AWS Client VPN クライアントルート強制 - AWS Client VPN
要件ルーティングの競合考慮事項

AWS Client VPN クライアントルート強制

クライアントルート強制は、VPN 経由で接続されたデバイスに対して、管理者が定義したルートを強制するのに役立ちます。この機能は、接続されたクライアントから発信されたネットワークトラフィックが誤って VPN トンネルの外部に送信されないようにすることで、セキュリティ体制を強化するのに役立ちます。

クライアントルート強制は、接続されたデバイスのメインルーティングテーブルをモニタリングし、アウトバウンドネットワークトラフィックが、クライアント VPN エンドポイントで設定されたネットワークルートに従って VPN トンネルを通過するようにします。これには、VPN トンネルと競合するルートが検出された場合のデバイスのルーティングテーブルの変更が含まれます。クライアントルート強制は、IPv4 アドレスファミリーと IPv6 アドレスファミリーの両方をサポートします。

要件

クライアントルート強制は、AWS で提供されている以下のクライアント VPN バージョンでのみ機能します。

  • Windows バージョン 5.2.0 以降 (IPv4 サポート)

  • macOS バージョン 5.2.0 以降 (IPv4 サポート)

  • Ubuntu バージョン 5.2.0 以降 (IPv4 サポート)

  • Windows バージョン 5.3.0 以降 (IPv6 サポート)

  • macOS バージョン 5.3.0 以降 (IPv6 サポート)

  • Ubuntu バージョン 5.3.0 以降 (IPv6 サポート)

デュアルスタックエンドポイントの場合、クライアントルート強制の設定は IPv4 スタックと IPv6 スタックの両方に同時に適用されます。1 つのスタックに対してのみクライアントルート強制を有効にすることはできません。

ルーティングの競合

クライアントが VPN に接続されている間、クライアントのローカルルートテーブルとエンドポイントのネットワークルートの比較が行われます。2 つのルートテーブルエントリ間にネットワークの重複がある場合、ルーティングの競合が発生します。重複するネットワークの例を次に示します。

  • 172.31.0.0/16

  • 172.31.1.0/24

この例では、これらの CIDR ブロックがルーティングの競合を引き起こしています。例えば、172.31.0.0/16 は VPN トンネル CIDR である場合があります。172.31.1.0/24 はプレフィックスがより長く、より具体的であるため、通常は優先され、172.31.1.0/24 の IP 範囲内の VPN トラフィックを別の宛先にリダイレクトする可能性があります。これにより、意図しないルーティング動作が発生する可能性があります。ただし、クライアントルート強制を有効にすると、後者の CIDR は削除されます。この機能を使用する場合は、ルーティングの競合の可能性を考慮する必要があります。

フルトンネル VPN 接続は、VPN 接続を介してすべてのネットワークトラフィックをルーティングします。そのため、クライアントルート強制機能が有効になっている場合、VPN に接続されたデバイスはローカルネットワーク (LAN) リソースにアクセスできなくなります。ローカル LAN アクセスが必要な場合は、フルトンネルモードの代わりに分割トンネルモードを使用することを検討してください。分割トンネルの詳細については、「分割トンネルクライアント VPN」を参照してください。

考慮事項

クライアントルート強制をアクティブ化する前に、次の情報を考慮する必要があります。

  • 接続時にルーティングの競合が検出されると、この機能はクライアントのルートテーブルを更新してトラフィックを VPN トンネルに転送します。接続が確立される前に存在し、この機能によって削除されたルートは復元されます。

  • この機能はメインルーティングテーブルにのみ適用され、他のルーティングメカニズムには適用されません。たとえば、クライアントルート強制は以下には適用されません。

    • ポリシーベースのルーティング

    • インターフェイススコープのルーティング

  • クライアントルート強制は、VPN トンネルが開いている間、VPN トンネルを保護します。トンネルが切断された後、またはクライアントが再接続している間は保護されません。

OpenVPN ディレクティブがクライアントルート強制に与える影響

OpenVPN 設定ファイルの一部のカスタムディレクティブには、クライアントルート強制との以下の特定のやり取りがあります。

  • route ディレクティブ

    • VPN ゲートウェイにルートを追加する場合。例えば、VPN ゲートウェイにルート 192.168.100.0 255.255.255.0 を追加するとします。

      VPN ゲートウェイに追加されたルートは、他の VPN ルートと同様にクライアントルート強制によってモニタリングされます。競合するルートは検出され、削除されます。

    • VPN 以外のゲートウェイにルートを追加する場合。例えば、ルート 192.168.200.0 255.255.255.0 net_gateway を追加するとします。

      VPN 以外のゲートウェイに追加されたルートは、VPN トンネルをバイパスするため、クライアントルート強制から除外されます。競合するルートは、それらのルート内で許可されます。この例では、上記のルートはクライアントルート強制によるモニタリングから除外されます。

    • IPv4 ルートと同様に、VPN ゲートウェイに追加された IPv6 ルートはクライアントルート強制によってモニタリングされ、VPN 以外のゲートウェイに追加されたルートはモニタリング対象から除外されます。

無視されたルート

次の IPv4 ネットワークへのルートは、クライアントルート強制によって無視されます。

  • 127.0.0.0/8 — ローカルホスト用に予約済み

  • 169.254.0.0/16 — リンクローカルアドレス用に予約済み

  • 224.0.0.0/4 — マルチキャスト用に予約済み

  • 255.255.255.255/32 — ブロードキャスト用に予約済み

次の IPv6 ネットワークへのルートは、クライアントルート強制によって無視されます。

  • ::1/128 — ループバック用に予約済み

  • fe80::/10 — リンクローカルアドレス用に予約済み

  • ff00::/8 — マルチキャスト用に予約済み

トピック