AWS Client VPN사용에 대한 규칙 및 모범 사례 - AWS Client VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Client VPN사용에 대한 규칙 및 모범 사례

다음은 사용에 대한 규칙 및 모범 사례입니다. AWS Client VPN

  • 사용자 연결당 최소 대역폭 10Mbps가 지원됩니다. 사용자 연결당 최대 대역폭은 Client VPN 엔드포인트에 대한 연결 수에 따라 달라집니다.

  • 클라이언트 CIDR 범위는 연결된 서브넷이 위치하는 VPC의 로컬 CIDR 또는 Client VPN 엔드포인트의 라우팅 테이블에 수동으로 추가된 라우팅과 중첩될 수 없습니다.

  • 클라이언트 CIDR 범위는 블록 크기가 최소 /22여야 하며 /12를 초과할 수 없습니다.

  • 클라이언트 CIDR 범위의 주소 중 일부는 Client VPN 엔드포인트의 가용성 모델을 지원하는 데 사용되며 클라이언트에 할당할 수 없습니다. 따라서 Client VPN 엔드포인트에서 지원할 최대 동시 연결 수를 활성화하는 데 필요한 IP 주소 수의 두 배가 포함된 CIDR 블록을 할당하는 것이 좋습니다.

  • Client VPN 엔드포인트를 생성한 후에는 클라이언트 CIDR 범위를 변경할 수 없습니다.

  • Client VPN 엔드포인트와 연결된 서브넷은 동일한 VPC에 있어야 합니다.

  • 동일한 가용 영역의 여러 서브넷을 한 Client VPN 엔드포인트와 연결할 수 없습니다.

  • Client VPN 엔드포인트는 전용 테넌시 VPC에서 서브넷 연결을 지원하지 않습니다.

  • Client VPN은 IPv4 트래픽만 지원합니다. IPv6에 대한 자세한 내용은 에 대한 IPv6 고려 사항 AWS Client VPN을 참조하세요.

  • Client VPN은 Federal Information Processing Standard(FIPS)를 준수하지 않습니다.

  • 상호 인증을 사용하여 인증하는 클라이언트에는 셀프 서비스 포털을 사용할 수 없습니다.

  • IP 주소를 사용하여 Client VPN 엔드포인트에 연결하지 않는 것이 좋습니다. Client VPN은 관리형 서비스이므로 때때로 DNS 이름이 확인되는 IP 주소의 변경 사항을 볼 수 있습니다. 또한 CloudTrail 로그에서 Client VPN 네트워크 인터페이스가 삭제되고 다시 생성된 것을 볼 수 있습니다. 제공된 DNS 이름을 사용하여 Client VPN 엔드포인트에 연결하는 것이 좋습니다.

  • AWS Client VPN 데스크톱 애플리케이션을 사용할 때는 현재 IP 전달이 지원되지 않습니다. IP 전달은 다른 클라이언트에서 지원됩니다.

  • Client VPN은 AWS Managed Microsoft AD에서 다중 리전 복제를 지원하지 않습니다. Client VPN 엔드포인트는 AWS Managed Microsoft AD 리소스와 동일한 리전에 있어야 합니다.

  • Active Directory에 대해 다중 인증(MFA)이 비활성화된 경우 사용자 암호에 다음과 같은 형식을 사용할 수 없습니다.

    SCRV1:base64_encoded_string:base64_encoded_string

  • 운영 체제에 로그인한 사용자가 여러 명인 경우 컴퓨터에서 VPN 연결을 설정할 수 없습니다.

  • Client VPN 서비스를 사용하려면 클라이언트가 연결된 IP 주소가 Client VPN 엔드포인트의 DNS 이름이 확인된 IP와 일치해야 합니다. 즉, Client VPN 엔드포인트에 대한 사용자 지정 DNS 레코드를 설정한 다음 엔드포인트의 DNS 이름이 확인되는 실제 IP 주소로 트래픽을 전달하는 경우이 설정은 최근에 AWS 제공된 클라이언트를 사용할 수 없습니다. 이 규칙은 TunnelCrack에 설명된 대로 서버 IP 공격을 완화하기 위해 추가되었습니다.

  • Client VPN 서비스를 사용하려면 클라이언트 디바이스의 LAN(Local Area Network) IP 주소 범위가 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 또는 169.254.0.0/16의 표준 프라이빗 IP 주소 범위 내에 있어야 합니다. 클라이언트 LAN 주소 범위가 위의 범위를 벗어나는 것으로 감지되면 Client VPN 엔드포인트는 OpenVPN 명령 "redirect-gateway block-local"을 클라이언트에 자동으로 푸시하여 모든 LAN 트래픽을 VPN으로 강제로 보냅니다. 따라서 VPN 연결 중에 LAN 액세스가 필요한 경우 위에 나열된 기존 주소 범위를 LAN에 사용하는 것이 좋습니다. 이 규칙은 TunnelCrack에 설명된 대로 로컬 네트워크 공격 가능성을 완화하기 위해 적용됩니다.

  • AWS Client VPN에 사용되는 인증서는 메모의 섹션 4.2에 지정된 인증서 확장을 포함하여 RFC 5280: Internet X.509 퍼블릭 키 인프라 인증서 및 인증서 해지 목록(CRL) 프로파일을 준수해야 합니다.

  • 특수 문자가 있는 사용자 이름은 사용 시 연결 오류를 일으킬 수 있습니다 AWS Client VPN.

  • AWS 제공된 클라이언트를 사용하여 여러 동시 DNS 세션에 연결할 수 있습니다. 그러나 이름 확인이 올바르게 작동하려면 모든 연결의 DNS 서버에 동기화된 레코드가 있어야 합니다.