使用規則和最佳做法 AWS Client VPN

每個使用者連線支援最低 10 Mbps 的頻寬。每個使用者連線的最大頻寬取決於要與用戶VPN端端點建立的連線數目。

用戶端CIDR範圍不能與相關子網路所VPC在的本機CIDR或任何手動新增至 Client VPN 端點路由表格的路由重疊。

用戶端CIDR範圍的區塊大小必須至少為 /22，且不得大於 /12。

用戶端CIDR範圍中的一部分位址用於支援用戶VPN端端點的可用性模型，而且無法指派給用戶端。因此，我們建議您指派一個CIDR區塊，其中包含的 IP 位址數目是啟用您計劃在 Client VPN 端點上支援的最大並行連線數目所需的兩倍。

建立用戶端端點之後，就無法變更用戶VPN端CIDR範圍。

與用戶VPN端端點相關聯的子網路必須位於相同VPC的子網路中。

您無法將來自相同可用區域的多個子網路與用戶VPN端端點建立關聯。

用戶端VPN端點不支援專用租用中的子網路關聯VPC。

用戶端僅VPN支援IPv4流量。IPv6的注意事項 AWS Client VPN如需詳細資訊，請參閱IPv6。

客戶VPN不符合聯邦資訊處理標準 (FIPS) 規範。

使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。

我們不建議使用 IP 位址連線到用戶VPN端端點。由於 Client VPN 是受管理的服務，因此您偶爾會看到DNS名稱解析的 IP 位址中的變更。此外，您會在 CloudTrail 記錄檔中看到用戶端VPN網路介面已刪除並重新建立。建議您使用提供的DNS名稱連線至用戶VPN端端點。

使用 AWS Client VPN 桌面應用程式時，目前不支援 IP 轉送。其他用戶端支援 IP 轉送。

用戶端VPN不支援中的多區域複寫 AWS Managed Microsoft AD。用戶端VPN端點必須與 AWS Managed Microsoft AD 資源位於相同的區域。

如果您的 Active Directory 停用了多因素驗證 (MFA)，使用者密碼就無法使用下列格式。

SCRV1:base64_encoded_string:base64_encoded_string

如果有多個用戶登錄到操作系統，則無法從計算機建立VPN連接。

用戶端VPN服務要求用戶端所連線的 IP 位址與用戶VPN端端點DNS名稱解析為的 IP 相符。換句話說，如果您為 Client VPN 端點設定自訂DNS記錄，然後將流量轉寄到端點DNS名稱解析為的實際 IP 位址，則此設定將無法使用最近 AWS 提供的用戶端運作。新增此規則是為了緩解伺服器 IP 攻擊，如下所述：TunnelCrack。

用戶端VPN服務要求用戶端裝置的區域網路 (LAN) IP 位址範圍必須在下列標準私有 IP 位址範圍內：10.0.0.0/8172.16.0.0/12192.168.0.0/16、、或169.254.0.0/16。如果偵測到用戶端LAN位址範圍超出上述範圍，用戶VPN端端點會自動將 Open VPN 指令「重新導向閘道區塊本機」推送到用戶端，將所有LAN流量強制進入. VPN 因此，如果您在VPN連接過程中需要LAN訪問，建議您使用上面列出的常規地址範圍LAN。強制執行此規則以減輕本機網路攻擊的可能性，如下所述：TunnelCrack。