Citrix Gateway

Always On

La función Always On de Citrix Gateway garantiza que los usuarios estén siempre conectados a la red empresarial. Esta conectividad VPN persistente se consigue mediante el establecimiento automático de un túnel VPN.

Nota

La función Always On admite portales cautivos para Citrix ADC 12.0 compilación 51.24 y versiones posteriores.

Cuándo usar Always On

Utilice Always On cuando necesite proporcionar conectividad VPN fluida basada en la ubicación del usuario y tenga que impedir el acceso a la red de un usuario que no está conectado a una VPN.  

En los siguientes casos se ilustra el uso de Always On.  

  • Un empleado inicia el portátil fuera de la red empresarial y necesita ayuda para establecer la conectividad VPN.
    Solución: Cuando el portátil se inicia fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN.
  • Un empleado que utiliza conectividad VPN se traslada a la red empresarial. El empleado se cambia a una red empresarial pero permanece conectado al túnel VPN, lo cual no es un estado deseable.
    Solución: Cuando el empleado se traslada a la red empresarial, Always On derriba el túnel VPN y cambia sin problemas al empleado a la red empresarial.
  • Un empleado se traslada fuera de la red empresarial y cierra el portátil (no lo apaga). El empleado necesita ayuda para establecer la conectividad VPN al reanudar el trabajo en el portátil.
    Solución:Cuando el empleado se traslada fuera de la red empresarial, Always On establece sin problemas un túnel y proporciona conectividad VPN.
  • Una empresa quiere regular el acceso a la red que se proporciona a sus usuarios cuando no están conectados a un túnel VPN.
    Solución: Según la configuración, Always On restringe el acceso, lo que permite a los usuarios acceder únicamente a la red de puerta de enlace.

Comprensión del marco Always On

Always On conecta automáticamente a un usuario a un túnel VPN que el cliente ha establecido previamente. La primera vez que el usuario necesita un túnel VPN, debe conectarse a la URL de Citrix Gateway y establecer el túnel. Una vez descargada la configuración Always On en el cliente, esta configuración impulsa el establecimiento posterior del túnel.

El ejecutable del agente Citrix Secure Access siempre se ejecuta en la máquina cliente. Cuando el usuario inicia sesión o cambia la red, el agente de Citrix Secure Access determina si el equipo portátil del usuario está en la red empresarial. Según la ubicación y la configuración, el agente de Citrix Secure Access establece un túnel o destruye un túnel existente.

El establecimiento del túnel se inicia solo después de que el usuario inicie sesión en el equipo. El agente de Citrix Secure Access utiliza las credenciales de la máquina cliente para autenticarse con el servidor de puerta de enlace e intenta establecer un túnel.

Restablecimiento automático de un túnel

El restablecimiento automático de un túnel se activa cuando Citrix Gateway derriba un túnel VPN.

Nota

Cuando se produce un error en el análisis de dispositivos de punto final, el cliente de Citrix Gateway no vuelve a intentar establecer el túnel, sino que muestra un mensaje de error. Si se produce un error de autenticación, el cliente de Citrix Gateway solicita credenciales al usuario.

Métodos de autenticación de usuarios compatibles para establecer túneles sin problemas

Los métodos de autenticación de usuarios compatibles son los siguientes:

  • Nombre de usuario y contraseña de AD: si el nombre de usuario y la contraseña de Windows se utilizan para la autenticación, el agente de Citrix Secure Access establece el túnel sin problemas mediante estas credenciales.
  • Certificado de usuario: si se utiliza un certificado de usuario para la autenticación y solo hay un certificado en la máquina, el agente de Citrix Secure Access establece el túnel sin problemas mediante este certificado. Si hay varios certificados de cliente instalados, el túnel se establece después de que el usuario haya seleccionado el certificado preferido. El agente de Citrix Secure Access usa esta preferencia para túneles establecidos posteriormente.
  • Certificado de usuario y nombre de usuario + contraseña de AD: Este método de autenticación es la combinación de métodos de autenticación descritos anteriormente.

Nota

Se admiten todos los demás mecanismos de autenticación, pero el establecimiento del túnel no es transparente para ningún otro método de autenticación.

Requisitos de configuración para Always On

El administrador empresarial debe aplicar lo siguiente para los dispositivos administrados:

  • El usuario no debe poder finalizar el proceso/servicio para una configuración específica
  • El usuario no debe poder desinstalar el paquete para una configuración específica
  • El usuario no debe poder cambiar entradas de registro específicas

Nota

Es posible que la función no funcione como se esperaba si el usuario tiene privilegios de administración, como en el caso de los dispositivos no administrados.

Consideraciones al habilitar la función Always On

Revise la siguiente sección antes de habilitar la función Siempre activado.

Acceso a la red principal: Cuando se establece el túnel, el tráfico hacia la red empresarial se decide en función de la configuración de túnel dividido. No se proporcionan otras configuraciones para anular este comportamiento.

Configuración de proxy del equipo cliente: la configuración del proxy del equipo cliente se ignora para conectarse al servidor de puerta de enlace.

Nota

La configuración de proxy del dispositivo Citrix ADC no se ignora. Solo se ignoran las configuraciones de proxy del equipo cliente. Los usuarios que tienen un proxy configurado en sus sistemas reciben una notificación de que el complemento VPN ha ignorado su configuración de proxy.

Configuración de Always On

Para configurar Always On, cree un perfil Always On en el dispositivo Citrix Gateway y aplíquelo.

