翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用するためのルールとベストプラクティス AWS Client VPN
以下は、 を使用するためのルールとベストプラクティスです。 AWS Client VPN
-
ユーザー接続ごとに 10 Mbps の最小帯域幅がサポートされています。ユーザー接続あたりの最大帯域幅は、クライアントVPNエンドポイントに対して行われる接続の数によって異なります。
-
クライアントCIDR範囲は、関連付けられたサブネットVPCが配置されている CIDRのローカル、またはクライアントVPNエンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。
-
クライアントCIDR範囲のブロックサイズは /22 以上、/12 以下である必要があります。
-
クライアントCIDR範囲のアドレスの一部は、クライアントVPNエンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアントVPNエンドポイントでサポートする同時接続の最大数を有効にするために必要な IP アドレスの 2 倍の数を含むCIDRブロックを割り当てることをお勧めします。
-
クライアントVPNエンドポイントの作成後にクライアントCIDR範囲を変更することはできません。
クライアントVPNエンドポイントに関連付けられたサブネットは、同じ に存在する必要がありますVPC。
同じアベイラビリティーゾーンの複数のサブネットをクライアントVPNエンドポイントに関連付けることはできません。
-
クライアントVPNエンドポイントは、専用テナンシー のサブネット関連付けをサポートしていませんVPC。
クライアントはIPv4トラフィックのみVPNをサポートします。の詳細については、IPv6 に関する考慮事項 AWS Client VPN「」を参照してくださいIPv6。
クライアントVPNは連邦情報処理標準 (FIPS) に準拠していません。
-
セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。
-
IP アドレスを使用してクライアントVPNエンドポイントに接続することはお勧めしません。クライアントVPNはマネージドサービスであるため、DNS名前が解決される IP アドレスに変更が表示されることがあります。さらに、クライアントVPNネットワークインターフェイスが削除され、 CloudTrail ログに再作成されます。指定されたDNS名前を使用してクライアントVPNエンドポイントに接続することをお勧めします。
-
AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。
-
クライアントVPNは、 でのマルチリージョンレプリケーションをサポートしていません AWS Managed Microsoft AD。クライアントVPNエンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンに存在する必要があります。
-
Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードは次の形式を使用できません。
SCRV1:
base64_encoded_string
:base64_encoded_string
-
オペレーティングシステムにログインしているユーザーが複数ある場合、コンピュータからVPN接続を確立することはできません。
-
クライアントVPNサービスでは、クライアントが接続されている IP アドレスが、クライアントVPNエンドポイントDNSの名前が解決される IP と一致する必要があります。つまり、クライアントVPNエンドポイントのカスタムDNSレコードを設定し、エンドポイントDNSの名前が解決される実際の IP アドレスにトラフィックを転送すると、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、次のようにサーバー IP 攻撃を軽減するために追加されました: TunnelCrack
。 -
クライアントVPNサービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、、
10.0.0.0/8
、、172.16.0.0/12
192.168.0.0/16
または の標準プライベート IP アドレス範囲内にある必要があります169.254.0.0/16
。クライアントLANアドレス範囲が上記の範囲外であることが検出された場合、クライアントVPNエンドポイントは Open VPNディレクティブ「redirect-gateway block-local」をクライアントに自動的にプッシュし、すべてのLANトラフィックを に強制しますVPN。したがって、VPN接続中にLANアクセスが必要な場合は、上記の従来のアドレス範囲を に使用することをお勧めしますLAN。このルールは、「」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されますTunnelCrack。