Citrix Gateway

SSL VPN 仮想サーバを使用した DTLS VPN 仮想サーバの構成

構成済みのSSL VPN仮想サーバーと同じIPおよびポート番号を使用して、Citrix ADCアプライアンスのDTLS VPN仮想サーバーを構成できます。DTLS VPN 仮想サーバを設定すると、高度な DTLS 暗号と証明書を DTLS トラフィックにバインドして、セキュリティを強化できます。リリース 13.0 ビルド 47.x から、以前サポートされていた DTLS 1.0 プロトコルに加えて、DTLS 1.2 プロトコルがサポートされます。

重要:

  • デフォルトでは、既存の SSL VPN 仮想サーバの DTLS 機能は ON に設定されています。DTLS VPN 仮想サーバーを作成する前に、サーバーの機能を無効にします。

  • DTLSゲートウェイ仮想サーバー用のSNIは、Citrix Gateway リリース13.0ビルド64.x以降でサポートされています。

  • Citrix ADCリリース13.0ビルド79.x以降、このhelloverifyrequestパラメータはデフォルトで有効になっています。DTLS プロファイルでhelloverifyrequestパラメータを有効にすると、攻撃者またはボットがネットワークスループットを圧倒し、アウトバウンド帯域幅の枯渇につながるリスクを軽減できます。つまり、DTLS DDoS 増幅攻撃を軽減するのに役立ちます。 helloverifyrequest パラメータの詳細については、 DTLS プロファイルを参照してください

  • UDPトラフィックを処理する場合、バックエンドサーバーが大量のトラフィックをプッシュすると、Citrix ADCアプライアンスのメモリ消費量が増加します。その結果、クライアント側のTCP MUX接続のため、Citrix ADCアプライアンスはこのトラフィックをクライアントにプッシュできません。このような場合は、DTLSプロトコルを使用することをお勧めします。

注意事項

  • Citrix ADCアプライアンス上のDTLS VPN仮想サーバーは、リリース13.0ビルド58.xから構成できます。

  • Citrix ADCアプライアンスでDTLS VPN仮想サーバーを構成する前に、アプライアンスでSSL VPN仮想サーバーを構成しておく必要があります。

  • DTLS VPN 仮想サーバは、設定された SSL VPN 仮想サーバの IP アドレスとポート番号を使用します。

  • DTLS ハンドシェイクが失敗すると、接続は TLS にフォールバックします。

  • DTLS だけを使用するには、DTLS トラフィックに DTLS 暗号だけをバインドすることで、TLS を無効にできます。

  • TCP トラフィックが VPN 上でトンネリングされる場合、DTLS 多重化はサポートされません。

GUI を使用した DTLS VPN 仮想サーバの設定

  1. [構成]タブで、[ Citrix Gateway]>[仮想サーバー]に移動します。
  2. [Citrix Gateway仮想サーバー] に移動し、SSL VPN仮想サーバーを選択して [編集] をクリックします。
  3. [ VPN 仮想サーバー ] ページで、編集アイコンをクリックし、[ DTLS ] チェックボックスをオフにして、[ OK] をクリックします。

    [DTLS] チェックボックスをオフにします。

  4. VPN仮想サーバーの戻る矢印アイコンをクリックしてCitrix Gateway 仮想サーバー ]ページに移動し、[ 追加]をクリックします。

    [仮想サーバー] ページ

  5. 基本設定」で、次のフィールドに値を入力し、 「OK」をクリックします。

    • 名前-DTLS VPN 仮想サーバーの名前
    • プロトコル-ドロップダウンリストメニューから [DTLS] を選択します。
    • [IP アドレス] — SSL VPN 仮想サーバの IP アドレスを入力します。
    • [ポート] — SSL VPN 仮想サーバのポート番号を入力します。

    仮想サーバーを追加する

  6. [ VPN 仮想サーバー ] ページで、[ 証明書 ] の下の矢印をクリックして、必要な証明書キーを選択します。既存の SSL 証明書キーを使用することも、作成することもできます。目的の証明書キーの横にあるオプションボタンをクリックし、[選択( Select)] をクリックします。

