Siempre son

La función AlwaysOn de Citrix Gateway garantiza que los usuarios estén siempre conectados a la red empresarial. Esta conectividad VPN persistente se logra mediante el establecimiento automático de un túnel VPN.

Nota:

La función AlwaysOn admite portales cautivos para Citrix ADC 12.0, compilación 51.24 y versiones posteriores.

Cuándo usar AlwaysOn

Utilice AlwaysOn cuando necesite proporcionar conectividad VPN perfecta basada en la ubicación del usuario y tenga que impedir el acceso a la red de un usuario que no esté conectado a una VPN.  

Los siguientes escenarios ilustran el uso de AlwaysOn.  

  • Un empleado inicia el portátil fuera de la red empresarial y necesita ayuda para establecer la conectividad VPN.
    Solución: cuando el portátil se inicia fuera de la red empresarial, AlwaysOn establece sin problemas un túnel y proporciona conectividad VPN.
  • Un empleado que utiliza conectividad VPN se traslada a la red empresarial. El empleado se cambia a la red empresarial pero permanece conectado al túnel VPN, que no es un estado deseable.
    Solución: Cuando el empleado se traslada a la red empresarial, AlwaysOn derriba el túnel VPN y cambia sin problemas al empleado a la red empresarial.
  • Un empleado se mueve fuera de la red de la empresa y cierra el portátil (no se apaga). El empleado necesita ayuda para establecer la conectividad VPN al reanudar el trabajo en el portátil.
    Solución:Cuando el empleado se mueve fuera de la red empresarial, AlwaysOn establece sin problemas un túnel y proporciona conectividad VPN.
  • Una empresa desea regular el acceso a la red proporcionado a sus usuarios cuando no están conectados a un túnel VPN.
    Solución: Según la configuración, AlwaysOn restringe el acceso, lo que permite a los usuarios acceder únicamente a la red de puerta de enlace.

Descripción del Marco AlwaysOn

AlwaysOn conecta automáticamente a un usuario a un túnel VPN que el cliente ha establecido previamente. La primera vez que el usuario necesita un túnel VPN, debe conectarse a la URL de Citrix Gateway y establecer el túnel. Después de descargar la configuración AlwaysOn al cliente, esta configuración impulsa el posterior establecimiento del túnel.

El ejecutable del cliente de Citrix Gateway siempre se ejecuta en el equipo cliente. Cuando el usuario inicia sesión o cambia la red, el cliente de Citrix Gateway determina si el equipo portátil del usuario se encuentra o no en la red empresarial. Dependiendo de la ubicación y la configuración, el cliente de Citrix Gateway establece un túnel o derriba un túnel existente.

El establecimiento del túnel se inicia solo después de que el usuario inicie sesión en el equipo. El cliente Citrix Gateway utiliza el mecanismo de autenticación configurado e intenta establecer un túnel. Si los métodos de autenticación no implican una solicitud de usuario, el túnel se establece sin problemas.

Restablecimiento automático de un túnel

El restablecimiento automático de un túnel se activa en las siguientes situaciones:

  • Citrix Gateway desbarató el túnel VPN
  • Se ha anulado el cliente de Citrix Gateway

Nota:

En el fallo del análisis de punto final o en algunos otros errores, el cliente de Citrix Gateway no reintenta el establecimiento del túnel, pero muestra un mensaje de error. Si se produce un error de autenticación, el cliente de Citrix Gateway solicita al usuario las credenciales.

Métodos de autenticación de usuario compatibles para el establecimiento de túneles sin interrupciones

Los métodos de autenticación de usuario admitidos son los siguientes:

  • Nombre de usuario+contraseña de AD: si se utilizan el nombre de usuario y la contraseña de Windows para la autenticación, el cliente de Citrix Gateway establece sin problemas el túnel mediante estas credenciales.
  • Certificado de usuario: si se utiliza un certificado de usuario para la autenticación y solo hay un certificado en el equipo, el cliente de Citrix Gateway establece sin problemas el túnel mediante este certificado. Si se instalan varios certificados de cliente, el túnel se establece después de que el usuario haya seleccionado el certificado preferido. El cliente Citrix Gateway utiliza esta preferencia para túneles establecidos posteriormente.
  • Certificado de usuario y Nombre de usuario + Contraseña de AD: Este método de autenticación es la combinación de métodos de autenticación descritos anteriormente.

Nota:

Todos los demás mecanismos de autenticación son compatibles, pero el establecimiento del túnel no es perfecto para ningún otro método de autenticación. Se requiere la intervención del usuario para todos los demás métodos de autenticación.

Requisitos de configuración para AlwaysOn

El administrador de empresa debe aplicar lo siguiente para los dispositivos administrados:

  • El usuario no debe poder finalizar el proceso/servicio para una configuración específica
  • El usuario no debe poder desinstalar el paquete para la configuración específica
  • El usuario no debe poder cambiar las entradas de registro específicas

Nota:

Es posible que la función no funcione como se esperaba si el usuario tiene privilegios de administración, como en el caso de los dispositivos no administrados.

