翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用するためのルールとベストプラクティス AWS Client VPN
<a name="what-is-best-practices"></a>

以下のセクションでは、 AWS Client VPNを使用するためのルールとベストプラクティスについて説明します。

**Topics**
+ [ネットワークと帯域幅の要件](#bp-nw)
+ [サブネットと VPC の設定](#bp-subnet)
+ [認証とセキュリティ](#bp-auth)
+ [接続と DNS の要件](#bp-dns)
+ [制限と制約](#bp-limits)

## ネットワークと帯域幅の要件
<a name="bp-nw"></a>
+ AWS Client VPN は、追加のユーザー接続と帯域幅要件に合わせて自動的にスケーリングするフルマネージドサービスです。各ユーザー接続の最大ベースライン帯域幅は 50 Mbps です。

  クライアント VPN エンドポイントを介して接続する実際の帯域幅は、いくつかの要因によって異なる場合があります。こうした要因には、パケットサイズ、トラフィック構成 (TCP/UDP ミックス）、中間ネットワーク上のネットワークポリシー (シェーピングまたはスロットリング）、インターネット状態、アプリケーション固有の要件、同時ユーザー接続の合計数が含まれます。最大帯域幅制限に達した場合は、AWS サポートを通じて引き上げをリクエストできます。
+ クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、またはクライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。
+ クライアント CIDR 範囲は、ブロックサイズが /22 以上、/12 以下でなければなりません。
+ クライアント CIDR 範囲内のアドレスの一部は、クライアント VPN エンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアント VPN エンドポイントでサポートする予定の同時接続の最大数を有効にするために必要な IP アドレスの数の 2 倍の数を含む CIDR ブロックを割り当てることをお勧めします。
+ クライアント VPN エンドポイントの作成後にクライアント CIDR 範囲を変更することはできません。
+ クライアント VPN は IPv4、IPv6、およびデュアルスタック (IPv4 と IPv6 の両方) トラフィックをサポートします。IPv6 サポートの詳細については、「[AWS Client VPN の IPv6 に関する考慮事項IPv6 に関する考慮事項](ipv6-considerations.md)」を参照してください。
+ 
  + ソース IP アドレスは、クライアント VPN エンドポイントの IP アドレスに変換されます。
  + クライアントからの元のソースポート番号は変更されません。
+ クライアント VPN は、同時ユーザーが同じターゲットに接続している場合にのみポートアドレス変換 (PAT) を実行します。ポート変換は自動で行われ、同じ VPN エンドポイントを介した複数の同時接続をサポートするために必要となります。
  + ソース IP 変換の場合、ソース IP アドレスはクライアント VPN の IP アドレスに変換されます。
  + 単一クライアント接続のソースポート変換の場合、元のソースポート番号は変更されないことがあります。
  + 同じ送信先 (同じターゲット IP アドレスとポート) に接続する複数のクライアントのソースポート変換の場合、クライアント VPN はポート変換を実行して一意の接続を確保します。

  例えば、クライアント 1 とクライアント 2 の 2 つのクライアントがクライアント VPN エンドポイントを介して同じ送信先サーバーとポートに接続する場合がこれに該当します。
  + クライアント 1 の元のポートが `9999` の場合、ポート `4306` など、別のポートに変換されることがあります。
  + クライアント 2 の元のポートが `9999` の場合、ポート `63922` など、クライアント 1 とは異なる一意のポートに変換されることがあります。
+ IPv6 トラフィックの場合、クライアント VPN はネットワークアドレス変換 (NAT) を実行しません。これにより、接続されたユーザーの IPv6 アドレスの可視性が向上します。

## サブネットと VPC の設定
<a name="bp-subnet"></a>
+ クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。
+ 1 つのアベイラビリティーゾーンの複数のサブネットをクライアント VPN エンドポイントに関連付けることはできません。
+ クライアント VPN エンドポイントは、専有テナント VPC でのサブネットの関連付けをサポートしていません。
+ IPv6 またはデュアルスタックトラフィックの場合、関連付けられたサブネットには IPv6 またはデュアルスタックの CIDR 範囲が必要です。
+ デュアルスタックエンドポイントの場合、アベイラビリティーゾーンごとに複数のサブネットを関連付けることはできません。

## 認証とセキュリティ
<a name="bp-auth"></a>
+ セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。
+ Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードで次の形式を使用することはできません。

  ```
  SCRV1:base64_encoded_string:base64_encoded_string
  ```
+ AWS Client VPN で使用される証明書は、メモのセクション 4.2 で指定された証明書拡張機能を含む、[RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) に準拠する必要があります。
+ 特殊文字を含むユーザー名は、接続エラーを引き起こす可能性があります。
+ ユーザー名の最大長は 1024 バイトです。ユーザー名が長い接続は拒否されます。

## 接続と DNS の要件
<a name="bp-dns"></a>
+ IP アドレスを使用して、クライアント VPN エンドポイントに接続することはお勧めしません。クライアント VPN はマネージドサービスであるため、DNS 名が解決する IP アドレスに変化が見られる場合があります。さらに、クライアント VPN ネットワークインターフェイスが削除され、CloudTrail ログに再作成されるのがわかります。クライアント VPN エンドポイントへの接続には、提供された DNS 名を使用することをお勧めします。
+ クライアント VPN サービスでは、クライアントが接続されている IP アドレスが、クライアント VPN エンドポイントの DNS 名が解決する IP と一致する必要があります。つまり、クライアント VPN エンドポイントにカスタム DNS レコードを設定し、エンドポイントの DNS 名が解決された実際の IP アドレスにトラフィックを転送する場合、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、「[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)」で説明されているように、サーバー IP 攻撃を軽減するために追加されました。
+  AWS が提供するクライアントを使用して、複数の同時 DNS セッションに接続できます。ただし、名前解決が正しく機能するには、すべての接続の DNS サーバーが同期されたレコードを保持している必要があります。
+ クライアント VPN サービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、`10.0.0.0/8`、`172.16.0.0/12`、`192.168.0.0/16`、`169.254.0.0/16` の標準プライベート IP アドレス範囲内にある必要があります。クライアント LAN アドレス範囲が上記の範囲外であることが検出された場合、クライアント VPN エンドポイントは OpenVPN ディレクティブ「リダイレクトゲートウェイブロックローカル」をクライアントに自動的にプッシュし、すべての LAN トラフィックを VPN に強制します。したがって、VPN 接続中に LAN アクセスが必要な場合は、上記の標準のアドレス範囲を LAN に使用することをお勧めします。このルールは、「[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されます。
+ Windows では、フルトンネルエンドポイントを使用すると、エンドポイントの IP アドレスタイプ (IPv4 IPv6、またはデュアルスタック) に関係なく、すべての DNS トラフィックがトンネルの通過を強制されます。DNS が機能するには、DNS サーバーをセットアップし、トンネル内で到達可能にする必要があります。

## 制限と制約
<a name="bp-limits"></a>
+  AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。
+ クライアント VPN は、 AWS Managed Microsoft ADでのマルチリージョンレプリケーションをサポートしていません。クライアント VPN エンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンにある必要があります。
+ オペレーティングシステムに複数のユーザーがログインしている場合、このコンピュータから VPN 接続を確立することはできません。
+ Client-to-client 通信は、IPv6 クライアントではサポートされていません。IPv6 クライアントが別の IPv6 クライアントと通信しようとすると、トラフィックはドロップされます。
+ IPv6 およびデュアルスタックエンドポイントでは、ユーザーデバイスとインターネットサービスプロバイダー (ISP) が、対応する IP 設定をサポートしている必要があります。