Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Client VPN Penegakan Rute Klien
Penegakan Rute Klien membantu menegakkan rute yang ditentukan administrator pada perangkat yang terhubung melalui VPN. Fitur ini membantu meningkatkan postur keamanan Anda dengan memastikan bahwa lalu lintas jaringan yang berasal dari klien yang terhubung tidak secara tidak sengaja dikirim ke luar terowongan VPN.
Penegakan Rute Klien memantau tabel perutean utama perangkat yang terhubung dan memastikan bahwa lalu lintas jaringan keluar masuk ke terowongan VPN, sesuai dengan rute jaringan yang dikonfigurasi di titik akhir VPN klien. Ini termasuk memodifikasi tabel perutean pada perangkat jika rute yang bertentangan dengan terowongan VPN terdeteksi.
Persyaratan
Penegakan Rute Klien hanya berfungsi dengan versi Client VPN yang AWS disediakan berikut ini:
Windows versi 5.2.0 atau lebih tinggi
macOS versi 5.2.0 atau lebih tinggi
Ubuntu versi 5.2.0 atau lebih tinggi
Konflik perutean
Sementara klien terhubung ke VPN, perbandingan dibuat antara tabel rute lokal klien, dan rute jaringan titik akhir. Konflik routing akan terjadi jika ada jaringan tumpang tindih antara dua entri tabel rute. Contoh jaringan yang tumpang tindih adalah:
172.31.0.0/16172.31.1.0/24
Dalam contoh ini, blok CIDR ini merupakan konflik routing. Misalnya, 172.31.0.0/16 mungkin terowongan VPN CIDR. Karena 172.31.1.0/24 lebih spesifik karena memiliki awalan yang lebih panjang, biasanya diutamakan dan berpotensi mengarahkan lalu lintas VPN dalam rentang 172.31.1.0/24 IP ke tujuan lain. Ini dapat menyebabkan perilaku perutean yang tidak diinginkan. Namun, ketika Penegakan Rute Klien diaktifkan, CIDR yang terakhir akan dihapus. Saat menggunakan fitur ini, potensi konflik perutean harus dipertimbangkan.
Koneksi VPN terowongan penuh mengarahkan semua lalu lintas jaringan melalui koneksi VPN. Akibatnya, perangkat yang terhubung ke VPN tidak akan dapat mengakses sumber daya jaringan lokal (LAN), jika fitur Penegakan Rute Klien diaktifkan. Jika akses LAN lokal diperlukan, pertimbangkan untuk menggunakan mode split-tunnel alih-alih mode terowongan penuh. Untuk informasi selengkapnya tentang split-tunnel, lihat. Terowongan terpisah Client VPN
Pertimbangan
Informasi berikut harus dipertimbangkan sebelum mengaktifkan Penegakan Rute Klien.
Pada saat koneksi, jika konflik routing terdeteksi, fitur akan memperbarui tabel rute klien untuk mengarahkan lalu lintas ke terowongan VPN. Rute yang ada sebelum koneksi dibuat, dan dihapus oleh fitur ini, akan dipulihkan.
Fitur ini diberlakukan hanya pada tabel routing utama dan tidak berlaku untuk mekanisme routing lainnya. Misalnya, penegakan hukum tidak diterapkan pada hal-hal berikut:
-
perutean berbasis kebijakan
-
perutean cakupan antarmuka
-
Client Route Enforcement melindungi terowongan VPN saat terbuka. Tidak ada perlindungan setelah terowongan terputus atau saat klien terhubung kembali.
Arahan OpenVPN berdampak pada Penegakan Rute Cloud
Beberapa arahan khusus dalam file konfigurasi OpenVPN memiliki interaksi khusus dengan Penegakan Rute Klien:
-
routeArahan-
Saat menambahkan rute ke gateway VPN. Misalnya, menambahkan rute
192.168.100.0 255.255.255.0ke gateway VPN.Rute yang ditambahkan ke gateway VPN dipantau oleh Penegakan Rute Klien mirip dengan rute VPN lainnya. Setiap rute yang saling bertentangan di dalamnya akan terdeteksi dan dihapus.
-
Saat menambahkan rute ke gateway non-VPN. Misalnya, menambahkan rute
192.168.200.0 255.255.255.0 net_gateway.Rute yang ditambahkan ke gateway non-VPN dikecualikan dari Penegakan Rute Klien karena mereka melewati terowongan VPN. Rute yang saling bertentangan diperbolehkan di dalamnya. Dalam contoh, di atas rute akan dikecualikan dari pemantauan oleh Penegakan Rute Klien.
-
-
route-ipv6Arahan.Arahan ini tidak diproses, karena Penegakan Rute Klien hanya mendukung IPv4 alamat.
Rute yang diabaikan
Rute ke jaringan berikut akan diabaikan oleh Penegakan Rute Klien:
-
127.0.0.0/8— Dicadangkan untuk tuan rumah lokal -
169.254.0.0/16— Dicadangkan untuk alamat link-lokal -
224.0.0.0/4— Dicadangkan untuk multicast -
255.255.255.255/32— Dicadangkan untuk siaran
