As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Client VPN Aplicação da rota do cliente
A aplicação de rotas do cliente ajuda a impor rotas definidas pelo administrador a dispositivos conectados por meio da VPN. Esse recurso ajuda a melhorar sua postura de segurança, garantindo que o tráfego de rede proveniente de um cliente conectado não seja enviado inadvertidamente para fora do túnel VPN.
A aplicação de rotas do cliente monitora a tabela de roteamento principal do dispositivo conectado e garante que o tráfego de saída da rede vá para um túnel VPN, de acordo com as rotas de rede configuradas no endpoint da VPN do cliente. Isso inclui modificar as tabelas de roteamento em um dispositivo se forem detectadas rotas conflitantes com o túnel VPN. O Client Route Enforcement oferece suporte a ambas IPv4 e famílias de IPv6 endereços.
## Requisitos
O Client Route Enforcement só funciona com as seguintes versões AWS fornecidas do Client VPN:
+ Windows versão 5.2.0 ou superior (IPv4 suporte)
+ macOS versão 5.2.0 ou superior (suporte) IPv4
+ Ubuntu versão 5.2.0 ou superior (IPv4 suporte)
+ Windows versão 5.3.0 ou superior (IPv6 suporte)
+ macOS versão 5.3.0 ou superior (suporte) IPv6
+ Ubuntu versão 5.3.0 ou superior (IPv6 suporte)
Para endpoints de pilha dupla, a configuração Client Route Enforcement se aplica a ambos IPv4 e às pilhas simultaneamente. IPv6 Não é possível habilitar a aplicação de rotas do cliente apenas para uma pilha.
## Conflitos de roteamento
Enquanto um cliente está conectado à VPN, é feita uma comparação entre a tabela de rotas local do cliente e as rotas de rede do endpoint. Um conflito de roteamento ocorrerá se houver sobreposição de rede entre duas entradas da tabela de rotas. Veja exemplo de redes sobrepostas:
+ `172.31.0.0/16`
+ `172.31.1.0/24`
Neste exemplo, esses blocos CIDR representam um conflito de roteamento. Por exemplo, `172.31.0.0/16` pode ser o CIDR do túnel VPN. Como `172.31.1.0/24` é mais específico porque tem um prefixo mais longo, normalmente tem precedência e possivelmente redireciona o tráfego de VPN dentro do intervalo de IP `172.31.1.0/24` para outro destino. Isso pode provocar um comportamento de roteamento indesejado. No entanto, quando a aplicação de rotas do cliente estiver habilitada, o último CIDR será removido. Ao usar esse recurso, é necessário levar em consideração possíveis conflitos de roteamento.
As conexões VPN de túnel completo direcionam todo o tráfego da rede por meio da conexão VPN. Por isso, os dispositivos conectados à VPN não poderão acessar os recursos da rede local (LAN) se o recurso de aplicação de rotas do cliente estiver habilitado. Se for necessário acesso à LAN local, considere usar o modo de túnel dividido em vez do modo de túnel completo. Para ter mais informações sobre túnel dividido, consulte [Client VPN de túnel dividido](split-tunnel-vpn.md).
## Considerações
As informações a seguir devem ser levadas em consideração antes de ativar a aplicação de rotas do cliente.
+ No momento da conexão, se um conflito de roteamento for detectado, o recurso atualizará a tabela de rotas do cliente para direcionar o tráfego ao túnel VPN. As rotas que existiam antes do estabelecimento da conexão e que foram excluídas por esse recurso serão restauradas.
+ Esse recurso é utilizado somente na tabela de roteamento principal e não em outros mecanismos de roteamento. Por exemplo, ele não é utilizado no seguinte:
+ roteamento baseado em políticas;
+ roteamento com escopo de interface.
+ A aplicação de rotas do cliente protege o túnel VPN enquanto ele está aberto. Não há proteção depois que o túnel é desconectado ou enquanto o cliente está se reconectando.
### Impacto das diretivas do OpenVPN na aplicação de rotas do cliente
Algumas diretivas personalizadas no arquivo de configuração do OpenVPN têm interações específicas com a aplicação de rotas do cliente:
+ A diretiva `route`
+ Ao adicionar rotas a um gateway de VPN. Por exemplo, adicionar a rota `192.168.100.0 255.255.255.0` a um gateway de VPN.
