AWS Client VPNを使用するためのルールとベストプラクティス

AWS Client VPN は、追加のユーザー接続と帯域幅要件に合わせて自動的にスケーリングするフルマネージドサービスです。各ユーザー接続の最大ベースライン帯域幅は 50 Mbps です。必要に応じて、AWS サポートを通じて引き上げをリクエストできます。クライアント VPN エンドポイントを介して接続するユーザーが実際に経験する帯域幅は、いくつかの要因によって異なる場合があります。これらの要因には、パケットサイズ、トラフィック構成 (TCP/UDP ミックス）、中間ネットワーク上のネットワークポリシー (シェーピングまたはスロットリング）、インターネット状態、アプリケーション固有の要件、同時ユーザー接続の合計数が含まれます。

クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、またはクライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。

クライアント CIDR 範囲は、ブロックサイズが /22 以上、/12 以下でなければなりません。

クライアント CIDR 範囲内のアドレスの一部は、クライアント VPN エンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアント VPN エンドポイントでサポートする予定の同時接続の最大数を有効にするために必要な IP アドレスの数の 2 倍の数を含む CIDR ブロックを割り当てることをお勧めします。

クライアント VPN エンドポイントの作成後にクライアント CIDR 範囲を変更することはできません。

クライアント VPN は、IPv4 トラフィックのみをサポートしています。IPv6 の詳細については、「の IPv6 に関する考慮事項 AWS Client VPN」を参照してください。

クライアント VPN はネットワークアドレス変換 (NAT) を実行します。クライアントがクライアント VPN 経由で接続する場合：

クライアント VPN は、同時ユーザーが同じターゲットに接続している場合にのみポートアドレス変換 (PAT) を実行します。ポート変換は自動であり、同じ VPN エンドポイントを介した複数の同時接続をサポートするために必要です。

たとえば、クライアント 1 とクライアント 2 の 2 つのクライアントがクライアント VPN エンドポイントを介して同じ送信先サーバーとポートに接続する場合です。

クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。

1 つのアベイラビリティーゾーンの複数のサブネットをクライアント VPN エンドポイントに関連付けることはできません。

クライアント VPN エンドポイントは、専有テナント VPC でのサブネットの関連付けをサポートしていません。

セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。

Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードで次の形式を使用することはできません。

SCRV1:base64_encoded_string:base64_encoded_string

AWS Client VPN で使用される証明書は、メモのセクション 4.2 で指定された証明書拡張機能を含む、RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile に準拠する必要があります。

特殊文字を含むユーザー名は、接続エラーを引き起こす可能性があります。

IP アドレスを使用して、クライアント VPN エンドポイントに接続することはお勧めしません。クライアント VPN はマネージドサービスであるため、DNS 名が解決する IP アドレスに変化が見られる場合があります。さらに、クライアント VPN ネットワークインターフェイスが削除され、CloudTrail ログに再作成されるのがわかります。クライアント VPN エンドポイントへの接続には、提供された DNS 名を使用することをお勧めします。

クライアント VPN サービスでは、クライアントが接続されている IP アドレスが、クライアント VPN エンドポイントの DNS 名が解決する IP と一致する必要があります。つまり、クライアント VPN エンドポイントにカスタム DNS レコードを設定し、エンドポイントの DNS 名が解決された実際の IP アドレスにトラフィックを転送すると、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、「TunnelCrack」で説明されているように、サーバー IP 攻撃を軽減するために追加されました。

AWS が提供するクライアントを使用して、複数の同時 DNS セッションに接続できます。ただし、名前解決が正しく機能するには、すべての接続の DNS サーバーに同期されたレコードが必要です。

クライアント VPN サービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、169.254.0.0/16 の標準プライベート IP アドレス範囲内にある必要があります。クライアント LAN アドレス範囲が上記の範囲外であることが検出された場合、クライアント VPN エンドポイントは OpenVPN ディレクティブ「リダイレクトゲートウェイブロックローカル」をクライアントに自動的にプッシュし、すべての LAN トラフィックを VPN に強制します。したがって、VPN 接続中に LAN アクセスが必要な場合は、上記の標準のアドレス範囲を LAN に使用することをお勧めします。このルールは、「TunnelCrack」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されます。

AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。

クライアント VPN は、 AWS Managed Microsoft ADでのマルチリージョンレプリケーションをサポートしていません。クライアント VPN エンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンにある必要があります。

オペレーティングシステムに複数のユーザーがログインしている場合、このコンピュータから VPN 接続を確立することはできません。