的规则和最佳实践 AWS Client VPN - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的规则和最佳实践 AWS Client VPN

以下是以下规则和最佳实践 AWS Client VPN

  • 每个用户连接支持的最低带宽为 10 Mbps。每个用户连接的最大带宽取决于与 Client VPN 端点建立的连接数量。

  • 客户端 CIDR 范围不能与关联子网所在的 VPC 的本地 CIDR 重叠,也不能与手动添加到 Client VPN 终端节点的路由表中的任何路由重叠。

  • 客户端 CIDR 范围的块大小必须至少为 /22,但不得大于 /12。

  • 客户端 CIDR 范围中的一部分地址用于支持 Client VPN 终端节点的可用性模型,无法分配给客户端。因此,我们建议您分配一个 CIDR 块,其中包含的 IP 地址数量是您计划在 Client VPN 终端节点上支持的最大并发连接数量所需的 IP 地址数量的两倍。

  • 创建 Client VPN 终端节点后,无法更改客户端 CIDR 范围。

  • 与 Client VPN 终端节点关联的子网必须位于同一 VPC 中。

  • 您无法将同一可用区内的多个子网与一个 Client VPN 终端节点关联。

  • Client VPN 终端节点不支持专用租赁 VPC 中的子网关联。

  • Client VPN 仅支持 IPv4 流量。请参阅 AWS Client VPN 的 IPv6 注意事项 了解有关 IPv6 的详细信息。

  • Client VPN 不符合联邦信息处理标准 (FIPS)。

  • 自助服务门户不适用于使用双向身份验证进行身份验证的客户端。

  • 我们不建议使用 IP 地址连接到 Client VPN 端点。由于 Client VPN 是一种托管式服务,因此您偶尔会看到 DNS 名称解析到的 IP 地址发生了变化。此外,您还将在 CloudTrail 日志中看到 Client VPN 网络接口已删除并重新创建。我们建议使用提供的 DNS 名称连接到 Client VPN 端点。

  • 使用 AWS Client VPN 桌面应用程序时,目前不支持 IP 转发。其它客户端支持 IP 转发。

  • Client VPN 在 AWS Managed Microsoft AD中不支持多区域复制。Client VPN 终端节点必须与 AWS Managed Microsoft AD 资源位于同一区域。

  • 如果对于 Active Directory 禁用了多重身份验证(MFA),则用户密码不能采用以下格式。

    SCRV1:base64_encoded_string:base64_encoded_string

  • 如果有多个用户登录到操作系统,则无法从计算机建立 VPN 连接。

  • 客户端 VPN 服务要求客户端连接的 IP 地址与客户端 VPN 端点的 DNS 名称解析到的 IP 相匹配。换句话说,如果您为 Client VPN 终端节点设置了自定义 DNS 记录,然后将流量转发到该端点的 DNS 名称解析到的实际 IP 地址,则此设置将无法使用最近 AWS提供的客户端。添加此规则是为了缓解服务器IP攻击,如下所述:TunnelCrack.

  • Client VPN 服务要求客户端设备的局域网 (LAN) IP 地址范围必须位于以下标准私有 IP 地址范围内:10.0.0.0/8172.16.0.0/12192.168.0.0/16、或169.254.0.0/16。如果检测到客户端 LAN 地址范围超出上述范围,则 Client VPN 端点将自动将 OpenVPN 指令 “重定向网关区块-本地” 推送到客户端,强制所有局域网流量进入 VPN。因此,如果您需要在 VPN 连接期间访问局域网,建议您对局域网使用上面列出的传统地址范围。强制执行此规则是为了减少本地网络攻击的机会,如下所述:TunnelCrack.