Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Client VPN Applicazione del percorso del client
Client Route Enforcement aiuta a far rispettare i percorsi definiti dall'amministratore sui dispositivi collegati tramite VPN. Questa funzionalità aiuta a migliorare il livello di sicurezza assicurando che il traffico di rete proveniente da un client connesso non venga inviato inavvertitamente all'esterno del tunnel VPN.
Client Route Enforcement monitora la tabella di routing principale del dispositivo connesso e garantisce che il traffico di rete in uscita vada verso un tunnel VPN, in base ai percorsi di rete configurati nell'endpoint VPN del client. Ciò include la modifica delle tabelle di routing su un dispositivo se vengono rilevate rotte in conflitto con il tunnel VPN. Client Route Enforcement supporta entrambe le famiglie di IPv4 indirizzi IPv6 .
## Requisiti
Client Route Enforcement funziona solo con le seguenti versioni Client VPN AWS fornite:
+ Windows versione 5.2.0 o successiva (IPv4 supporto)
+ macOS versione 5.2.0 o successiva (supporto) IPv4
+ Ubuntu versione 5.2.0 o successiva (supporto) IPv4
+ Windows versione 5.3.0 o successiva (supporto) IPv6
+ macOS versione 5.3.0 o successiva (supporto) IPv6
+ Ubuntu versione 5.3.0 o successiva (supporto) IPv6
Per gli endpoint dual-stack, l'impostazione Client Route Enforcement si applica a entrambi gli stack contemporaneamente. IPv4 IPv6 Non è possibile abilitare Client Route Enforcement per un solo stack.
## Conflitti di routing
Mentre un client è connesso alla VPN, viene effettuato un confronto tra la tabella delle rotte locali del client e le rotte di rete dell'endpoint. Si verificherà un conflitto di routing in caso di sovrapposizione di rete tra due voci della tabella di routing. Un esempio di reti sovrapposte è:
+ `172.31.0.0/16`
+ `172.31.1.0/24`
In questo esempio, questi blocchi CIDR costituiscono un conflitto di routing. Ad esempio, `172.31.0.0/16` potrebbe essere il tunnel VPN CIDR. Poiché `172.31.1.0/24` è più specifico perché ha un prefisso più lungo, in genere ha la precedenza e potenzialmente reindirizza il traffico VPN all'interno dell'intervallo `172.31.1.0/24` IP verso un'altra destinazione. Ciò potrebbe portare a comportamenti di routing non intenzionali. Tuttavia, quando Client Route Enforcement è abilitato, quest'ultimo CIDR verrebbe rimosso. Quando si utilizza questa funzionalità, è necessario prendere in considerazione i potenziali conflitti di routing.
Le connessioni VPN a tunnel completo indirizzano tutto il traffico di rete attraverso la connessione VPN. Di conseguenza, i dispositivi collegati alla VPN non saranno in grado di accedere alle risorse della rete locale (LAN), se la funzione Client Route Enforcement è abilitata. Se è necessario l'accesso alla LAN locale, valuta la possibilità di utilizzare la modalità split-tunnel anziché la modalità full-tunnel. Per ulteriori informazioni su split-tunnel, vedere. [Split-tunnel di Client VPN](split-tunnel-vpn.md)
## Considerazioni
Le seguenti informazioni devono essere prese in considerazione prima di attivare Client Route Enforcement.
+ Al momento della connessione, se viene rilevato un conflitto di routing, la funzionalità aggiornerà la tabella di routing del client per indirizzare il traffico verso il tunnel VPN. Le rotte che esistevano prima dello stabilimento della connessione e che sono state eliminate da questa funzionalità verranno ripristinate.
+ La funzionalità viene applicata solo sulla tabella di routing principale e non si applica ad altri meccanismi di routing. Ad esempio, l'applicazione non viene applicata a quanto segue:
+ routing basato su politiche
+ routing con ambito di interfaccia
+ Client Route Enforcement protegge il tunnel VPN mentre è aperto. Non c'è protezione dopo la disconnessione del tunnel o durante la riconnessione del client.
### Le direttive OpenVPN hanno un impatto sulla Cloud Route Enforcement
Alcune direttive personalizzate nel file di configurazione OpenVPN hanno interazioni specifiche con Client Route Enforcement:
+ Direttiva `route`
+ Quando si aggiungono percorsi a un gateway VPN. Ad esempio, aggiungendo il percorso `192.168.100.0 255.255.255.0` a un gateway VPN.
Le rotte aggiunte a un gateway VPN vengono monitorate da Client Route Enforcement in modo analogo a qualsiasi altra route VPN. Eventuali percorsi in conflitto al loro interno verranno rilevati e rimossi.
