AWS Client VPNを使用するためのルールとベストプラクティス - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPNを使用するためのルールとベストプラクティス

以下は、 を使用するためのルールとベストプラクティスです。 AWS Client VPN

  • ユーザー接続ごとに 10 Mbps の最小帯域幅がサポートされています。ユーザー接続あたりの最大帯域幅は、クライアント VPN エンドポイントに対して行われる接続の数によって異なります。

  • クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、またはクライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。

  • クライアント CIDR 範囲は、ブロックサイズが /22 以上、/12 以下でなければなりません。

  • クライアント CIDR 範囲内のアドレスの一部は、クライアント VPN エンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアント VPN エンドポイントでサポートする予定の同時接続の最大数を有効にするために必要な IP アドレスの数の 2 倍の数を含む CIDR ブロックを割り当てることをお勧めします。

  • クライアント VPN エンドポイントの作成後にクライアント CIDR 範囲を変更することはできません。

  • クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。

  • 1 つのアベイラビリティーゾーンの複数のサブネットをクライアント VPN エンドポイントに関連付けることはできません。

  • クライアント VPN エンドポイントは、専有テナント VPC でのサブネットの関連付けをサポートしていません。

  • クライアント VPN は、IPv4 トラフィックのみをサポートしています。IPv6 の詳細については、「の IPv6 に関する考慮事項 AWS Client VPN」を参照してください。

  • クライアント VPN は、連邦情報処理規格 (FIPS) に準拠していません。

  • セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。

  • IP アドレスを使用して、クライアント VPN エンドポイントに接続することはお勧めしません。クライアント VPN はマネージドサービスであるため、DNS 名が解決する IP アドレスに変化が見られる場合があります。さらに、クライアント VPN ネットワークインターフェイスが削除され、CloudTrail ログに再作成されるのがわかります。クライアント VPN エンドポイントへの接続には、提供された DNS 名を使用することをお勧めします。

  • AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。

  • クライアント VPN は、 AWS Managed Microsoft ADでのマルチリージョンレプリケーションをサポートしていません。クライアント VPN エンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンにある必要があります。

  • Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードで次の形式を使用することはできません。

    SCRV1:base64_encoded_string:base64_encoded_string

  • オペレーティングシステムに複数のユーザーがログインしている場合、このコンピュータから VPN 接続を確立することはできません。

  • クライアント VPN サービスでは、クライアントが接続されている IP アドレスが、クライアント VPN エンドポイントの DNS 名が解決する IP と一致する必要があります。つまり、クライアント VPN エンドポイントのカスタム DNS レコードを設定し、エンドポイントの DNS 名が解決する実際の IP アドレスにトラフィックを転送する場合、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、「TunnelCrack」で説明されているように、サーバー IP 攻撃を軽減するために追加されました。

  • クライアント VPN サービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、10.0.0.0/8172.16.0.0/12192.168.0.0/16169.254.0.0/16 の標準プライベート IP アドレス範囲内にある必要があります。クライアント LAN アドレス範囲が上記の範囲外であることが検出された場合、クライアント VPN エンドポイントは OpenVPN ディレクティブ「リダイレクトゲートウェイブロックローカル」をクライアントに自動的にプッシュし、すべての LAN トラフィックを VPN に強制します。したがって、VPN 接続中に LAN アクセスが必要な場合は、上記の標準のアドレス範囲を LAN に使用することをお勧めします。このルールは、「TunnelCrack」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されます。

  • AWS Client VPN で使用される証明書は、メモのセクション 4.2 で指定されている証明書拡張を含む、RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) プロファイルに従う必要があります。

  • 特殊文字を含むユーザー名を使用すると、 の使用時に接続エラーが発生する可能性があります AWS Client VPN。

  • AWS が提供するクライアントを使用して、複数の同時 DNS セッションに接続できます。ただし、名前解決が正しく機能するためには、すべての接続の DNS サーバーに同期されたレコードが必要です。