Gateway

Virtuellen DTLS-VPN-Server über den virtuellen SSL-VPN-Server konfigurieren

Sie können einen virtuellen DTLS-VPN-Server für NetScaler Gateway konfigurieren, indem Sie dieselbe IP-Adresse und Portnummer eines konfigurierten virtuellen SSL-VPN-Servers verwenden. Durch die Konfiguration virtueller DTLS-VPN-Server können Sie die erweiterten DTLS-Verschlüsselungen und -Zertifikate für eine erhöhte Sicherheit an den DTLS-Verkehr binden.

Wichtig:

  • Standardmäßig ist die DTLS-Funktionalität für den vorhandenen virtuellen SSL-VPN-Server auf ON eingestellt. Deaktivieren Sie die Funktionalität für den Server, bevor Sie den virtuellen DTLS-VPN-Server erstellen.

  • Der virtuelle SNI für den virtuellen DTLS-Gateway-Server wird in NetScaler Gateway Version 13.0 Build 64.x und höher unterstützt.

  • Ab NetScaler Version 13.0 Build 79.x ist der helloverifyrequest Parameter standardmäßig aktiviert. Die Aktivierung des Parameters helloverifyrequest im DTLS-Profil hilft, das Risiko zu verringern, dass ein Angreifer oder Bots den Netzwerkdurchsatz überfordert, was möglicherweise zu einer Erschöpfung der ausgehenden Bandbreite führt. Das heißt, es hilft, den DTLS DDoS-Verstärkungsangriff zu mildern. Einzelheiten zum helloverifyrequest Parameter finden Sie unter DTLS-Profil.

  • Bei der Verarbeitung des UDP-Datenverkehrs steigt der Speicherverbrauch der NetScaler-Appliance, wenn die Back-End-Server viel Datenverkehr übertragen. Daher kann die NetScaler-Appliance diesen Datenverkehr aufgrund der TCP-MUX-Verbindung auf der Clientseite nicht an den Client übertragen. In solchen Fällen empfiehlt Citrix, das DTLS-Protokoll zu verwenden.

Wichtige Hinweise

  • Der virtuelle DTLS VPN-Server auf einer NetScaler Gateway-Appliance kann ab Version 13.0 Build 58.x konfiguriert werden.

  • Bevor Sie einen virtuellen DTLS-VPN-Server auf einem NetScaler Gateway-Gerät konfigurieren, müssen Sie einen virtuellen SSL-VPN-Server auf der Appliance konfiguriert haben.

  • Der virtuelle DTLS-VPN-Server verwendet die IP-Adresse und die Portnummer des konfigurierten virtuellen SSL-VPN-Servers.

  • Wenn der DTLS-Handshake fehlschlägt, fällt die Verbindung auf TLS zurück.

  • Um nur DTLS zu verwenden, können Sie TLS deaktivieren, indem Sie nur die DTLS-Chiffren an den DTLS-Verkehr binden.

  • DTLS-Multiplexing wird nicht unterstützt, wenn TCP-Verkehr über VPN getunnelt wird.

Virtuellen DTLS-VPN-Server mit der GUI konfigurieren

  1. Navigieren Sie auf der Registerkarte Konfiguration zu NetScaler Gateway > Virtuelle Server.
  2. Wählen Sie auf der Seite Virtuelle NetScaler Gateway -Server den vorhandenen virtuellen SSL-VPN-Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite VPN Virtual Server auf das Bearbeitungssymbol, deaktivieren Sie das Kontrollkästchen DTLS und klicken Sie auf OK.
  4. Navigieren Sie zurück zu NetScaler Gateway > Virtuelle Server und klicken Sie auf Hinzufügen.
  5. Geben Sie unter Grundeinstellungendie Werte für die folgenden Felder ein und klicken Sie auf OK.

    • Name — Ein Name für den virtuellen DTLS-VPN-Server
    • Protokoll - Wählen Sie DTLS
    • IP-Adresse - Geben Sie die IP-Adresse des virtuellen SSL-VPN-Servers ein
    • Port - Geben Sie die Portnummer des virtuellen SSL-VPN-Servers ein
  6. Wählen Sie auf der Seite NetScaler Gateway Virtual Servers den virtuellen Server aus, den Sie zuvor hinzugefügt haben, und klicken Sie auf Bearbeiten.
  7. Klicken Sie unter Zertifikate auf das Pfeilsymbol, um den erforderlichen Zertifizierungsschlüssel auszuwählen.
  8. Wählen Sie unter Serverzertifikatbindung > Serverzertifikat auswählen einen vorhandenen SSL-Zertifikatsschlüssel aus oder erstellen Sie einen.
  9. Klicken Sie auf der Seite Serverzertifikatbindung auf Binden.

