Citrix Gateway

Always-On-VPN

Die Funktion Always On von Citrix Gateway stellt sicher, dass Benutzer immer mit dem Unternehmensnetzwerk verbunden sind. Diese dauerhafte VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels erreicht.

Hinweis

Always On-Funktion unterstützt Captive-Portale für Citrix ADC 12.0 Build 51.24 und höher.

Wann sollte Always On verwendet werden

Verwenden Sie Always On, wenn Sie eine nahtlose VPN-Konnektivität basierend auf dem Benutzerstandort bereitstellen und den Netzwerkzugriff eines Benutzers verhindern müssen, der nicht mit einem VPN verbunden ist.  

Die folgenden Szenarien veranschaulichen die Verwendung von Always On.  

  • Ein Mitarbeiter startet den Laptop außerhalb des Unternehmensnetzwerks und benötigt Unterstützung beim Aufbau der VPN-Konnektivität.
    Lösung: Wenn der Laptop außerhalb des Unternehmensnetzwerks gestartet wird, richtet Always On nahtlos einen Tunnel ein und bietet VPN-Konnektivität.
  • Ein Mitarbeiter, der VPN-Konnektivität nutzt, wechselt ins Unternehmensnetzwerk. Der Mitarbeiter wird auf ein Unternehmensnetzwerk umgestellt, bleibt jedoch mit dem VPN-Tunnel verbunden, was kein wünschenswerter Zustand ist.
    Lösung: Wenn der Mitarbeiter in das Unternehmensnetzwerk wechselt, reißt Always On den VPN-Tunnel ab und schaltet den Mitarbeiter nahtlos in das Unternehmensnetzwerk um.
  • Ein Mitarbeiter bewegt sich außerhalb des Unternehmensnetzwerks und schließt den Laptop (nicht heruntergefahren). Der Mitarbeiter benötigt Unterstützung beim Aufbau der VPN-Konnektivität, wenn er die Arbeit am Laptop wieder aufnimmt.
    Lösung:Wenn sich der Mitarbeiter außerhalb des Unternehmensnetzwerks bewegt, richtet Always On nahtlos einen Tunnel ein und bietet VPN-Konnektivität.
  • Ein Unternehmen möchte den Netzwerkzugriff regulieren, der seinen Benutzern gewährt wird, wenn sie nicht mit einem VPN-Tunnel verbunden sind.
    Lösung: Je nach Konfiguration schränkt Always On den Zugriff ein, sodass Benutzer nur auf das Gateway-Netzwerk zugreifen können.

Das Always On Framework verstehen

Always On verbindet einen Benutzer automatisch mit einem VPN-Tunnel, den der Client zuvor eingerichtet hat. Das erste Mal, wenn der Benutzer einen VPN-Tunnel benötigt, muss der Benutzer eine Verbindung zur Citrix Gateway-URL herstellen und den Tunnel einrichten. Nachdem die Always On Konfiguration auf den Client heruntergeladen wurde, treibt diese Konfiguration den nachfolgenden Aufbau des Tunnels voran.

Die ausführbare Datei von Citrix Secure Access Agent wird immer auf dem Clientcomputer ausgeführt. Wenn sich der Benutzer anmeldet oder sich das Netzwerk ändert, bestimmt Citrix Secure Access Agent, ob sich der Benutzer-Laptop im Unternehmensnetzwerk befindet. Je nach Standort und Konfiguration richtet Citrix Secure Access Agent entweder einen Tunnel ein oder reißt einen vorhandenen Tunnel ab.

Der Tunnelaufbau wird erst eingeleitet, nachdem sich der Benutzer am Computer anmeldet. Citrix Secure Access Agent verwendet die Anmeldeinformationen des Clientcomputers, um sich beim Gateway-Server zu authentifizieren, und versucht, einen Tunnel einzurichten.

Automatischer Wiedereinbau eines Tunnels

Die automatische Wiederherstellung eines Tunnels wird ausgelöst, wenn ein VPN-Tunnel von Citrix Gateway abgerissen wird.

Hinweis

Wenn die Endpunktanalyse fehlschlägt, versucht der Citrix Gateway-Client nicht erneut den Tunnelaufbau, zeigt jedoch eine Fehlermeldung an. Wenn ein Authentifizierungsfehler auftritt, fordert der Citrix Gateway-Client den Benutzer zur Eingabe von Anmeldeinformationen auf.

