使用规则和最佳实践 AWS Client VPN

每个用户连接支持的最低带宽为 10 Mbps。每个用户连接的最大带宽取决于与客户端VPN端点建立的连接数量。

客户端CIDR范围不能与关联子网VPC所在CIDR的本地路由重叠，也不能与手动添加到客户端VPN终端节点路由表中的任何路由重叠。

客户端CIDR范围的区块大小必须至少为 /22，且不得大于 /12。

客户端CIDR范围中的一部分地址用于支持客户端VPN端点的可用性模型，不能分配给客户端。因此，我们建议您分配的CIDR区块包含的IP地址数量是您计划在客户端VPN终端节点上支持的最大并发连接数所需的两倍。

创建客户端VPN终端节点后，无法更改客户端CIDR范围。

与客户端VPN终端节点关联的子网必须相同VPC。

您不能将来自同一个可用区的多个子网与一个客户端VPN终端节点相关联。

在专用租户VPC中，客户端VPN终端节点不支持子网关联。

客户端仅VPN支持IPv4流量。有关IPv6的注意事项 AWS Client VPN详细信息，请参阅IPv6。

客户VPN不符合联邦信息处理标准 (FIPS)。

自助服务门户不适用于使用双向身份验证进行身份验证的客户端。

我们不建议使用 IP 地址连接到客户端VPN终端节点。由于 Client VPN 是一项托管服务，因此您偶尔会看到DNS名称解析到的 IP 地址发生了变化。此外，您还将在 CloudTrail 日志中看到删除并重新创建了客户端VPN网络接口。我们建议使用提供的DNS名称连接到客户端VPN终端节点。

使用 AWS Client VPN 桌面应用程序时，目前不支持 IP 转发。其它客户端支持 IP 转发。

客户端VPN不支持中的多区域复制。 AWS Managed Microsoft AD客户端终VPN端节点必须与 AWS Managed Microsoft AD 资源位于同一区域。

如果您的 Active Directory 禁用了多重身份验证 (MFA)，则用户密码不能使用以下格式。

SCRV1:base64_encoded_string:base64_encoded_string

如果有多个用户登录到操作系统，则无法与计算机建立VPN连接。

客户端VPN服务要求客户端连接的 IP 地址与客户端VPN终端节点DNS名称解析到的 IP 地址相匹配。换句话说，如果您为客户端VPN终端节点设置了自定义DNS记录，然后将流量转发到终端节点DNS名称解析到的实际 IP 地址，则此设置将无法使用最近 AWS 提供的客户端。添加此规则是为了缓解服务器IP攻击，如下所述:TunnelCrack.

客户端VPN服务要求客户端设备的局域网 (LAN) IP 地址范围在以下标准私有 IP 地址范围内：10.0.0.0/8172.16.0.0/12、192.168.0.0/16、或169.254.0.0/16。如果检测到客户端LAN地址范围超出上述范围，则客户端VPN端点将自动将 “redirect-gateway block-local” 的 Open VPN 指令 “redirect-gateway block-local” 推送到客户端，强制所有流量进入。LAN VPN因此，如果您在VPN连接期间需要LAN访问权限，建议您使用上面列出的传统地址范围LAN。强制执行此规则是为了减少本地网络攻击的机会，如下所述:TunnelCrack.