Requisitos Conflictos de enrutamiento Consideraciones

AWS Client VPN Client Route Enforcement

Client Route Enforcement ayuda a aplicar las rutas definidas por el administrador en los dispositivos conectados a través de la VPN. Esta característica ayuda a mejorar su nivel de seguridad al garantizar que el tráfico de red que se origina en un cliente conectado no se envíe por error fuera del túnel de la VPN.

Client Route Enforcement monitoriza la tabla de enrutamiento principal del dispositivo conectado y se asegura de que el tráfico de red saliente vaya a un túnel de VPN, de acuerdo con las rutas de red configuradas en el punto de conexión de la VPN cliente. Esto incluye la modificación de las tablas de enrutamiento de un dispositivo si se detectan rutas que entran en conflicto con el túnel de VPN. Client Route Enforcement admite las familias de direcciones IPv4 e IPv6.

Requisitos

Client Route Enforcement solo funciona con las siguientes versiones de Client VPN proporcionadas por AWS:

Windows versión 5.2.0 o superior (compatibilidad con IPv4)
macOS versión 5.2.0 o superior (compatibilidad con IPv4)
Ubuntu versión 5.2.0 o superior (compatibilidad con IPv4)
Windows versión 5.3.0 o superior (compatibilidad con IPv6)
macOS versión 5.3.0 o superior (compatibilidad con IPv6)
Ubuntu versión 5.3.0 o superior (compatibilidad con IPv6)

Para los puntos de conexión de doble pila, la configuración de Client Route Enforcement se aplica a las pilas IPv4 e IPv6 de forma simultánea. No es posible habilitar Client Route Enforcement para una sola pila.

Conflictos de enrutamiento

Mientras un cliente está conectado a la VPN, se realiza una comparación entre la tabla de enrutamiento local del cliente y las rutas de red del punto de conexión. Se producirá un conflicto de enrutamiento si hay solapamiento de redes entre dos entradas de la tabla de enrutamiento. Un ejemplo de redes solapadas es:

172.31.0.0/16
172.31.1.0/24

En este ejemplo, estos bloques de CIDR constituyen un conflicto de enrutamiento. Por ejemplo, 172.31.0.0/16 podría ser el CIDR del túnel de VPN. Dado que 172.31.1.0/24 es más específico porque tiene un prefijo más largo, normalmente tiene prioridad y, potencialmente, redirige el tráfico de VPN en el intervalo de IP de 172.31.1.0/24 a otro destino. Esto podría provocar un comportamiento de enrutamiento no deseado. Sin embargo, cuando se habilita Client Route Enforcement, se elimina este último CIDR. Al utilizar esta característica, se deben tener en cuenta posibles conflictos de enrutamiento.

Las conexiones de VPN de túnel completo dirigen todo el tráfico de red a través de la conexión de VPN. Por ello, los dispositivos conectados a la VPN no podrán acceder a los recursos de la red local (LAN) si la característica Client Route Enforcement está habilitada. Si se requiere acceso a una LAN local, considere la posibilidad de utilizar el modo de túnel dividido en lugar del modo de túnel completo. Para obtener más información acerca del túnel dividido, consulte Client VPN con un túnel dividido.

Consideraciones

Debe tenerse en cuenta la siguiente información antes de activar Client Route Enforcement.

En el momento de la conexión, si se detecta un conflicto de enrutamiento, la característica actualizará la tabla de enrutamiento del cliente para dirigir el tráfico al túnel de VPN. Se restaurarán las rutas que existían antes de que se estableciera la conexión y que esta característica eliminó.
La característica solo se aplica en la tabla de enrutamiento principal y no se aplica a otros mecanismos de enrutamiento. Por ejemplo, la aplicación no se aplica a lo siguiente:
- enrutamiento basado en políticas
- enrutamiento en el ámbito de interfaz
Client Route Enforcement protege el túnel de VPN mientras está abierto. No hay protección después de desconectar el túnel o mientras el cliente se vuelve a conectar.

Las directivas de OpenVPN afectan a Client Route Enforcement

Algunas directivas personalizadas del archivo de configuración de OpenVPN tienen interacciones específicas con Client Route Enforcement:

La directiva route
- Al añadir rutas a una puerta de enlace de VPN. Por ejemplo, al agregar la ruta 192.168.100.0 255.255.255.0 a una puerta de enlace de VPN.
  
  El Client Route Enforcement monitoriza las rutas agregadas a una puerta de enlace VPN de forma similar a cualquier otra ruta de VPN. Se detectarán y eliminarán todas las rutas en conflictivo.
- Al agregar rutas a una puerta de enlace de VPN. Por ejemplo, al agregar la ruta 192.168.200.0 255.255.255.0 net_gateway.
  
  Las rutas agregadas a una puerta de enlace que no sea de VPN se excluyen de Client Route Enforcement, ya que omiten el túnel de la VPN. Se permiten rutas en conflicto. En el ejemplo anterior, la ruta quedará excluida de la monitorización de Client Route Enforcement.
- Al igual que las rutas de IPv4, Client Route Enforcement monitoriza las rutas IPv6 que se agregan a una puerta de enlace de VPN, mientras que las rutas que se agregan a una puerta de enlace que no es de VPN se excluyen de la monitorización.

Rutas ignoradas

Client Route Enforcement ignorará las rutas a las siguientes redes IPv4:

127.0.0.0/8: reservado para el host local
169.254.0.0/16: reservado para direcciones locales de enlace
224.0.0.0/4: reservado para multidifusión
255.255.255.255/32: reservado para transmisión

Client Route Enforcement ignorará las rutas a las siguientes redes IPv6:

::1/128: reservado para bucles invertidos
fe80::/10: reservado para direcciones locales de enlace
ff00::/8: reservado para multidifusión

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Visualización de un banner de inicio de sesión actualmente configurado

Activación de Client Route Enforcement