Unterstützte Benutzerauthentifizierungsmethoden für nahtlosen Tunnelaufbau

Die unterstützten Benutzerauthentifizierungsmethoden lauten wie folgt:

  • Benutzername + AD-Kennwort: Wenn der Windows-Benutzername und das Kennwort für die Authentifizierung verwendet werden, richtet Citrix Secure Access Agent den Tunnel mithilfe dieser Anmeldeinformationen nahtlos ein.
  • Benutzerzertifikat: Wenn ein Benutzerzertifikat für die Authentifizierung verwendet wird und sich nur ein Zertifikat auf dem Computer befindet, richtet Citrix Secure Access Agent den Tunnel mithilfe dieses Zertifikats nahtlos ein. Wenn mehrere Clientzertifikate installiert sind, wird der Tunnel eingerichtet, nachdem der Benutzer das bevorzugte Zertifikat ausgewählt hat. Citrix Secure Access Agent verwendet diese Einstellung für später eingerichtete Tunnel.
  • Benutzerzertifikat und Benutzername + AD-Kennwort: Diese Authentifizierungsmethode ist die Kombination zuvor beschriebener Authentifizierungsmethoden.

Hinweis

Alle anderen Authentifizierungsmechanismen werden unterstützt, aber der Tunnelaufbau ist für keine anderen Authentifizierungsmethoden nahtlos.

Konfigurationsanforderungen für AlwaysOn

Der Unternehmensadministrator muss für die verwalteten Geräte Folgendes durchsetzen:

  • Der Benutzer darf den Prozess/Dienst für eine bestimmte Konfiguration nicht beenden können
  • Der Benutzer darf das Paket für eine bestimmte Konfiguration nicht deinstallieren können
  • Der Benutzer darf bestimmte Registrierungseinträge nicht ändern können

Hinweis

Die Funktion funktioniert möglicherweise nicht wie erwartet, wenn der Benutzer über Administratorrechte verfügt, wie bei nicht verwalteten Geräten.

Überlegungen beim Aktivieren der AlwaysOn Funktion

Lesen Sie den folgenden Abschnitt, bevor Sie die Funktion Always On aktivieren.

Primärer Netzwerkzugriff: Wenn der Tunnel eingerichtet ist, wird der Verkehr zum Unternehmensnetzwerk basierend auf der Split-Tunnelkonfiguration festgelegt. Andere Konfigurationen sind nicht vorgesehen, um dieses Verhalten außer Kraft zu setzen.

Proxy-Einstellungen des Clientcomputers: Proxy-Einstellungen des Clientcomputers werden für die Verbindung mit dem Gateway-Server ignoriert.

Hinweis

Die Proxykonfiguration der Citrix ADC Appliance wird nicht ignoriert. Nur die Proxy-Einstellungen des Clientcomputers werden ignoriert. Benutzer, die einen Proxy auf ihren Systemen konfiguriert haben, werden benachrichtigt, dass das VPN-Plug-In ihre Proxy-Einstellungen ignoriert hat.

Konfigurieren von Always On

Erstellen Sie zum Konfigurieren von Always On ein Alwayson-Profil auf dem Citrix Gateway-Gerät und wenden Sie das Profil an.

So erstellen Sie ein Alwayson-Profil:

  1. Navigieren Sie in der Citrix ADC GUI zu Konfiguration > Citrix Gateway > Richtlinien > AlwaysOn.
  2. Klicken Sie auf der Seite AlwaysOn-Profile auf Hinzufügen.
  3. Geben Sie auf der Seite AlwaysOn-Profil erstellen die folgenden Details ein:
    • Name — Der Name für Ihr Profil.
    • **Standortbasiertes VPN (clientseitiger Registrierungsname: LocationDetection) — Wählen Sie eine der folgenden Einstellungen aus:
      • Remote, damit ein Client erkennen kann, ob er sich im Unternehmensnetzwerk befindet, und den Tunnel einrichten kann, wenn nicht im Unternehmensnetzwerk. Remote ist die Standardeinstellung.
      • Überall, um einen Kunden die Standorterkennung überspringen zu lassen und den Tunnel einzurichten, unabhängig vom Standort des Kunden
    • Clientsteuerung — Wählen Sie eine der folgenden Einstellungen aus:
      • Verweigern, um zu verhindern, dass sich der Benutzer abmeldet und eine Verbindung zu einem anderen Gateway herstellt. Verweigern ist die Standardeinstellung.
      • Ermöglicht es dem Benutzer, sich abzumelden und eine Verbindung zu einem anderen Gateway herzustellen.
    • Netzwerkzugriff bei VPN-Fehler (clientseitiger Registrierungsname: AlwaysOn) — Wählen Sie eine der folgenden Einstellungen aus:
      • Voller Zugriff, damit der Netzwerkverkehr zum und vom Client fließen kann, wenn der Tunnel nicht eingerichtet ist. Voller Zugriff ist die Standardeinstellung.
      • Nur zum Gateway, um zu verhindern, dass Netzwerkverkehr zum oder vom Client fließt, wenn der Tunnel nicht eingerichtet ist. Der Verkehr zur oder von der Gateway-IP-Adresse ist jedoch zulässig.

