Regole e best practice per l'utilizzo AWS Client VPN

È supportata una larghezza di banda minima di 10 Mbps per connessione utente. La larghezza di banda massima per connessione utente dipende dal numero di connessioni effettuate all'endpoint Client. VPN

CIDRGli intervalli CIDR di client non possono sovrapporsi a quelli locali VPC in cui si trova la sottorete associata o a qualsiasi route aggiunta manualmente alla tabella di routing dell'VPNendpoint Client.

CIDRGli intervalli di client devono avere una dimensione del blocco di almeno /22 e non devono essere superiori a /12.

Una parte degli indirizzi nell'CIDRintervallo di client viene utilizzata per supportare il modello di disponibilità dell'VPNendpoint Client e non può essere assegnata ai client. Pertanto, ti consigliamo di assegnare un CIDR blocco che contenga il doppio del numero di indirizzi IP necessari per abilitare il numero massimo di connessioni simultanee che intendi supportare sull'endpoint Client. VPN

L'CIDRintervallo di client non può essere modificato dopo aver creato l'endpoint Client. VPN

Le sottoreti associate a un VPN endpoint Client devono trovarsi nella stessa. VPC

Non è possibile associare più sottoreti della stessa zona di disponibilità a un endpoint Client. VPN

Un VPN endpoint Client non supporta le associazioni di sottoreti in una locazione dedicata. VPC

Il client VPN supporta solo il trafficoIPv4. Vedi IPv6considerazioni per AWS Client VPN per i dettagli riguardantiIPv6.

Il cliente non VPN è conforme ai Federal Information Processing Standards (FIPS).

Il portale self-service non è disponibile per i client che eseguono l'autenticazione reciproca.

Non è consigliabile connettersi a un VPN endpoint Client utilizzando indirizzi IP. Poiché Client VPN è un servizio gestito, occasionalmente si verificheranno cambiamenti negli indirizzi IP a cui viene risolto il DNS nome. Inoltre, vedrai le interfacce di VPN rete Client eliminate e ricreate nei tuoi registri. CloudTrail Ti consigliamo di connetterti all'VPNendpoint del Client utilizzando il nome fornito. DNS

L'inoltro IP non è attualmente supportato quando si utilizza l' AWS Client VPN applicazione desktop. L'inoltro IP è supportato da altri client.

Il client VPN non supporta la replica multiregionale in. AWS Managed Microsoft AD L'VPNendpoint del client deve trovarsi nella stessa regione della risorsa. AWS Managed Microsoft AD

Se l'autenticazione a più fattori (MFA) è disabilitata per Active Directory, le password degli utenti non possono utilizzare il seguente formato.

SCRV1:base64_encoded_string:base64_encoded_string

Non è possibile stabilire una VPN connessione da un computer se ci sono più utenti connessi al sistema operativo.

Il VPN servizio Client richiede che l'indirizzo IP a cui è connesso il client corrisponda all'IP a cui viene risolto il DNS nome dell'VPNendpoint Client. In altre parole, se si imposta un DNS record personalizzato per l'VPNendpoint Client e quindi si inoltra il traffico all'indirizzo IP effettivo su cui viene risolto il DNS nome dell'endpoint, questa configurazione non funzionerà utilizzando i client forniti di recente. AWS Questa regola è stata aggiunta per mitigare un attacco IP al server come descritto qui:. TunnelCrack

Il VPN servizio Client richiede che gli intervalli di indirizzi IP della rete locale (LAN) dei dispositivi client rientrino nei seguenti intervalli di indirizzi IP privati standard:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, o169.254.0.0/16. Se viene rilevato che l'intervallo di LAN indirizzi del client non rientra negli intervalli precedenti, l'VPNendpoint Client invierà automaticamente la VPN direttiva Open «redirect-gateway block-local» al client, forzando tutto il traffico a entrare in. LAN VPN Pertanto, se hai bisogno dell'LANaccesso durante VPN le connessioni, ti consigliamo di utilizzare gli intervalli di indirizzi convenzionali sopra elencati per il tuo. LAN Questa regola viene applicata per mitigare le possibilità di un attacco alla rete locale come descritto qui:. TunnelCrack