Aturan dan praktik terbaik untuk menggunakan AWS Client VPN

AWS Client VPN adalah layanan yang dikelola sepenuhnya yang secara otomatis menskalakan untuk mengakomodasi koneksi pengguna tambahan dan persyaratan bandwidth. Setiap koneksi pengguna memiliki bandwidth dasar maksimum 50 Mbps. Anda dapat meminta peningkatan melalui AWS Support jika diperlukan. Bandwidth aktual yang dialami oleh pengguna yang terhubung melalui titik akhir Client VPN dapat bervariasi berdasarkan beberapa faktor. Faktor-faktor ini termasuk ukuran paket, komposisi lalu lintas (campuran TCP/UDP), kebijakan jaringan (pembentukan atau pelambatan) pada jaringan perantara, kondisi internet, persyaratan khusus aplikasi, dan jumlah total koneksi pengguna bersamaan.

Rentang CIDR klien tidak dapat tumpang tindih dengan CIDR lokal dari VPC tempat subnet terkait berada, atau setiap rute secara manual ditambahkan ke tabel rute titik akhir Client VPN.

Rentang CIDR klien harus memiliki ukuran blok minimal /22 dan tidak boleh lebih besar dari /12.

Sebagian alamat di rentang CIDR klien digunakan untuk mendukung model ketersediaan titik akhir Client VPN, dan tidak dapat ditugaskan kepada klien. Oleh karena itu, kami rekomendasikan Anda menetapkan blok CIDR yang berisi dua kali jumlah alamat IP yang diperlukan untuk mengaktifkan jumlah maksimum koneksi bersamaan bahwa Anda berencana untuk mendukung titik akhir Client VPN.

Rentang CIDR klien tidak dapat diubah setelah Anda membuat titik akhir Client VPN.

Client VPN hanya mendukung IPv4 lalu lintas. Lihat IPv6 pertimbangan untuk AWS Client VPN untuk detail tentang IPv6.

Client VPN melakukan Network Address Translation (NAT). Ketika klien terhubung melalui Client VPN:

Client VPN melakukan Port Address Translation (PAT) hanya ketika pengguna bersamaan terhubung ke target yang sama. Terjemahan port otomatis dan diperlukan untuk mendukung beberapa koneksi simultan melalui titik akhir VPN yang sama.

Misalnya, ketika dua klien, klien 1 dan klien 2, terhubung ke server tujuan dan port yang sama melalui titik akhir Client VPN:

Subnet yang terkait dengan titik akhir Client VPN harus berada dalam VPC yang sama.

Anda tidak dapat mengaitkan beberapa subnet dari Availability Zone yang sama dengan titik akhir Client VPN.

Titik Akhir Client VPN tidak mendukung asosiasi subnet di penghunian khusus VPC.

Portal layanan mandiri ini tidak tersedia untuk klien yang mengautentikasi menggunakan autentikasi bersama.

Jika otentikasi multi-faktor (MFA) dinonaktifkan untuk Direktori Aktif Anda, kata sandi pengguna tidak dapat menggunakan format berikut.

SCRV1:base64_encoded_string:base64_encoded_string

Sertifikat yang digunakan di AWS Client VPN harus mematuhi Profil RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL), termasuk Ekstensi Sertifikat yang ditentukan dalam bagian 4.2 memo.

Nama pengguna dengan karakter khusus dapat menyebabkan kesalahan koneksi.

Kami tidak menyarankan untuk menghubungkan ke titik akhir Client VPN menggunakan alamat IP. Karena Client VPN adalah layanan terkelola, Anda kadang-kadang akan melihat perubahan pada alamat IP yang diselesaikan oleh nama DNS. Selain itu, Anda akan melihat antarmuka jaringan Client VPN dihapus dan dibuat ulang di log Anda CloudTrail . Sebaiknya sambungkan ke titik akhir Client VPN menggunakan nama DNS yang disediakan.

Layanan Client VPN mengharuskan alamat IP yang terhubung dengan klien cocok dengan IP yang diselesaikan oleh nama DNS titik akhir Client VPN. Dengan kata lain, jika Anda menetapkan catatan DNS khusus untuk titik akhir Client VPN, lalu meneruskan lalu lintas ke alamat IP sebenarnya yang diselesaikan oleh nama DNS titik akhir, pengaturan ini tidak akan berfungsi menggunakan klien yang disediakan baru-baru ini. AWS Aturan ini ditambahkan untuk mengurangi serangan IP server seperti yang dijelaskan di sini:. TunnelCrack

Anda dapat menggunakan klien yang AWS disediakan untuk terhubung ke beberapa sesi DNS bersamaan. Namun, agar resolusi nama berfungsi dengan benar, server DNS dari semua koneksi harus memiliki catatan yang disinkronkan.

Layanan Client VPN mensyaratkan bahwa rentang alamat IP jaringan area lokal (LAN) perangkat klien berada dalam rentang alamat IP pribadi standar berikut:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, atau169.254.0.0/16. Jika rentang alamat LAN klien terdeteksi berada di luar rentang di atas, titik akhir Client VPN akan secara otomatis mendorong arahan OpenVPN “redirect-gateway block-local” ke klien, memaksa semua lalu lintas LAN ke VPN. Oleh karena itu, jika Anda memerlukan akses LAN selama koneksi VPN, disarankan agar Anda menggunakan rentang alamat konvensional yang tercantum di atas untuk LAN Anda. Aturan ini diberlakukan untuk mengurangi kemungkinan serangan net lokal seperti yang dijelaskan di sini:. TunnelCrack

Penerusan IP saat ini tidak didukung saat menggunakan aplikasi AWS Client VPN desktop. Penerusan IP didukung dari klien lain.

Client VPN tidak mendukung replikasi Multi-region di. AWS Managed Microsoft AD Titik akhir Client VPN harus berada di Wilayah yang sama dengan AWS Managed Microsoft AD sumber daya.

Anda tidak dapat membuat koneksi VPN dari komputer jika ada beberapa pengguna yang masuk ke sistem operasi.