Citrix Gateway

Konfigurieren des virtuellen DTLS-VPN-Servers über den virtuellen SSL-VPN-Server

Sie können einen virtuellen DTLS-VPN-Server für eine Citrix ADC Appliance unter Verwendung derselben IP und Portnummer eines konfigurierten virtuellen SSL-VPN-Servers konfigurieren. Durch die Konfiguration virtueller DTLS-VPN-Server können Sie die erweiterten DTLS-Verschlüsselungen und -Zertifikate für eine erhöhte Sicherheit an den DTLS-Verkehr binden. Ab Version 13.0 Build 47.x wird das DTLS 1.2-Protokoll zusätzlich zum zuvor unterstützten DTLS 1.0-Protokoll unterstützt.

Wichtig:

  • Standardmäßig ist die DTLS-Funktionalität für den vorhandenen virtuellen SSL-VPN-Server auf ON eingestellt. Deaktivieren Sie die Funktionalität für den Server, bevor Sie den virtuellen DTLS-VPN-Server erstellen.

  • Der virtuelle SNI für den virtuellen DTLS-Gateway-Server wird in Citrix Gateway Version 13.0 Build 64.x und höher unterstützt.

  • Ab Citrix ADC Version 13.0 Build 79.x ist der helloverifyrequest Parameter standardmäßig aktiviert. Die Aktivierung des helloverifyrequest Parameters im DTLS-Profil hilft, das Risiko zu verringern, dass ein Angreifer oder Bots den Netzwerkdurchsatz überfordert, was möglicherweise zu einer Erschöpfung der ausgehenden Bandbreite führt. Das heißt, es hilft, den DTLS DDoS-Verstärkungsangriff zu mildern. Einzelheiten zum helloverifyrequest Parameter finden Sie unter DTLS-Profil.

  • Bei der Verarbeitung des UDP-Datenverkehrs steigt der Speicherverbrauch der Citrix ADC Appliance, wenn die Back-End-Server viel Datenverkehr übertragen. Daher kann die Citrix ADC Appliance diesen Datenverkehr aufgrund der TCP-MUX-Verbindung auf der Clientseite nicht an den Client übertragen. In solchen Fällen empfiehlt Citrix, das DTLS-Protokoll zu verwenden.

Wichtige Hinweise

  • Der virtuelle DTLS-VPN-Server auf einer Citrix ADC Appliance kann ab Version 13.0 Build 58.x konfiguriert werden.

  • Bevor Sie einen virtuellen DTLS-VPN-Server auf einer Citrix ADC Appliance konfigurieren, müssen Sie einen virtuellen SSL-VPN-Server auf der Appliance konfiguriert haben.

  • Der virtuelle DTLS-VPN-Server verwendet die IP-Adresse und die Portnummer des konfigurierten virtuellen SSL-VPN-Servers.

  • Wenn der DTLS-Handshake fehlschlägt, fällt die Verbindung auf TLS zurück.

  • Um nur DTLS zu verwenden, können Sie TLS deaktivieren, indem Sie nur die DTLS-Chiffren an den DTLS-Verkehr binden.

  • DTLS-Multiplexing wird nicht unterstützt, wenn TCP-Verkehr über VPN getunnelt wird.

Konfigurieren Sie den virtuellen DTLS-VPN-Server über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
  2. Wählen Sie auf der Seite Virtuelle Citrix Gateway -Server den vorhandenen virtuellen SSL-VPN-Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite VPN Virtual Server auf das Bearbeitungssymbol, deaktivieren Sie das Kontrollkästchen DTLS, und klicken Sie auf OK.

    Deaktivieren Sie das Kontrollkästchen DTLS

  4. Klicken Sie auf dem virtuellen VPN-Server auf das Zurück-Pfeilsymbol, um zur Seite Citrix Gateway Virtual Servers zu navigieren, und klicken Sie auf Hinzufügen.

    Seite Virtuelle Server

  5. Geben Sie unter Grundeinstellungendie Werte für die folgenden Felder ein und klicken Sie auf OK.

    • Name — Ein Name für den virtuellen DTLS-VPN-Server
    • Protokoll - Wählen Sie DTLS aus dem Dropdown-Listenmenü
    • IP-Adresse — Geben Sie die IP-Adresse des virtuellen SSL-VPN-Servers ein
    • Port — Geben Sie die Portnummer des virtuellen SSL-VPN-Servers ein.

