AWS Client VPN クライアントルートの適用 - AWS Client VPN
要件ルーティングの競合考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN クライアントルートの適用

クライアントルート強制は、VPN を介して接続されたデバイスに管理者定義のルートを適用するのに役立ちます。この機能は、接続されたクライアントから発信されたネットワークトラフィックが VPN トンネルの外部に誤って送信されないようにすることで、セキュリティ体制を改善するのに役立ちます。

クライアントルート強制は、接続されたデバイスのメインルーティングテーブルを監視し、クライアント VPN エンドポイントで設定されたネットワークルートに従って、アウトバウンドネットワークトラフィックが VPN トンネルに送信されるようにします。これには、VPN トンネルと競合するルートが検出された場合のデバイスのルーティングテーブルの変更が含まれます。クライアントルート強制は、IPv4 アドレスファミリーと IPv6 アドレスファミリーの両方をサポートします。

要件

クライアントルートの適用は、以下の AWS 提供されているクライアント VPN バージョンでのみ機能します。

  • Windows バージョン 5.2.0 以降 (IPv4 サポート)

  • macOS バージョン 5.2.0 以降 (IPv4 サポート)

  • Ubuntu バージョン 5.2.0 以降 (IPv4 サポート)

  • Windows バージョン 5.3.0 以降 (IPv6 サポート)

  • macOS バージョン 5.3.0 以降 (IPv6 サポート)

  • Ubuntu バージョン 5.3.0 以降 (IPv6 サポート)

デュアルスタックエンドポイントの場合、クライアントルート強制設定は IPv4 スタックと IPv6 スタックの両方に同時に適用されます。1 つのスタックに対してのみクライアントルート強制を有効にすることはできません。

ルーティングの競合

クライアントが VPN に接続されている間、クライアントのローカルルートテーブルとエンドポイントのネットワークルートを比較します。2 つのルートテーブルエントリ間にネットワーク重複がある場合、ルーティングの競合が発生します。ネットワークが重複する例を次に示します。

  • 172.31.0.0/16

  • 172.31.1.0/24

この例では、これらの CIDR ブロックはルーティングの競合を構成します。例えば、 は VPN トンネル CIDR 172.31.0.0/16である場合があります。172.31.1.0/24 はプレフィックスが長いためより具体的であるため、通常は優先され、172.31.1.0/24IP 範囲内の VPN トラフィックを別の宛先にリダイレクトする可能性があります。これにより、意図しないルーティング動作が発生する可能性があります。ただし、クライアントルートの適用が有効になっている場合、後者の CIDR は削除されます。この機能を使用する場合は、ルーティングの競合の可能性を考慮する必要があります。

フルトンネル VPN 接続は、VPN 接続を介してすべてのネットワークトラフィックをルーティングします。その結果、クライアントルート強制機能が有効になっている場合、VPN に接続されたデバイスはローカルネットワーク (LAN) リソースにアクセスできなくなります。ローカル LAN アクセスが必要な場合は、フルトンネルモードの代わりに分割トンネルモードを使用することを検討してください。分割トンネルの詳細については、「」を参照してください分割トンネルクライアント VPN

考慮事項

クライアントルート強制をアクティブ化する前に、次の情報を考慮する必要があります。

  • 接続時にルーティングの競合が検出されると、この機能はクライアントのルートテーブルを更新してトラフィックを VPN トンネルに誘導します。接続が確立される前に存在し、この機能によって削除されたルートは復元されます。

  • この機能はメインルーティングテーブルにのみ適用され、他のルーティングメカニズムには適用されません。たとえば、適用は以下には適用されません。

    • ポリシーベースのルーティング

    • インターフェイススコープルーティング

  • クライアントルート強制は、VPN トンネルが開いている間、VPN トンネルを保護します。トンネルが切断された後、またはクライアントが再接続している間は保護されません。

OpenVPN ディレクティブがクラウドルートの適用に与える影響

OpenVPN 設定ファイルの一部のカスタムディレクティブは、クライアントルートの強制と特定のやり取りがあります。

  • route ディレクティブ

    • VPN ゲートウェイにルートを追加する場合。例えば、VPN ゲートウェイ192.168.100.0 255.255.255.0へのルートの追加などです。

      VPN ゲートウェイに追加されたルートは、他の VPN ルートと同様にクライアントルート強制によってモニタリングされます。競合するルートは検出および削除されます。

    • VPN 以外のゲートウェイにルートを追加する場合。たとえば、ルート を追加します192.168.200.0 255.255.255.0 net_gateway

      VPN 以外のゲートウェイに追加されたルートは、VPN トンネルをバイパスするため、クライアントルートの適用から除外されます。競合するルートは、それらのルート内で許可されます。この例では、上記のルートはクライアントルート強制によるモニタリングから除外されます。

    • IPv4 ルートと同様に、VPN ゲートウェイに追加された IPv6 ルートはクライアントルート強制によってモニタリングされ、VPN 以外のゲートウェイに追加されたルートはモニタリングから除外されます。

無視されたルート

次の IPv4 ネットワークへのルートは、クライアントルート強制によって無視されます。

  • 127.0.0.0/8 — ローカルホスト用に予約

  • 169.254.0.0/16 — リンクローカルアドレス用に予約

  • 224.0.0.0/4 — マルチキャスト用に予約済み

  • 255.255.255.255/32 — ブロードキャスト用に予約済み

次の IPv6 ネットワークへのルートは、クライアントルート強制によって無視されます。

  • ::1/128 — ループバック用に予約済み

  • fe80::/10 — リンクローカルアドレス用に予約

  • ff00::/8 — マルチキャスト用に予約済み

トピック