Requisitos Conflitos de roteamento Considerações

Aplicação de rotas do cliente do AWS Client VPN

A aplicação de rotas do cliente ajuda a impor rotas definidas pelo administrador a dispositivos conectados por meio da VPN. Esse recurso ajuda a melhorar sua postura de segurança, garantindo que o tráfego de rede proveniente de um cliente conectado não seja enviado inadvertidamente para fora do túnel VPN.

A aplicação de rotas do cliente monitora a tabela de roteamento principal do dispositivo conectado e garante que o tráfego de saída da rede vá para um túnel VPN, de acordo com as rotas de rede configuradas no endpoint da VPN do cliente. Isso inclui modificar as tabelas de roteamento em um dispositivo se forem detectadas rotas conflitantes com o túnel VPN. A aplicação de rotas do cliente comporta famílias de endereços IPv4 e IPv6.

Requisitos

A aplicação de rotas do cliente só funciona com as seguintes versões do Client VPN fornecidas pela AWS:

Windows versão 5.2.0 ou posterior (suporte a IPv4)
macOS versão 5.2.0 ou posterior (suporte a IPv4)
Ubuntu versão 5.2.0 ou posterior (suporte a IPv4)
Windows versão 5.3.0 ou posterior (suporte a IPv6)
macOS versão 5.3.0 ou posterior (suporte a IPv6)
Ubuntu versão 5.3.0 ou posterior (suporte a IPv6)

Para endpoints de pilha dupla, a configuração da aplicação de rotas do cliente se aplica a pilhas IPv4 e IPv6 simultaneamente. Não é possível habilitar a aplicação de rotas do cliente apenas para uma pilha.

Conflitos de roteamento

Enquanto um cliente está conectado à VPN, é feita uma comparação entre a tabela de rotas local do cliente e as rotas de rede do endpoint. Um conflito de roteamento ocorrerá se houver sobreposição de rede entre duas entradas da tabela de rotas. Veja exemplo de redes sobrepostas:

172.31.0.0/16
172.31.1.0/24

Neste exemplo, esses blocos CIDR representam um conflito de roteamento. Por exemplo, 172.31.0.0/16 pode ser o CIDR do túnel VPN. Como 172.31.1.0/24 é mais específico porque tem um prefixo mais longo, normalmente tem precedência e possivelmente redireciona o tráfego de VPN dentro do intervalo de IP 172.31.1.0/24 para outro destino. Isso pode provocar um comportamento de roteamento indesejado. No entanto, quando a aplicação de rotas do cliente estiver habilitada, o último CIDR será removido. Ao usar esse recurso, é necessário levar em consideração possíveis conflitos de roteamento.

As conexões VPN de túnel completo direcionam todo o tráfego da rede por meio da conexão VPN. Por isso, os dispositivos conectados à VPN não poderão acessar os recursos da rede local (LAN) se o recurso de aplicação de rotas do cliente estiver habilitado. Se for necessário acesso à LAN local, considere usar o modo de túnel dividido em vez do modo de túnel completo. Para ter mais informações sobre túnel dividido, consulte Client VPN de túnel dividido.

Considerações

As informações a seguir devem ser levadas em consideração antes de ativar a aplicação de rotas do cliente.

No momento da conexão, se um conflito de roteamento for detectado, o recurso atualizará a tabela de rotas do cliente para direcionar o tráfego ao túnel VPN. As rotas que existiam antes do estabelecimento da conexão e que foram excluídas por esse recurso serão restauradas.
Esse recurso é utilizado somente na tabela de roteamento principal e não em outros mecanismos de roteamento. Por exemplo, ele não é utilizado no seguinte:
- roteamento baseado em políticas;
- roteamento com escopo de interface.
A aplicação de rotas do cliente protege o túnel VPN enquanto ele está aberto. Não há proteção depois que o túnel é desconectado ou enquanto o cliente está se reconectando.

Impacto das diretivas do OpenVPN na aplicação de rotas do cliente

Algumas diretivas personalizadas no arquivo de configuração do OpenVPN têm interações específicas com a aplicação de rotas do cliente:

A diretiva route
- Ao adicionar rotas a um gateway de VPN. Por exemplo, adicionar a rota 192.168.100.0 255.255.255.0 a um gateway de VPN.
  
  As rotas adicionadas a um gateway de VPN são monitoradas pela aplicação de rotas do cliente da mesma forma que qualquer outra rota de VPN. Quaisquer rotas conflitantes dentro delas serão detectadas e removidas.
- Ao adicionar rotas a um gateway não VPN. Por exemplo, adicionar a rota 192.168.200.0 255.255.255.0 net_gateway.
  
  As rotas adicionadas a um gateway não VPN são excluídas da aplicação de rotas do cliente, pois elas contornam o túnel VPN. Rotas conflitantes são permitidas dentro delas. No exemplo acima, a rota será excluída do monitoramento pela aplicação de rotas do cliente.
- De modo semelhante às rotas IPv4, as rotas IPv6 adicionadas a um gateway de VPN são monitoradas pela aplicação de rotas do cliente, enquanto as rotas adicionadas a um gateway não VPN são excluídas do monitoramento.

Rotas ignoradas

As rotas para as seguintes redes IPv4 serão ignoradas pela aplicação de rotas do cliente:

127.0.0.0/8: reservada para o host local.
169.254.0.0/16: reservada para endereços locais de link.
224.0.0.0/4: reservada para multicast.
255.255.255.255/32: reservado para transmissão.

As rotas para as seguintes redes IPv6 serão ignoradas pela aplicação de rotas do cliente:

::1/128: reservado para loopback.
fe80::/10: reservada para endereços locais de link.
ff00::/8: reservada para multicast.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualizar banner de login configurado atualmente

Ativar a aplicação de rotas do cliente