のルールとベストプラクティス AWS Client VPN - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のルールとベストプラクティス AWS Client VPN

のルールとベストプラクティスは次のとおりです。 AWS Client VPN

  • ユーザー接続ごとに 10 Mbps の帯域幅制限があります。

  • クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、またはクライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。

  • クライアント CIDR 範囲は、ブロックサイズが /22 以上、/12 以下でなければなりません。

  • クライアント CIDR 範囲内のアドレスの一部は、クライアント VPN エンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアント VPN エンドポイントでサポートする予定の同時接続の最大数を有効にするために必要な IP アドレスの数の 2 倍の数を含む CIDR ブロックを割り当てることをお勧めします。

  • クライアント VPN エンドポイントの作成後にクライアント CIDR 範囲を変更することはできません。

  • クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。

  • 1 つのアベイラビリティーゾーンの複数のサブネットをクライアント VPN エンドポイントに関連付けることはできません。

  • クライアント VPN エンドポイントは、専有テナント VPC でのサブネットの関連付けをサポートしていません。

  • クライアント VPN は、IPv4 トラフィックのみをサポートしています。IPv6 の詳細については、「AWS クライアント VPN の IPv6 に関する考慮事項」を参照してください。

  • クライアント VPN は、連邦情報処理規格 (FIPS) に準拠していません。

  • セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。

  • IP アドレスを使用して、クライアント VPN エンドポイントに接続することはお勧めしません。クライアント VPN はマネージドサービスであるため、DNS 名が解決する IP アドレスに変化が見られる場合があります。さらに、クライアント VPN ネットワークインターフェイスが削除され、 CloudTrail ログに再作成されます。クライアント VPN エンドポイントへの接続には、提供された DNS 名を使用することをお勧めします。

  • AWS Client VPN デスクトップアプリケーションを使用している場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。

  • クライアント VPN は、AWS Managed Microsoft AD でのマルチリージョンレプリケーションをサポートしていません。クライアント VPN エンドポイントは、AWS Managed Microsoft AD リソースと同じリージョン内にある必要があります。

  • Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードで次の形式を使用することはできません。

    SCRV1:base64_encoded_string:base64_encoded_string
  • オペレーティングシステムに複数のユーザーがログインしている場合、このコンピュータから VPN 接続を確立することはできません。

  • クライアント VPN サービスでは、クライアントが接続されている IP アドレスが、クライアント VPN エンドポイントの DNS 名が解決される IP と一致する必要があります。つまり、クライアント VPN エンドポイントのカスタム DNS レコードを設定し、エンドポイントの DNS 名が解決する実際の IP アドレスにトラフィックを転送する場合、この設定は AWSが提供する最新のクライアントでは機能しません。このルールは、次に示すように、サーバー IP 攻撃を軽減するために追加されました: TunnelCrack

  • クライアント VPN サービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、、10.0.0.0/8、、172.16.0.0/12192.168.0.0/16または の標準のプライベート IP アドレス範囲内にある必要があります169.254.0.0/16。クライアント LAN アドレス範囲が上記の範囲外になると、クライアント VPN エンドポイントは OpenVPN ディレクティブ「リダイレクトゲートウェイブロックローカル」をクライアントに自動的にプッシュし、すべての LAN トラフィックを VPN に強制します。したがって、VPN 接続中に LAN アクセスが必要な場合は、LAN に上記の従来のアドレス範囲を使用することをお勧めします。このルールは、ローカルネット攻撃の可能性を軽減するため、 で説明されていますTunnelCrack