    Einen virtuellen Server hinzufügen

  6. Klicken Sie auf der Seite VPN Virtual Servers auf den Pfeil unter Zertifikate, um den erforderlichen Zertifikatschlüssel auszuwählen. Sie können einen vorhandenen SSL-Zertifikat verwenden oder einen erstellen. Klicken Sie auf das Optionsfeld neben dem gewünschten Zertifikatschlüssel und klicken Sie auf Auswählen.

    Wählen Sie einen Zertifikatschlüssel

  7. Klicken Sie auf der Seite Serverzertifikatbindung auf Binden.

    Binden Sie einen Zertifikatsschlüssel

  8. Um DTLS 1.2 zu verwenden, aktivieren Sie dasselbe. Klicken Sie auf der Seite Virtuelle VPN-Server unter SSL-Parameter auf Symbol bearbeiten. Aktivieren Sie das Kontrollkästchen DTLS 1.2 und klicken Sie auf OK.

    Hinweis:

    • Die Angabe des Servernamens (SNI) wird für virtuelle VPN-Server des Typs DTLS unterstützt.

    Aktivieren Sie DTLS 1.2

    Die Konfiguration des virtuellen DTLS-VPN-Servers ist nun abgeschlossen.

Konfigurieren des virtuellen DTLS-VPN-Servers über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehlsätze ein:

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 funktioniert wie gewohnt, um DTLS 1.2 zu verwenden, geben Sie den folgenden Befehl ein:

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

Beispiel

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

Um SNI für den virtuellen VPN-Server vom Typ DTLS zu aktivieren, geben Sie den folgenden Befehl ein:

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

Beispiel

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver \_XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT\_" -snICert

<!--NeedCopy-->

Die Liste der unterstützten virtuellen DTLS-VPN-Serverparameter lauten wie folgt:

  • Ipaddress
  • Port
  • Status
  • Double-Hop
  • downstateflush
  • Kommentar
  • Appflowlog
  • Icmpvsrresponse

Konfigurieren eines virtuellen DTLS-Servers mithilfe des XA/XD-Assistenten

  1. Wählen Sie im XA/XD-Setupassistenten StoreFront aus, und klicken Sie auf Weiter.

    XA/XD Einrichtungsassistent

  2. Aktivieren Sie auf der SeiteCitrix Gateway-Einstellungendas Kontrollkästchen DTLS-Listener für diesen VPN vServer konfigurieren, und klicken Sie auf Weiter.

    Seite Citrix Gateway-Einstellungen

  3. Beachten Sie, dass der DTLS Listener jetzt konfiguriert ist. Klicken Sie auf Datei auswählen, um das Serverzertifikat auszuwählen, und klicken Sie auf Weiter.

    Serverzertifikat wählen

  4. Geben Sie die Zertifikatdatei und den Namen der Schlüsseldatei an, und klicken Sie auf Weiter.

    Geben Sie die Zertifikatdatei und den Namen der Schlüsseldatei

  5. Geben Sie im Abschnitt StoreFront die Werte für die erforderlichen Parameter wie folgt an und klicken Sie auf Weiter.

    StoreFront-Bereich

  6. Geben Sie die Werte für die erforderlichen Parameter wie folgt an und klicken Sie auf Verbindung testen.

    Verbindung testen

  7. Stellen Sie sicher, dass der Server erreichbar ist, geben Sie Timeout-Wert und Serveranmeldenamen-Attribut an, und klicken Sie auf Continue.

    Festlegen von Konfigurationswerten

  8. Klicken Sie abschließend auf Fertig, um die Konfiguration abzuschließen.

    Konfiguration ist abgeschlossen

Einschränkungen

  • DTLS 1.2 wird nur auf Windows-Clients unterstützt.
  • Der virtuelle VPN-Server mit DTLS unterstützt keine IPv6-Adressen.
  • SSL-Richtlinie und SSL-Profil werden auf einem virtuellen DTLS-VPN-Server nicht unterstützt. Außerdem wird die Bindung der VPN-Server-Richtlinie nicht unterstützt.
  • Die folgenden Funktionen werden für den virtuellen DTLS-VPN-Server nicht unterstützt.
    • Unified Gateway mit virtuellen Content Switching-Server
    • PCOIP
    • UDP MUX
    • Anderer UDP-Verkehr
    • UDP-Audio
  • Der Befehl stat vpn vserver, der sich auf die Statistiken für den virtuellen DTLS-VPN-Server bezieht, wird nicht unterstützt.
  • HSM-Schlüssel werden mit dem virtuellen DTLS-Server nicht unterstützt.
  • Die Clusterkonfiguration wird nicht unterstützt.
Konfigurieren des virtuellen DTLS-VPN-Servers über den virtuellen SSL-VPN-Server