Consideraciones al activar la función AlwaysOn

Revise la siguiente sección antes de activar la función AlwaysOn.

Acceso a la red principal: cuando se establece el túnel, el tráfico a la red empresarial se decide en función de la configuración de túnel dividido. No se proporcionan configuraciones adicionales para anular este comportamiento.

Configuración de proxy del equipo cliente: la configuración de proxy del equipo cliente se ignora para conectarse al servidor de puerta de enlace.

Nota:

No se omite la configuración del proxy del dispositivo Citrix ADC. Solo se ignoran las configuraciones de proxy del equipo cliente. A los usuarios que tienen un proxy configurado en sus sistemas se les notifica que el complemento VPN ha ignorado su configuración de proxy.

Cuando el valor de configuración se establece en “Denegar”, se aplican los siguientes cambios:

  • IU del cliente: las opciones de cierre de sesión y Salir del menú contextual del complemento y de la interfaz de usuario del complemento están inhabilitadas. Los usuarios no pueden cambiar la dirección URL de la puerta de enlace.
  • Inicio de sesión del explorador: no se permite el inicio de sesión del explorador en una puerta de enlace diferente. Los controles de cliente están inhabilitados.

Configuración de AlwaysOn

Para configurar AlwaysOn, cree un perfil AlwaysOn en el dispositivo Citrix Gateway y aplique el perfil.

Para crear un perfil AlwaysOn:

  1. En la GUI de ADC de Citrix, vaya a Configuración > Citrix Gateway > Directivas > AlwaysOn.
  2. En la página Perfiles AlwaysOn, haga clic en Agregar.
  3. En la página Crear perfil AlwaysOn, introduzca los siguientes detalles:
    • Nombre: El nombre de su perfil.
    • VPN basada en ubicación: Seleccione una de las siguientes opciones:
      • Remoto para permitir que un cliente detecte si se encuentra o no en la red de la empresa y establezca el túnel si no en la red de la empresa. Esta es la configuración predeterminada.
      • En todas partes para permitir que el cliente omita la detección de ubicación y establezca el túnel independientemente de la ubicación del cliente
    • Control de cliente: Seleccione una de las siguientes opciones:
      • Denegar para evitar que el usuario cierre la sesión y se conecte a otra puerta de enlace. Esta es la configuración predeterminada.
      • Permitir que el usuario cierre la sesión y se conecte a otra puerta de enlace.
    • Acceso a la red en caso de error VPN: Seleccione una de las siguientes opciones:
      • Acceso completo para permitir que el tráfico de red fluya hacia y desde el cliente cuando el túnel no está establecido. Esta es la configuración predeterminada.
      • Solo a puerta de enlace para evitar que el tráfico de red fluya hacia o desde el cliente cuando el túnel no está establecido. Sin embargo, se permite el tráfico hacia o desde la dirección IP de la puerta de enlace.
  4. Haga clic en Crear para terminar de crear el perfil.

Para aplicar el perfil AlwaysOn:

  1. En la interfaz de Citrix ADC, seleccione Configuración > Citrix Gateway > Configuración global.
  2. En la página Configuración global, haga clic en el vínculo Cambiar configuración global y, a continuación, seleccione la ficha Experiencia del cliente.
  3. En el menú desplegable Nombre de perfil AlwaysOn, seleccione el perfil recién creado y haga clic en Aceptar.

Nota:

Configuración similar se puede hacer en el perfil de sesión para aplicar las políticas a nivel de grupo, palanca de servidor o nivel de usuario.

Resumen de comportamiento de diferentes configuraciones para usuarios administradores y usuarios no administradores

La siguiente tabla resume el comportamiento de las diferentes configuraciones. También detalla la posibilidad de ciertas acciones del usuario, que pueden afectar la funcionalidad AlwaysOn.

NetworkAccessOnVPNError Control de clientes Usuario que no es administrador Usuario administrador
acceso completo Permitir El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red. El usuario también puede señalar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red empresarial. El usuario también puede señalar a otro Citrix Gateway.
acceso completo Negar El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede desinstalar Citrix Gateway Client o trasladarse a otro Citrix Gateway.
Solo a Gateway Permitir El túnel se establece automáticamente. El usuario puede cerrar la sesión (sin acceso a la red). El usuario también puede apuntar a otro Citrix Gateway, en cuyo caso, el acceso se da únicamente a Citrix Gateway recientemente señalado. El túnel se establece automáticamente. El usuario puede desinstalar Citrix Gateway Client o trasladarse a otro Citrix Gateway.
Solo a Gateway Negar El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede desinstalar Citrix Gateway Client o trasladarse a otro Citrix Gateway.