Reglas y prácticas recomendadas para usar AWS Client VPN

AWS Client VPN es un servicio totalmente gestionado que se escala automáticamente para adaptarse a las conexiones de usuario adicionales y a los requisitos de ancho de banda. Cada conexión de usuario tiene un ancho de banda base máximo de 50 Mbps. Si es necesario, puede solicitar un aumento a través de AWS Support. El ancho de banda real que experimentan los usuarios que se conectan a través de un punto final Client VPN puede variar en función de varios factores. Estos factores incluyen el tamaño del paquete, la composición del tráfico (combinación de TCP/UDP), las políticas de red (configuración o limitación) de las redes intermedias, las condiciones de Internet, los requisitos específicos de las aplicaciones y el número total de conexiones de usuarios simultáneas.

Los intervalos CIDR del cliente no pueden solaparse con el CIDR local de la VPC donde se encuentra la subred asociada ni con ninguna ruta que se haya agregado manualmente a la tabla de enrutamiento del punto de enlace de Client VPN.

Los rangos de CIDR del cliente deben tener un tamaño de bloque de al menos /22 y no tienen que ser superiores a /12.

Una parte de las direcciones del intervalo CIDR del cliente se utiliza para permitir el modelo de disponibilidad del punto de enlace de Client VPN y no se puede asignar a los clientes. Por lo tanto, es recomendable que asigne un bloque de CIDR que contenga el doble de direcciones IP de las necesarias para permitir el máximo número de conexiones simultáneas que tenga previsto admitir en el punto de enlace de Client VPN.

El intervalo CIDR del cliente no se puede cambiar después de crear el punto de enlace de Client VPN.

Client VPN solo admite IPv4 tráfico. Consulte IPv6 consideraciones para AWS Client VPN para obtener más información sobre IPv6.

Client VPN realiza la traducción de direcciones de red (NAT). Cuando un cliente se conecta a través de Client VPN:

Client VPN realiza la traducción de direcciones de puerto (PAT) solo cuando los usuarios simultáneos se conectan al mismo destino. La traducción de puertos es automática y necesaria para admitir múltiples conexiones simultáneas a través del mismo punto final de la VPN.

Por ejemplo, cuando dos clientes, el cliente 1 y el cliente 2, se conectan al mismo servidor y puerto de destino a través de un punto final Client VPN:

Las subredes asociadas a un punto de enlace de Client VPN deben estar en la misma VPC.

No puede asociar varias subredes de la misma zona de disponibilidad con un punto de enlace de Client VPN.

Los puntos de enlace de Client VPN no admiten asociaciones de subredes en una VPC con tenencia dedicada.

El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.

Si la autenticación multifactor (MFA) está deshabilitada para Active Directory, las contraseñas de usuario no pueden tener el siguiente formato.

SCRV1:base64_encoded_string:base64_encoded_string

Los certificados utilizados en AWS Client VPN deben cumplir con el perfil RFC 5280: Certificado de infraestructura de clave pública X.509 de Internet y lista de revocación de certificados (CRL), incluidas las extensiones de certificado especificadas en la sección 4.2 de la nota.

Los nombres de usuario con caracteres especiales pueden provocar errores de conexión.

No se recomienda conectarse a un punto de conexión de Client VPN mediante direcciones IP. Como Client VPN es un servicio administrado, ocasionalmente verá cambios en las direcciones IP que resuelve el nombre de DNS. Además, verá las interfaces de red Client VPN eliminadas y recreadas en sus CloudTrail registros. Se recomienda conectarse al punto de conexión de Client VPN utilizando el nombre de DNS proporcionado.

El servicio de Client VPN requiere que la dirección IP a la que se conecta el cliente coincida con la IP que resuelve el nombre de DNS de punto de conexión de Client VPN. En otras palabras, si configura un registro DNS personalizado para el punto final Client VPN y, a continuación, reenvía el tráfico a la dirección IP real a la que se dirige el nombre DNS del punto final, esta configuración no funcionará con los clientes AWS proporcionados recientemente. Esta regla se agregó para mitigar un ataque IP al servidor como se describe aquí: TunnelCrack.

Puede usar un cliente AWS proporcionado para conectarse a varias sesiones DNS simultáneas. Sin embargo, para que la resolución de nombres funcione correctamente, los servidores DNS de todas las conexiones deben tener registros sincronizados.

El servicio de Client VPN requiere que los rangos de direcciones IP de la red de área local (LAN) de los dispositivos cliente estén dentro de los siguientes rangos de direcciones IP privadas estándar: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 o 169.254.0.0/16. Si se detecta que el rango de direcciones LAN del cliente se encuentra fuera de los rangos anteriores, el punto de conexión de Client VPN enviará automáticamente la directiva de OpenVPN “redirect-gateway block-local” al cliente, lo que forzará todo el tráfico de LAN en la VPN. Por lo tanto, si necesita acceso de LAN durante las conexiones de VPN, se recomienda que utilice los rangos de direcciones convencionales mostrados anteriormente para la LAN. Esta regla se aplica para mitigar las posibilidades de un ataque a la red local, como se describe aquí: TunnelCrack.

Actualmente, no se admite el reenvío de IP cuando se utiliza la aplicación AWS Client VPN de escritorio. Otros clientes admiten el reenvío de IP.

Client VPN no admite la replicación en varias regiones en AWS Managed Microsoft AD. El punto final de Client VPN debe estar en la misma región que el AWS Managed Microsoft AD recurso.

No puede establecer una conexión VPN desde un ordenador si hay varios usuarios conectados al sistema operativo.