Regras e melhores práticas de AWS Client VPN

A seguir estão as regras e as melhores práticas para AWS Client VPN

• Há um limite de largura de banda de 10 Mbps por conexão de usuário.

• Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint do cliente VPN.

• Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.

• Uma parte dos endereços no intervalo de CIDR do cliente é usada para oferecer suporte ao modelo de disponibilidade do endpoint do cliente VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer suporte no endpoint do cliente VPN.

• O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do cliente VPN.

• As sub-redes associadas a um endpoint do cliente VPN deve estar na mesma VPC.

• Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do cliente VPN.

• Um endpoint do cliente VPN não é compatível com associações de sub-rede em uma VPC de locação dedicada.

• O VPN do Cliente é compatível somente com tráfego IPv4. Consulte Considerações sobre IPv6 para o AWS Client VPN para obter detalhes sobre o IPv6.

• O VPN do Cliente não está em conformidade com o FIPS (Federal Information Processing Standards).

• O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.

• Não é recomendável se conectar a um endpoint da Client VPN usando endereços IP. Como a Client VPN é um serviço gerenciado, você ocasionalmente verá alterações nos endereços IP aos quais o nome DNS resolve. Além disso, você verá as interfaces de rede do Client VPN excluídas e recriadas em seus CloudTrail registros. É recomendável se conectar ao endpoint da Client VPN usando o nome DNS fornecido.

• O encaminhamento de IP não é compatível atualmente com o uso da aplicação de desktop AWS Client VPN. O encaminhamento de IP é compatível com outros clientes.

• A Client VPN não é compatível com a replicação de várias regiões no AWS Managed Microsoft AD. O endpoint da Client VPN deve estar na mesma região que o recurso do AWS Managed Microsoft AD.

• Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, as senhas de usuário não poderão estar no formato a seguir.

  SCRV1:base64_encoded_string:base64_encoded_string

• Não será possível estabelecer uma conexão de VPN em um computador se houver vários usuários conectados ao sistema operacional.

• O serviço Client VPN exige que o endereço IP ao qual o cliente está conectado corresponda ao IP para o qual o nome DNS do endpoint Client VPN é resolvido. Em outras palavras, se você definir um registro DNS personalizado para o endpoint Client VPN e encaminhar o tráfego para o endereço IP real para o qual o nome DNS do endpoint é resolvido, essa configuração não funcionará usando clientes fornecidos recentemente. AWS Esta regra foi adicionada para mitigar um ataque de IP do servidor, conforme descrito aqui: TunnelCrack.

• O serviço Client VPN exige que os intervalos de endereços IP da rede local (LAN) dos dispositivos do cliente estejam dentro dos seguintes intervalos de endereços IP privados padrão:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. Se for detectado que o intervalo de endereços da LAN do cliente está fora dos intervalos acima, o endpoint do Client VPN enviará automaticamente a diretiva OpenVPN “redirect-gateway block-local” para o cliente, forçando todo o tráfego da LAN para a VPN. Portanto, se você precisar de acesso à LAN durante as conexões VPN, é recomendável usar os intervalos de endereços convencionais listados acima para sua LAN. Esta regra é aplicada para mitigar as chances de um ataque local na rede, conforme descrito aqui:. TunnelCrack