使用 AWS Client VPN的规则和最佳实践

对于每个用户连接，支持的最小带宽为 10 Mbps。每个用户连接的最大带宽取决于与 Client VPN 端点建立的连接数。

客户端 CIDR 范围不能与关联子网所在的 VPC 的本地 CIDR 重叠，也不能与手动添加到 Client VPN 端点的路由表中的任何路由重叠。

客户端 CIDR 范围的块大小必须至少为 /22，但不得大于 /12。

客户端 CIDR 范围中的一部分地址用于支持 Client VPN 端点的可用性模型，无法分配给客户端。因此，我们建议您分配一个 CIDR 块，其中包含的 IP 地址数量是您计划在 Client VPN 端点上支持的最大并发连接数量所需的 IP 地址数量的两倍。

创建 Client VPN 端点后，无法更改客户端 CIDR 范围。

与 Client VPN 端点关联的子网必须位于同一 VPC 中。

您无法将同一可用区内的多个子网与一个 Client VPN 终端节点关联。

Client VPN 端点不支持专用租赁 VPC 中的子网关联。

Client VPN 仅支持 IPv4 流量。有关IPv6 的注意事项 AWS Client VPN详细信息，请参阅 IPv6。

Client VPN 不符合联邦信息处理标准 (FIPS)。

自助服务门户不适用于使用双向身份验证进行身份验证的客户端。

不建议使用 IP 地址连接到 Client VPN 端点。由于 Client VPN 是一种托管服务，因此您偶尔会看到 DNS 名称解析到的 IP 地址发生了变化。此外，您还将在 CloudTrail 日志中看到 Client VPN 网络接口已删除并重新创建。我们建议使用提供的 DNS 名称连接到 Client VPN 端点。

使用 AWS Client VPN 桌面应用程序时，目前不支持 IP 转发。其它客户端支持 IP 转发。

Client VPN 在 AWS Managed Microsoft AD中不支持多区域复制。Client VPN 终端节点必须与 AWS Managed Microsoft AD 资源位于同一区域。

如果对于 Active Directory 禁用了多重身份验证（MFA），则用户密码不能采用以下格式。

SCRV1:base64_encoded_string:base64_encoded_string

如果有多个用户登录到操作系统，则无法从计算机建立 VPN 连接。

Client VPN 服务要求客户端连接到的 IP 地址与 Client VPN 端点的 DNS 名称解析到的 IP 相匹配。换句话说，如果您为 Client VPN 终端节点设置了自定义 DNS 记录，然后将流量转发到该端点的 DNS 名称解析到的实际 IP 地址，则此设置将无法使用最近 AWS 提供的客户端。添加此规则是为了缓解服务器IP攻击，如下所述:TunnelCrack.

Client VPN 服务要求客户端设备的局域网（LAN）IP 地址范围位于以下标准私有 IP 地址范围内：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 或 169.254.0.0/16。如果检测到客户端 LAN 地址范围超出上述范围，Client VPN 端点会将 OpenVPN 指令“redirect-gateway block-local”自动推送到客户端，从而强制所有 LAN 流量进入 VPN。因此，如果您需要在 VPN 连接期间访问 LAN，建议您为 LAN 使用上面列出的常规地址范围。强制执行此规则是为了减少本地网络攻击的机会，如下所述:TunnelCrack.

AWS Client VPN 中使用的证书必须符合 RFC 5280：Internet X.509 公钥基础设施证书和证书吊销列表 (CRL) 配置文件，包括备忘录第 4.2 节中指定的证书扩展。

使用时，带有特殊字符的用户名可能会导致连接错误 AWS Client VPN。

您可以使用 AWS 提供的客户端连接到多个并发 DNS 会话。但是，为了使名称解析正常工作，所有连接的 DNS 服务器都应具有同步记录。