Règles et bonnes pratiques d'utilisation AWS Client VPN - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles et bonnes pratiques d'utilisation AWS Client VPN

Voici les règles et les meilleures pratiques d'utilisation AWS Client VPN

  • Une bande passante minimale de 10 Mbits/s est prise en charge par connexion utilisateur. La bande passante maximale par connexion utilisateur dépend du nombre de connexions établies avec le point de VPN terminaison client.

  • Les CIDR plages CIDR de clients ne peuvent pas se chevaucher avec le local VPC dans lequel se trouve le sous-réseau associé, ni avec les routes ajoutées manuellement à la table de routage du VPN point de terminaison du client.

  • Les CIDR plages de clients doivent avoir une taille de bloc d'au moins /22 et ne doivent pas être supérieures à /12.

  • Une partie des adresses de la CIDR plage de clients est utilisée pour prendre en charge le modèle de disponibilité du point de VPN terminaison client et ne peut pas être attribuée aux clients. Par conséquent, nous vous recommandons d'attribuer un CIDR bloc contenant le double du nombre d'adresses IP nécessaires pour permettre le nombre maximal de connexions simultanées que vous prévoyez de prendre en charge sur le point de VPN terminaison du client.

  • La CIDR gamme de clients ne peut pas être modifiée une fois que vous avez créé le point de VPN terminaison client.

  • Les sous-réseaux associés à un point de VPN terminaison client doivent être identiquesVPC.

  • Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de VPN terminaison client.

  • Un point de VPN terminaison client ne prend pas en charge les associations de sous-réseaux dans une location VPC dédiée.

  • Le client VPN prend uniquement en charge IPv4 le trafic. Voir IPv6considérations pour AWS Client VPN pour plus de détails concernantIPv6.

  • Le client n'VPNest pas conforme aux normes fédérales de traitement de l'information (FIPS).

  • Le portail libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'une authentification mutuelle.

  • Nous vous déconseillons de vous connecter à un point de VPN terminaison client à l'aide d'adresses IP. VPNLe client étant un service géré, vous constaterez parfois des modifications dans les adresses IP associées au DNS nom. En outre, les interfaces VPN réseau du client seront supprimées et recréées dans vos CloudTrail journaux. Nous vous recommandons de vous connecter au point de VPN terminaison client en utilisant le DNS nom fourni.

  • Le transfert IP n'est actuellement pas pris en charge lors de l'utilisation de l'application AWS Client VPN de bureau. Le transfert IP est pris en charge par d'autres clients.

  • Le client VPN ne prend pas en charge la réplication multirégionale dans. AWS Managed Microsoft AD Le point de VPN terminaison du client doit se trouver dans la même région que la AWS Managed Microsoft AD ressource.

  • Si l'authentification multifactorielle (MFA) est désactivée pour votre Active Directory, les mots de passe utilisateur ne peuvent pas utiliser le format suivant.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Vous ne pouvez pas établir de VPN connexion depuis un ordinateur si plusieurs utilisateurs sont connectés au système d'exploitation.

  • Le VPN service client exige que l'adresse IP à laquelle le client est connecté corresponde à l'adresse IP associée au DNS nom du VPN point de terminaison du client. En d'autres termes, si vous définissez un DNS enregistrement personnalisé pour le point de VPN terminaison client, puis que vous transférez le trafic vers l'adresse IP réelle associée au DNS nom du point de terminaison, cette configuration ne fonctionnera pas avec les clients récemment AWS fournis. Cette règle a été ajoutée pour atténuer une attaque IP du serveur, comme décrit ici : TunnelCrack.

  • Le VPN service client exige que les plages d'adresses IP du réseau local (LAN) des appareils clients se situent dans les plages d'adresses IP privées standard suivantes : 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. S'il est détecté que la plage d'LANadresses du client se situe en dehors des plages ci-dessus, le point de VPN terminaison du client envoie automatiquement la VPN directive Open « redirect-gateway block-local » au client, forçant ainsi tout le trafic à entrer dans le. LAN VPN Par conséquent, si vous avez besoin LAN d'un accès pendant VPN les connexions, il est conseillé d'utiliser les plages d'adresses classiques répertoriées ci-dessus pour votreLAN. Cette règle est appliquée pour atténuer les risques d'une attaque réseau locale, comme décrit ici : TunnelCrack.