Aturan dan praktik terbaik untuk menggunakan AWS Client VPN

Bandwidth minimum 10 Mbps didukung per koneksi pengguna. Bandwidth maksimum per koneksi pengguna tergantung pada jumlah koneksi yang dibuat ke VPN titik akhir Klien.

CIDRRentang klien tidak dapat tumpang tindih dengan lokal CIDR VPC di mana subnet terkait berada, atau rute apa pun yang ditambahkan secara manual ke tabel rute VPN titik akhir Klien.

CIDRRentang klien harus memiliki ukuran blok minimal /22 dan tidak boleh lebih besar dari /12.

Sebagian alamat dalam CIDR rentang klien digunakan untuk mendukung model ketersediaan VPN titik akhir Klien, dan tidak dapat ditetapkan ke klien. Oleh karena itu, kami menyarankan Anda menetapkan CIDR blok yang berisi dua kali jumlah alamat IP yang diperlukan untuk mengaktifkan jumlah maksimum koneksi bersamaan yang Anda rencanakan untuk mendukung pada titik akhir KlienVPN.

CIDRRentang klien tidak dapat diubah setelah Anda membuat VPN titik akhir Klien.

Subnet yang terkait dengan VPN titik akhir Klien harus sama. VPC

Anda tidak dapat mengaitkan beberapa subnet dari Availability Zone yang sama dengan titik VPN akhir Klien.

VPNTitik akhir Klien tidak mendukung asosiasi subnet dalam penyewaan khusus. VPC

Klien hanya VPN mendukung IPv4 lalu lintas. Lihat IPv6pertimbangan untuk AWS Client VPN untuk detail tentangIPv6.

Klien VPN tidak mematuhi Standar Pemrosesan Informasi Federal (FIPS).

Portal layanan mandiri ini tidak tersedia untuk klien yang mengautentikasi menggunakan autentikasi bersama.

Kami tidak menyarankan untuk menghubungkan ke VPN titik akhir Klien menggunakan alamat IP. Karena Client VPN adalah layanan yang dikelola, Anda kadang-kadang akan melihat perubahan dalam alamat IP yang DNS namanya diselesaikan. Selain itu, Anda akan melihat antarmuka VPN jaringan Klien dihapus dan dibuat ulang di log Anda CloudTrail . Kami merekomendasikan untuk menghubungkan ke VPN titik akhir Klien menggunakan DNS nama yang diberikan.

Penerusan IP saat ini tidak didukung saat menggunakan aplikasi AWS Client VPN desktop. Penerusan IP didukung dari klien lain.

Klien VPN tidak mendukung replikasi Multi-wilayah di. AWS Managed Microsoft AD VPNTitik akhir Klien harus berada di Wilayah yang sama dengan AWS Managed Microsoft AD sumber daya.

Jika otentikasi multi-faktor (MFA) dinonaktifkan untuk Direktori Aktif Anda, kata sandi pengguna tidak dapat menggunakan format berikut.

SCRV1:base64_encoded_string:base64_encoded_string

Anda tidak dapat membuat VPN koneksi dari komputer jika ada beberapa pengguna yang masuk ke sistem operasi.

VPNLayanan Klien mensyaratkan bahwa alamat IP yang terhubung dengan klien cocok dengan IP yang diselesaikan oleh DNS nama VPN titik akhir Klien. Dengan kata lain, jika Anda menetapkan DNS catatan khusus untuk VPN titik akhir Klien, lalu meneruskan lalu lintas ke alamat IP aktual yang diselesaikan oleh DNS nama titik akhir, pengaturan ini tidak akan berfungsi menggunakan klien yang disediakan terbaru. AWS Aturan ini ditambahkan untuk mengurangi serangan IP server seperti yang dijelaskan di sini: TunnelCrack

VPNLayanan Klien mensyaratkan bahwa jaringan area lokal (LAN) rentang alamat IP perangkat klien berada dalam rentang alamat IP pribadi standar berikut:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, atau169.254.0.0/16. Jika rentang LAN alamat klien terdeteksi berada di luar rentang di atas, VPN titik akhir Klien akan secara otomatis mendorong Open VPN direktif “redirect-gateway block-local” ke klien, memaksa semua lalu lintas ke dalam. LAN VPN Oleh karena itu, jika Anda memerlukan LAN akses selama VPN koneksi, disarankan agar Anda menggunakan rentang alamat konvensional yang tercantum di atas untuk AndaLAN. Aturan ini diberlakukan untuk mengurangi kemungkinan serangan net lokal seperti yang dijelaskan di sini: TunnelCrack