Citrix Gateway

Always On

La fonctionnalité Always On de Citrix Gateway garantit que les utilisateurs sont toujours connectés au réseau de l’entreprise. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN.

Remarque

La fonctionnalité Always On prend en charge les portails captifs pour Citrix ADC 12.0 Build 51.24 et versions ultérieures.

Quand utiliser Always On

Utilisez Always On lorsque vous devez fournir une connectivité VPN transparente en fonction de l’emplacement de l’utilisateur et que vous devez empêcher l’accès au réseau d’un utilisateur qui n’est pas connecté à un VPN.  

Les scénarios suivants illustrent l’utilisation de Always On.  

  • Un employé démarre l’ordinateur portable en dehors du réseau de l’entreprise et a besoin d’aide pour établir la connectivité VPN.
    Solution : Lorsque l’ordinateur portable est démarré en dehors du réseau de l’entreprise, Always On établit un tunnel de manière transparente et fournit une connectivité VPN.
  • Un employé utilisant la connectivité VPN se déplace vers le réseau de l’entreprise. L’employé passe à un réseau d’entreprise mais reste connecté au tunnel VPN, ce qui n’est pas un état souhaitable.
    Solution : Lorsque l’employé se connecte au réseau de l’entreprise, Always On supprime le tunnel VPN et le transfère facilement vers le réseau de l’entreprise.
  • Un employé quitte le réseau de l’entreprise et ferme l’ordinateur portable (sans l’éteindre). L’employé a besoin d’aide pour établir la connectivité VPN lors de la reprise du travail sur l’ordinateur portable.
    Solution :Lorsque l’employé quitte le réseau de l’entreprise, Always On établit de manière transparente un tunnel et fournit une connectivité VPN.
  • Une entreprise souhaite réglementer l’accès réseau fourni à ses utilisateurs lorsqu’ils ne sont pas connectés à un tunnel VPN.
    Solution : Selon la configuration, Always On limite l’accès, ce qui permet aux utilisateurs d’accéder uniquement au réseau de passerelle.

Comprendre le framework Always On

Always On connecte automatiquement un utilisateur à un tunnel VPN que le client a précédemment établi. La première fois que l’utilisateur a besoin d’un tunnel VPN, il doit se connecter à l’URL Citrix Gateway et établir le tunnel. Une fois la configuration Always On téléchargée sur le client, cette configuration entraîne l’établissement ultérieur du tunnel.

L’exécutable de l’agent Citrix Secure Access est toujours en cours d’exécution sur la machine cliente. Lorsque l’utilisateur ouvre une session ou que le réseau change, l’agent Citrix Secure Access détermine si l’ordinateur portable de l’utilisateur se trouve sur le réseau de l’entreprise. Selon l’emplacement et la configuration, l’agent Citrix Secure Access établit un tunnel ou démonte un tunnel existant.

L’établissement du tunnel n’est lancé qu’une fois que l’utilisateur ouvre une session sur l’ordinateur. L’agent Citrix Secure Access utilise les informations d’identification de la machine cliente pour s’authentifier auprès du serveur de passerelle et tente d’établir un tunnel.

Rétablissement automatique d’un tunnel

Le rétablissement automatique d’un tunnel est déclenché lorsqu’un tunnel VPN est déchiré par Citrix Gateway.

Remarque

Lorsque l’analyse du point de terminaison échoue, le client Citrix Gateway ne tente pas à nouveau d’établir un tunnel, mais affiche un message d’erreur. En cas d’échec de l’authentification, le client Citrix Gateway invite l’utilisateur à entrer ses informations d’identification.

