AWS Client VPN Aplicación de rutas del cliente - AWS Client VPN
RequisitosConflictos de enruConsideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Client VPN Aplicación de rutas del cliente

Client Route Enforcement ayuda a aplicar las rutas definidas por el administrador en los dispositivos conectados a través de la VPN. Esta función ayuda a mejorar su nivel de seguridad al garantizar que el tráfico de red que se origina en un cliente conectado no se envíe inadvertidamente fuera del túnel de la VPN.

Client Route Enforcement supervisa la tabla de enrutamiento principal del dispositivo conectado y se asegura de que el tráfico de red saliente vaya a un túnel VPN, de acuerdo con las rutas de red configuradas en el punto final de la VPN del cliente. Esto incluye la modificación de las tablas de enrutamiento de un dispositivo si se detectan rutas que entran en conflicto con el túnel VPN.

Requisitos

Client Route Enforcement solo funciona con las siguientes versiones de Client VPN AWS proporcionadas:

  • Windows versión 5.2.0 o superior

  • macOS versión 5.2.0 o superior

  • Ubuntu versión 5.2.0 o superior

Conflictos de enru

Mientras un cliente está conectado a la VPN, se realiza una comparación entre la tabla de enrutamiento local del cliente y las rutas de red del punto final. Se producirá un conflicto de enrutamiento si hay una superposición de redes entre dos entradas de la tabla de enrutamiento. Un ejemplo de redes superpuestas es:

  • 172.31.0.0/16

  • 172.31.1.0/24

En este ejemplo, estos bloques CIDR constituyen un conflicto de enrutamiento. Por ejemplo, 172.31.0.0/16 podría ser el CIDR del túnel VPN. Como 172.31.1.0/24 es más específico porque tiene un prefijo más largo, normalmente tiene prioridad y, potencialmente, redirige el tráfico VPN dentro del rango de 172.31.1.0/24 IP a otro destino. Esto podría provocar un comportamiento de enrutamiento no deseado. Sin embargo, cuando se habilita la aplicación de rutas de cliente, se eliminará este último CIDR. Al utilizar esta función, se deben tener en cuenta los posibles conflictos de enrutamiento.

Las conexiones VPN de túnel completo dirigen todo el tráfico de la red a través de la conexión VPN. Como resultado, los dispositivos conectados a la VPN no podrán acceder a los recursos de la red local (LAN) si la función Client Route Enforcement está habilitada. Si se requiere acceso a una LAN local, considere la posibilidad de utilizar el modo de túnel dividido en lugar del modo de túnel completo. Para obtener más información sobre el túnel dividido, consulte. Client VPN con un túnel dividido

Consideraciones

Debe tenerse en cuenta la siguiente información antes de activar Client Route Enforcement.

  • En el momento de la conexión, si se detecta un conflicto de enrutamiento, la función actualizará la tabla de rutas del cliente para dirigir el tráfico al túnel VPN. Se restaurarán las rutas que existían antes de que se estableciera la conexión y que esta función eliminó.

  • La función solo se aplica en la tabla de enrutamiento principal y no se aplica a otros mecanismos de enrutamiento. Por ejemplo, la aplicación no se aplica a lo siguiente:

    • enrutamiento basado en políticas

    • enrutamiento con ámbito de interfaz

  • El Client Route Enforcement protege el túnel VPN mientras está abierto. No hay protección después de desconectar el túnel o mientras el cliente se vuelve a conectar.

Las directivas de OpenVPN afectan a la aplicación de las rutas en la nube

Algunas directivas personalizadas del archivo de configuración de OpenVPN tienen interacciones específicas con Client Route Enforcement:

  • La directiva route

    • Al añadir rutas a una puerta de enlace VPN. Por ejemplo, agregar la ruta 192.168.100.0 255.255.255.0 a una puerta de enlace VPN.

      Client Route Enforcement supervisa las rutas agregadas a una puerta de enlace VPN de forma similar a cualquier otra ruta VPN. Se detectarán y eliminarán todas las rutas conflictivas que existan en ellas.

    • Al añadir rutas a una puerta de enlace que no sea de VPN. Por ejemplo, al añadir la ruta192.168.200.0 255.255.255.0 net_gateway.

      Las rutas agregadas a una puerta de enlace que no sea de VPN se excluyen de la aplicación de rutas del cliente, ya que eluden el túnel de la VPN. Se permiten rutas conflictivas dentro de ellas. En el ejemplo anterior, la ruta quedará excluida de la supervisión por parte del Client Route Enforcement.

  • La route-ipv6 directiva.

    Esta directiva no se procesa, ya que Client Route Enforcement solo admite IPv4 direcciones.

Rutas ignoradas

Client Route Enforcement ignorará las rutas a las siguientes redes:

  • 127.0.0.0/8— Reservado para el anfitrión local

  • 169.254.0.0/16— Reservado para direcciones locales de enlace

  • 224.0.0.0/4— Reservado para multidifusión

  • 255.255.255.255/32— Reservado para la transmisión

Temas