Regras e melhores práticas de uso AWS Client VPN

Uma largura de banda mínima de 10 Mbps é suportada por conexão de usuário. A largura de banda máxima por conexão de usuário depende do número de conexões feitas com o VPN endpoint do cliente.

Os CIDR intervalos CIDR de clientes não podem se sobrepor ao local VPC em que a sub-rede associada está localizada ou a nenhuma rota adicionada manualmente à tabela de rotas do VPN endpoint do cliente.

Os CIDR intervalos de clientes devem ter um tamanho de bloco de pelo menos /22 e não devem ser maiores que /12.

Uma parte dos endereços na CIDR faixa de clientes é usada para dar suporte ao modelo de disponibilidade do VPN endpoint do cliente e não pode ser atribuída aos clientes. Portanto, recomendamos que você atribua um CIDR bloco que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas que você planeja oferecer suporte no VPN endpoint do Cliente.

O CIDR intervalo de clientes não pode ser alterado após a criação do VPN endpoint do cliente.

As sub-redes associadas a um VPN endpoint do cliente devem estar nas mesmas. VPC

Você não pode associar várias sub-redes da mesma zona de disponibilidade a um endpoint do clienteVPN.

Um VPN endpoint de cliente não oferece suporte a associações de sub-rede em uma locação dedicada. VPC

O cliente VPN oferece suporte somente ao IPv4 tráfego. Consulte IPv6considerações para AWS Client VPN para obter detalhes sobreIPv6.

VPNO cliente não está em conformidade com os Padrões Federais de Processamento de Informações (FIPS).

O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.

Não recomendamos conectar-se a um VPN endpoint do cliente usando endereços IP. Como o Client VPN é um serviço gerenciado, você ocasionalmente verá alterações nos endereços IP para os quais o DNS nome é resolvido. Além disso, você verá as interfaces de VPN rede do cliente excluídas e recriadas em seus CloudTrail registros. Recomendamos conectar-se ao VPN endpoint do cliente usando o DNS nome fornecido.

Atualmente, o encaminhamento de IP não é suportado ao usar o aplicativo AWS Client VPN de desktop. O encaminhamento de IP é compatível com outros clientes.

VPNO cliente não oferece suporte à replicação multirregional em. AWS Managed Microsoft AD O VPN endpoint do cliente deve estar na mesma região do AWS Managed Microsoft AD recurso.

Se a autenticação multifator (MFA) estiver desativada para o Active Directory, as senhas de usuário não poderão usar o formato a seguir.

SCRV1:base64_encoded_string:base64_encoded_string

Você não pode estabelecer uma VPN conexão a partir de um computador se houver vários usuários conectados ao sistema operacional.

O VPN serviço do cliente exige que o endereço IP ao qual o cliente está conectado corresponda ao IP para o qual o DNS nome do VPN endpoint do cliente é resolvido. Em outras palavras, se você definir um DNS registro personalizado para o VPN endpoint do cliente e encaminhar o tráfego para o endereço IP real para o qual o DNS nome do endpoint é resolvido, essa configuração não funcionará usando clientes fornecidos recentemente AWS . Esta regra foi adicionada para mitigar um ataque de IP do servidor, conforme descrito aqui: TunnelCrack.

O VPN serviço de cliente exige que os intervalos de endereços IP da rede local (LAN) dos dispositivos do cliente estejam dentro dos seguintes intervalos de endereços IP privados padrão:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. Se for detectado que o intervalo de LAN endereços do cliente está fora dos intervalos acima, o VPN endpoint do cliente enviará automaticamente a VPN diretiva Open “redirect-gateway block-local” para o cliente, forçando todo o tráfego para o. LAN VPN Portanto, se você precisar de LAN acesso durante VPN as conexões, é recomendável usar os intervalos de endereços convencionais listados acima para o seuLAN. Esta regra é aplicada para mitigar as chances de um ataque local na rede, conforme descrito aqui:. TunnelCrack