Regeln und bewährte Verfahren für die Verwendung AWS Client VPN - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln und bewährte Verfahren für die Verwendung AWS Client VPN

In den folgenden Abschnitten werden die Regeln und bewährten Methoden für die Verwendung von beschrieben AWS Client VPN:

Netzwerk- und Bandbreitenanforderungen

  • AWS Client VPN ist ein vollständig verwalteter Dienst, der automatisch skaliert wird, um zusätzlichen Benutzerverbindungen und Bandbreitenanforderungen gerecht zu werden. Jede Benutzerverbindung hat eine maximale Basisbandbreite von 50 Mbit/s. Sie können bei Bedarf eine Erhöhung über den AWS-Support beantragen. Die tatsächliche Bandbreite, mit der Benutzer eine Verbindung über einen Client-VPN-Endpunkt herstellen, kann aufgrund verschiedener Faktoren variieren. Zu diesen Faktoren gehören die Paketgröße, die Zusammensetzung des Datenverkehrs (TCP/UDP-Mix), Netzwerkrichtlinien (Shaping oder Drosselung) in Zwischennetzwerken, Internetbedingungen, anwendungsspezifische Anforderungen und die Gesamtzahl der gleichzeitigen Benutzerverbindungen.

  • Client-CIDR-Bereiche dürfen sich mit dem lokalen CIDR der VPC, in der sich das zugeordnete Subnetz befindet, oder mit Routen, die der Routing-Tabelle des Client VPN-Endpunkts manuell hinzugefügt wurden, nicht überschneiden.

  • Client-CIDR-Bereiche müssen eine Blockgröße von mindestens /22 haben und dürfen nicht größer als /12 sein.

  • Ein Teil der Adressen im Client-CIDR-Bereich wird zur Unterstützung des Verfügbarkeitsmodells des Client VPN-Endpunkts verwendet und kann Clients nicht zugewiesen werden. Wir empfehlen daher, dass Sie einen CIDR-Block zuweisen, der die doppelte Anzahl von IP-Adressen enthält, die erforderlich sind, um die maximale Anzahl gleichzeitiger Verbindungen zu ermöglichen, die Sie auf dem Client VPN-Endpunkt unterstützen wollen.

  • Der Client-CIDR-Bereich kann nicht mehr geändert werden, nachdem Sie den Client VPN-Endpunkt erstellt haben.

  • Client VPN unterstützt IPv4 Dual-Stack-Verkehr ( IPv4 sowohl als auch IPv6). IPv6 Weitere Informationen zur IPv6 Unterstützung finden Sie unterIPv6 Überlegungen für AWS Client VPN.

    • Die Quell-IP-Adresse wird in die IP-Adresse des Client-VPN-Endpunkts übersetzt.

    • Die ursprüngliche Quellportnummer des Clients bleibt unverändert.

  • Client VPN führt Port Address Translation (PAT) nur durch, wenn gleichzeitig Benutzer eine Verbindung zu demselben Ziel herstellen. Die Portübersetzung erfolgt automatisch und ist notwendig, um mehrere gleichzeitige Verbindungen über denselben VPN-Endpunkt zu unterstützen.

    • Bei der Quell-IP-Übersetzung wird die Quell-IP-Adresse in die IP-Adresse des Client-VPN übersetzt.

    • Bei der Quell-Port-Übersetzung für einzelne Client-Verbindungen bleibt die ursprüngliche Quellportnummer möglicherweise unverändert.

    • Bei der Quellportübersetzung für mehrere Clients, die sich mit demselben Ziel verbinden (dieselbe Ziel-IP-Adresse und denselben Port), führt Client VPN eine Portübersetzung durch, um eindeutige Verbindungen sicherzustellen.

    Wenn beispielsweise zwei Clients, Client 1 und Client 2, über einen Client-VPN-Endpunkt eine Verbindung zu demselben Zielserver und Port herstellen:

    • Der ursprüngliche Port für Client 1 — zum Beispiel 9999 — könnte in einen anderen Port übersetzt werden, zum Beispiel Port4306.

    • Der ursprüngliche Port für Client 2 — zum Beispiel 9999 — könnte in einen eindeutigen Port übersetzt werden, der sich von Client 1 unterscheidet — zum Beispiel Port63922.

  • Für IPv6 den Datenverkehr führt Client VPN keine Network Address Translation (NAT) durch. Dies bietet einen besseren Einblick in die IPv6 Adresse des verbundenen Benutzers.

Subnetz- und VPC-Konfiguration

  • Die Subnetze, die einem Client VPN-Endpunkt zugeordnet sind, müssen sich in derselben VPC befinden.

  • Sie können nicht mehrere Subnetze derselben Availability Zone mit einem Client VPN-Endpunkt verknüpfen.

  • Ein Client VPN-Endpunkt unterstützt keine Subnetzzuordnungen in einer Dedicated Tenancy-VPC.

  • Für IPv6 Dual-Stack-Verkehr müssen die zugehörigen Subnetze CIDR-Bereiche IPv6 oder Dual-Stack-CIDR-Bereiche haben.

