Gateway

SSL VPN 仮想サーバを使用した DTLS VPN 仮想サーバの構成

NetScaler Gateway用のDTLS VPN仮想サーバーは、構成済みのSSL VPN仮想サーバーと同じIPアドレスとポート番号を使用して構成できます。DTLS VPN 仮想サーバを設定すると、高度な DTLS 暗号と証明書を DTLS トラフィックにバインドして、セキュリティを強化できます。 リリース 13.0 ビルド 47.x から、以前サポートされていた DTLS 1.0 プロトコルに加えて、DTLS 1.2 プロトコルがサポートされます。

重要:

  • デフォルトでは、既存の SSL VPN 仮想サーバの DTLS 機能は ON に設定されています。DTLS VPN 仮想サーバーを作成する前に、サーバーの機能を無効にします。

  • DTLSゲートウェイ仮想サーバー用のSNIは、NetScaler Gateway リリース13.0ビルド64.x以降でサポートされています。

  • NetScaler ADCリリース13.0ビルド79.x以降、このhelloverifyrequestパラメータはデフォルトで有効になっています。DTLS プロファイルでhelloverifyrequestパラメータを有効にすると、攻撃者またはボットがネットワークスループットを圧倒し、アウトバウンド帯域幅の枯渇につながるリスクを軽減できます。つまり、DTLS DDoS 増幅攻撃を軽減するのに役立ちます。 helloverifyrequest パラメータの詳細については、 DTLS プロファイルを参照してください

  • UDPトラフィックを処理する場合、バックエンドサーバーが大量のトラフィックをプッシュすると、NetScaler ADCアプライアンスのメモリ消費量が増加します。その結果、クライアント側のTCP MUX接続のため、NetScaler ADCアプライアンスはこのトラフィックをクライアントにプッシュできません。このような場合は、DTLSプロトコルを使用することをお勧めします。

注意事項

  • NetScaler Gateway アプライアンス上の DTLS VPN 仮想サーバーは、リリース13.0ビルド58.xから構成できます。

  • NetScaler Gateway アプライアンスでDTLS VPN仮想サーバーを構成する前に、アプライアンスにSSL VPN仮想サーバーを構成しておく必要があります。

  • DTLS VPN 仮想サーバは、設定された SSL VPN 仮想サーバの IP アドレスとポート番号を使用します。

  • DTLS ハンドシェイクが失敗すると、接続は TLS にフォールバックします。

  • DTLS だけを使用するには、DTLS トラフィックに DTLS 暗号だけをバインドすることで、TLS を無効にできます。

  • TCP トラフィックが VPN 上でトンネリングされる場合、DTLS 多重化はサポートされません。

GUI を使用して DTLS VPN 仮想サーバーを構成する

  1. [構成]タブで、[ NetScaler Gateway]>[仮想サーバー]に移動します。
  2. NetScaler Gateway仮想サーバーページで、既存のSSL VPN仮想サーバーを選択し、「編集」をクリックします
  3. VPN 仮想サーバー」ページで、編集アイコンをクリックし、「DTLS」チェックボックスをオフにし、「OK」をクリックします
  4. [ **NetScaler Gateway] > [仮想サーバー ] に戻り、[追加] をクリックします**。
  5. 基本設定」で、次のフィールドに値を入力し、 「OK」をクリックします。

    • 名前-DTLS VPN 仮想サーバーの名前
    • プロトコル- DTLS を選択
    • IP アドレス — SSL VPN 仮想サーバーの IP アドレスを入力します
    • ポート — SSL VPN 仮想サーバーのポート番号を入力します
  6. NetScaler Gateway仮想サーバーページで、以前に追加した仮想サーバーを選択し、「編集」をクリックします
  7. [ 証明書] で、矢印アイコンをクリックして必要な証明書キーを選択します。
  8. サーバー証明書のバインド」>「サーバー証明書の選択」で、既存のSSL証明書キーを選択するか、作成します。
  9. [サーバー証明書のバインド] ページで [バインド] をクリックします。

注:

