Regeln und bewährte Verfahren für die Verwendung AWS Client VPN - AWS Client VPN
Netzwerk- und BandbreitenanforderungenSubnetz- und VPC-KonfigurationAuthentifizierung und SicherheitVerbindungs- und DNS-AnforderungenBegrenzungen und Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln und bewährte Verfahren für die Verwendung AWS Client VPN

In den folgenden Abschnitten werden die Regeln und bewährten Methoden für die Verwendung von beschrieben AWS Client VPN:

Netzwerk- und Bandbreitenanforderungen

  • AWS Client VPN ist ein vollständig verwalteter Dienst, der automatisch skaliert wird, um zusätzlichen Benutzerverbindungen und Bandbreitenanforderungen gerecht zu werden. Jede Benutzerverbindung hat eine maximale Basisbandbreite von 50 Mbit/s. Sie können bei Bedarf eine Erhöhung über den AWS-Support beantragen. Die tatsächliche Bandbreite, mit der Benutzer eine Verbindung über einen Client-VPN-Endpunkt herstellen, kann aufgrund verschiedener Faktoren variieren. Zu diesen Faktoren gehören die Paketgröße, die Zusammensetzung des Datenverkehrs (TCP/UDP-Mix), Netzwerkrichtlinien (Shaping oder Drosselung) in Zwischennetzwerken, Internetbedingungen, anwendungsspezifische Anforderungen und die Gesamtzahl der gleichzeitigen Benutzerverbindungen.

  • Client-CIDR-Bereiche dürfen sich mit dem lokalen CIDR der VPC, in der sich das zugeordnete Subnetz befindet, oder mit Routen, die der Routing-Tabelle des Client VPN-Endpunkts manuell hinzugefügt wurden, nicht überschneiden.

  • Client-CIDR-Bereiche müssen eine Blockgröße von mindestens /22 haben und dürfen nicht größer als /12 sein.

  • Ein Teil der Adressen im Client-CIDR-Bereich wird zur Unterstützung des Verfügbarkeitsmodells des Client VPN-Endpunkts verwendet und kann Clients nicht zugewiesen werden. Wir empfehlen daher, dass Sie einen CIDR-Block zuweisen, der die doppelte Anzahl von IP-Adressen enthält, die erforderlich sind, um die maximale Anzahl gleichzeitiger Verbindungen zu ermöglichen, die Sie auf dem Client VPN-Endpunkt unterstützen wollen.

  • Der Client-CIDR-Bereich kann nicht mehr geändert werden, nachdem Sie den Client VPN-Endpunkt erstellt haben.

  • Client VPN unterstützt nur IPv4 Datenverkehr. Einzelheiten IPv6 Überlegungen für AWS Client VPN zu finden Sie unter IPv6.

  • Client VPN führt Network Address Translation (NAT) durch. Wenn ein Client eine Verbindung über Client VPN herstellt:

    • Die Quell-IP-Adresse wird in die IP-Adresse des Client-VPN-Endpunkts übersetzt.

    • Die ursprüngliche Quellportnummer des Clients bleibt unverändert.

  • Client VPN führt Port Address Translation (PAT) nur durch, wenn gleichzeitig Benutzer eine Verbindung zu demselben Ziel herstellen. Die Portübersetzung erfolgt automatisch und ist notwendig, um mehrere gleichzeitige Verbindungen über denselben VPN-Endpunkt zu unterstützen.

    • Bei der Quell-IP-Übersetzung wird die Quell-IP-Adresse in die IP-Adresse des Client-VPN übersetzt.

    • Bei der Quell-Port-Übersetzung für einzelne Client-Verbindungen bleibt die ursprüngliche Quellportnummer möglicherweise unverändert.

    • Bei der Quellportübersetzung für mehrere Clients, die sich mit demselben Ziel verbinden (dieselbe Ziel-IP-Adresse und denselben Port), führt Client VPN eine Portübersetzung durch, um eindeutige Verbindungen sicherzustellen.

    Wenn beispielsweise zwei Clients, Client 1 und Client 2, über einen Client-VPN-Endpunkt eine Verbindung zu demselben Zielserver und Port herstellen:

    • Der ursprüngliche Port für Client 1 — zum Beispiel 9999 — könnte in einen anderen Port übersetzt werden, beispielsweise Port4306.

    • Der ursprüngliche Port für Client 2 — zum Beispiel 9999 — könnte in einen eindeutigen Port übersetzt werden, der sich von Client 1 unterscheidet — zum Beispiel Port63922.

