Regras e práticas recomendadas para utilizar o AWS Client VPN

AWS Client VPN é um serviço totalmente gerenciado que se expande automaticamente para acomodar conexões adicionais de usuários e requisitos de largura de banda. Cada conexão de usuário tem uma largura de banda básica máxima de 50 Mbps. Você pode solicitar um aumento por meio do AWS Support, se necessário. A largura de banda real experimentada pelos usuários que se conectam por meio de um endpoint Client VPN pode variar com base em vários fatores. Esses fatores incluem tamanho do pacote, composição do tráfego (combinação TCP/UDP), políticas de rede (modelagem ou limitação) em redes intermediárias, condições da Internet, requisitos específicos do aplicativo e o número total de conexões simultâneas de usuários.

Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint da Client VPN.

Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.

Uma parte dos endereços no intervalo de CIDR do cliente é usada para oferecer compatibilidade com o modelo de disponibilidade do endpoint do cliente VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer compatibilidade no endpoint do cliente VPN.

O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do cliente VPN.

O Client VPN suporta somente IPv4 tráfego. Consulte IPv6 considerações para AWS Client VPN para obter detalhes sobre IPv6.

O Client VPN executa a Tradução de Endereços de Rede (NAT). Quando um cliente se conecta por meio do Client VPN:

O Client VPN executa Port Address Translation (PAT) somente quando usuários simultâneos estão se conectando ao mesmo destino. A tradução de portas é automática e necessária para oferecer suporte a várias conexões simultâneas por meio do mesmo endpoint de VPN.

Por exemplo, quando dois clientes, cliente 1 e cliente 2, se conectam ao mesmo servidor e porta de destino por meio de um endpoint Client VPN:

As sub-redes associadas a um endpoint do cliente VPN deve estar na mesma VPC.

Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do cliente VPN.

Um endpoint do cliente VPN não é compatível com associações de sub-rede em uma VPC de locação dedicada.

O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.

Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, as senhas de usuário não poderão estar no formato a seguir.

SCRV1:base64_encoded_string:base64_encoded_string

Os certificados usados no AWS Client VPN devem seguir a RFC 5280: Certificado de infraestrutura de chave pública X.509 da Internet e perfil da lista de revogação de certificados (CRL), incluindo as extensões de certificado especificadas na seção 4.2 do memorando.

Nomes de usuário com caracteres especiais podem causar erros de conexão.

Não é recomendável se conectar a um endpoint da Client VPN usando endereços IP. Como a Client VPN é um serviço gerenciado, você ocasionalmente verá alterações nos endereços IP aos quais o nome DNS resolve. Além disso, você verá as interfaces de rede do Client VPN excluídas e recriadas em seus CloudTrail registros. É recomendável se conectar ao endpoint da Client VPN usando o nome DNS fornecido.

O serviça Client VPN exige que o endereço IP ao qual o cliente está conectado corresponda ao IP para o qual o nome DNS do endpoint da Client VPN resolve. Em outras palavras, se você definir um registro DNS personalizado para o endpoint Client VPN e encaminhar o tráfego para o endereço IP real para o qual o nome DNS do endpoint é resolvido, essa configuração não funcionará usando clientes fornecidos recentemente. AWS Esta regra foi adicionada para mitigar um ataque de IP do servidor, conforme descrito aqui: TunnelCrack.

Você pode usar um cliente AWS fornecido para se conectar a várias sessões simultâneas de DNS. No entanto, para que a resolução de nomes funcione corretamente, os servidores DNS de todas as conexões devem ter registros sincronizados.

O serviço da Client VPN exige que os intervalos de endereços IP da rede local (LAN) dos dispositivos clientes estejam dentro dos seguintes intervalos de endereços IP privados padrão: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ou 169.254.0.0/16. Se for detectado que o intervalo de endereços da LAN do cliente está fora dos intervalos acima, o endpoint da Client VPN enviará automaticamente a diretiva OpenVPN “redirect-gateway block-local” para o cliente, forçando todo o tráfego da LAN para a VPN. Portanto, se você precisar de acesso à LAN durante as conexões VPN, é recomendável usar os intervalos de endereços convencionais listados acima para sua LAN. Esta regra é aplicada para mitigar as chances de um ataque local na rede, conforme descrito aqui:. TunnelCrack

Atualmente, o encaminhamento de IP não é suportado ao usar o aplicativo AWS Client VPN de desktop. O encaminhamento de IP é compatível com outros clientes.

A Client VPN não é compatível com a replicação de várias regiões no AWS Managed Microsoft AD. O endpoint do Client VPN deve estar na mesma região do AWS Managed Microsoft AD recurso.

Não será possível estabelecer uma conexão de VPN em um computador se houver vários usuários conectados ao sistema operacional.