AWS Client VPN Application de l'itinéraire client - AWS Client VPN
PrérequisConflits de routageConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Client VPN Application de l'itinéraire client

L'application des itinéraires client permet d'appliquer les itinéraires définis par l'administrateur sur les appareils connectés via le VPN. Cette fonctionnalité permet d'améliorer votre niveau de sécurité en garantissant que le trafic réseau provenant d'un client connecté n'est pas envoyé par inadvertance en dehors du tunnel VPN.

Client Route Enforcement surveille la table de routage principale de l'appareil connecté et veille à ce que le trafic réseau sortant soit acheminé vers un tunnel VPN, conformément aux itinéraires réseau configurés dans le point de terminaison VPN du client. Cela inclut la modification des tables de routage sur un appareil si des itinéraires en conflit avec le tunnel VPN sont détectés.

Prérequis

Client Route Enforcement ne fonctionne qu'avec les versions de VPN client suivantes AWS fournies :

  • Windows version 5.2.0 ou supérieure

  • macOS version 5.2.0 ou supérieure

  • Ubuntu version 5.2.0 ou supérieure

Conflits de routage

Lorsqu'un client est connecté au VPN, une comparaison est effectuée entre la table de routage locale du client et les routes réseau du terminal. Un conflit de routage se produira en cas de chevauchement du réseau entre deux entrées de table de routage. Voici un exemple de réseaux qui se chevauchent :

  • 172.31.0.0/16

  • 172.31.1.0/24

Dans cet exemple, ces blocs CIDR constituent un conflit de routage. Par exemple, il 172.31.0.0/16 peut s'agir du tunnel VPN CIDR. Comme il 172.31.1.0/24 est plus spécifique car il possède un préfixe plus long, il a généralement la priorité et redirige potentiellement le trafic VPN dans la plage d'172.31.1.0/24adresses IP vers une autre destination. Cela pourrait entraîner un comportement de routage involontaire. Toutefois, lorsque le Client Route Enforcement est activé, ce dernier CIDR est supprimé. Lors de l'utilisation de cette fonctionnalité, les conflits de routage potentiels doivent être pris en compte.

Les connexions VPN à tunnel complet dirigent tout le trafic réseau via la connexion VPN. Par conséquent, les appareils connectés au VPN ne pourront pas accéder aux ressources du réseau local (LAN) si la fonctionnalité Client Route Enforcement est activée. Si un accès au réseau local est requis, envisagez d'utiliser le mode tunnel partagé au lieu du mode tunnel complet. Pour plus d'informations sur le split-tunnel, consultez. Client VPN avec tunnel partagé

Considérations

Les informations suivantes doivent être prises en compte avant d'activer Client Route Enforcement.

  • Au moment de la connexion, si un conflit de routage est détecté, la fonctionnalité met à jour la table de routage du client pour diriger le trafic vers le tunnel VPN. Les itinéraires qui existaient avant l'établissement de la connexion et qui ont été supprimés par cette fonctionnalité seront restaurés.

  • La fonctionnalité est appliquée uniquement sur la table de routage principale et ne s'applique pas aux autres mécanismes de routage. Par exemple, l'application de la loi n'est pas appliquée dans les cas suivants :

    • routage basé sur des politiques

    • routage adapté à l'interface

  • Le Client Route Enforcement protège le tunnel VPN lorsqu'il est ouvert. Il n'y a aucune protection après la déconnexion du tunnel ou pendant la reconnexion du client.

Impact des directives OpenVPN sur l'application de la route vers le cloud

Certaines directives personnalisées du fichier de configuration d'OpenVPN ont des interactions spécifiques avec le Client Route Enforcement :

  • Directive route

    • Lors de l'ajout de routes à une passerelle VPN. Par exemple, ajouter la route 192.168.100.0 255.255.255.0 vers une passerelle VPN.

      Les routes ajoutées à une passerelle VPN sont surveillées par Client Route Enforcement de la même manière que toute autre route VPN. Tous les itinéraires conflictuels qu'ils contiennent seront détectés et supprimés.

    • Lorsque vous ajoutez des itinéraires à une passerelle non VPN. Par exemple, ajouter l'itinéraire192.168.200.0 255.255.255.0 net_gateway.

      Les routes ajoutées à une passerelle non VPN sont exclues de l'application des itinéraires client car elles contournent le tunnel VPN. Les itinéraires conflictuels y sont autorisés. Dans l'exemple ci-dessus, l'itinéraire sera exclu de la surveillance par Client Route Enforcement.

  • La route-ipv6 directive.

    Cette directive n'est pas traitée, car Client Route Enforcement ne prend en charge que les IPv4 adresses.

Routes ignorées

Les itinéraires vers les réseaux suivants seront ignorés par Client Route Enforcement :

  • 127.0.0.0/8— Réservé à l'hôte local

  • 169.254.0.0/16— Réservé aux adresses lien-local

  • 224.0.0.0/4— Réservé à la multidiffusion

  • 255.255.255.255/32— Réservé à la diffusion

Rubriques