        Hinweis: Im Modus Nur zum Gateway werden nur der virtuelle Server, das DNS und der DHCP-Verkehr entsperrt. Um andere Websites, IP-Adressbereiche oder IP-Adressen zu entsperren, müssen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen festlegen. Zum Beispiel mycompany.com, mycdn.com, 10.120.67.0-10.120.67.255.67,67,67,67

  4. Klicke auf Erstellen, um die Erstellung deines Profils abzuschließen.

So wenden Sie das Alwayson-Profil an:

  1. Wählen Sie in der Citrix ADC-Schnittstelle Konfiguration > Citrix Gateway > Globale Einstellungenaus.
  2. Klicken Sie auf der Seite Globale Einstellungen auf den Link Globale Einstellungen ändern, und wählen Sie dann die Registerkarte Clienterfahrung aus.
  3. Wählen Sie im Dropdown-Menü AlwaysON-Profilname das neu erstellte Profil aus und klicken Sie auf OK.

Hinweis: Eine ähnliche Konfiguration kann im Sitzungsprofil vorgenommen werden, um die Richtlinien auf Gruppenebene, Serverhebel oder Benutzerebene anzuwenden.

Hinweis zu IIPs

Der Tunnel auf Maschinenebene verwendet die zertifikatbasierte Authentifizierung, und die erstellte Sitzung hat den allgemeinen Namen des Zertifikats als Benutzernamen. Wenn Gerätezertifikate eindeutige gemeinsame Namen haben, haben die Sitzungen verschiedener Computer unterschiedliche Benutzernamen und damit unterschiedliche IIPs. Stellen Sie sicher, dass Sie ein Gerätezertifikat mit eindeutigen Namen generieren. Im Idealfall müssen Sie Maschinennamen als allgemeinen Namen des Gerätezertifikats verwenden.

Verhaltensübersicht verschiedener Konfigurationen für Admin-Benutzer und Nicht-Admin-Benutzer

In der folgenden Tabelle wird das Verhalten für verschiedene Konfigurationen zusammengefasst. Es wird auch die Möglichkeit bestimmter Benutzeraktionen detailliert beschrieben, die sich auf die Always On Funktionalität auswirken können.

networkAccessONVPNFailure Kontrolle durch den Kunden Nicht-Admin-Benutzer Admin-Benutzer
fullaccess Zulassen Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Netzwerk fernbleiben. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden und vom Unternehmensnetzwerk fernhalten. Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen.
fullaccess Deny Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Secure Access Agent deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Zulassen Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich abmelden (kein Netzwerkzugriff). Der Benutzer kann auch auf ein anderes Citrix Gateway verweisen. In diesem Fall wird der Zugriff nur auf das neu gerichtete Citrix Gateway gewährt. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Secure Access Agent deinstallieren oder zu einem anderen Citrix Gateway wechseln.
onlyToGateway Deny Der Tunnel wird automatisch eingerichtet. Der Benutzer kann sich nicht abmelden oder auf ein anderes Citrix Gateway verweisen. Der Tunnel wird automatisch eingerichtet. Der Benutzer kann Citrix Secure Access Agent deinstallieren oder zu einem anderen Citrix Gateway wechseln.

Ausgewählte URLs zulassen, wenn “Immer ein” nicht aktiviert ist

Benutzer können auf einige Websites zugreifen, selbst wenn Always On nicht verfügbar ist und das Netzwerk gesperrt ist. Administratoren können die AlwaysOnAllowList-Registrierung verwenden, um die Websites hinzuzufügen, auf die Sie Zugriff gewähren möchten, wenn Always On nicht verfügbar ist.

Hinweis:

  • DieAlwaysOnAllowList-Registrierung wird ab Version 13.0 Build 47.x und höher unterstützt.
  • DerAlwaysOnAllowList-Registrierungsspeicherort ist Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client.
  • Platzhalter-URLs/FQDNs werden in der AlwaysOnAllowList-Registrierung nicht unterstützt.

So legen Sie die AlwaysonAllowList-Registrierung

Legen Sie die AlwaysOnAllowList-Registrierung mit einer durch Semikolons getrennten Liste von FQDNs, IP-Adressbereichen oder IP-Adressen fest, auf die Sie Zugriff gewähren möchten.

Beispiel: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

Die folgende Abbildung zeigt ein Beispiel für eine AlwaysonAllowList-Registrierung .

!Alwaysonwhitelist-registry