Regeln und bewährte Verfahren von AWS Client VPN - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln und bewährte Verfahren von AWS Client VPN

Im Folgenden finden Sie die Regeln und bewährten Verfahren für AWS Client VPN

  • Pro Benutzerverbindung wird eine Mindestbandbreite von 10 Mbit/s unterstützt. Die maximale Bandbreite pro Benutzerverbindung hängt von der Anzahl der Verbindungen ab, die zum Client-VPN-Endpunkt hergestellt werden.

  • Client-CIDR-Bereiche dürfen sich mit dem lokalen CIDR der VPC, in der sich das zugeordnete Subnetz befindet, oder mit Routen, die der Routing-Tabelle des Client VPN-Endpunkts manuell hinzugefügt wurden, nicht überschneiden.

  • Client-CIDR-Bereiche müssen eine Blockgröße von mindestens /22 haben und dürfen nicht größer als /12 sein.

  • Ein Teil der Adressen im Client-CIDR-Bereich wird zur Unterstützung des Verfügbarkeitsmodells des Client VPN-Endpunkts verwendet und kann Clients nicht zugewiesen werden. Wir empfehlen daher, dass Sie einen CIDR-Block zuweisen, der die doppelte Anzahl von IP-Adressen enthält, die erforderlich sind, um die maximale Anzahl gleichzeitiger Verbindungen zu ermöglichen, die Sie auf dem Client VPN-Endpunkt unterstützen wollen.

  • Der Client-CIDR-Bereich kann nicht mehr geändert werden, nachdem Sie den Client VPN-Endpunkt erstellt haben.

  • Die Subnetze, die einem Client VPN-Endpunkt zugeordnet sind, müssen sich in derselben VPC befinden.

  • Sie können nicht mehrere Subnetze derselben Availability Zone mit einem Client VPN-Endpunkt verknüpfen.

  • Ein Client VPN-Endpunkt unterstützt keine Subnetzzuordnungen in einer Dedicated Tenancy-VPC.

  • Client VPN unterstützt nur IPv4-Datenverkehr. Siehe Überlegungen zu IPv6 für AWS Client VPN für Details zu IPv6.

  • Client VPN ist nicht mit FIPS (Federal Information Processing Standards) konform.

  • Das Self-Service-Portal ist nicht für Clients verfügbar, die sich mittels gegenseitiger Authentifizierung authentifizieren.

  • Wir empfehlen nicht, über IP-Adressen eine Verbindung zu einem Client-VPN-Endpunkt herzustellen. Da Client VPN ein verwalteter Service ist, kommt es gelegentlich zu Änderungen der IP-Adressen, in die der DNS-Name aufgelöst wird. Darüber hinaus werden in Ihren CloudTrail Protokollen Client-VPN-Netzwerkschnittstellen gelöscht und neu erstellt. Es wird empfohlen, eine Verbindung zu dem Client-VPN-Endpunkt mithilfe des bereitgestellten DNS-Namens herzustellen.

  • IP-Weiterleitung wird derzeit nicht unterstützt, wenn Sie die AWS Client VPN Desktop-Anwendung verwenden. IP-Weiterleitung wird von anderen Clients unterstützt.

  • Client VPN unterstützt keine multiregionale Replikation in AWS Managed Microsoft AD. Der Client-VPN-Endpunkt muss sich in derselben Region wie die AWS Managed Microsoft AD Ressource befinden.

  • Wenn Multi-Faktor-Authentifizierung (MFA) für Ihr Active Directory deaktiviert ist, dürfen Benutzerpasswörter nicht im folgenden Format vorliegen.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Sie können von einem Computer aus keine VPN-Verbindung herstellen, wenn mehrere Benutzer am Betriebssystem angemeldet sind.

  • Der Client-VPN-Dienst erfordert, dass die IP-Adresse, mit der der Client verbunden ist, mit der IP übereinstimmt, zu der der DNS-Name des Client-VPN-Endpunkts aufgelöst wird. Mit anderen Worten, wenn Sie einen benutzerdefinierten DNS-Eintrag für den Client-VPN-Endpunkt einrichten und dann den Datenverkehr an die tatsächliche IP-Adresse weiterleiten, auf die der DNS-Name des Endpunkts aufgelöst wird, funktioniert dieses Setup nicht mit kürzlich AWS bereitgestellten Clients. Diese Regel wurde hinzugefügt, um einen Server-IP-Angriff abzuwehren, wie hier beschrieben:. TunnelCrack

  • Der Client-VPN-Dienst erfordert, dass die IP-Adressbereiche des lokalen Netzwerks (LAN) der Client-Geräte innerhalb der folgenden standardmäßigen privaten IP-Adressbereiche liegen: 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, oder169.254.0.0/16. Wenn festgestellt wird, dass der LAN-Adressbereich des Clients außerhalb der oben genannten Bereiche liegt, überträgt der Client-VPN-Endpunkt automatisch die OpenVPN-Direktive „redirect-gateway block-local“ an den Client, wodurch der gesamte LAN-Verkehr in das VPN geleitet wird. Wenn Sie während VPN-Verbindungen LAN-Zugriff benötigen, wird daher empfohlen, die oben aufgeführten konventionellen Adressbereiche für Ihr LAN zu verwenden. Diese Regel wird durchgesetzt, um die Wahrscheinlichkeit eines lokalen Netzangriffs zu verringern, wie hier beschrieben:. TunnelCrack