Subnetz- und VPC-Konfiguration

  • Die Subnetze, die einem Client VPN-Endpunkt zugeordnet sind, müssen sich in derselben VPC befinden.

  • Sie können nicht mehrere Subnetze derselben Availability Zone mit einem Client VPN-Endpunkt verknüpfen.

  • Ein Client VPN-Endpunkt unterstützt keine Subnetzzuordnungen in einer Dedicated Tenancy-VPC.

Authentifizierung und Sicherheit

  • Das Self-Service-Portal ist nicht für Clients verfügbar, die sich mittels gegenseitiger Authentifizierung authentifizieren.

  • Wenn Multi-Faktor-Authentifizierung (MFA) für Ihr Active Directory deaktiviert ist, dürfen Benutzerpasswörter nicht im folgenden Format vorliegen.

    SCRV1:base64_encoded_string:base64_encoded_string

  • In AWS Client VPN verwendete Zertifikate müssen RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile entsprechen, einschließlich der in Abschnitt 4.2 des Memos angegebenen Zertifikatserweiterungen.

  • Benutzernamen mit Sonderzeichen können Verbindungsfehler verursachen.

Verbindungs- und DNS-Anforderungen

  • Wir empfehlen nicht, über IP-Adressen eine Verbindung zu einem Client-VPN-Endpunkt herzustellen. Da Client VPN ein verwalteter Service ist, kommt es gelegentlich zu Änderungen der IP-Adressen, in die der DNS-Name aufgelöst wird. Darüber hinaus werden in Ihren CloudTrail Protokollen Client-VPN-Netzwerkschnittstellen gelöscht und neu erstellt. Es wird empfohlen, eine Verbindung zu dem Client-VPN-Endpunkt mithilfe des bereitgestellten DNS-Namens herzustellen.

  • Der Client-VPN-Dienst erfordert, dass die IP-Adresse, mit der der Client verbunden ist, mit der IP übereinstimmt, zu der der DNS-Name des Client-VPN-Endpunkts aufgelöst wird. Mit anderen Worten, wenn Sie einen benutzerdefinierten DNS-Eintrag für den Client-VPN-Endpunkt einrichten und dann den Datenverkehr an die tatsächliche IP-Adresse weiterleiten, auf die der DNS-Name des Endpunkts aufgelöst wird, funktioniert dieses Setup nicht mit kürzlich AWS bereitgestellten Clients. Diese Regel wurde hinzugefügt, um einen Server-IP-Angriff abzuwehren, wie hier beschrieben:. TunnelCrack

  • Sie können einen AWS bereitgestellten Client verwenden, um eine Verbindung zu mehreren gleichzeitigen DNS-Sitzungen herzustellen. Damit die Namensauflösung jedoch ordnungsgemäß funktioniert, sollten die DNS-Server aller Verbindungen über synchronisierte Datensätze verfügen.

  • Der Client-VPN-Dienst erfordert, dass die IP-Adressbereiche des lokalen Netzwerks (LAN) der Client-Geräte innerhalb der folgenden standardmäßigen privaten IP-Adressbereiche liegen: 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, oder169.254.0.0/16. Wenn festgestellt wird, dass der LAN-Adressbereich des Clients außerhalb der oben genannten Bereiche liegt, überträgt der Client-VPN-Endpunkt automatisch die OpenVPN-Direktive „redirect-gateway block-local“ an den Client, wodurch der gesamte LAN-Verkehr in das VPN geleitet wird. Wenn Sie während VPN-Verbindungen LAN-Zugriff benötigen, wird daher empfohlen, die oben aufgeführten konventionellen Adressbereiche für Ihr LAN zu verwenden. Diese Regel wird durchgesetzt, um die Wahrscheinlichkeit eines lokalen Netzangriffs zu verringern, wie hier beschrieben:. TunnelCrack

Begrenzungen und Einschränkungen

  • IP-Weiterleitung wird derzeit nicht unterstützt, wenn die AWS Client VPN Desktop-Anwendung verwendet wird. IP-Weiterleitung wird von anderen Clients unterstützt.

  • Client VPN unterstützt keine multiregionale Replikation in AWS Managed Microsoft AD. Der Client-VPN-Endpunkt muss sich in derselben Region wie die AWS Managed Microsoft AD Ressource befinden.

  • Sie können von einem Computer aus keine VPN-Verbindung herstellen, wenn mehrere Benutzer am Betriebssystem angemeldet sind.