Règles et bonnes pratiques d'utilisation AWS Client VPN - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles et bonnes pratiques d'utilisation AWS Client VPN

Voici les règles et les meilleures pratiques d'utilisation AWS Client VPN

  • Une bande passante minimale de 10 Mbits/s est prise en charge par connexion utilisateur. La bande passante maximale par connexion utilisateur dépend du nombre de connexions établies avec le point de terminaison VPN du Client.

  • Les plages CIDR client ne peuvent pas chevaucher la CIDR locale du VPC dans lequel se trouve le sous-réseau associé ou n'importe quelle route ajoutée manuellement à la table de routage du point de terminaison VPN Client.

  • Les plages CIDR client doivent avoir une taille de bloc d'au moins /22 et ne doivent pas être supérieures à /12.

  • Un certain nombre d'adresses de la plage CIDR client sont utilisées pour prendre en charge le modèle de disponibilité du point de terminaison VPN Client et ne peuvent pas être affectées aux clients. Par conséquent, nous vous recommandons d'affecter un bloc d'adresse CIDR contenant deux fois le nombre d'adresses IP requises pour activer le nombre maximal de connexions simultanées que vous prévoyez de prendre en charge sur le point de terminaison VPN Client.

  • La plage CIDR client ne peut pas être modifiée après la création du point de terminaison VPN Client.

  • Les sous-réseaux associés à un point de terminaison VPN Client doivent se trouver dans le même VPC.

  • Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de terminaison VPN Client.

  • Un point de terminaison VPN Client ne prend pas en charge les associations de sous-réseaux dans un VPC de location dédiée.

  • Client VPN ne prend en charge que IPv4 le trafic. Voir IPv6 considérations pour AWS Client VPN pour plus de détails concernant IPv6.

  • Le VPN Client n' est pas conforme aux normes fédérales de traitement de l'information (FIPS).

  • Le portail libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'une authentification mutuelle.

  • Nous ne recommandons pas de se connecter à un point de terminaison Client VPN à l'aide d'adresses IP. Puisque Client VPN est un service géré, vous constaterez que les adresses IP que le nom DNS résout peuvent parfois changer. En outre, les interfaces réseau du Client VPN seront supprimées et recréées dans vos CloudTrail journaux. Nous recommandons de se connecter au point de terminaison Client VPN en utilisant le nom DNS fourni.

  • Le transfert IP n'est actuellement pas pris en charge lors de l'utilisation de l'application AWS Client VPN de bureau. Le transfert IP est pris en charge par d'autres clients.

  • Client VPN ne prend pas en charge la réplication multi-régions dans AWS Managed Microsoft AD. Le point de terminaison VPN du Client doit se trouver dans la même région que la AWS Managed Microsoft AD ressource.

  • Si l'authentification multi-facteur (MFA) est désactivée pour votre Active Directory, les mots de passe utilisateur ne peuvent pas utiliser le format suivant.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Vous ne pouvez pas établir de connexion VPN à partir d'un ordinateur si plusieurs utilisateurs sont connectés au système d'exploitation.

  • Le service VPN du Client exige que l'adresse IP à laquelle le client est connecté corresponde à l'adresse IP à laquelle le nom DNS du point de terminaison VPN du Client correspond. En d'autres termes, si vous définissez un enregistrement DNS personnalisé pour le point de terminaison VPN du Client, puis que vous transférez le trafic vers l'adresse IP réelle associée au nom DNS du point de terminaison, cette configuration ne fonctionnera pas avec les clients récemment AWS fournis. Cette règle a été ajoutée pour atténuer une attaque IP du serveur, comme décrit ici : TunnelCrack.

  • Le service Client VPN nécessite que les plages d'adresses IP du réseau local (LAN) des appareils clients se situent dans les plages d'adresses IP privées standard suivantes : 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. S'il est détecté que la plage d'adresses LAN du client se situe en dehors des plages ci-dessus, le point de terminaison VPN client transmet automatiquement la directive OpenVPN « redirect-gateway block-local » au client, forçant ainsi tout le trafic LAN à entrer dans le VPN. Par conséquent, si vous avez besoin d'un accès au réseau local pendant les connexions VPN, il est conseillé d'utiliser les plages d'adresses classiques répertoriées ci-dessus pour votre réseau local. Cette règle est appliquée pour atténuer les risques d'une attaque réseau locale, comme décrit ici : TunnelCrack.

  • Les certificats utilisés dans le VPN du client AWS doivent respecter la RFC 5280 : profil de certificat d'infrastructure à clé publique Internet X.509 et liste de révocation des certificats (CRL), y compris les extensions de certificat spécifiées dans la section 4.2 du mémo.

  • Les noms d'utilisateur contenant des caractères spéciaux peuvent provoquer des erreurs de connexion lors de l'utilisation du AWS Client VPN.

  • Vous pouvez utiliser un client AWS fourni pour vous connecter à plusieurs sessions DNS simultanées. Toutefois, pour que la résolution de noms fonctionne correctement, les serveurs DNS de toutes les connexions doivent avoir des enregistrements synchronisés.