  • Bei Dual-Stack-Endpunkten können Sie nicht mehr als ein Subnetz pro Availability Zone zuordnen.

Authentifizierung und Sicherheit

  • Das Self-Service-Portal ist nicht für Clients verfügbar, die sich mittels gegenseitiger Authentifizierung authentifizieren.

  • Wenn Multi-Faktor-Authentifizierung (MFA) für Ihr Active Directory deaktiviert ist, dürfen Benutzerpasswörter nicht im folgenden Format vorliegen.

    SCRV1:base64_encoded_string:base64_encoded_string
  • In AWS Client VPN verwendete Zertifikate müssen RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile entsprechen, einschließlich der in Abschnitt 4.2 des Memos angegebenen Zertifikatserweiterungen.

  • Benutzernamen mit Sonderzeichen können Verbindungsfehler verursachen.

Verbindungs- und DNS-Anforderungen

  • Wir empfehlen nicht, über IP-Adressen eine Verbindung zu einem Client-VPN-Endpunkt herzustellen. Da Client VPN ein verwalteter Service ist, kommt es gelegentlich zu Änderungen der IP-Adressen, in die der DNS-Name aufgelöst wird. Darüber hinaus werden in Ihren CloudTrail Protokollen Client-VPN-Netzwerkschnittstellen gelöscht und neu erstellt. Es wird empfohlen, eine Verbindung zu dem Client-VPN-Endpunkt mithilfe des bereitgestellten DNS-Namens herzustellen.

  • Der Client-VPN-Dienst erfordert, dass die IP-Adresse, mit der der Client verbunden ist, mit der IP übereinstimmt, zu der der DNS-Name des Client-VPN-Endpunkts aufgelöst wird. Mit anderen Worten, wenn Sie einen benutzerdefinierten DNS-Eintrag für den Client-VPN-Endpunkt einrichten und dann den Datenverkehr an die tatsächliche IP-Adresse weiterleiten, auf die der DNS-Name des Endpunkts aufgelöst wird, funktioniert dieses Setup nicht mit kürzlich AWS bereitgestellten Clients. Diese Regel wurde hinzugefügt, um einen Server-IP-Angriff abzuwehren, wie hier beschrieben:. TunnelCrack

  • Sie können einen AWS bereitgestellten Client verwenden, um eine Verbindung zu mehreren gleichzeitigen DNS-Sitzungen herzustellen. Damit die Namensauflösung jedoch ordnungsgemäß funktioniert, sollten die DNS-Server aller Verbindungen über synchronisierte Datensätze verfügen.

  • Der Client-VPN-Dienst erfordert, dass die IP-Adressbereiche des lokalen Netzwerks (LAN) der Client-Geräte innerhalb der folgenden standardmäßigen privaten IP-Adressbereiche liegen: 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, oder169.254.0.0/16. Wenn festgestellt wird, dass der LAN-Adressbereich des Clients außerhalb der oben genannten Bereiche liegt, überträgt der Client-VPN-Endpunkt automatisch die OpenVPN-Direktive „redirect-gateway block-local“ an den Client, wodurch der gesamte LAN-Verkehr in das VPN geleitet wird. Wenn Sie während VPN-Verbindungen LAN-Zugriff benötigen, wird daher empfohlen, die oben aufgeführten konventionellen Adressbereiche für Ihr LAN zu verwenden. Diese Regel wird durchgesetzt, um die Wahrscheinlichkeit eines lokalen Netzangriffs zu verringern, wie hier beschrieben:. TunnelCrack

  • Wenn in Windows ein Full-Tunnel-Endpunkt verwendet wird, wird der gesamte DNS-Verkehr durch den Tunnel gezwungen, unabhängig vom IP-Adresstyp (IPv4 IPv6oder Dual-Stack) des Endpunkts. Damit DNS funktioniert, muss ein DNS-Server eingerichtet und innerhalb des Tunnels erreichbar sein.

Begrenzungen und Einschränkungen

  • IP-Weiterleitung wird derzeit nicht unterstützt, wenn die AWS Client VPN Desktop-Anwendung verwendet wird. IP-Weiterleitung wird von anderen Clients unterstützt.

  • Client VPN unterstützt keine multiregionale Replikation in AWS Managed Microsoft AD. Der Client-VPN-Endpunkt muss sich in derselben Region wie die AWS Managed Microsoft AD Ressource befinden.

  • Sie können von einem Computer aus keine VPN-Verbindung herstellen, wenn mehrere Benutzer am Betriebssystem angemeldet sind.

  • Client-to-client Kommunikation wird für IPv6 Clients nicht unterstützt. Wenn ein IPv6 Client versucht, mit einem anderen IPv6 Client zu kommunizieren, wird der Datenverkehr unterbrochen.

  • IPv6 und Dual-Stack-Endpunkte setzen voraus, dass Benutzergeräte und Internetdienstanbieter (ISPs) die entsprechende IP-Konfiguration unterstützen.