+ Quando si aggiungono percorsi a un gateway non VPN. Ad esempio, aggiungendo il percorso`192.168.200.0 255.255.255.0 net_gateway`.
Le rotte aggiunte a un gateway non VPN sono escluse da Client Route Enforcement in quanto bypassano il tunnel VPN. Al loro interno sono consentiti percorsi in conflitto. Nell'esempio, il percorso sopra riportato verrà escluso dal monitoraggio da parte di Client Route Enforcement.
+ Analogamente alle IPv4 route, le IPv6 route aggiunte a un gateway VPN vengono monitorate da Client Route Enforcement, mentre le route aggiunte a un gateway non VPN sono escluse dal monitoraggio.
### Percorsi ignorati
Le rotte verso le seguenti IPv4 reti verranno ignorate da Client Route Enforcement:
+ `127.0.0.0/8`— Riservato all'host locale
+ `169.254.0.0/16`— Riservato agli indirizzi locali del collegamento
+ `224.0.0.0/4`— Riservato al multicast
+ `255.255.255.255/32`— Riservato alla trasmissione
Le rotte verso le seguenti IPv6 reti verranno ignorate da Client Route Enforcement:
+ `::1/128`— Riservato al loopback
+ `fe80::/10`— Riservato agli indirizzi locali del collegamento
+ `ff00::/8`— Riservato al multicast
**Topics**
+ [Requisiti](#requirements-cre)
+ [Conflitti di routing](#route-conflict-cre)
+ [Considerazioni](#considerations-cre)
+ [Attiva Client Route Enforcement](activate-cre.md)
+ [Disattiva Client Route Enforcement](deactivate-cre.md)
+ [Risolvi i problemi relativi IPv6 al Client Route Enforcement](cre-ipv6-troubleshooting.md)
# Attiva Client Route Enforcement per un endpoint AWS Client VPN
È possibile attivare Client Route Enforcement sugli endpoint Client VPN esistenti utilizzando la console o il AWS CLI.
**Per attivare Client Route Enforcement utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione scegli **Endpoint del client VPN**.
1. Scegli l'endpoint Client VPN che desideri modificare, scegli **Azioni**, quindi scegli **Modifica endpoint Client VPN**.
1. Scorri verso il basso la pagina fino alla sezione **Other parameters** (Altri parametri).
1. Attiva **Client Route Enforcement**.
1. Scegli **Modify Client VPN Endpoint** (Modifica l'endpoint del client VPN).
**Per attivare Client Route Enforcement utilizzando AWS CLI()**
+ Utilizza il comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Disattivare Client Route Enforcement da un endpoint AWS Client VPN
È possibile disattivare Client Route Enforcement sugli endpoint Client VPN utilizzando la console o il. AWS CLI
**Per disattivare Client Route Enforcement utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione scegli **Endpoint del client VPN**.
1. Scegli l'endpoint Client VPN che desideri modificare, scegli **Azioni**, quindi scegli **Modifica endpoint Client VPN**.
1. Scorri verso il basso la pagina fino alla sezione **Other parameters** (Altri parametri).
1. Disattiva **Client Route Enforcement**.
1. Scegli **Modify Client VPN Endpoint** (Modifica l'endpoint del client VPN).
**Per disattivare Client Route Enforcement utilizzando il AWS CLI**
+ Utilizza il comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Risolvi i problemi relativi IPv6 al Client Route Enforcement
Se riscontri problemi con IPv6 Client Route Enforcement, considera i seguenti passaggi per la risoluzione dei problemi:
Verifica la versione del client
Assicurati di utilizzare AWS VPN Client versione 5.3.0 o successiva, necessaria per il supporto di IPv6 Client Route Enforcement.
Controlla la configurazione degli endpoint
Verifica che l'endpoint abbia Client Route Enforcement abilitato e che sia configurato per il traffico IPv6 dual-stack.
Esamina i log dei client
Controlla i log del client AWS VPN per eventuali messaggi di errore relativi a IPv6 Client Route Enforcement. Cerca le voci contenenti "IPv6" e «Client Route Enforcement» o «CRM».
Ispeziona la tabella di routing
Utilizzate il comando appropriato per il vostro sistema operativo per visualizzare la tabella di IPv6 routing:
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
Verifica la presenza di percorsi in conflitto
Cerca eventuali IPv6 percorsi che potrebbero entrare in conflitto con i percorsi VPN. Presta particolare attenzione ai percorsi con la stessa destinazione ma gateway diversi.
Verifica il supporto dell'ISP IPv6
Assicurati che il tuo provider di servizi Internet (ISP) supporti correttamente. IPv6
Se continui a riscontrare problemi con IPv6 Client Route Enforcement dopo aver provato questi passaggi per la risoluzione dei problemi, contatta AWS Support per ulteriore assistenza.