Platzhalter-URLs/FQDNs werden in der AlwaysOnWhiteList-Registrierung nicht unterstützt.

So legen Sie die AlwaysOnWhiteList-Registrierung fest

Legen Sie die AlwaysOnWhiteList-Registrierung mit einer durch Semikolon getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen fest, auf die Sie Zugriff zulassen möchten.

Beispiel: mycompany.com-mycdn.com-10.120.67.0-10.120.67.255,67.67.67.67

Die folgende Abbildung zeigt eine Beispielregistrierung für AlwaysOnWhitelist.

Alwaysonwhitelist-registry