AWS Client VPN 客户端路由强制执行

客户端路由强制有助于在通过 VPN 连接的设备上强制执行管理员定义的路由。此功能可确保来自已连接客户端的网络流量不会无意中发送到 VPN 隧道之外，从而帮助改善您的安全状况。

客户端路由强制监控所连接设备的主路由表，并根据客户端 VPN 端点中配置的网络路由，确保出站网络流量流向 VPN 隧道。这包括在检测到与 VPN 隧道冲突的路由时修改设备上的路由表。客户端路由强制既支持这两者 IPv4 ，也支持 IPv6 地址系列。

要求

客户端路由强制仅适用于以下 AWS 提供的 Client VPN 版本：

• Windows 版本 5.2.0 或更高版本（IPv4 支持）

• macOS 5.2.0 或更高版本（支持）IPv4

• Ubuntu 版本 5.2.0 或更高版本（支持）IPv4

• Windows 版本 5.3.0 或更高版本（IPv6 支持）

• macOS 版本 5.3.0 或更高版本（支持）IPv6

• Ubuntu 版本 5.3.0 或更高版本（支持）IPv6

对于双堆栈端点，“客户端路由强制” 设置同时应用于两个堆栈 IPv4 和 IPv6 堆栈。不可能仅为一个堆栈启用客户端路由强制。

路由冲突

当客户端连接到 VPN 时，会对客户端的本地路由表和终端的网络路由进行比较。如果两个路由表条目之间存在网络重叠，则会发生路由冲突。重叠网络的一个例子是：

• 172.31.0.0/16

• 172.31.1.0/24

在本示例中，这些 CIDR 块构成路由冲突。例如，172.31.0.0/16可能是 VPN 隧道 CIDR。由于172.31.1.0/24其前缀较长，因此更具体，因此它通常优先，并有可能将 172.31.1.0/24 IP 范围内的 VPN 流量重定向到另一个目的地。这可能会导致意外的路由行为。但是，启用客户端路由强制后，后一个 CIDR 将被删除。使用此功能时，应考虑潜在的路由冲突。

全通道 VPN 连接通过 VPN 连接引导所有网络流量。因此，如果启用了客户端路由强制功能，则连接到 VPN 的设备将无法访问本地网络 (LAN) 资源。如果需要访问本地 LAN，请考虑使用分割隧道模式而不是全隧道模式。有关分割隧道的更多信息，请参阅。拆分隧道 Client VPN

注意事项

在激活 “客户端路由强制” 之前，应考虑以下信息。

• 在连接时，如果检测到路由冲突，该功能将更新客户端的路由表，将流量引导到 VPN 隧道。在建立连接之前存在并被此功能删除的路由将被恢复。

• 该功能仅在主路由表上强制执行，不适用于其他路由机制。例如，执法不适用于以下情况：

  • 基于策略的路由

  • 接口范围路由

• 客户端路由强制在 VPN 隧道打开时对其进行保护。隧道断开后或客户端重新连接时没有任何保护。

OpenVPN 指令对云路由强制执行的影响

OpenVPN 配置文件中的一些自定义指令与客户端路由强制有特定的交互：

• route 指令

  • 向 VPN 网关添加路由时。例如，将路由添加192.168.100.0 255.255.255.0到 VPN 网关。

    与任何其他 VPN 路由一样，添加到 VPN 网关的路由也由客户端路由强制监控。将检测并删除其中的任何冲突路由。

  • 向非 VPN 网关添加路由时。例如，添加路线192.168.200.0 255.255.255.0 net_gateway。

    添加到非 VPN 网关的路由会被排除在客户端路由强制之外，因为它们会绕过 VPN 隧道。其中允许有冲突的路由。在上面的示例中，客户端路由强制将不对上述路由进行监控。

  • 与 IPv4 路由类似， IPv6 添加到 VPN 网关的路由由客户端路由强制监控，而添加到非 VPN 网关的路由则不受监控。

忽略的路由

客户端路由强制将忽略到以下 IPv4 网络的路由：

• 127.0.0.0/8— 为本地主机保留

• 169.254.0.0/16— 保留给本地链路地址

• 224.0.0.0/4— 保留用于组播

• 255.255.255.255/32— 保留用于广播

客户端路由强制将忽略到以下 IPv6 网络的路由：

• ::1/128— 保留用于环回

• fe80::/10— 保留给本地链路地址

• ff00::/8— 保留用于组播

主题

• 激活客户端路由强制

• 停用客户端路由强制

• 对 IPv6 客户端路由强制执行进行故障排除