Para crear un perfil Always On:

  1. En la GUI de Citrix ADC, vaya a Configuración > Citrix Gateway > Directivas > AlwaysOn.
  2. En la página Perfiles de AlwaysOn, haga clic en Agregar.
  3. En la página Crear perfil de AlwaysOn, introduzca los siguientes detalles:
    • Nombre: El nombre de su perfil.
    • **VPN basada en ubicación (nombre del registro del lado del cliente: LocationDetection): seleccione una de las siguientes opciones:
      • Remoto para permitir que un cliente detecte si está en la red empresarial y establezca el túnel si no en la red empresarial. El ajuste predeterminado es el control remoto.
      • En todas partes para permitir que un cliente omita la detección de ubicación y establezca el túnel independientemente de la ubicación del cliente
    • Control de cliente: Seleccione una de las siguientes opciones:
      • Denegarpara impedir que el usuario cierre la sesión y se conecte a otra puerta de enlace. Denegar es la configuración predeterminada.
      • Permitir que el usuario cierre sesión y se conecte a otra puerta de enlace.
    • Error de acceso a la red en VPN (nombre del registro del lado del cliente: AlwaysOn): Seleccione una de las siguientes opciones:
      • Acceso completo para permitir que el tráfico de red fluya hacia y desde el cliente cuando el túnel no está establecido. Acceso completo es la configuración predeterminada.
      • Solo a puerta de enlace para evitar que el tráfico de red fluya hacia o desde el cliente cuando el túnel no está establecido. Sin embargo, se permite el tráfico hacia o desde la dirección IP de la puerta de enlace.

        Nota: En el modo Solo a puerta de enlace, solo se desbloquean el servidor virtual, el DNS y el tráfico DHCP. Para desbloquear otros sitios web, intervalos de direcciones IP o direcciones IP, debe configurar el registro AlwaysOnAllowList con una lista separada por punto y coma de FQDN, intervalos de direcciones IP o direcciones IP. Por ejemplo, miempresa.com,micdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. Haga clic en Crear para terminar de crear su perfil.

Para aplicar el perfil Always On:

  1. En la interfaz de Citrix ADC, seleccione Configuración > Citrix Gateway > Configuración global.
  2. En la página Configuración global, haga clic en el vínculo Cambiar configuración global y, a continuación, seleccione la ficha Experiencia del cliente.
  3. En el menú desplegable Nombre de perfil de AlwaysOn, seleccione el perfil recién creado y haga clic en Aceptar.

Nota: Se puede realizar una configuración similar en el perfil de sesión para aplicar las directivas a nivel de grupo, nivel de servidor o nivel de usuario.

Nota sobre los IIP

El túnel de nivel de máquina utiliza la autenticación basada en certificados y la sesión que se crea tiene el nombre común del certificado como nombre de usuario. Por lo tanto, si los certificados de dispositivo tienen nombres comunes únicos, las sesiones de diferentes máquinas tienen un nombre de usuario diferente y, por lo tanto, diferentes IIP. Asegúrese de generar un certificado de dispositivo con nombres únicos. Idealmente, debe utilizar los nombres de las máquinas como el nombre común del certificado del dispositivo.

Resumen de comportamiento de diferentes configuraciones para usuarios administradores y usuarios no administradores

En la tabla siguiente se resume el comportamiento de las distintas configuraciones. También detalla la posibilidad de realizar determinadas acciones del usuario, que pueden afectar a la funcionalidad Always On.

Error de acceso a la red en VPN Control de clientes Usuario no administrador Usuario administrador
fullaccess Permitir El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red. El usuario también puede apuntar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede cerrar la sesión y permanecer fuera de la red empresarial. El usuario también puede apuntar a otro Citrix Gateway.
fullaccess Negar El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede desinstalar el agente de Citrix Secure Access o trasladarse a otro Citrix Gateway.
Solo a Gateway Permitir El túnel se establece automáticamente. El usuario puede cerrar la sesión (sin acceso a la red). El usuario también puede apuntar a otro Citrix Gateway, en cuyo caso, el acceso se otorga únicamente al Citrix Gateway que acaba de apuntar. El túnel se establece automáticamente. El usuario puede desinstalar el agente de Citrix Secure Access o trasladarse a otro Citrix Gateway.
Solo a Gateway Negar El túnel se establece automáticamente. El usuario no puede cerrar la sesión ni apuntar a otro Citrix Gateway. El túnel se establece automáticamente. El usuario puede desinstalar el agente de Citrix Secure Access o trasladarse a otro Citrix Gateway.

Permitir las URL seleccionadas cuando Always On está inactivo

Los usuarios pueden acceder a algunos sitios web incluso cuando Always On está inactivo y la red está bloqueada. Los administradores pueden usar el registro AlwaysOnAllowList para agregar los sitios web a los que desea habilitar el acceso cuando AlwaysOn esté inactivo.

Nota:

  • El registroAlwaysOnAllowList se admite desde la versión 13.0 build 47.x y posteriores.
  • La ubicación del registro deAlwaysOnAllowList es Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client.
  • Las URLs/FQDN comodín no se admiten en el registro AlwaysOnAllowList.

Para establecer el registro AlwaysOnAllowList

Configure el registro AlwaysOnAllowList con una lista separada por punto y coma de FQDN, intervalos de direcciones IP o direcciones IP a los que desea permitir el acceso.

Ejemplo: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

La siguiente ilustración muestra un registro de ejemplo de AlwaysOnAllowlist.

!Alwaysonwhitelist-registry

Always On