Citrix Gateway

使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器

可以使用配置的 SSL VPN 虚拟服务器相同的 IP 和端口号为 Citrix ADC 设备配置 DTLS VPN 虚拟服务器。配置 DTLS VPN 虚拟服务器使您能够将高级 DTLS 密码和证书绑定到 DTLS 流量以增强安全性。从版本 13.0 版本 47.x 开始,除了早期受支持的 DTLS 1.0 协议之外,还支持 DTLS 1.2 协议。

重要:

  • 默认情况下,对于现有 SSL VPN 虚拟服务器,DTLS 功能设置为“ON”(开)。在创建 DTLS VPN 虚拟服务器之前,请禁用服务器的功能。

  • Citrix Gateway 版本 13.0 版本 64.x 及更高版本支持适用于 DTLS 网关虚拟服务器的 SNI。

  • 从 Citrix ADC 版本 13.0 版本 79.x 开始,默认情况下启用该 helloverifyrequest 参数。在 DTLS 配置文件上启用 helloverifyrequest 参数有助于降低攻击者或机器人压倒网络吞吐量的风险,从而可能导致出站带宽耗尽的风险。也就是说,它有助于缓解 DTL DDoS 扩增攻击。有关参数的详细信息,请 helloverifyrequest 参阅 DTLS 配置文件

  • 处理 UDP 流量时,如果后端服务器推送大量流量,Citrix ADC 设备的内存消耗会增加。因此,由于客户端上有 TCP MUX 连接,Citrix ADC 设备无法将此流量推送到客户端。在这种情况下,Citrix 建议您使用 DTLS 协议。

注意事项

  • Citrix ADC 设备上的 DTLS VPN 虚拟服务器可以从版本 13.0 版本 58.x 进行配置。

  • 在 Citrix ADC 设备上配置 DTLS VPN 虚拟服务器之前,必须在设备上配置 SSL VPN 虚拟服务器。

  • DTLS VPN 虚拟服务器使用配置的 SSL VPN 虚拟服务器的 IP 地址和端口号。

  • 如果 DTLS 握手失败,则连接将回退到 TLS。

  • 要仅使用 DTLS,您可以通过仅将 DTLS 密码绑定到 DTLS 流量来禁用 TLS。

  • 当 TCP 流量通过 VPN 进行隧道传输时,不支持 DTLS 多路复用。

使用 GUI 配置 DTLS VPN 虚拟服务器

  1. 在“Configuration”(配置)选项卡上,导航到 Citrix Gateway > Virtual Servers(虚拟服务器)
  2. Citrix Gateway Virtual Servers(Citrix Gateway 虚拟服务器)页面上,选择现有的 SSL VPN 虚拟服务器,然后单击 Edit(编辑)。
  3. VPN 虚拟服务器 页面上,单击编辑图标并清除 DTL 复选框,然 后单击确定

    清除 DTLS 复选框

  4. 单击 VPN 虚拟服务器 上的向后箭头图标导航到 Citrix Gateway 虚拟服务器 页面,然后单击 添加

    虚拟服务器页面

  5. 在 “ 基本设置” 下,输入以下字段的值,然后单击 “ 确定”

    • 名称-DTLS VPN 虚拟服务器的名称
    • 协议- 从下拉列表菜单中选择 DTLS
    • IP 地址 — 输入 SSL VPN 虚拟服务器 IP 地址
    • 端口 — 输入 SSL VPN 虚拟服务器端口号。

    添加虚拟服务器

  6. VPN 虚拟服务器 页面上,单击 证书 下的箭头以选择所需的证书密钥。您可以使用现有的 SSL 证书密钥或创建一个。单击所需证书密钥旁边的单选按钮,然后单击 选择

    选择证书密钥

  7. 单击 Server Certificate Binding(服务器证书绑定)页面上的 Bind(绑定)。

    绑定证书密钥

  8. 要使用 DTLS 1.2,请启用相同的功能。在 VPN Virtual Servers(VPN 虚拟服务器)页面上,单击“SSL Parameters”(SSL 参数)下的编辑图标。启用 DTLS 1.2 复选框,然后单击确定

    注意:

    • DTLS 类型的 VPN 虚拟服务器支持服务器名称指示 (SNI)。

    启用 DTLS 1.2

    DTLS VPN 虚拟服务器配置现已完成。

使用 CLI 配置 DTLS VPN 虚拟服务器

在命令提示符处,键入以下命令集:

set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
<!--NeedCopy-->

DTLS 1.0 照常运行,要使用 DTLS 1.2,请键入以下命令:

set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
<!--NeedCopy-->

示例

set vpn vserver vpnvserver  -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
<!--NeedCopy-->

要为 DTLS 类型 VPN 虚拟服务器启用 SNI,请键入以下命令:

set ssl vserver <vServerName>@ [-SNIEnable ( ENABLED | DISABLED )
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key> <-SNICert>
<!--NeedCopy-->

示例

set ssl vserver _XD_10.106.40.225_443_DTLS -sniEnable eNABLED
bind ssl vserver \_XD_10.106.40.225_443_DTLS -certkeyName "Insight/*.insight.net.cer_CERT\_" -snICert

<!--NeedCopy-->

支持的 DTLS VPN 虚拟服务器参数列表如下:

  • Ipaddress
  • 端口
  • 状态
  • 双跃点
  • downstateflush
  • 备注
  • Appflowlog
  • Icmpvsrresponse

使用 XA/XD 向导配置 DTLS 虚拟服务器

  1. 在 XA/XD 安装向导中,选择 StoreFront ,然后单击 Continue(继续)。

    XA/XD 设置向导

  2. Citrix Gateway 设置 页面上,启用 为此 VPN 虚拟服务器配置 DTLS 侦听器 复选框,然后单击 继续

    Citrix Gateway 设置页面

  3. 请注意,现在已配置 DTLS 侦听器。单击 Choose File(选择文件)以选择服务器证书,然后单击 Continue(继续)。

    选择服务器证书

  4. 指定证书文件和密钥文件名,然后单击 Continue(继续)。

    指定证书文件和密钥文件名

  5. 在 StoreFront 部分下,提供所需参数的值,如下所示,然后单击 继续

    StoreFront 部分

  6. 提供所需参数的值,如下所示,然后单击 测试连接

    测试连接

  7. 确保服务器可访问,提供超时值和服务器登录名称属性,然后单击 Continue(继续)。

    指定配置值

  8. 最后,单击 Done(完成)完成配置。

    配置完成

限制

  • DTLS 1.2 仅在 Windows 客户端上受支持。
  • 带有 DTLS 的 VPN 虚拟服务器不支持 IPv6 地址。
  • DTLS VPN 虚拟服务器不支持 SSL 策略和 SSL 配置文件。此外,不支持绑定 VPN 虚拟服务器策略。
  • DTLS VPN 虚拟服务器不支持以下功能。
    • 带内容交换虚拟服务器的 Unified Gateway
    • PCOIP
    • UDP MUX
    • 其他 UDP 流量
    • UDP 音频
  • 不支持与 DTLS VPN 虚拟服务器的统计信息相关的 stat vpn vserver 命令。
  • DTLS 虚拟服务器不支持 HSM 密钥。
  • 不支持群集配置。
使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器