    証明書キーを選択

  7. [サーバー証明書のバインド] ページで [バインド] をクリックします。

    証明書キーをバインドする

  8. DTLS 1.2を使用するには、同じものを有効にします。[VPN 仮想サーバー] ページで、[SSL パラメータ] の下にある [編集] アイコンをクリックします。 DTLS 1.2 チェックボックスをオンにして、「 OK」をクリックします。

    注:

    • サーバ名表示(SNI)は、DTLS タイプの VPN 仮想サーバでサポートされます。

    DTLS 1.2 を有効にする

    DTLS VPN仮想サーバーの設定が完了しました。

CLI を使用した DTLS VPN 仮想サーバの設定

コマンドプロンプトで、次の一連のコマンドを入力します。

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 は通常どおりに動作します。DTLS 1.2 を使用するには、次のコマンドを入力します。

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

重要:

次のパラメータは、DTLS タイプの VPN 仮想サーバーではサポートされていません。

  • LinuxEPAPluginUpgrade
  • WindowsEPAPluginUpgrade
  • maxAAAUsers
  • icaProxySessionMigration
  • loginOnce
  • cginfraHomePageRedirect
  • logoutOnSmartcardRemoval
  • l2Conn
  • MacEPAPluginUpgradeRHIstate
  • icaOnly
  • maxLoginAttempts
  • failedLoginTimeout
  • vserverFqdn
  • deviceCert
  • rdpServerProfileName
  • pcoipVserverProfileName
  • tcpProfileName
  • netProfile
  • authnProfile
  • Listenpriority
  • Listenpolicy
  • ipset
  • certkeyNames

DTLS タイプ VPN 仮想サーバーの SNI を有効にするには、次のコマンドを入力します。

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver \_XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT\_" -snICert

<!--NeedCopy-->

サポートされるDTLS VPN仮想サーバパラメータのリストは次のとおりです。

  • Ipaddress
  • ポート
  • State
  • ダブルホップ
  • downstateflush
  • コメント
  • Appflowlog
  • Icmpvsrresponse

XA/XD ウィザードを使用して DTLS 仮想サーバーを構成する

  1. XA/XDセットアップウィザードで [StoreFront] を選択し、[続行] をクリックします。

    XA/XD セットアップウィザード

  2. [Citrix Gateway 設定] ページで、[ このVPN仮想サーバーのDTLSリスナーを構成する ]チェックボックスをオンにし、[ 続行]をクリックします。

    Citrix Gateway 設定ページ

  3. DTLS リスナーが設定されたことに注目してください。[ファイルを選択] をクリックしてサーバー証明書を選択し、[続行] をクリックします。

    サーバー証明書を選択

  4. 証明書ファイルとキーファイル名を指定し、[続行] をクリックします。

    証明書ファイルとキーファイル名の指定

  5. [StoreFront]セクションで、必須パラメーターの値を次のように入力し、[ 続行]をクリックします。

    StoreFront セクション

  6. 必須パラメータの値を次のように指定し、[ 接続をテスト] をクリックします。

    テスト接続

  7. サーバーが到達可能であることを確認し、[タイムアウト] の値と [サーバーログオン名属性] を指定して、[続行] をクリックします。

    設定値を指定する

  8. 最後に、[Done] をクリックして設定を完了します。

    設定が完了しました

制限事項

  • DTLS 1.2 は、Windows クライアントでのみサポートされています。
  • DTLS を使用した VPN 仮想サーバは IPv6 アドレスをサポートしていません。
  • SSL ポリシーと SSL プロファイルは、DTLS VPN 仮想サーバではサポートされていません。また、VPN 仮想サーバポリシーのバインドはサポートされていません。
  • 次の機能は、DTLS VPN 仮想サーバではサポートされていません。
    • コンテンツスイッチング仮想サーバを備えた Unified Gateway
    • PCOIP
    • UDP MUX
    • その他の UDP トラフィック
    • UDP オーディオ
  • DTLS VPN stat vpn vserver 仮想サーバの統計情報に関連するコマンドはサポートされていません。
  • HSM キーは DTLS 仮想サーバーではサポートされていません。
  • クラスタ構成はサポートされていません。
SSL VPN 仮想サーバを使用した DTLS VPN 仮想サーバの構成