Règles et bonnes pratiques de AWS Client VPN - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles et bonnes pratiques de AWS Client VPN

Voici les règles et les meilleures pratiques pour AWS Client VPN

  • Une bande passante minimale de 10 Mbits/s est prise en charge par connexion utilisateur. La bande passante maximale par connexion utilisateur dépend du nombre de connexions établies avec le point de terminaison VPN du Client.

  • Les plages CIDR client ne peuvent pas chevaucher la CIDR locale du VPC dans lequel se trouve le sous-réseau associé ou n'importe quelle route ajoutée manuellement à la table de routage du point de terminaison VPN Client.

  • Les plages CIDR client doivent avoir une taille de bloc d'au moins /22 et ne doivent pas être supérieures à /12.

  • Un certain nombre d'adresses de la plage CIDR client sont utilisées pour prendre en charge le modèle de disponibilité du point de terminaison VPN Client et ne peuvent pas être affectées aux clients. Par conséquent, nous vous recommandons d'affecter un bloc d'adresse CIDR contenant deux fois le nombre d'adresses IP requises pour activer le nombre maximal de connexions simultanées que vous prévoyez de prendre en charge sur le point de terminaison VPN Client.

  • La plage CIDR client ne peut pas être modifiée après la création du point de terminaison VPN Client.

  • Les sous-réseaux associés à un point de terminaison VPN Client doivent se trouver dans le même VPC.

  • Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de terminaison VPN Client.

  • Un point de terminaison VPN Client ne prend pas en charge les associations de sous-réseaux dans un VPC de location dédiée.

  • Le VPN Client prend uniquement en charge le trafic IPv4. Voir Considérations relatives à IPv6 pour AWS Client VPN pour en savoir plus sur IPv6.

  • Le VPN Client n' est pas conforme aux normes fédérales de traitement de l'information (FIPS).

  • Le portail libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'une authentification mutuelle.

  • Nous ne recommandons pas de se connecter à un point de terminaison Client VPN à l'aide d'adresses IP. Puisque Client VPN est un service géré, vous constaterez que les adresses IP que le nom DNS résout peuvent parfois changer. En outre, les interfaces réseau du Client VPN seront supprimées et recréées dans vos CloudTrail journaux. Nous recommandons de se connecter au point de terminaison Client VPN en utilisant le nom DNS fourni.

  • Le transfert IP n'est actuellement pas pris en charge lors de l'utilisation de l'application AWS Client VPN de bureau. Le transfert IP est pris en charge par d'autres clients.

  • Client VPN ne prend pas en charge la réplication multi-régions dans AWS Managed Microsoft AD. Le point de terminaison VPN du Client doit se trouver dans la même région que la AWS Managed Microsoft AD ressource.

  • Si l'authentification multi-facteur (MFA) est désactivée pour votre Active Directory, les mots de passe utilisateur ne peuvent pas utiliser le format suivant.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Vous ne pouvez pas établir de connexion VPN à partir d'un ordinateur si plusieurs utilisateurs sont connectés au système d'exploitation.

  • Le service VPN du Client exige que l'adresse IP à laquelle le client est connecté corresponde à l'adresse IP à laquelle le nom DNS du point de terminaison VPN du Client correspond. En d'autres termes, si vous définissez un enregistrement DNS personnalisé pour le point de terminaison VPN du Client, puis que vous transférez le trafic vers l'adresse IP réelle vers laquelle le nom DNS du point de terminaison est résolu, cette configuration ne fonctionnera pas avec les clients récemment AWS fournis. Cette règle a été ajoutée pour atténuer une attaque IP du serveur, comme décrit ici : TunnelCrack.

  • Le service Client VPN nécessite que les plages d'adresses IP du réseau local (LAN) des appareils clients se situent dans les plages d'adresses IP privées standard suivantes : 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. S'il est détecté que la plage d'adresses LAN du client se situe en dehors des plages ci-dessus, le point de terminaison VPN client transmet automatiquement la directive OpenVPN « redirect-gateway block-local » au client, forçant ainsi tout le trafic LAN à entrer dans le VPN. Par conséquent, si vous avez besoin d'un accès au réseau local pendant les connexions VPN, il est conseillé d'utiliser les plages d'adresses classiques répertoriées ci-dessus pour votre réseau local. Cette règle est appliquée pour atténuer les risques d'une attaque réseau locale, comme décrit ici : TunnelCrack.