Regras e práticas recomendadas para utilizar o AWS Client VPN - AWS Client VPN
Requisitos de rede e largura de bandaConfiguração de sub-rede e VPCAutenticação e segurançaRequisitos de conexão e DNSLimitações e restrições

Regras e práticas recomendadas para utilizar o AWS Client VPN

As seguintes seções descrevem as regras e práticas recomendadas para utilizar o AWS Client VPN:

Requisitos de rede e largura de banda

  • O AWS Client VPN é um serviço totalmente gerenciado que é escalado automaticamente para atender a requisitos adicionais de conexão e largura de banda dos usuários. Cada conexão de usuário tem uma largura de banda básica máxima de 50 Mbps.

    A largura de banda real que você experimenta ao se conectar por meio de um endpoint do Client VPN pode variar com base em vários fatores. Esses fatores incluem tamanho de pacote, composição do tráfego (combinação TCP/UDP), políticas de rede (modelagem ou controle de utilização) em redes intermediárias, condições da internet, requisitos específicos da aplicação e número total de conexões de usuários simultâneas. Se você estiver atingindo o limite máximo de largura de banda, é possível solicitar um aumento por meio do AWS Support.

  • Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint da Client VPN.

  • Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.

  • Uma parte dos endereços no intervalo de CIDR do cliente é usada para oferecer compatibilidade com o modelo de disponibilidade do endpoint do cliente VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer compatibilidade no endpoint do cliente VPN.

  • O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do cliente VPN.

  • O Client VPN é compatível com tráfego IPv4, IPv6 e de pilha dupla (IPv4 e IPv6). Para obter mais detalhes sobre o suporte a IPv6, consulte Considerações sobre IPv6 para AWS Client VPN.

    • O endereço IP de origem é convertido no endereço IP do endpoint do Client VPN.

    • O número da porta de origem original do cliente permanece inalterado.

  • O Client VPN executa a conversão de endereços de porta (PAT) somente quando usuários simultâneos estão se conectando com o mesmo destino. A conversão de portas é automática e necessária para atender a várias conexões simultâneas por meio do mesmo endpoint de VPN.

    • Na conversão do IP de origem, o endereço IP de origem é convertido no endereço IP do Client VPN.

    • Na conversão da porta de origem para conexões de um único cliente, o número da porta de origem original pode permanecer inalterado.

    • Na conversão da porta de origem para vários clientes que se conectam ao mesmo destino (o mesmo endereço IP e porta de destino), o Client VPN realiza a conversão de portas para garantir conexões exclusivas.

    Por exemplo, quando dois clientes, cliente 1 e cliente 2, se conectam ao mesmo servidor e porta de destino por meio de um endpoint do Client VPN:

    • A porta original do cliente 1 (por exemplo, 9999) pode ser convertida em uma porta diferente (por exemplo, porta 4306).

    • A porta original do cliente 2 (por exemplo, 9999) pode ser convertida em uma porta exclusiva diferente do cliente 1 (por exemplo, porta 63922).

  • Para tráfego IPv6, o Client VPN não executa conversão de endereços de rede (NAT). Isso oferece maior visibilidade do endereço IPv6 do usuário conectado.

Configuração de sub-rede e VPC

  • As sub-redes associadas a um endpoint do cliente VPN deve estar na mesma VPC.

  • Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do cliente VPN.

  • Um endpoint do cliente VPN não é compatível com associações de sub-rede em uma VPC de locação dedicada.

  • Para tráfego IPv6 ou de pilha dupla, as sub-redes correspondentes devem ter intervalos CIDR IPv6 ou de pilha dupla.

  • Para endpoints de pilha dupla, não é possível associar mais de uma sub-rede por zona de disponibilidade.

Autenticação e segurança

  • O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.

  • Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, as senhas de usuário não poderão estar no formato a seguir.

    SCRV1:base64_encoded_string:base64_encoded_string

  • Os certificados usados no AWS Client VPN devem seguir a RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile bem como as extensões de certificado específicas na seção 4.2 do memorando.

  • Nomes de usuário com caracteres especiais podem causar erros de conexão.

Requisitos de conexão e DNS

  • Não é recomendável se conectar a um endpoint da Client VPN usando endereços IP. Como a Client VPN é um serviço gerenciado, você ocasionalmente verá alterações nos endereços IP aos quais o nome DNS resolve. Além disso, você verá interfaces de rede da Client VPN excluídas e recriadas nos logs do Cloud Trail. É recomendável se conectar ao endpoint da Client VPN usando o nome DNS fornecido.

  • O serviça Client VPN exige que o endereço IP ao qual o cliente está conectado corresponda ao IP para o qual o nome DNS do endpoint da Client VPN resolve. Em outras palavras, se você definir um registro DNS personalizado para o endpoint da Client VPN e encaminhar o tráfego para o endereço IP real para o qual o nome DNS do endpoint é resolvido, essa configuração não funcionará usando clientes da AWS fornecidos recentemente. Essa regra foi adicionada para mitigar um ataque de IP do servidor, conforme descrito aqui: TunnelCrack.

  • É possível usar um cliente fornecido pela AWS para estabelecer conexão com várias sessões de DNS simultâneas. No entanto, para que a resolução de nomes funcione corretamente, os servidores de DNS de todas as conexões devem ter registros sincronizados.

  • O serviço da Client VPN exige que os intervalos de endereços IP da rede local (LAN) dos dispositivos clientes estejam dentro dos seguintes intervalos de endereços IP privados padrão: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ou 169.254.0.0/16. Se for detectado que o intervalo de endereços da LAN do cliente está fora dos intervalos acima, o endpoint da Client VPN enviará automaticamente a diretiva OpenVPN “redirect-gateway block-local” para o cliente, forçando todo o tráfego da LAN para a VPN. Portanto, se você precisar de acesso à LAN durante as conexões VPN, é recomendável usar os intervalos de endereços convencionais listados acima para sua LAN. Essa regra é aplicada para reduzir as chances de um ataque local na rede, conforme descrito aqui: TunnelCrack.

  • No Windows, quando um endpoint de túnel completo é usado, todo o tráfego de DNS é forçado a passar pelo túnel, independentemente do tipo de endereço IP do endpoint (IPv4, IPv6 ou de pilha dupla). Para que o DNS funcione, um servidor de DNS deve estar configurado e acessível dentro do túnel.

Limitações e restrições

  • O encaminhamento de IP não é compatível atualmente com o uso da aplicação de desktop AWS Client VPN. O encaminhamento de IP é compatível com outros clientes.

  • A Client VPN não é compatível com a replicação de várias regiões no AWS Managed Microsoft AD. O endpoint da Client VPN deve estar na mesma região que o recurso do AWS Managed Microsoft AD.

  • Não será possível estabelecer uma conexão de VPN em um computador se houver vários usuários conectados ao sistema operacional.

  • Os clientes IPv6 não podem usar a comunicação de cliente para cliente. Se um cliente IPv6 tentar se comunicar com outro cliente IPv6, o tráfego será encerrado.

  • Os endpoints IPv6 e de pilha dupla exigem que os dispositivos do usuário e os provedores de serviços de Internet (ISPs) aceitem a configuração de IP correspondente.