AWS Client VPN Aplicação da rota do cliente - AWS Client VPN
RequisitosConflitos de roteamentoConsiderações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Client VPN Aplicação da rota do cliente

O Client Route Enforcement ajuda a aplicar rotas definidas pelo administrador em dispositivos conectados por meio da VPN. Esse recurso ajuda a melhorar sua postura de segurança, garantindo que o tráfego de rede proveniente de um cliente conectado não seja enviado inadvertidamente para fora do túnel VPN.

O Client Route Enforcement monitora a tabela de roteamento principal do dispositivo conectado e garante que o tráfego de saída da rede vá para um túnel VPN, de acordo com as rotas de rede configuradas no endpoint VPN do cliente. Isso inclui modificar as tabelas de roteamento em um dispositivo se forem detectadas rotas conflitantes com o túnel VPN.

Requisitos

O Client Route Enforcement só funciona com as seguintes versões AWS fornecidas do Client VPN:

  • Windows versão 5.2.0 ou superior

  • macOS versão 5.2.0 ou superior

  • Ubuntu versão 5.2.0 ou superior

Conflitos de roteamento

Enquanto um cliente está conectado à VPN, é feita uma comparação entre a tabela de rotas local do cliente e as rotas de rede do endpoint. Um conflito de roteamento ocorrerá se houver sobreposição de rede entre duas entradas da tabela de rotas. Um exemplo de redes sobrepostas é:

  • 172.31.0.0/16

  • 172.31.1.0/24

Neste exemplo, esses blocos CIDR constituem um conflito de roteamento. Por exemplo, 172.31.0.0/16 pode ser o CIDR do túnel VPN. Como 172.31.1.0/24 é mais específico porque tem um prefixo mais longo, normalmente tem precedência e potencialmente redireciona o tráfego de VPN dentro do intervalo de 172.31.1.0/24 IP para outro destino. Isso pode levar a um comportamento de roteamento não intencional. No entanto, quando o Client Route Enforcement estiver habilitado, o último CIDR será removido. Ao usar esse recurso, possíveis conflitos de roteamento devem ser levados em consideração.

As conexões VPN de túnel completo direcionam todo o tráfego da rede por meio da conexão VPN. Como resultado, os dispositivos conectados à VPN não poderão acessar os recursos da rede local (LAN) se o recurso Client Route Enforcement estiver ativado. Se for necessário acesso à LAN local, considere usar o modo de túnel dividido em vez do modo de túnel completo. Para obter mais informações sobre túnel dividido, consulte. Client VPN de túnel dividido

Considerações

As informações a seguir devem ser levadas em consideração antes de ativar o Client Route Enforcement.

  • No momento da conexão, se um conflito de roteamento for detectado, o recurso atualizará a tabela de rotas do cliente para direcionar o tráfego para o túnel VPN. As rotas que existiam antes do estabelecimento da conexão e foram excluídas por esse recurso serão restauradas.

  • O recurso é aplicado somente na tabela de roteamento principal e não se aplica a outros mecanismos de roteamento. Por exemplo, a fiscalização não se aplica ao seguinte:

    • roteamento baseado em políticas

    • roteamento com escopo de interface

  • O Client Route Enforcement protege o túnel VPN enquanto ele está aberto. Não há proteção depois que o túnel é desconectado ou enquanto o cliente está se reconectando.

Impacto das diretivas do OpenVPN na aplicação do Cloud Route

Algumas diretivas personalizadas no arquivo de configuração do OpenVPN têm interações específicas com o Client Route Enforcement:

  • A diretiva route

    • Ao adicionar rotas a um gateway VPN. Por exemplo, adicionar a rota 192.168.100.0 255.255.255.0 a um gateway VPN.

      As rotas adicionadas a um gateway de VPN são monitoradas pelo Client Route Enforcement da mesma forma que qualquer outra rota de VPN. Quaisquer rotas conflitantes dentro delas serão detectadas e removidas.

    • Ao adicionar rotas a um gateway não VPN. Por exemplo, adicionar a rota192.168.200.0 255.255.255.0 net_gateway.

      As rotas adicionadas a um gateway não VPN são excluídas do Client Route Enforcement, pois elas contornam o túnel VPN. Rotas conflitantes são permitidas dentro delas. No exemplo acima, a rota será excluída do monitoramento pelo Client Route Enforcement.

  • A route-ipv6 diretiva.

    Essa diretiva não é processada, pois o Client Route Enforcement suporta apenas IPv4 endereços.

Rotas ignoradas

As rotas para as seguintes redes serão ignoradas pelo Client Route Enforcement:

  • 127.0.0.0/8— Reservado para o anfitrião local

  • 169.254.0.0/16— Reservado para endereços locais de link

  • 224.0.0.0/4— Reservado para multicast

  • 255.255.255.255/32— Reservado para transmissão

Tópicos