Hinweis:

  • Um DTLS 1.2 zu verwenden, klicken Sie unter SSL-Parameter auf das Bearbeitungssymbol und aktivieren Sie das Kontrollkästchen DTLS 1.2.
  • Die Angabe des Servernamens (SNI) wird für virtuelle VPN-Server des Typs DTLS unterstützt.

Virtuellen DTLS-VPN-Server mit der CLI konfigurieren

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 funktioniert wie gewohnt, um DTLS 1.2 zu verwenden, geben Sie den folgenden Befehl ein:

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

Beispiel

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

Um SNI für den virtuellen VPN-Server vom Typ DTLS zu aktivieren, geben Sie den folgenden Befehl ein:

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

Beispiel

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver _XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT_" -snICert

<!--NeedCopy-->

Unterstützte virtuelle DTLS-VPN-Serverparameter

Nur die folgenden Parameter werden für den virtuellen VPN-Server vom Typ DTLS unterstützt.

  • Ipaddress
  • Port
  • Status
  • Double-Hop
  • downstateflush
  • Kommentar
  • Appflowlog
  • Icmpvsrresponse

Nicht unterstützte virtuelle DTLS-VPN-Serverparameter

Die folgenden Parameter werden für den virtuellen VPN-Server vom Typ DTLS nicht unterstützt.

  • LinuxEPAPluginUpgrade
  • WindowsEPAPluginUpgrade
  • maxAAAUsers
  • icaProxySessionMigration
  • loginOnce
  • cginfraHomePageRedirect
  • logoutOnSmartcardRemoval
  • l2Conn
  • MacEPAPluginUpgradeRHIstate
  • icaOnly
  • maxLoginAttempts
  • failedLoginTimeout
  • vserverFqdn
  • deviceCert
  • rdpServerProfileName
  • pcoipVserverProfileName
  • tcpProfileName
  • netProfile
  • authnProfile
  • Listenpriority
  • Listenpolicy
  • ipset
  • certkeyNames

Virtuellen DTLS-Server mit dem XenApp- und XenDesktop-Assistenten konfigurieren

  1. Klicken Sie unter In Citrix-Produkte integrierenauf XenApp und XenDesktop.

  2. Wählen Sie im Setupassistenten für XenApp und XenDesktop StoreFront aus und klicken Sie auf Weiter.

  3. Aktivieren Sie auf der Seite mit den NetScaler Gateway-Einstellungen das Kontrollkästchen DTLS-Listener für diesen virtuellen VPN-Server konfigurieren und klicken Sie auf Weiter.

    Der DTLS-Listener ist jetzt konfiguriert.

  4. Klicken Sie unter Serverzertifikat auf Datei auswählen, um das Serverzertifikat auszuwählen, und klicken Sie auf Weiter.

  5. Geben Sie die Zertifikatsdatei und den Namen der Schlüsseldatei an und klicken Sie auf Weiter.

  6. Geben Sie im Abschnitt StoreFront die Werte für die erforderlichen Parameter wie folgt ein und klicken Sie auf Weiter.

  7. Geben Sie im Abschnitt Authentifizierung die Werte für die erforderlichen Parameter wie folgt ein und klicken Sie auf Verbindung testen.

    Stellen Sie sicher, dass der Server erreichbar ist, geben Sie Timeout-Wert und Serveranmeldenamen-Attribut an, und klicken Sie auf Continue.

    Festlegen von Konfigurationswerten

  8. Klicken Sie auf Fertig, um die Konfiguration abzuschließen.

    Konfiguration ist abgeschlossen

Einschränkungen

  • DTLS 1.2 wird nur auf Windows-Clients unterstützt.
  • Der virtuelle VPN-Server mit DTLS unterstützt keine IPv6-Adressen.
  • SSL-Richtlinie und SSL-Profil werden auf einem virtuellen DTLS-VPN-Server nicht unterstützt. Außerdem wird die Bindung der VPN-Server-Richtlinie nicht unterstützt.
  • Der virtuelle NetScaler Gateway DTLS VPN-Server unterstützt die folgenden Funktionen nicht. Der virtuelle NetScaler Gateway SSL VPN-Server unterstützt jedoch diese Funktionen:
    • Unified Gateway mit virtuellen Content Switching-Server
    • UDP MUX
    • UDP-Video
    • UDP-Audio
    • PCOIP
  • Der stat vpn vserver Befehl, der sich auf die Statistiken für den virtuellen DTLS-VPN-Server bezieht, wird nicht unterstützt.
  • HSM-Schlüssel werden mit dem virtuellen DTLS-Server nicht unterstützt.
  • Die Clusterkonfiguration wird nicht unterstützt.
Virtuellen DTLS-VPN-Server über den virtuellen SSL-VPN-Server konfigurieren