Regole e best practice per l'utilizzo AWS Client VPN

AWS Client VPN è un servizio completamente gestito che si ridimensiona automaticamente per soddisfare ulteriori connessioni utente e requisiti di larghezza di banda. Ogni connessione utente ha una larghezza di banda di base massima di 50 Mbps. Se necessario, puoi richiedere un aumento tramite AWS Support. La larghezza di banda effettiva percepita dagli utenti che si connettono tramite un endpoint Client VPN può variare in base a diversi fattori. Questi fattori includono la dimensione dei pacchetti, la composizione del traffico (mix TCP/UDP), le politiche di rete (configurazione o limitazione) sulle reti intermedie, le condizioni di Internet, i requisiti specifici delle applicazioni e il numero totale di connessioni utente simultanee.

Gli intervalli CIDR client non possono sovrapporsi al CIDR locale del VPC in cui si trova la sottorete associata o a eventuali route aggiunte manualmente alla tabella di routing dell'endpoint Client VPN.

L'intervallo CIDR del client deve avere una dimensione di blocco di almeno /22 e non superiore a /12.

Una parte degli indirizzi nell'intervallo CIDR del client viene utilizzata per supportare il modello di disponibilità dell'endpoint Client VPN e non può essere assegnata ai client. Pertanto, ti consigliamo di assegnare un blocco CIDR contenente il doppio del numero di indirizzi IP richiesti per abilitare il numero massimo di connessioni simultanee che si intende supportare nell'endpoint Client VPN.

L'intervallo CIDR del client non può essere modificato dopo aver creato l'endpoint Client VPN.

Client VPN supporta solo IPv4 il traffico. Vedi IPv6 considerazioni per AWS Client VPN per i dettagli riguardanti IPv6.

Client VPN esegue la traduzione degli indirizzi di rete (NAT). Quando un client si connette tramite Client VPN:

Client VPN esegue Port Address Translation (PAT) solo quando utenti simultanei si connettono alla stessa destinazione. La traduzione delle porte è automatica e necessaria per supportare più connessioni simultanee attraverso lo stesso endpoint VPN.

Ad esempio, quando due client, client 1 e client 2, si connettono allo stesso server e porta di destinazione tramite un endpoint Client VPN:

Le sottoreti associate a un endpoint Client VPN devono trovarsi nello stesso VPC.

Non è possibile associare più sottoreti dalla stessa zona di disponibilità a un endpoint Client VPN.

Un endpoint Client VPN non supporta le associazioni di sottorete in un VPC di istanza dedicata a tenant singolo.

Il portale self-service non è disponibile per i client che eseguono l'autenticazione reciproca.

Se l'autenticazione a più fattori è disabilitata per Active Directory, il formato della password utente non può essere il seguente.

SCRV1:base64_encoded_string:base64_encoded_string

I certificati utilizzati in AWS Client VPN devono rispettare lo standard RFC 5280: certificato dell'infrastruttura a chiave pubblica Internet X.509 e profilo CRL (Certificate Revocation List), incluse le estensioni di certificato specificate nella sezione 4.2 del memo.

I nomi utente con caratteri speciali potrebbero causare errori di connessione.

Non consigliamo di connetterti a un endpoint Client VPN utilizzando gli indirizzi IP. Poiché Client VPN è un servizio gestito, occasionalmente verranno visualizzati gli indirizzi IP che il nome DNS risolve per modificare. Inoltre, vedrai le interfacce di rete Client VPN eliminate e ricreate nei tuoi CloudTrail log. Si consiglia di connettersi all'endpoint Client VPN utilizzando il nome DNS fornito.

Il servizio Client VPN richiede che l'indirizzo IP a cui è connesso il client corrisponda all'IP a cui si risolve il nome DNS dell'endpoint Client VPN. In altre parole, se imposti un record DNS personalizzato per l'endpoint Client VPN e poi inoltri il traffico all'indirizzo IP effettivo su cui si risolve il nome DNS dell'endpoint, questa configurazione non funzionerà utilizzando i client forniti di recente. AWS Questa regola è stata aggiunta per mitigare un attacco IP al server come descritto qui:. TunnelCrack

È possibile utilizzare un client AWS fornito per connettersi a più sessioni DNS simultanee. Tuttavia, affinché la risoluzione dei nomi funzioni correttamente, i server DNS di tutte le connessioni devono avere record sincronizzati.

Il servizio Client VPN richiede che gli intervalli di indirizzi IP della rete locale (LAN) dei dispositivi client rientrino nei seguenti intervalli di indirizzi IP privati standard: 10.0.0.0/8172.16.0.0/12,,192.168.0.0/16, o169.254.0.0/16. Se viene rilevato che l'intervallo di indirizzi LAN del client non rientra negli intervalli precedenti, l'endpoint Client VPN invierà automaticamente la direttiva OpenVPN «redirect-gateway block-local» al client, forzando tutto il traffico LAN a entrare nella VPN. Pertanto, se è necessario l'accesso alla LAN durante le connessioni VPN, si consiglia di utilizzare gli intervalli di indirizzi convenzionali sopra elencati per la rete LAN. Questa regola viene applicata per mitigare le possibilità di un attacco alla rete locale, come descritto qui:. TunnelCrack

L'inoltro IP non è attualmente supportato quando si utilizza l'applicazione desktop. AWS Client VPN L'inoltro IP è supportato da altri client.

Client VPN non supporta la replica multi-regione in AWS Managed Microsoft AD. L'endpoint Client VPN deve trovarsi nella stessa regione della AWS Managed Microsoft AD risorsa.

Non è possibile stabilire una connessione VPN da un computer se ci sono più utenti connessi al sistema operativo.