本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用规则和最佳实践 AWS Client VPN
以下是使用规则和最佳实践 AWS Client VPN
-
每个用户连接支持的最低带宽为 10 Mbps。每个用户连接的最大带宽取决于与客户端VPN端点建立的连接数量。
-
客户端CIDR范围不能与关联子网VPC所在CIDR的本地路由重叠,也不能与手动添加到客户端VPN终端节点路由表中的任何路由重叠。
-
客户端CIDR范围的区块大小必须至少为 /22,且不得大于 /12。
-
客户端CIDR范围中的一部分地址用于支持客户端VPN端点的可用性模型,不能分配给客户端。因此,我们建议您分配的CIDR区块包含的IP地址数量是您计划在客户端VPN终端节点上支持的最大并发连接数所需的两倍。
-
创建客户端VPN终端节点后,无法更改客户端CIDR范围。
与客户端VPN终端节点关联的子网必须相同VPC。
您不能将来自同一个可用区的多个子网与一个客户端VPN终端节点相关联。
-
在专用租户VPC中,客户端VPN终端节点不支持子网关联。
客户端仅VPN支持IPv4流量。有关IPv6的注意事项 AWS Client VPN详细信息,请参阅IPv6。
客户VPN不符合联邦信息处理标准 (FIPS)。
-
自助服务门户不适用于使用双向身份验证进行身份验证的客户端。
-
我们不建议使用 IP 地址连接到客户端VPN终端节点。由于 Client VPN 是一项托管服务,因此您偶尔会看到DNS名称解析到的 IP 地址发生了变化。此外,您还将在 CloudTrail 日志中看到删除并重新创建了客户端VPN网络接口。我们建议使用提供的DNS名称连接到客户端VPN终端节点。
-
使用 AWS Client VPN 桌面应用程序时,目前不支持 IP 转发。其它客户端支持 IP 转发。
-
客户端VPN不支持中的多区域复制。 AWS Managed Microsoft AD客户端终VPN端节点必须与 AWS Managed Microsoft AD 资源位于同一区域。
-
如果您的 Active Directory 禁用了多重身份验证 (MFA),则用户密码不能使用以下格式。
SCRV1:
base64_encoded_string
:base64_encoded_string
-
如果有多个用户登录到操作系统,则无法与计算机建立VPN连接。
-
客户端VPN服务要求客户端连接的 IP 地址与客户端VPN终端节点DNS名称解析到的 IP 地址相匹配。换句话说,如果您为客户端VPN终端节点设置了自定义DNS记录,然后将流量转发到终端节点DNS名称解析到的实际 IP 地址,则此设置将无法使用最近 AWS 提供的客户端。添加此规则是为了缓解服务器IP攻击,如下所述:TunnelCrack
. -
客户端VPN服务要求客户端设备的局域网 (LAN) IP 地址范围在以下标准私有 IP 地址范围内:
10.0.0.0/8
172.16.0.0/12
、192.168.0.0/16
、或169.254.0.0/16
。如果检测到客户端LAN地址范围超出上述范围,则客户端VPN端点将自动将 “redirect-gateway block-local” 的 Open VPN 指令 “redirect-gateway block-local” 推送到客户端,强制所有流量进入。LAN VPN因此,如果您在VPN连接期间需要LAN访问权限,建议您使用上面列出的传统地址范围LAN。强制执行此规则是为了减少本地网络攻击的机会,如下所述:TunnelCrack.