Méthodes d’authentification utilisateur prises en charge pour un établissement de tunnel transparent

Les méthodes d’authentification utilisateur prises en charge sont les suivantes :

  • Nom d’utilisateur+mot de passe AD : si le nom d’utilisateur et le mot de passe Windows sont utilisés pour l’authentification, l’agent Citrix Secure Access établit le tunnel de manière transparente à l’aide de ces informations d’identification.
  • Certificat utilisateur : si un certificat utilisateur est utilisé pour l’authentification et qu’il n’y a qu’un seul certificat sur la machine, l’agent Citrix Secure Access établit le tunnel de manière transparente à l’aide de ce certificat. Si plusieurs certificats clients sont installés, le tunnel est établi une fois que l’utilisateur a sélectionné le certificat préféré. L’agent Citrix Secure Access utilise cette préférence pour les tunnels établis ultérieurement.
  • Certificat utilisateur et nom d’utilisateur/mot de passe AD : Cette méthode d’authentification est la combinaison des méthodes d’authentification décrites précédemment.

Remarque

Tous les autres mécanismes d’authentification sont pris en charge, mais l’établissement du tunnel n’est pas transparent pour les autres méthodes d’authentification.

Configuration requise pour Always On

L’administrateur de l’entreprise doit appliquer les éléments suivants pour les appareils gérés :

  • L’utilisateur ne doit pas être en mesure de mettre fin au processus/service pour une configuration spécifique
  • L’utilisateur ne doit pas pouvoir désinstaller le package pour une configuration spécifique
  • L’utilisateur ne doit pas pouvoir modifier des entrées de registre spécifiques

Remarque

La fonctionnalité peut ne pas fonctionner comme prévu si l’utilisateur dispose de privilèges d’administration, comme dans le cas des appareils non gérés.

Considérations relatives à l’activation de la fonction Toujours

Consultez la section suivante avant d’activer la fonction Always On.

Accès réseau principal : Lorsque le tunnel est établi, le trafic vers le réseau d’entreprise est décidé en fonction de la configuration du tunnel partagé. D’autres configurations ne sont pas fournies pour remplacer ce comportement.

Paramètres proxy de la machine cliente : Les paramètres proxy de la machine cliente sont ignorés pour la connexion au serveur de passerelle.

Remarque

La configuration du proxy de l’appliance Citrix ADC n’est pas ignorée. Seuls les paramètres proxy de la machine cliente sont ignorés. Les utilisateurs qui ont un proxy configuré sur leurs systèmes sont informés que le plug-in VPN a ignoré leurs paramètres de proxy.

Configuration d’Always On

Pour configurer Always On, créez un profil Always On sur le dispositif Citrix Gateway et appliquez le profil.

Pour créer un profil Always On :

  1. Dans l’interface graphique Citrix ADC, accédez à Configuration > Citrix Gateway > Stratégies > AlwaysOn.
  2. Sur la page Profils AlwaysOn, cliquez sur Ajouter.
  3. Sur la page Créer un profil AlwaysOn, entrez les informations suivantes :
    • Nom  : nom de votre profil.
    • **VPN basé sur la localisation (nom de registre côté client : LocationDetection) : sélectionnez l’un des paramètres suivants :
      • Àdistance pour permettre à un client de détecter s’il se trouve dans le réseau d’entreprise et d’établir le tunnel s’il n’est pas dans le réseau d’entreprise. Remote est le paramètre par défaut.
      • Partout pour permettre à un client d’ignorer la détection de localisation et d’établir le tunnel, quel que soit l’emplacement du client
    • Contrôle du client  : sélectionnez l’un des paramètres suivants :
      • Refuserpour empêcher l’utilisateur de se déconnecter et de se connecter à une autre passerelle. Refuser est le paramètre par défaut.
      • Permet à l’utilisateur de se déconnecter et de se connecter à une autre passerelle.
    • Accès réseau en cas d’échec VPN (nom de registre côté client : AlwaysOn) — Sélectionnez l’un des paramètres suivants :
      • Accès complet pour permettre au trafic réseau de circuler vers et depuis le client lorsque le tunnel n’est pas établi. L’accès intégral est le paramètre par défaut.
      • Seulement vers passerelle pour empêcher le trafic réseau de circuler vers ou depuis le client lorsque le tunnel n’est pas établi. Toutefois, le trafic à destination ou en provenance de l’adresse IP de la passerelle est autorisé.

