Reglas y prácticas recomendadas para usar AWS Client VPN

AWS Client VPN es un servicio totalmente administrado que se escala automáticamente para adaptarse a conexiones de usuario adicionales y requisitos de ancho de banda. Cada conexión de usuario tiene un ancho de banda base máximo de 50 Mbps.

El ancho de banda real que experimenta al conectarse a través de un punto de conexión de Client VPN puede variar en función de varios factores. Se trata de factores como el tamaño del paquete, la composición del tráfico (combinación de TCP/UDP), las políticas de red (moldeado o limitación) de las redes intermedias, las condiciones de Internet, los requisitos específicos de la aplicación y el número total de conexiones simultáneas de usuarios. Si alcanza el límite de ancho de banda máximo, puede solicitar un aumento a AWS Support.

Los intervalos CIDR del cliente no pueden solaparse con el CIDR local de la VPC donde se encuentra la subred asociada ni con ninguna ruta que se haya agregado manualmente a la tabla de enrutamiento del punto de enlace de Client VPN.

Los rangos de CIDR del cliente deben tener un tamaño de bloque de al menos /22 y no tienen que ser superiores a /12.

Una parte de las direcciones del intervalo CIDR del cliente se utiliza para permitir el modelo de disponibilidad del punto de enlace de Client VPN y no se puede asignar a los clientes. Por lo tanto, es recomendable que asigne un bloque de CIDR que contenga el doble de direcciones IP de las necesarias para permitir el máximo número de conexiones simultáneas que tenga previsto admitir en el punto de enlace de Client VPN.

El intervalo CIDR del cliente no se puede cambiar después de crear el punto de enlace de Client VPN.

Client VPN admite tráfico de IPv4, IPv6 y de doble pila (tanto IPv4 como IPv6). Para obtener más información sobre la compatibilidad con IPv6, consulte Consideraciones sobre IPv6 para AWS Client VPN.

Client VPN realiza la traducción de direcciones de puertos (PAT) solo cuando los usuarios simultáneos se conectan al mismo destino. La traducción de puertos es automática y necesaria para admitir múltiples conexiones simultáneas a través del mismo punto de conexión de VPN.

Por ejemplo, cuando dos clientes, cliente 1 y cliente 2, se conectan al mismo servidor y puerto de destino a través de un punto de conexión de Client VPN:

Para el tráfico de IPv6, Client VPN no realiza traducción de direcciones de red (NAT). Esto proporciona mayor visibilidad de la dirección IPv6 del usuario conectado.

Las subredes asociadas a un punto de enlace de Client VPN deben estar en la misma VPC.

No puede asociar varias subredes de la misma zona de disponibilidad con un punto de enlace de Client VPN.

Los puntos de enlace de Client VPN no admiten asociaciones de subredes en una VPC con tenencia dedicada.

Para el tráfico de IPv6 o de doble pila, las subredes asociadas deben tener intervalos de CIDR IPv6 o de doble pila.

Para puntos de conexión de doble pila, no puede asociar más de una subred por zona de disponibilidad.

El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.

Si la autenticación multifactor (MFA) está deshabilitada para Active Directory, las contraseñas de usuario no pueden tener el siguiente formato.

SCRV1:base64_encoded_string:base64_encoded_string

Los certificados que se utilizan en AWS Client VPN deben cumplir RFC 5280: perfil del certificado de infraestructura de clave pública X.509 de Internet y de la lista de revocación de certificados (CRL), incluidas las extensiones del certificado que se especifican en la sección 4.2 de la nota.

Los nombres de usuario con caracteres especiales pueden provocar errores de conexión.

No se recomienda conectarse a un punto de conexión de Client VPN mediante direcciones IP. Como Client VPN es un servicio administrado, ocasionalmente verá cambios en las direcciones IP que resuelve el nombre de DNS. Además, también verá las interfaces de red de Client VPN eliminadas y recreadas en sus registros de CloudTrail. Se recomienda conectarse al punto de conexión de Client VPN utilizando el nombre de DNS proporcionado.

El servicio de Client VPN requiere que la dirección IP a la que se conecta el cliente coincida con la IP que resuelve el nombre de DNS de punto de conexión de Client VPN. En otras palabras, si configura un registro de DNS personalizado para el punto de conexión de Client VPN y, a continuación, reenvía el tráfico a la dirección IP real que resuelve el nombre de DNS del punto de conexión, esta configuración no funcionará con los clientes proporcionados por AWS recientemente. Esta regla se agregó para mitigar un ataque de IP de servidor, tal y como se describe aquí: TunnelCrack.

Puede utilizar un cliente proporcionado por AWS para conectarse a varias sesiones de DNS simultáneas. Sin embargo, para que la resolución de nombres funcione correctamente, los servidores de DNS de todas las conexiones deben tener registros sincronizados.

El servicio de Client VPN requiere que los rangos de direcciones IP de la red de área local (LAN) de los dispositivos cliente estén dentro de los siguientes rangos de direcciones IP privadas estándar: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 o 169.254.0.0/16. Si se detecta que el rango de direcciones LAN del cliente se encuentra fuera de los rangos anteriores, el punto de conexión de Client VPN enviará automáticamente la directiva de OpenVPN “redirect-gateway block-local” al cliente, lo que forzará todo el tráfico de LAN en la VPN. Por lo tanto, si necesita acceso de LAN durante las conexiones de VPN, se recomienda que utilice los rangos de direcciones convencionales mostrados anteriormente para la LAN. Esta regla se aplica para reducir las posibilidades de un ataque a la red local, tal y como se describe aquí: TunnelCrack.

En Windows, cuando se utiliza un punto de conexión de túnel completo, todo el tráfico de DNS pasa por el túnel, independientemente del tipo de dirección IP de punto de conexión (IPv4, IPv6 o doble pila). Para que DNS funcione, se debe configurar un servidor de DNS al que se pueda acceder en el túnel.

El reenvío de IP no se admite actualmente cuando se utiliza la aplicación de escritorio de AWS Client VPN. Otros clientes admiten el reenvío de IP.

Client VPN no admite la replicación en varias regiones en AWS Managed Microsoft AD. El punto de conexión de Client VPN debe estar en la misma región que el recurso AWS Managed Microsoft AD.

No puede establecer una conexión VPN desde un ordenador si hay varios usuarios conectados al sistema operativo.

Los clientes IPv6 no admiten la comunicación de cliente a cliente. Si un cliente IPv6 intenta comunicarse con otro cliente IPv6, se interrumpirá el tráfico.

Los puntos de conexión IPv6 y de doble pila requieren que los dispositivos de los usuarios y los proveedores de servicios de Internet (ISP) admitan la configuración de IP correspondiente.