VPN con Citrix NetScaler IV – AlwaysON
El habilitar AlwaysON en Citrix ADC nos permitirá que se levante la conexión VPN automáticamente, sin interacción del usuario final, algo que le aportará un plus a nuestras conexiones siendo totalmente transparentes, esto es lo que veremos en este último episodio del despliegue de VPN con Citrix NetScaler Gateway y algunas de sus posibilidades.
Para habilitar AlwaysON, en el perfil de sesión del Virtual Server del NetScaler Gateway, en “Client Experience” pulsamos en Add de AlwaysON Profile Name,
Le damos un nombre, indicamos desde donde habilitaremos las conexiones, si querremos tener un control del cliente y el tipo de acceso a la red en caso de problemas con la VPN, “Create”, y salimos del Virtual Server con “Done”.
Tras un reinicio, por defecto los equipos ya se conectarán a la VPN automáticamente, tras el login del usuario en su Windows, sin ninguna interacción.
AlwaysON funciona de la siguiente manera:
- El usuario enciende su equipo, el túnel VPN de dispositivo se establece a través de NetScaler Gateway usando el certificado del dispositivo como identidad.
- Ya que la máquina está conectada al túnel, el usuario se loguea en su equipo con sus credenciales del AD y se validan contra nuestros DCs.
- Después del inicio de sesión, el usuario puede requerir MFA.
- Y finalmente, después de una correcta autenticación, el túnel VPN de dispositivo es reemplazado por el túnel de usuario, con él llegará a los recursos de red que necesite para trabajar.
- Cuando el usuario cierre su sesión se reemplaza el túnel de usuario con el de dispositivo.
Para ello tenemos varias opciones de configurar AlwaysON en nuestros puestos, depende de una clave de registro que tendremos en “HKLM\Software\Citrix\Secure Access Client” llamada “AlwaysOnService” de tipo REG_DWORD.
- Si el valor es ‘1’ se establecerá el túnel VPN de dispositivo pero no el túnel VPN de usuario.
- Si el valor es ‘2’. se establece el túnel de dispositivo y es reemplazado por el túnel del usuario tras el logon correcto en Windows.
- Sin la clave ‘AlwaysOnService’ se usará únicamente el túnel de usuario.
Bueno, como siempre me despido atentamente, deseándoos lo mejor, que podáis controlar, gobernar lo mejor posible vuestros sistemas, que elevemos ciertos niveles de seguridad, automaticemos lo máximo para trabajar lo mínimo =), que vaya bien, un saludo!