사용 규칙 및 모범 사례 AWS Client VPN - AWS Client VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용 규칙 및 모범 사례 AWS Client VPN

다음은 사용 규칙 및 모범 사례입니다. AWS Client VPN

  • 사용자 연결당 최소 10Mbps의 대역폭이 지원됩니다. 사용자 연결당 최대 대역폭은 클라이언트 VPN 엔드포인트에 대한 연결 수에 따라 달라집니다.

  • 클라이언트 CIDR 범위는 연결된 서브넷이 위치한 로컬 CIDR 또는 클라이언트 VPN 엔드포인트의 라우팅 테이블에 수동으로 추가된 경로와 겹칠 수 없습니다. VPC

  • 클라이언트 CIDR 범위는 블록 크기가 /22 이상이어야 하고 /12보다 크지 않아야 합니다.

  • 클라이언트 CIDR 범위의 주소 일부는 클라이언트 VPN 엔드포인트의 가용성 모델을 지원하는 데 사용되며 클라이언트에 할당할 수 없습니다. 따라서 클라이언트 VPN 엔드포인트에서 지원하려는 최대 동시 연결 수를 활성화하는 데 필요한 IP 주소 수의 두 배가 포함된 CIDR 블록을 할당하는 것이 좋습니다.

  • 클라이언트 VPN 엔드포인트를 생성한 후에는 클라이언트 CIDR 범위를 변경할 수 없습니다.

  • 클라이언트 VPN 엔드포인트와 연결된 서브넷은 VPC 동일해야 합니다.

  • 동일한 가용 영역의 여러 서브넷을 클라이언트 VPN 엔드포인트와 연결할 수 없습니다.

  • 클라이언트 VPN 엔드포인트는 전용 테넌시의 서브넷 연결을 지원하지 않습니다. VPC

  • 클라이언트는 IPv4 트래픽만 VPN 지원합니다. IPv6에 대한 고려 사항 AWS Client VPN에 대한 자세한 내용은 을 참조하십시오IPv6.

  • 고객은 VPN 연방 정보 처리 표준 (FIPS) 을 준수하지 않습니다.

  • 상호 인증을 사용하여 인증하는 클라이언트에는 셀프 서비스 포털을 사용할 수 없습니다.

  • IP 주소를 사용하여 클라이언트 VPN 엔드포인트에 연결하는 것은 권장하지 않습니다. VPN클라이언트는 관리형 서비스이므로 DNS 이름을 확인하는 데 사용되는 IP 주소가 변경되는 경우가 있습니다. 또한 로그에서 클라이언트 VPN 네트워크 인터페이스가 삭제되고 다시 생성된 것을 확인할 수 있습니다. CloudTrail 제공된 DNS 이름을 사용하여 클라이언트 VPN 엔드포인트에 연결하는 것이 좋습니다.

  • AWS Client VPN 데스크톱 애플리케이션을 사용할 때는 현재 IP 전달이 지원되지 않습니다. IP 전달은 다른 클라이언트에서 지원됩니다.

  • 클라이언트는 다중 지역 복제를 VPN 지원하지 않습니다. AWS Managed Microsoft AD클라이언트 VPN 엔드포인트는 AWS Managed Microsoft AD 리소스와 동일한 리전에 있어야 합니다.

  • Active Directory에 대해 다단계 인증 (MFA) 을 사용하지 않도록 설정한 경우 사용자 암호는 다음 형식을 사용할 수 없습니다.

    SCRV1:base64_encoded_string:base64_encoded_string

  • 운영 체제에 로그인한 사용자가 여러 명인 경우 한 컴퓨터에서 VPN 연결을 설정할 수 없습니다.

  • 클라이언트 VPN 서비스를 사용하려면 클라이언트가 연결된 IP 주소가 클라이언트 VPN 엔드포인트 DNS 이름이 확인하는 IP와 일치해야 합니다. 즉, 클라이언트 VPN 엔드포인트에 대한 사용자 지정 DNS 레코드를 설정한 다음 엔드포인트 DNS 이름이 확인되는 실제 IP 주소로 트래픽을 전달하는 경우 최근에 AWS 제공한 클라이언트를 사용할 경우 이 설정이 작동하지 않습니다. 이 규칙은 여기에 설명된 대로 서버 IP 공격을 완화하기 위해 추가되었습니다. TunnelCrack

  • 클라이언트 VPN 서비스를 사용하려면 클라이언트 장치의 Local Area Network (LAN) IP 주소 범위가 다음 표준 사설 IP 주소 범위 (10.0.0.0/8, 172.16.0.0/12192.168.0.0/16, 또는169.254.0.0/16) 내에 있어야 합니다. 클라이언트 LAN 주소 범위가 위 범위를 벗어나는 것으로 감지되면 클라이언트 VPN 엔드포인트는 Open VPN 디렉티브 “redirect-gateway block-local”을 자동으로 클라이언트에 푸시하여 모든 트래픽을 해당 클라이언트로 강제 전송합니다. LAN VPN 따라서 VPN 연결 중에 LAN 액세스가 필요한 경우 위에 나열된 일반 주소 범위를 사용하는 것이 좋습니다. LAN 이 규칙은 다음과 같이 로컬 네트워크 공격의 가능성을 줄이기 위해 적용됩니다. TunnelCrack