使用 的規則和最佳實務 AWS Client VPN

每個使用者連線支援 10 Mbps 的最小頻寬。每個使用者連線的最大頻寬取決於對用戶端VPN端點進行的連線數量。

用戶端CIDR範圍不能與VPC相關聯子網路所在的 CIDR 本機，或手動新增至用戶端VPN端點路由表的任何路由重疊。

用戶端CIDR範圍的區塊大小必須至少為 /22，且不得大於 /12。

用戶端CIDR範圍內的部分地址用於支援用戶端VPN端點的可用性模型，無法指派給用戶端。因此，我們建議您指派一個CIDR區塊，其中包含啟用您計劃在用戶端VPN端點上支援之並行連線數目上限所需的 IP 地址數目的兩倍。

在您建立用戶端VPN端點之後，無法變更用戶端CIDR範圍。

與用戶端VPN端點相關聯的子網路必須位於相同的 中VPC。

您無法將來自相同可用區域的多個子網路與用戶端VPN端點建立關聯。

用戶端VPN端點不支援專用租用 中的子網路關聯VPC。

用戶端僅VPN支援IPv4流量。如需 的詳細資訊IPv6 的考量 AWS Client VPN，請參閱 IPv6。

用戶端VPN不符合聯邦資訊處理標準 (FIPS)。

使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。

我們不建議使用 IP 地址連線至用戶端VPN端點。由於用戶端VPN是受管服務，因此您偶爾會看到DNS名稱解析的 IP 地址變更。此外，您會在 CloudTrail 日誌中看到已刪除並重新建立的用戶端VPN網路介面。我們建議您使用提供DNS的名稱連線至用戶端VPN端點。

使用 AWS Client VPN 桌面應用程式時，目前不支援 IP 轉送。其他用戶端支援 IP 轉送。

用戶端VPN不支援 中的多區域複寫 AWS Managed Microsoft AD。用戶端VPN端點必須與 AWS Managed Microsoft AD 資源位於相同的區域。

如果您的 Active Directory 已停用多重要素驗證 (MFA)，則使用者密碼無法使用下列格式。

SCRV1:base64_encoded_string:base64_encoded_string

如果有多個使用者登入作業系統，您無法從電腦建立VPN連線。

用戶端VPN服務需要用戶端連線的 IP 地址符合用戶端VPN端點DNS名稱解析的 IP。換句話說，如果您為用戶端VPN端點設定自訂DNS記錄，然後將流量轉送到端點DNS名稱解析的實際 IP 地址，則此設定無法使用最近 AWS 提供的用戶端。已新增此規則，以減輕伺服器 IP 攻擊，如下所述：TunnelCrack。

用戶端VPN服務要求用戶端裝置的本機區域網路 (LAN) IP 地址範圍在下列標準私有 IP 地址範圍內：10.0.0.0/8、192.168.0.0/16、 172.16.0.0/12或 169.254.0.0/16。如果偵測到用戶端LAN地址範圍超出上述範圍，用戶端VPN端點會自動將 OpenVPN Directive "redirect-gateway block-local" 推送至用戶端，強制所有LAN流量進入 VPN。因此，如果您在VPN連線期間需要LAN存取 ，建議您為 使用上列傳統地址範圍LAN。強制執行此規則，以降低本機網路攻擊的機會，如下所述：TunnelCrack。

AWS 用戶端中使用的憑證VPN必須遵循 RFC 5280：網際網路 X.509 公有金鑰基礎設施憑證和憑證撤銷清單 (CRL) 設定檔，包括 備註 4.2 部分中指定的憑證延伸。