        Remarque : En mode Uniquement vers passerelle, seul le serveur virtuel, le trafic DNS et DHCP sont débloqués. Pour débloquer d’autres sites Web, des plages d’adresses IP ou des adresses IP, vous devez définir le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules. Par exemple, mycompany.com,mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. Cliquez sur Créer pour terminer la création de votre profil.

Pour appliquer le profil Always On :

  1. Dans l’interface Citrix ADC, sélectionnez Configuration > Citrix Gateway > Paramètres globaux.
  2. Sur la page Paramètres globaux, cliquez sur le lien Modifier les paramètres globaux, puis sélectionnez l’onglet Expérience client .
  3. Dans le menu déroulant Nom du profil AlwaysOn, sélectionnez le profil que vous venez de créer, puis cliquez sur OK.

Remarque : Une configuration similaire peut être effectuée dans le profil de session pour appliquer les stratégies au niveau du groupe, au niveau du serveur ou au niveau de l’utilisateur.

Note sur les IIP

Le tunnel au niveau de la machine utilise l’authentification basée sur les certificats et la session créée porte le nom commun du certificat en tant que nom d’utilisateur. Ainsi, si les certificats de périphériques ont des noms communs uniques, les sessions des machines différentes ont un nom d’utilisateur différent et donc des adresses IP différentes. Assurez-vous de générer un certificat d’appareil avec des noms uniques. Idéalement, vous devez utiliser des noms de machines comme nom commun du certificat de périphérique.

Résumé du comportement des différentes configurations pour les utilisateurs administrateurs et les utilisateurs non administrateurs

Le tableau suivant récapitule le comportement des différentes configurations. Il détaille également la possibilité de certaines actions de l’utilisateur, qui peuvent affecter la fonctionnalité Always On.

networkAccessONVPNFailure Contrôle des clients Utilisateur non administrateur Utilisateur administrateur
fullaccess Allow Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau. L’utilisateur peut également pointer vers un autre Citrix Gateway. Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau d’entreprise. L’utilisateur peut également pointer vers un autre Citrix Gateway.
fullaccess Deny Le tunnel est automatiquement établi. L’utilisateur ne peut pas fermer sa session ou pointer vers un autre Citrix Gateway. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller l’agent Citrix Secure Access ou passer à un autre Citrix Gateway.
onlyToGateway Allow Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session (pas d’accès réseau). L’utilisateur peut également pointer vers un autre Citrix Gateway, auquel cas l’accès est accordé uniquement à Citrix Gateway nouvellement pointé. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller l’agent Citrix Secure Access ou passer à un autre Citrix Gateway.
onlyToGateway Deny Le tunnel est automatiquement établi. L’utilisateur ne peut pas fermer sa session ou pointer vers un autre Citrix Gateway. Le tunnel est automatiquement établi. L’utilisateur peut désinstaller l’agent Citrix Secure Access ou passer à un autre Citrix Gateway.

Autorisation des URL sélectionnées lorsque l’option Always On est en panne

Les utilisateurs peuvent accéder à quelques sites Web même lorsque Always On est en panne et que le réseau est verrouillé. Les administrateurs peuvent utiliser le registre AlwaysOnAllowList pour ajouter les sites Web auxquels vous souhaitez activer l’accès lorsque l’option AlwaysOnAllowList est inactive.

Remarque :

  • Le registreAlwaysOnAllowList est pris en charge à partir des versions 13.0 build 47.x et ultérieures.
  • L’emplacement du RegistreAlwaysOnAllowList est Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ Secure Access Client.
  • Les URL/FQDN génériques ne sont pas pris en charge dans le registre AlwaysOnAllowList .

Pour définir le registre AlwaysOnAllowList

Définissez le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules auxquels vous souhaitez autoriser l’accès.

Exemple : example.citrix.com ; 10.103.184.156 ; 10.102.0.0-10.102.255.100

La figure suivante présente un exemple de registre AlwaysOnAllowList .

!Alwaysonwhitelist-registry