翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN クライアントルートの適用
<a name="cvpn-working-cre"></a>

クライアントルート強制は、VPN 経由で接続されたデバイスに対して、管理者が定義したルートを強制するのに役立ちます。この機能は、接続されたクライアントから発信されたネットワークトラフィックが誤って VPN トンネルの外部に送信されないようにすることで、セキュリティ体制を強化するのに役立ちます。

クライアントルート強制は、接続されたデバイスのメインルーティングテーブルをモニタリングし、アウトバウンドネットワークトラフィックが、クライアント VPN エンドポイントで設定されたネットワークルートに従って VPN トンネルを通過するようにします。これには、VPN トンネルと競合するルートが検出された場合のデバイスのルーティングテーブルの変更が含まれます。クライアントルート強制は、IPv4 アドレスファミリーと IPv6 アドレスファミリーの両方をサポートします。

## 要件
<a name="requirements-cre"></a>

クライアントルートの適用は、以下の AWS 提供されているクライアント VPN バージョンでのみ機能します。
+ Windows バージョン 5.2.0 以降 (IPv4 サポート)
+ macOS バージョン 5.2.0 以降 (IPv4 サポート)
+ Ubuntu バージョン 5.2.0 以降 (IPv4 サポート)
+ Windows バージョン 5.3.0 以降 (IPv6 サポート)
+ macOS バージョン 5.3.0 以降 (IPv6 サポート)
+ Ubuntu バージョン 5.3.0 以降 (IPv6 サポート)

デュアルスタックエンドポイントの場合、クライアントルート強制の設定は IPv4 スタックと IPv6 スタックの両方に同時に適用されます。1 つのスタックに対してのみクライアントルート強制を有効にすることはできません。

## ルーティングの競合
<a name="route-conflict-cre"></a>

クライアントが VPN に接続されている間、クライアントのローカルルートテーブルとエンドポイントのネットワークルートの比較が行われます。2 つのルートテーブルエントリ間にネットワークの重複がある場合、ルーティングの競合が発生します。重複するネットワークの例を次に示します。
+ `172.31.0.0/16`
+ `172.31.1.0/24`

この例では、これらの CIDR ブロックがルーティングの競合を引き起こしています。例えば、`172.31.0.0/16` は VPN トンネル CIDR である場合があります。`172.31.1.0/24` はプレフィックスがより長く、より具体的であるため、通常は優先され、`172.31.1.0/24` の IP 範囲内の VPN トラフィックを別の宛先にリダイレクトする可能性があります。これにより、意図しないルーティング動作が発生する可能性があります。ただし、クライアントルート強制を有効にすると、後者の CIDR は削除されます。この機能を使用する場合は、ルーティングの競合の可能性を考慮する必要があります。

フルトンネル VPN 接続は、VPN 接続を介してすべてのネットワークトラフィックをルーティングします。そのため、クライアントルート強制機能が有効になっている場合、VPN に接続されたデバイスはローカルネットワーク (LAN) リソースにアクセスできなくなります。ローカル LAN アクセスが必要な場合は、フルトンネルモードの代わりに分割トンネルモードを使用することを検討してください。分割トンネルの詳細については、「[分割トンネルクライアント VPN](split-tunnel-vpn.md)」を参照してください。

## 考慮事項
<a name="considerations-cre"></a>

クライアントルート強制をアクティブ化する前に、次の情報を考慮する必要があります。
+ 接続時にルーティングの競合が検出されると、この機能はクライアントのルートテーブルを更新してトラフィックを VPN トンネルに転送します。接続が確立される前に存在し、この機能によって削除されたルートは復元されます。
+ この機能はメインルーティングテーブルにのみ適用され、他のルーティングメカニズムには適用されません。たとえば、クライアントルート強制は以下には適用されません。
  + ポリシーベースのルーティング
  + インターフェイススコープのルーティング
+ クライアントルート強制は、VPN トンネルが開いている間、VPN トンネルを保護します。トンネルが切断された後、またはクライアントが再接続している間は保護されません。

### OpenVPN ディレクティブがクライアントルート強制に与える影響
<a name="considerations-openvpn"></a>

OpenVPN 設定ファイルの一部のカスタムディレクティブには、クライアントルート強制との以下の特定のやり取りがあります。
+ `route` ディレクティブ 
  + VPN ゲートウェイにルートを追加する場合。例えば、VPN ゲートウェイにルート `192.168.100.0 255.255.255.0` を追加するとします。

    VPN ゲートウェイに追加されたルートは、他の VPN ルートと同様にクライアントルート強制によってモニタリングされます。競合するルートは検出され、削除されます。
  + VPN 以外のゲートウェイにルートを追加する場合。例えば、ルート `192.168.200.0 255.255.255.0 net_gateway` を追加するとします。

    VPN 以外のゲートウェイに追加されたルートは、VPN トンネルをバイパスするため、クライアントルート強制から除外されます。競合するルートは、それらのルート内で許可されます。この例では、上記のルートはクライアントルート強制によるモニタリングから除外されます。
  + IPv4 ルートと同様に、VPN ゲートウェイに追加された IPv6 ルートはクライアントルート強制によってモニタリングされ、VPN 以外のゲートウェイに追加されたルートはモニタリング対象から除外されます。

### 無視されたルート
<a name="cre-ignored"></a>

次の IPv4 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `127.0.0.0/8` — ローカルホスト用に予約済み
+ `169.254.0.0/16` — リンクローカルアドレス用に予約済み
+ `224.0.0.0/4` — マルチキャスト用に予約済み
+ `255.255.255.255/32` — ブロードキャスト用に予約済み

次の IPv6 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `::1/128` — ループバック用に予約済み 
+ `fe80::/10` — リンクローカルアドレス用に予約済み 
+ `ff00::/8` — マルチキャスト用に予約済み 

**Topics**
+ [要件](#requirements-cre)
+ [ルーティングの競合](#route-conflict-cre)
+ [考慮事項](#considerations-cre)
+ [クライアントルートの強制を有効にする](activate-cre.md)
+ [クライアントルート強制を無効にする](deactivate-cre.md)
+ [IPv6 クライアントルート強制のトラブルシューティング](cre-ipv6-troubleshooting.md)