Règles et bonnes pratiques d'utilisation AWS Client VPN - AWS Client VPN
Exigences en matière de réseau et de bande passanteConfiguration du sous-réseau et du VPCAuthentification et sécuritéExigences relatives à la connexion et au DNSLimites et restrictions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles et bonnes pratiques d'utilisation AWS Client VPN

Les sections suivantes décrivent les règles et les meilleures pratiques d'utilisation AWS Client VPN :

Exigences en matière de réseau et de bande passante

  • AWS Client VPN est un service entièrement géré qui évolue automatiquement pour s'adapter aux connexions utilisateur supplémentaires et aux besoins en bande passante. Chaque connexion utilisateur dispose d'une bande passante de base maximale de 50 Mbits/s. Vous pouvez demander une augmentation par le biais d'AWS Support si nécessaire. La bande passante réelle utilisée par les utilisateurs qui se connectent via un point de terminaison VPN client peut varier en fonction de plusieurs facteurs. Ces facteurs incluent la taille des paquets, la composition du trafic (combinaison TCP/UDP), les politiques réseau (mise en forme ou limitation) sur les réseaux intermédiaires, les conditions Internet, les exigences spécifiques aux applications et le nombre total de connexions utilisateur simultanées.

  • Les plages CIDR client ne peuvent pas chevaucher la CIDR locale du VPC dans lequel se trouve le sous-réseau associé ou n'importe quelle route ajoutée manuellement à la table de routage du point de terminaison VPN Client.

  • Les plages CIDR client doivent avoir une taille de bloc d'au moins /22 et ne doivent pas être supérieures à /12.

  • Un certain nombre d'adresses de la plage CIDR client sont utilisées pour prendre en charge le modèle de disponibilité du point de terminaison VPN Client et ne peuvent pas être affectées aux clients. Par conséquent, nous vous recommandons d'affecter un bloc d'adresse CIDR contenant deux fois le nombre d'adresses IP requises pour activer le nombre maximal de connexions simultanées que vous prévoyez de prendre en charge sur le point de terminaison VPN Client.

  • La plage CIDR client ne peut pas être modifiée après la création du point de terminaison VPN Client.

  • Client VPN ne prend en charge que IPv4 le trafic. Voir IPv6 considérations pour AWS Client VPN pour plus de détails concernant IPv6.

  • Client VPN effectue la traduction d'adresses réseau (NAT). Lorsqu'un client se connecte via un VPN client :

    • L'adresse IP source est convertie en adresse IP du point de terminaison VPN du Client.

    • Le numéro de port source original fourni par le client reste inchangé.

  • Client VPN effectue la traduction des adresses de port (PAT) uniquement lorsque des utilisateurs simultanés se connectent à la même cible. La traduction des ports est automatique et nécessaire pour prendre en charge plusieurs connexions simultanées via le même point de terminaison VPN.

    • Pour la traduction de l'adresse IP source, l'adresse IP source est traduite en adresse IP du VPN client.

    • Pour la traduction du port source pour les connexions à client unique, le numéro de port source d'origine peut rester inchangé.

    • Pour la traduction du port source pour plusieurs clients se connectant à la même destination (même adresse IP cible et même port), le VPN client effectue la traduction des ports afin de garantir des connexions uniques.

    Par exemple, lorsque deux clients, le client 1 et le client 2, se connectent au même serveur de destination et au même port via un point de terminaison VPN client :

    • Le port d'origine du client 1, par exemple, 9999 peut être traduit vers un port différent, par exemple port4306.

    • Le port d'origine du client 2, par exemple, 9999 peut être traduit en un port unique différent du client 1, par exemple le port63922.

Configuration du sous-réseau et du VPC

  • Les sous-réseaux associés à un point de terminaison VPN Client doivent se trouver dans le même VPC.

  • Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de terminaison VPN Client.

  • Un point de terminaison VPN Client ne prend pas en charge les associations de sous-réseaux dans un VPC de location dédiée.

Authentification et sécurité

  • Le portail libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'une authentification mutuelle.

  • Si l'authentification multi-facteur (MFA) est désactivée pour votre Active Directory, les mots de passe utilisateur ne peuvent pas utiliser le format suivant.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Les certificats utilisés dans le VPN du client AWS doivent respecter la RFC 5280 : profil de certificat d'infrastructure à clé publique Internet X.509 et liste de révocation des certificats (CRL), y compris les extensions de certificat spécifiées dans la section 4.2 du mémo.

  • Les noms d'utilisateur contenant des caractères spéciaux peuvent provoquer des erreurs de connexion.

Exigences relatives à la connexion et au DNS

  • Nous ne recommandons pas de se connecter à un point de terminaison Client VPN à l'aide d'adresses IP. Puisque Client VPN est un service géré, vous constaterez que les adresses IP que le nom DNS résout peuvent parfois changer. En outre, les interfaces réseau du Client VPN seront supprimées et recréées dans vos CloudTrail journaux. Nous recommandons de se connecter au point de terminaison Client VPN en utilisant le nom DNS fourni.

  • Le service VPN du Client exige que l'adresse IP à laquelle le client est connecté corresponde à l'adresse IP à laquelle le nom DNS du point de terminaison VPN du Client correspond. En d'autres termes, si vous définissez un enregistrement DNS personnalisé pour le point de terminaison VPN du Client, puis que vous transférez le trafic vers l'adresse IP réelle associée au nom DNS du point de terminaison, cette configuration ne fonctionnera pas avec les clients récemment AWS fournis. Cette règle a été ajoutée pour atténuer une attaque IP du serveur, comme décrit ici : TunnelCrack.

  • Vous pouvez utiliser un client AWS fourni pour vous connecter à plusieurs sessions DNS simultanées. Toutefois, pour que la résolution de noms fonctionne correctement, les serveurs DNS de toutes les connexions doivent avoir des enregistrements synchronisés.

  • Le service Client VPN nécessite que les plages d'adresses IP du réseau local (LAN) des appareils clients se situent dans les plages d'adresses IP privées standard suivantes : 10.0.0.0/8172.16.0.0/12,192.168.0.0/16, ou169.254.0.0/16. S'il est détecté que la plage d'adresses LAN du client se situe en dehors des plages ci-dessus, le point de terminaison VPN client transmet automatiquement la directive OpenVPN « redirect-gateway block-local » au client, forçant ainsi tout le trafic LAN à entrer dans le VPN. Par conséquent, si vous avez besoin d'un accès au réseau local pendant les connexions VPN, il est conseillé d'utiliser les plages d'adresses classiques répertoriées ci-dessus pour votre réseau local. Cette règle est appliquée pour atténuer les risques d'une attaque réseau locale, comme décrit ici : TunnelCrack.

Limites et restrictions

  • Le transfert IP n'est actuellement pas pris en charge lors de l'utilisation de l'application AWS Client VPN de bureau. Le transfert IP est pris en charge par d'autres clients.

  • Client VPN ne prend pas en charge la réplication multi-régions dans AWS Managed Microsoft AD. Le point de terminaison VPN du Client doit se trouver dans la même région que la AWS Managed Microsoft AD ressource.

  • Vous ne pouvez pas établir de connexion VPN à partir d'un ordinateur si plusieurs utilisateurs sont connectés au système d'exploitation.