を使用するためのルールとベストプラクティス AWS Client VPN - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用するためのルールとベストプラクティス AWS Client VPN

以下は、 を使用するためのルールとベストプラクティスです。 AWS Client VPN

  • ユーザー接続ごとに 10 Mbps の最小帯域幅がサポートされています。ユーザー接続あたりの最大帯域幅は、クライアントVPNエンドポイントに対して行われる接続の数によって異なります。

  • クライアントCIDR範囲は、関連付けられたサブネットVPCが配置されている CIDRのローカル、またはクライアントVPNエンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。

  • クライアントCIDR範囲のブロックサイズは /22 以上、/12 以下である必要があります。

  • クライアントCIDR範囲のアドレスの一部は、クライアントVPNエンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアントVPNエンドポイントでサポートする同時接続の最大数を有効にするために必要な IP アドレスの 2 倍の数を含むCIDRブロックを割り当てることをお勧めします。

  • クライアントVPNエンドポイントの作成後にクライアントCIDR範囲を変更することはできません。

  • クライアントVPNエンドポイントに関連付けられたサブネットは、同じ に存在する必要がありますVPC。

  • 同じアベイラビリティーゾーンの複数のサブネットをクライアントVPNエンドポイントに関連付けることはできません。

  • クライアントVPNエンドポイントは、専用テナンシー のサブネット関連付けをサポートしていませんVPC。

  • クライアントはIPv4トラフィックのみVPNをサポートします。の詳細については、IPv6 に関する考慮事項 AWS Client VPN「」を参照してくださいIPv6。

  • クライアントVPNは連邦情報処理標準 (FIPS) に準拠していません。

  • セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。

  • IP アドレスを使用してクライアントVPNエンドポイントに接続することはお勧めしません。クライアントVPNはマネージドサービスであるため、DNS名前が解決される IP アドレスに変更が表示されることがあります。さらに、クライアントVPNネットワークインターフェイスが削除され、 CloudTrail ログに再作成されます。指定されたDNS名前を使用してクライアントVPNエンドポイントに接続することをお勧めします。

  • AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。

  • クライアントVPNは、 でのマルチリージョンレプリケーションをサポートしていません AWS Managed Microsoft AD。クライアントVPNエンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンに存在する必要があります。

  • Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードは次の形式を使用できません。

    SCRV1:base64_encoded_string:base64_encoded_string
  • オペレーティングシステムにログインしているユーザーが複数ある場合、コンピュータからVPN接続を確立することはできません。

  • クライアントVPNサービスでは、クライアントが接続されている IP アドレスが、クライアントVPNエンドポイントDNSの名前が解決される IP と一致する必要があります。つまり、クライアントVPNエンドポイントのカスタムDNSレコードを設定し、エンドポイントDNSの名前が解決される実際の IP アドレスにトラフィックを転送すると、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、次のようにサーバー IP 攻撃を軽減するために追加されました: TunnelCrack

  • クライアントVPNサービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、、10.0.0.0/8、、172.16.0.0/12192.168.0.0/16または の標準プライベート IP アドレス範囲内にある必要があります169.254.0.0/16。クライアントLANアドレス範囲が上記の範囲外であることが検出された場合、クライアントVPNエンドポイントは Open VPNディレクティブ「redirect-gateway block-local」をクライアントに自動的にプッシュし、すべてのLANトラフィックを に強制しますVPN。したがって、VPN接続中にLANアクセスが必要な場合は、上記の従来のアドレス範囲を に使用することをお勧めしますLAN。このルールは、「」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されますTunnelCrack