使用 的規則和最佳實務 AWS Client VPN - AWS Client VPN
網路和頻寬需求子網路和 VPC 組態身分驗證和安全性連線和 DNS 要求限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 的規則和最佳實務 AWS Client VPN

下列各節說明使用 的規則和最佳實務 AWS Client VPN:

網路和頻寬需求

  • AWS Client VPN 是一種全受管服務,可自動擴展以適應額外的使用者連線和頻寬需求。每個使用者連線的基準頻寬上限為 50 Mbps。如有需要,您可以透過 AWS Support 請求增加。使用者透過 Client VPN 端點連線所體驗的實際頻寬,可能會因多種因素而有所不同。這些因素包括封包大小、流量合成 (TCP/UDP 混合)、中繼網路上的網路政策 (成形或限流)、網際網路條件、應用程式特定需求,以及並行使用者連線的總數。

  • 用戶端 CIDR 範圍與相關聯子網路所在的 VPC 的本機 CIDR 不可重疊,或與手動新增到 Client VPN 端點路由表的任何路由不可重疊。

  • 用戶端 CIDR 範圍必須有至少為 /22 且不可大於 /12 的區塊大小。

  • 用戶端 CIDR 範圍中的一部分位址用於支援 Client VPN 端點的可用性模型,而且無法指派給用戶端。因此,建議您指派 CIDR 區塊,其中包含您計劃在 Client VPN 端點上支援同時連線數目上限所需 IP 地址數目兩倍的 IP 地址數目。

  • 建立 Client VPN 端點之後,就無法變更用戶端 CIDR 範圍。

  • Client VPN 支援 IPv4, IPv6 和雙堆疊 (IPv4 和 IPv6) 流量。如需 IPv6 支援的詳細資訊,請參閱 的 IPv6 考量 AWS Client VPN

    • 來源 IP 地址會轉譯為 Client VPN 端點的 IP 地址。

    • 來自用戶端的原始來源連接埠號碼保持不變。

  • Client VPN 只有在並行使用者連線到相同的目標時,才會執行連接埠地址轉譯 (PAT)。連接埠轉譯是自動且必要的,可透過相同的 VPN 端點支援多個同時連線。

    • 對於來源 IP 轉譯,來源 IP 地址會轉譯為 Client VPN 的 IP 地址。

    • 對於單一用戶端連線的來源連接埠轉譯,原始來源連接埠號碼可能保持不變。

    • 對於連接到相同目的地 (相同目標 IP 地址和連接埠) 的多個用戶端的來源連接埠轉譯,Client VPN 會執行連接埠轉譯,以確保唯一連線。

    例如,當兩個用戶端、用戶端 1 和用戶端 2 透過 Client VPN 端點連線至相同的目的地伺服器和連接埠時:

    • 用戶端 1 的原始連接埠,例如9999,可能翻譯為不同的連接埠,例如連接埠 4306

    • 用戶端 2 的原始連接埠 - 例如 9999 - 可能翻譯為唯一的連接埠不同的格式用戶端 1 - 例如連接埠 63922

  • 對於 IPv6 流量,Client VPN 不會執行網路位址轉譯 (NAT)。這可增強對連線使用者的 IPv6 地址的可見性。

子網路和 VPC 組態

  • 與 Client VPN 端點相關聯的子網路必須位於同一個 VPC 中。

  • 您不能將來自相同可用區域的多個子網路與一個 Client VPN 端點建立關聯。

  • Client VPN 端點不支援專用租用 VPC 中的子網路關聯。

  • 對於 IPv6 或雙堆疊流量,關聯的子網路必須具有 IPv6 或雙堆疊 CIDR 範圍。

  • 對於雙堆疊端點,您無法為每個可用區域建立多個子網路的關聯。

身分驗證和安全性

  • 使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。

  • 如果您的 Active Directory 停用多重要素驗證 (MFA),則使用者密碼不能使用下列格式。

    SCRV1:base64_encoded_string:base64_encoded_string

  • AWS Client VPN 中使用的憑證必須遵循 RFC 5280:網際網路 X.509 公有金鑰基礎設施憑證和憑證撤銷清單 (CRL) 設定檔,包括備註第 4.2 節中指定的憑證延伸。

  • 具有特殊字元的使用者名稱可能會導致連線錯誤。

連線和 DNS 要求

  • 我們不建議使用 IP 位址連線到 Client VPN 端點。由於 Client VPN 是受管服務,因此您偶爾會看到 DNS 名稱解析出的 IP 地址發生變更。此外,您也會在 CloudTrail 日誌中看到 Client VPN 網路界面已刪除並重新建立。建議使用提供的 DNS 名稱來連線到 Client VPN 端點。

  • Client VPN 服務需要用戶端連線的 IP 地址符合 Client VPN 端點 DNS 名稱解析的 IP。換句話說,如果您為 Client VPN 端點設定自訂 DNS 記錄,然後將流量轉送到端點 DNS 名稱解析的實際 IP 地址,則此設定無法使用最近 AWS 提供的用戶端。已新增此規則來緩解伺服器 IP 攻擊,如下所述:TunnelCrack

  • 您可以使用 AWS 提供的用戶端連線到多個並行 DNS 工作階段。不過,若要讓名稱解析正常運作,所有連線的 DNS 伺服器都應有同步記錄。

  • Client VPN 服務要求用戶端裝置的本機區域網路 (LAN) IP 地址範圍在下列標準私有 IP 地址範圍內:10.0.0.0/8192.168.0.0/16172.16.0.0/12169.254.0.0/16。如果偵測到用戶端 LAN 地址範圍超出上述範圍,則 Client VPN 端點會自動將 OpenVPN 指令 "redirect-gateway block-local" 推送至用戶端,強制所有 LAN 流量進入 VPN。因此,如果您在 VPN 連線期間需要 LAN 存取,建議您為 LAN 使用上面列出的傳統地址範圍。強制執行此規則是為了降低本機網路攻擊的機會,如此處所述:TunnelCrack

  • 在 Windows 中,使用完整通道端點時,無論端點的 IP 地址類型為何 (IPv4 IPv6 或雙堆疊),所有 DNS 流量都會強制通過通道。若要讓 DNS 正常運作,必須在通道內設定和連線 DNS 伺服器。

限制

  • 使用 AWS Client VPN 桌面應用程式時,目前不支援 IP 轉送。其他用戶端支援 IP 轉送。

  • Client VPN 不支援在 AWS Managed Microsoft AD中使用多區域複寫功能。Client VPN 端點必須與 AWS Managed Microsoft AD 資源位於相同的區域。

  • 如果有多個使用者已登入作業系統,則無法從電腦建立 VPN 連線。

  • IPv6 用戶端不支援Client-to-client通訊。如果 IPv6 用戶端嘗試與其他 IPv6 用戶端通訊,則會捨棄流量。

  • IPv6 和雙堆疊端點需要使用者裝置和網際網路服務提供者 (ISPs) 支援對應的 IP 組態。