Aturan dan praktik terbaik AWS Client VPN

Berikut ini adalah aturan dan praktik terbaik untuk AWS Client VPN

• Bandwidth minimum 10 Mbps didukung per koneksi pengguna. Bandwidth maksimum per koneksi pengguna tergantung pada jumlah koneksi yang dibuat ke titik akhir Client VPN.

• Rentang CIDR klien tidak dapat tumpang tindih dengan CIDR lokal dari VPC tempat subnet terkait berada, atau setiap rute secara manual ditambahkan ke tabel rute titik akhir Client VPN.

• Rentang CIDR klien harus memiliki ukuran blok minimal /22 dan tidak boleh lebih besar dari /12.

• Sebagian alamat di rentang CIDR klien digunakan untuk mendukung model ketersediaan titik akhir Client VPN, dan tidak dapat ditugaskan kepada klien. Oleh karena itu, kami rekomendasikan Anda menetapkan blok CIDR yang berisi dua kali jumlah alamat IP yang diperlukan untuk mengaktifkan jumlah maksimum koneksi bersamaan bahwa Anda berencana untuk mendukung titik akhir Client VPN.

• Rentang CIDR klien tidak dapat diubah setelah Anda membuat titik akhir Client VPN.

• Subnet yang terkait dengan titik akhir Client VPN harus berada dalam VPC yang sama.

• Anda tidak dapat mengaitkan beberapa subnet dari Availability Zone yang sama dengan titik akhir Client VPN.

• Titik Akhir Client VPN tidak mendukung asosiasi subnet di penghunian khusus VPC.

• Client VPN hanya mendukung lalu lintas IPv4. Lihat Pertimbangan IPv6 untukAWSClient VPN untuk detail tentang IPv6.

• Client VPN tidak patuh dengan Federal Information Processing Standard (FIPS).

• Portal layanan mandiri ini tidak tersedia untuk klien yang mengautentikasi menggunakan autentikasi bersama.

• Kami tidak menyarankan untuk menghubungkan ke titik akhir Client VPN menggunakan alamat IP. Karena Client VPN adalah layanan terkelola, Anda kadang-kadang akan melihat perubahan pada alamat IP yang diselesaikan oleh nama DNS. Selain itu, Anda akan melihat antarmuka jaringan Client VPN dihapus dan dibuat ulang di log Anda CloudTrail . Sebaiknya sambungkan ke titik akhir Client VPN menggunakan nama DNS yang disediakan.

• Penerusan IP saat ini tidak didukung saat menggunakan aplikasi AWS Client VPN desktop. Penerusan IP didukung dari klien lain.

• Client VPN tidak mendukung replikasi Multi-region di. AWS Managed Microsoft AD Titik akhir Client VPN harus berada di Wilayah yang sama dengan AWS Managed Microsoft AD sumber daya.

• Jika otentikasi multi-faktor (MFA) dinonaktifkan untuk Direktori Aktif Anda, kata sandi pengguna tidak dapat menggunakan format berikut.

  SCRV1:base64_encoded_string:base64_encoded_string

• Anda tidak dapat membuat koneksi VPN dari komputer jika ada beberapa pengguna yang masuk ke sistem operasi.

• Layanan Client VPN mengharuskan alamat IP yang terhubung dengan klien cocok dengan IP yang diselesaikan oleh nama DNS titik akhir Client VPN. Dengan kata lain, jika Anda menetapkan catatan DNS khusus untuk titik akhir Client VPN, lalu meneruskan lalu lintas ke alamat IP sebenarnya yang diselesaikan oleh nama DNS titik akhir, pengaturan ini tidak akan berfungsi menggunakan klien yang disediakan terbaru. AWS Aturan ini ditambahkan untuk mengurangi serangan IP server seperti yang dijelaskan di sini: TunnelCrack

• Layanan Client VPN mensyaratkan bahwa rentang alamat IP jaringan area lokal (LAN) perangkat klien berada dalam rentang alamat IP pribadi standar berikut:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, atau169.254.0.0/16. Jika rentang alamat LAN klien terdeteksi berada di luar rentang di atas, titik akhir Client VPN akan secara otomatis mendorong arahan OpenVPN “redirect-gateway block-local” ke klien, memaksa semua lalu lintas LAN ke VPN. Oleh karena itu, jika Anda memerlukan akses LAN selama koneksi VPN, disarankan agar Anda menggunakan rentang alamat konvensional yang tercantum di atas untuk LAN Anda. Aturan ini diberlakukan untuk mengurangi kemungkinan serangan net lokal seperti yang dijelaskan di sini:. TunnelCrack