Reglas y mejores prácticas de uso AWS Client VPN

Se admite un ancho de banda mínimo de 10 Mbps por conexión de usuario. El ancho de banda máximo por conexión de usuario depende del número de conexiones que se realicen al VPN punto final del cliente.

CIDRLos rangos de clientes no pueden superponerse con los VPC locales CIDR de la subred asociada ni con ninguna ruta que se añada manualmente a la tabla de rutas del VPN punto final del cliente.

CIDRLos rangos de clientes deben tener un tamaño de bloque de al menos /22 y no deben ser superiores a /12.

Una parte de las direcciones del CIDR rango de clientes se usa para admitir el modelo de disponibilidad del VPN punto final del cliente y no se puede asignar a los clientes. Por lo tanto, le recomendamos que asigne un CIDR bloque que contenga el doble de direcciones IP necesarias para habilitar el número máximo de conexiones simultáneas que planea admitir en el VPN punto final del cliente.

El CIDR rango de clientes no se puede cambiar después de crear el VPN punto final del cliente.

Las subredes asociadas a un VPN punto final del cliente deben estar en el mismo VPC lugar.

No puede asociar varias subredes de la misma zona de disponibilidad a un punto final de clienteVPN.

Un VPN punto final de cliente no admite asociaciones de subredes en un arrendamiento dedicado. VPC

El cliente VPN solo admite IPv4 tráfico. Consulte IPv6consideraciones para AWS Client VPN para obtener más información sobreIPv6.

VPNEl cliente no cumple con las normas federales de procesamiento de información (FIPS).

El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.

No recomendamos conectarse a un VPN punto final del cliente mediante direcciones IP. Como el cliente VPN es un servicio gestionado, ocasionalmente verá cambios en las direcciones IP a las que se refiere el DNS nombre. Además, verá cómo las interfaces de VPN red del cliente se eliminan y se vuelven a crear en sus CloudTrail registros. Recomendamos conectarse al VPN punto final del cliente con el DNS nombre proporcionado.

Actualmente, no se admite el reenvío de IP cuando se utiliza la aplicación AWS Client VPN de escritorio. Otros clientes admiten el reenvío de IP.

VPNEl cliente no admite la replicación en varias regiones. AWS Managed Microsoft AD El VPN punto final del cliente debe estar en la misma región que el AWS Managed Microsoft AD recurso.

Si la autenticación multifactorial (MFA) está deshabilitada en Active Directory, las contraseñas de usuario no pueden usar el siguiente formato.

SCRV1:base64_encoded_string:base64_encoded_string

No puede establecer una VPN conexión desde un equipo si hay varios usuarios conectados al sistema operativo.

El VPN servicio de cliente requiere que la dirección IP a la que está conectado el cliente coincida con la IP a la que se dirige el DNS nombre del VPN terminal del cliente. En otras palabras, si establece un DNS registro personalizado para el VPN punto final del cliente y, a continuación, reenvía el tráfico a la dirección IP real a la que se dirige el DNS nombre del punto final, esta configuración no funcionará con los clientes AWS proporcionados recientemente. Esta regla se agregó para mitigar un ataque IP al servidor como se describe aquí: TunnelCrack.

El VPN servicio de cliente requiere que los rangos de direcciones IP de la red de área local (LAN) de los dispositivos cliente estén dentro de los siguientes rangos de direcciones IP privadas estándar: 10.0.0.0/8172.16.0.0/12,192.168.0.0/16,, o169.254.0.0/16. Si se detecta que el rango de LAN direcciones del cliente se encuentra fuera de los rangos anteriores, el VPN terminal del cliente enviará automáticamente al cliente la VPN directiva abierta «redirect-gateway block-local», lo que obligará a todo el tráfico a entrar en el. LAN VPN Por lo tanto, si necesita LAN acceder durante VPN las conexiones, se recomienda utilizar los rangos de direcciones convencionales enumerados anteriormente. LAN Esta regla se aplica para mitigar las posibilidades de un ataque de red local como se describe aquí: TunnelCrack.