Gateway

使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器

您可以使用与已配置的 SSL VPN 虚拟服务器相同的 IP 地址和端口号为 NetScaler Gateway 配置 DTLS VPN 虚拟服务器。配置 DTLS VPN 虚拟服务器使您能够将高级 DTLS 密码和证书绑定到 DTLS 流量以增强安全性。 从版本 13.0 版本 47.x 开始,除了早期受支持的 DTLS 1.0 协议之外,还支持 DTLS 1.2 协议。

重要:

  • 默认情况下,对于现有 SSL VPN 虚拟服务器,DTLS 功能设置为“ON”(开)。在创建 DTLS VPN 虚拟服务器之前,请禁用服务器的功能。

  • NetScaler Gateway 版本 13.0 版本 64.x 及更高版本支持适用于 DTLS 网关虚拟服务器的 SNI。

  • 从 NetScaler 版本 13.0 版本 79.x 开始,默认情况下启用 helloverifyrequest 参数。在 DTLS 配置文件上启用 helloverifyrequest 参数有助于降低攻击者或机器人压倒网络吞吐量的风险,从而可能导致出站带宽耗尽的风险。也就是说,它有助于缓解 DTLS DDoS 扩增攻击。有关 helloverifyrequest 参数的详细信息,请参阅 DTLS 配置文件

  • 处理 UDP 流量时,如果后端服务器推送大量流量,NetScaler 设备的内存消耗会增加。因此,由于客户端上有 TCP MUX 连接,NetScaler 设备无法将此流量推送到客户端。在这种情况下,Citrix 建议您使用 DTLS 协议。

需要注意的事项

  • 可以从 13.0 Build 58.x 开始配置 NetScaler Gateway 设备上的 DTLS VPN 虚拟服务器。

  • 在 NetScaler Gateway 设备上配置 DTLS VPN 虚拟服务器之前,必须已在设备上配置 SSL VPN 虚拟服务器。

  • DTLS VPN 虚拟服务器使用配置的 SSL VPN 虚拟服务器的 IP 地址和端口号。

  • 如果 DTLS 握手失败,则连接将回退到 TLS。

  • 要仅使用 DTLS,您可以通过仅将 DTLS 密码绑定到 DTLS 流量来禁用 TLS。

  • 当 TCP 流量通过 VPN 进行通道传输时,不支持 DTLS 多路复用。

使用 GUI 配置 DTLS VPN 虚拟服务器

  1. 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器
  2. NetScaler Gateway Virtual Servers(NetScaler Gateway 虚拟服务器)页面上,选择现有的 SSL VPN 虚拟服务器,然后单击 Edit(编辑)。
  3. VPN 虚拟服务器页面上,单击编辑图标并清除 DTLS 复选框,然后单击确定
  4. 导航回 NetScaler Gateway > 虚拟服务器,然后单击添加
  5. 在“基本设置”下,输入以下字段的值,然后单击“确定”

    • 名称 - DTLS VPN 虚拟服务器的名称
    • 协议- 选择“DTLS”
    • IP 地址 - 输入 SSL VPN 虚拟服务器 IP 地址
    • 端口 - 输入 SSL VPN 虚拟服务器端口号
  6. NetScaler Gateway 虚拟服务器页面上,选择您之前添加的虚拟服务器,然后单击编辑
  7. 证书下,单击箭头图标以选择所需的证书密钥。
  8. 服务器证书绑定 > 选择服务器证书中,选择现有的 SSL 证书密钥或创建一个证书。
  9. 单击 Server Certificate Binding(服务器证书绑定)页面上的 Bind(绑定)。

注意:

  • 要使用 DTLS 1.2,请单击 SSL 参数下的编辑图标,然后选中 DTLS 1.2 复选框。
  • DTLS 类型的 VPN 虚拟服务器支持服务器名称指示 (SNI)。

使用 CLI 配置 DTLS VPN 虚拟服务器

在命令提示符下,键入下面的一组命令:

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 照常运行,要使用 DTLS 1.2,请键入以下命令:

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

示例

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

要为 DTLS 类型 VPN 虚拟服务器启用 SNI,请键入以下命令:

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

示例

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver _XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT_" -snICert

<!--NeedCopy-->

支持的 DTLS VPN 虚拟服务器参数

DTLS 类型的 VPN 虚拟服务器仅支持以下参数。

  • Ipaddress
  • 端口
  • 状态
  • 双跃点
  • downstateflush
  • 评论
  • Appflowlog
  • Icmpvsrresponse

不支持的 DTLS VPN 虚拟服务器参数

DTLS 类型的 VPN 虚拟服务器不支持以下参数。

  • LinuxEPAPluginUpgrade
  • WindowsEPAPluginUpgrade
  • maxAAAUsers
  • icaProxySessionMigration
  • loginOnce
  • cginfraHomePageRedirect
  • logoutOnSmartcardRemoval
  • l2Conn
  • MacEPAPluginUpgradeRHIstate
  • icaOnly
  • maxLoginAttempts
  • failedLoginTimeout
  • vserverFqdn
  • deviceCert
  • rdpServerProfileName
  • pcoipVserverProfileName
  • tcpProfileName
  • netProfile
  • authnProfile
  • Listenpriority
  • Listenpolicy
  • ipset
  • certkeyNames

使用 XenApp 和 XenDesktop 向导配置 DTLS 虚拟服务器

  1. 单击与 Citrix 产品集成下的 XenApp 和 XenDesktop

  2. 在 XenApp 和 XenDesktop 安装向导中,选择 StoreFront 并单击继续

  3. NetScaler Gateway 设置页面上,启用为此 VPN 虚拟服务器配置 DTLS 侦听器复选框,然后单击继续

    现已配置 DTLS 侦听器。

  4. 在“服务器证书”中,单击选择文件以选择服务器证书,然后单击继续

  5. 指定证书文件和密钥文件名,然后单击继续

  6. StoreFront 部分下,按如下所示提供所需参数的值,然后单击继续

  7. 身份验证部分下,按如下所示提供所需参数的值,然后单击测试连接

    确保服务器可访问,提供超时值和服务器登录名称属性,然后单击 Continue(继续)。

    指定配置值

  8. 单击 Done(完成)完成配置。

    配置完成

限制

  • DTLS 1.2 仅在 Windows 客户端上受支持。
  • 带有 DTLS 的 VPN 虚拟服务器不支持 IPv6 地址。
  • DTLS VPN 虚拟服务器不支持 SSL 策略和 SSL 配置文件。此外,不支持绑定 VPN 虚拟服务器策略。
  • NetScaler Gateway DTLS VPN 虚拟服务器不支持以下功能。但是,NetScaler Gateway SSL VPN 虚拟服务器支持以下功能:
    • 带内容交换虚拟服务器的 Unified Gateway
    • UDP MUX
    • UDP 视频
    • UDP 音频
    • PCOIP
  • 不支持与 DTLS VPN 虚拟服务器统计数据相关的 stat vpn vserver 命令。
  • DTLS 虚拟服务器不支持 HSM 密钥。
  • 不支持群集配置。
使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器