As rotas adicionadas a um gateway de VPN são monitoradas pela aplicação de rotas do cliente da mesma forma que qualquer outra rota de VPN. Quaisquer rotas conflitantes dentro delas serão detectadas e removidas.
+ Ao adicionar rotas a um gateway não VPN. Por exemplo, adicionar a rota `192.168.200.0 255.255.255.0 net_gateway`.
As rotas adicionadas a um gateway não VPN são excluídas da aplicação de rotas do cliente, pois elas contornam o túnel VPN. Rotas conflitantes são permitidas dentro delas. No exemplo acima, a rota será excluída do monitoramento pela aplicação de rotas do cliente.
+ Semelhante às IPv4 rotas, IPv6 as rotas adicionadas a um gateway VPN são monitoradas pelo Client Route Enforcement, enquanto as rotas adicionadas a um gateway não VPN são excluídas do monitoramento.
### Rotas ignoradas
As rotas para as seguintes IPv4 redes serão ignoradas pelo Client Route Enforcement:
+ `127.0.0.0/8`: reservada para o host local.
+ `169.254.0.0/16`: reservada para endereços locais de link.
+ `224.0.0.0/4`: reservada para multicast.
+ `255.255.255.255/32`: reservado para transmissão.
As rotas para as seguintes IPv6 redes serão ignoradas pelo Client Route Enforcement:
+ `::1/128`: reservado para loopback.
+ `fe80::/10`: reservada para endereços locais de link.
+ `ff00::/8`: reservada para multicast.
**Topics**
+ [Requisitos](#requirements-cre)
+ [Conflitos de roteamento](#route-conflict-cre)
+ [Considerações](#considerations-cre)
+ [Ativar a aplicação de rotas do cliente](activate-cre.md)
+ [Desativar a aplicação de rotas do cliente](deactivate-cre.md)
+ [Solucionar problemas de imposição de rotas IPv6 do cliente](cre-ipv6-troubleshooting.md)
# Ativar o Client Route Enforcement para um AWS Client VPN endpoint
É possível ativar a aplicação de rotas do cliente em endpoints existentes do Client VPN usando o console ou a AWS CLI.
**Como ativar a aplicação de rotas do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Client VPN endpoints** (Endpoints da VPN do cliente).
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Ações** e **Modificar endpoint da VPN do cliente**.
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Ative a **aplicação de rotas do cliente**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Como ativar a aplicação de rotas do cliente usando a AWS CLI**
+ Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Desative o Client Route Enforcement a partir de um endpoint AWS Client VPN
É possível desativar a aplicação de rotas do cliente em endpoints do Client VPN usando o console ou a AWS CLI.
**Como desativar a aplicação de rotas do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Client VPN endpoints** (Endpoints da VPN do cliente).
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Ações** e **Modificar endpoint da VPN do cliente**.
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Desative a **aplicação de rotas do cliente**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Para desativar o Client Route Enforcement usando o AWS CLI**
+ Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Solucionar problemas de imposição de rotas IPv6 do cliente
Se você encontrar problemas com o IPv6 Client Route Enforcement, considere as seguintes etapas de solução de problemas:
Verificar a versão do cliente
Certifique-se de usar o AWS VPN Client versão 5.3.0 ou superior, que é necessária para o suporte IPv6 do Client Route Enforcement.
Verificar a configuração do endpoint.
Verifique se o endpoint tem o Client Route Enforcement ativado e se está configurado para tráfego IPv6 de pilha dupla.
Examinar logs do cliente
Analise os registros do AWS VPN Client para ver se há mensagens de erro relacionadas à fiscalização da rota IPv6 do cliente. Procure entradas contendo "IPv6" e “Client Route Enforcement” ou “CRM”.
Inspecionar tabela de roteamento
Use o comando apropriado para seu sistema operacional para visualizar a tabela de IPv6 roteamento:
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
Verificar se há rotas conflitantes
Procure todas IPv6 as rotas que possam entrar em conflito com as rotas da VPN. Preste especial atenção às rotas com o mesmo destino, mas com gateways diferentes.
Verifique o suporte do ISP IPv6
Certifique-se de que seu provedor de serviços de Internet (ISP) ofereça suporte IPv6 adequado.
Se você continuar enfrentando problemas com o IPv6 Client Route Enforcement depois de tentar essas etapas de solução de problemas, entre em contato com o AWS Support para obter mais assistência.