  • DTLS 1.2 を使用するには、「SSL パラメータ」の下の編集アイコンをクリックし、「 DTLS 1.2」チェックボックスを選択します。
  • サーバ名表示(SNI)は、DTLS タイプの VPN 仮想サーバでサポートされます。

CLI を使用して DTLS VPN 仮想サーバーを設定します

コマンドプロンプトで、次の一連のコマンドを入力します:

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 は通常どおりに動作します。DTLS 1.2 を使用するには、次のコマンドを入力します:

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

DTLS タイプ VPN 仮想サーバーの SNI を有効にするには、次のコマンドを入力します。

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver _XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT_" -snICert

<!--NeedCopy-->

サポートされている DTLS VPN 仮想サーバーパラメーター

DTLS タイプの VPN 仮想サーバーでは、次のパラメーターのみがサポートされます。

  • Ipaddress
  • ポート
  • 状態
  • ダブルホップ
  • downstateflush
  • コメント
  • Appflowlog
  • Icmpvsrresponse

サポートされていない DTLS VPN 仮想サーバーパラメーター

次のパラメータは、DTLS タイプの VPN 仮想サーバーではサポートされていません。

  • LinuxEPAPluginUpgrade
  • WindowsEPAPluginUpgrade
  • maxAAAUsers
  • icaProxySessionMigration
  • loginOnce
  • cginfraHomePageRedirect
  • logoutOnSmartcardRemoval
  • L2Conn
  • MacEPAPluginUpgradeRHIstate
  • icaOnly
  • maxLoginAttempts
  • failedLoginTimeout
  • vserverFqdn
  • deviceCert
  • rdpServerProfileName
  • pcoipVserverProfileName
  • tcpProfileName
  • netProfile
  • authnProfile
  • Listenpriority
  • Listenpolicy
  • ipset
  • certkeyNames

XenAppおよびXenDesktopウィザードを使用してDTLS仮想サーバーを構成します

  1. Citrix 製品との統合 」の「 XenAppとXenDesktop」をクリックします。

  2. XenAppおよびXenDesktopのセットアップウィザードで、[StoreFront]を選択し、[続行]をクリックします

  3. NetScaler Gateway 設定ページで、「 **このVPN vServerのDTLSリスナーを構成する」チェックボックスを有効にして、「続行 」をクリックします**。

    DTLS リスナーの設定が完了しました。

  4. 「サーバー証明書」で、「 ファイルを選択 」をクリックしてサーバー証明書を選択し、「 続行」をクリックします。

  5. 証明書ファイルとキーファイル名を指定し、[ 続行] をクリックします。

  6. StoreFront セクションで、次のように必須パラメータの値を指定し、「 続行」をクリックします。

  7. 認証 」セクションで、次のように必須パラメータの値を指定し、「 接続をテスト」をクリックします。

    サーバーが到達可能であることを確認し、[タイムアウト] の値と [サーバーログオン名属性] を指定して、[続行] をクリックします。

    設定値を指定する

  8. [ 完了 ] をクリックして設定を完了します。

    設定が完了しました

制限事項

  • DTLS 1.2 は、Windows クライアントでのみサポートされています。
  • DTLS を使用した VPN 仮想サーバは IPv6 アドレスをサポートしていません。
  • SSL ポリシーと SSL プロファイルは、DTLS VPN 仮想サーバではサポートされていません。また、VPN 仮想サーバポリシーのバインドはサポートされていません。
  • NetScaler Gateway DTLS VPN仮想サーバーは、次の機能をサポートしていません。ただし、NetScaler Gateway SSL VPN仮想サーバーは次の機能をサポートしています。
    • コンテンツスイッチング仮想サーバを備えた Unified Gateway
    • UDP MUX
    • UDPビデオ
    • UDPオーディオ
    • PCOIP
  • DTLS VPN 仮想サーバーの統計に関連するstat vpn vserverコマンドはサポートされていません。
  • HSM キーは DTLS 仮想サーバーではサポートされていません。
  • クラスタ構成はサポートされていません。
SSL VPN 仮想サーバを使用した DTLS VPN 仮想サーバの構成