의 규칙 및 모범 사례 AWS Client VPN - AWS 클라이언트 VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 규칙 및 모범 사례 AWS Client VPN

에 대한 규칙 및 모범 사례는 다음과 같습니다. AWS Client VPN

  • 사용자 연결당 최소 10Mbps의 대역폭이 지원됩니다. 사용자 연결당 최대 대역폭은 Client VPN 엔드포인트에 대한 연결 수에 따라 달라집니다.

  • 클라이언트 CIDR 범위는 연결된 서브넷이 위치하는 VPC의 로컬 CIDR 또는 Client VPN 엔드포인트의 라우팅 테이블에 수동으로 추가된 라우팅과 중첩될 수 없습니다.

  • 클라이언트 CIDR 범위는 블록 크기가 최소 /22여야 하며 /12를 초과할 수 없습니다.

  • 클라이언트 CIDR 범위의 주소 중 일부는 Client VPN 엔드포인트의 가용성 모델을 지원하는 데 사용되며 클라이언트에 할당할 수 없습니다. 따라서 Client VPN 엔드포인트에서 지원할 최대 동시 연결 수를 활성화하는 데 필요한 IP 주소 수의 두 배가 포함된 CIDR 블록을 할당하는 것이 좋습니다.

  • Client VPN 엔드포인트를 생성한 후에는 클라이언트 CIDR 범위를 변경할 수 없습니다.

  • Client VPN 엔드포인트와 연결된 서브넷은 동일한 VPC에 있어야 합니다.

  • 동일한 가용 영역의 여러 서브넷을 한 Client VPN 엔드포인트와 연결할 수 없습니다.

  • Client VPN 엔드포인트는 전용 테넌시 VPC에서 서브넷 연결을 지원하지 않습니다.

  • Client VPN은 IPv4 트래픽만 지원합니다. IPv6에 대한 자세한 내용은 AWS Client VPN에 대한 IPv6 고려 사항을 참조하세요.

  • Client VPN은 Federal Information Processing Standard(FIPS)를 준수하지 않습니다.

  • 상호 인증을 사용하여 인증하는 클라이언트에는 셀프 서비스 포털을 사용할 수 없습니다.

  • IP 주소를 사용하여 Client VPN 엔드포인트에 연결하지 않는 것이 좋습니다. Client VPN은 관리형 서비스이므로 때때로 DNS 이름이 확인되는 IP 주소의 변경 사항을 볼 수 있습니다. 또한 CloudTrail 로그에서 Client VPN 네트워크 인터페이스가 삭제되고 다시 생성된 것을 확인할 수 있습니다. 제공된 DNS 이름을 사용하여 Client VPN 엔드포인트에 연결하는 것이 좋습니다.

  • AWS Client VPN 데스크톱 애플리케이션을 사용할 때는 현재 IP 전달이 지원되지 않습니다. IP 전달은 다른 클라이언트에서 지원됩니다.

  • Client VPN은 AWS Managed Microsoft AD에서 다중 리전 복제를 지원하지 않습니다. Client VPN 엔드포인트는 AWS Managed Microsoft AD 리소스와 동일한 지역에 있어야 합니다.

  • Active Directory에 대해 다중 인증(MFA)이 비활성화된 경우 사용자 암호에 다음과 같은 형식을 사용할 수 없습니다.

    SCRV1:base64_encoded_string:base64_encoded_string

  • 운영 체제에 로그인한 사용자가 여러 명인 경우 컴퓨터에서 VPN 연결을 설정할 수 없습니다.

  • Client VPN 서비스를 사용하려면 클라이언트가 연결된 IP 주소가 클라이언트 VPN 엔드포인트의 DNS 이름이 확인하는 IP와 일치해야 합니다. 즉, Client VPN 엔드포인트에 대한 사용자 지정 DNS 레코드를 설정한 다음 엔드포인트의 DNS 이름이 확인되는 실제 IP 주소로 트래픽을 전달하는 경우 최근에 AWS제공한 클라이언트에서는 이 설정이 작동하지 않습니다. 이 규칙은 다음과 같이 서버 IP 공격을 완화하기 위해 추가되었습니다. TunnelCrack

  • Client VPN 서비스를 사용하려면 클라이언트 장치의 LAN (Local Area Network) IP 주소 범위가 다음 표준 사설 IP 주소 범위 (10.0.0.0/8, 172.16.0.0/12192.168.0.0/16, 또는) 내에 있어야 169.254.0.0/16 합니다. 클라이언트 LAN 주소 범위가 위 범위를 벗어나는 것으로 감지되면 클라이언트 VPN 엔드포인트는 OpenVPN 지침 “리디렉션 게이트웨이 블록 로컬”을 자동으로 클라이언트에 푸시하여 모든 LAN 트래픽을 VPN으로 강제 전송합니다. 따라서 VPN 연결 중에 LAN 액세스가 필요한 경우 위에 나열된 일반 LAN 주소 범위를 사용하는 것이 좋습니다. 이 규칙은 다음과 같이 로컬 네트워크 공격의 가능성을 줄이기 위해 적용됩니다. TunnelCrack