AWS Client VPN 客户端路由强制执行 - AWS Client VPN
要求路由冲突注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Client VPN 客户端路由强制执行

客户端路由强制有助于在通过 VPN 连接的设备上强制执行管理员定义的路由。此功能可确保来自已连接客户端的网络流量不会无意中发送到 VPN 隧道之外,从而帮助改善您的安全状况。

客户端路由强制监控所连接设备的主路由表,并根据客户端 VPN 端点中配置的网络路由,确保出站网络流量流向 VPN 隧道。这包括在检测到与 VPN 隧道冲突的路由时修改设备上的路由表。

要求

客户端路由强制仅适用于以下 AWS 提供的 Client VPN 版本:

  • Windows 版本 5.2.0 或更高版本

  • macOS 版本 5.2.0 或更高版本

  • Ubuntu 版本 5.2.0 或更高版本

路由冲突

当客户端连接到 VPN 时,会对客户端的本地路由表和终端的网络路由进行比较。如果两个路由表条目之间存在网络重叠,则会发生路由冲突。重叠网络的一个例子是:

  • 172.31.0.0/16

  • 172.31.1.0/24

在本示例中,这些 CIDR 块构成路由冲突。例如,172.31.0.0/16可能是 VPN 隧道 CIDR。由于172.31.1.0/24前缀更长,因此更具体,因此它通常优先,并有可能将 172.31.1.0/24 IP 范围内的 VPN 流量重定向到另一个目的地。这可能会导致意想不到的路由行为。但是,启用客户端路由强制后,后一个 CIDR 将被删除。使用此功能时,应考虑潜在的路由冲突。

全通道 VPN 连接通过 VPN 连接引导所有网络流量。因此,如果启用了客户端路由强制功能,则连接到 VPN 的设备将无法访问本地网络 (LAN) 资源。如果需要访问本地 LAN,请考虑使用分割隧道模式而不是全隧道模式。有关分割隧道的更多信息,请参阅。拆分隧道 Client VPN

注意事项

在激活 “客户端路由强制” 之前,应考虑以下信息。

  • 在连接时,如果检测到路由冲突,该功能将更新客户端的路由表,将流量引导到 VPN 隧道。在建立连接之前存在并被此功能删除的路由将被恢复。

  • 该功能仅在主路由表上强制执行,不适用于其他路由机制。例如,执法不适用于以下情况:

    • 基于策略的路由

    • 接口范围路由

  • 客户端路由强制在 VPN 隧道打开时对其进行保护。隧道断开后或客户端重新连接时没有任何保护。

OpenVPN 指令对云路由强制执行的影响

OpenVPN 配置文件中的一些自定义指令与客户端路由强制有特定的交互:

  • route 指令

    • 向 VPN 网关添加路由时。例如,将路由添加192.168.100.0 255.255.255.0到 VPN 网关。

      与任何其他 VPN 路由一样,添加到 VPN 网关的路由由客户端路由强制监控。将检测并删除其中的任何冲突路由。

    • 向非 VPN 网关添加路由时。例如,添加路线192.168.200.0 255.255.255.0 net_gateway

      添加到非 VPN 网关的路由会被排除在客户端路由强制之外,因为它们会绕过 VPN 隧道。其中允许有冲突的路由。在上面的示例中,客户端路由强制将不对上述路由进行监控。

  • route-ipv6指令。

    由于客户端路由强制仅支持 IPv4地址,因此不处理此指令。

忽略的路由

客户端路由强制将忽略到以下网络的路由:

  • 127.0.0.0/8— 为本地主机保留

  • 169.254.0.0/16— 保留给本地链路地址

  • 224.0.0.0/4— 保留用于组播

  • 255.255.255.255/32— 保留用于广播

主题