Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Transit Gateway Gateway-Integration mit Client VPN
Sie können einen Client-VPN-Endpunkt nativ an ein Transit Gateway anhängen VPCs, um sicheren Fernzugriff auf mehrere lokale Netzwerke und andere mit dem Transit Gateway verbundene Ressourcen zu erhalten. Dadurch entfällt die Notwendigkeit, separate VPN-Endpunkte für jede VPC zu erstellen oder komplexes Routing über Intermediate zu verwalten. VPCs
**Topics**
+ [-Übersicht](#cvpn-tgw-overview)
+ [Vorteile](#cvpn-tgw-benefits)
+ [So funktioniert die Transit Gateway Gateway-Integration](#cvpn-tgw-how-it-works)
+ [Voraussetzungen](#cvpn-tgw-prerequisites)
+ [Erstellen Sie einen Transit Gateway Client VPN VPN-Endpunkt](#cvpn-tgw-create)
+ [Routen verwalten](#cvpn-tgw-routes)
+ [Autorisierung konfigurieren](#cvpn-tgw-authorization)
+ [Availability Zones verwalten](#cvpn-tgw-manage-azs)
+ [Kontoübergreifender Transit Gateway Gateway-Zugriff](#cvpn-tgw-cross-account)
+ [Überlegungen und Einschränkungen](#cvpn-tgw-limitations)
## -Übersicht
Wenn Sie ein Transit Gateway einem Client-VPN-Endpunkt zuordnen, können die verbundenen VPN-Clients auf alle mit dem Transit Gateway verbundenen Ressourcen zugreifen, wenn im Client-VPN-Endpunkt entsprechende Routen und Autorisierungsregeln konfiguriert sind.
Mit Transit Gateway verknüpfte Endpunkte behalten die Quell-IP-Adresse des Clients bei. Die Übersetzung von Quellnetzadressen (SNAT) wird nicht angewendet, wodurch der Client-Verkehr besser einsehbar ist.
**Wichtig**
Sie können VPC-Subnetzzuordnungen und Transit Gateway Gateway-Zuordnungen nicht in einem einzigen Client-VPN-Endpunkt kombinieren. Wählen Sie bei der Erstellung des Endpunkts einen Zuordnungstyp aus.
## Vorteile
Die Transit Gateway Gateway-Integration mit Client VPN bietet die folgenden Vorteile:
+ **Vereinfachtes Management** — Eliminieren Sie die Notwendigkeit separater VPN-Endpunkte pro VPC. Es ist nicht erforderlich, ein Zwischenprodukt VPCs ausschließlich für die VPN-Terminierung zu erstellen.
+ **Zentralisiertes Routing** — Nutzen Sie Transit Gateway als zentralen Routing-Hub. Vereinfachen Sie das Routenmanagement in Ihrem gesamten Netzwerk.
+ **Verbesserte Transparenz** — Behalten Sie die Quell-IP-Adressen der Clients bei (kein SNAT). Bietet Unterstützung für Flussprotokolle für Client VPN.
+ **Skalierbarkeit** — Fügen Sie Ihrem Transit Gateway ganz einfach neue VPCs hinzu, auf die Sie über Client VPN zugreifen können. Skalieren Sie, um große mobile Belegschaften und Geschäftsbereiche zu unterstützen.
+ **Zentralisierte Sicherheit** — Implementieren Sie konsistente Sicherheitsrichtlinien für alle verbundenen Netzwerke. Pflegen Sie umfassende Prüfprotokolle.
## So funktioniert die Transit Gateway Gateway-Integration
Im Folgenden wird beschrieben, wie Client VPN mit Transit Gateway funktioniert:
1. **Endpunkterstellung** — Sie erstellen einen Client-VPN-Endpunkt und geben die Transit Gateway Gateway-ID an.
1. **Erstellung von Anhängen** — erstellt AWS automatisch einen Transit Gateway Gateway-Anhang vom Typ `client-vpn` für den Endpunkt.
1. **Auswahl der Availability Zone** — Sie geben an, welche Availability Zones verwendet werden sollen, oder AWS wählt automatisch 2 Availability Zones aus.
1. **Routenkonfiguration** — Sie fügen der Client-VPN-Endpunkt-Routentabelle Routen hinzu, um den Client-Verkehr über das Transit Gateway an Zielnetzwerke weiterzuleiten.
1. **Client-Verbindungsfluss** — Wenn ein Client eine Verbindung herstellt, fließt der Datenverkehr vom Client über den Client-VPN-Endpunkt zum Transit Gateway und dann auf der Grundlage von Transit Gateway-Routentabellen zum Zielnetzwerk.
## Voraussetzungen
Bevor Sie einen mit Transit Gateway verknüpften Client-VPN-Endpunkt erstellen, überprüfen Sie die folgenden Anforderungen.
Anforderungen für Transit Gateway
+ Ein vorhandenes Transit Gateway in derselben Region wie der Client-VPN-Endpunkt.
+ Für den kontoübergreifenden Zugriff muss das Transit Gateway über AWS Resource Access Manager mit Ihrem Konto geteilt werden.
+ Dem Transit Gateway muss ein IPv4 CIDR-Block zugewiesen sein. Wenn Sie eine Dual-Stack-Konfiguration verwenden IPv6 möchten, weisen Sie auch einen IPv6 CIDR-Block zu.
Netzwerkanforderungen
+ Der CIDR-Bereich des Clients darf sich nicht mit den CIDR-Bereichen überschneiden, die an das Transit Gateway VPCs angeschlossen sind.
+ Die von Ihnen ausgewählten Availability Zones müssen vom Transit Gateway unterstützt werden.
+ Rückrouten müssen in VPC-Routentabellen konfiguriert werden, um den für den CIDR-Bereich des Clients bestimmten Datenverkehr an das Transit Gateway weiterzuleiten.
Zertifikatanforderungen
+ Ein Serverzertifikat, das in AWS Certificate Manager (ACM) in derselben Region wie der Client-VPN-Endpunkt bereitgestellt wird.
+ Wenn Sie die gegenseitige Authentifizierung verwenden, ein in ACM bereitgestelltes Client-Zertifikat.
## Erstellen Sie einen Transit Gateway Client VPN VPN-Endpunkt
Sie können einen Client-VPN-Endpunkt erstellen, der einem Transit Gateway zugeordnet ist, indem Sie die Konsole oder die verwenden AWS CLI.
**So erstellen Sie einen Transit Gateway Client VPN VPN-Endpunkt (Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** und dann **Create Client VPN Endpoint (Client VPN-Endpunkt erstellen)** aus.
1. (Optional) Geben Sie **unter Namenstag** und **Beschreibung** einen Namen und eine Beschreibung für den Endpunkt ein.
1. Wählen Sie für **den IP-Adresstyp Traffic** eine der folgenden Optionen aus:
+ **IPv4**— Geben Sie einen IPv4 CIDR-Bereich für den Client an (z. B.`10.0.0.0/22`).
+ **IPv6**— Weist dem Client AWS automatisch den IPv6 CIDR-Bereich zu.
+ **Dual-Stack** — Geben Sie einen IPv4 CIDR-Bereich für den Client an. AWS weist dem Client automatisch den IPv6 CIDR-Bereich zu.
1. Geben Sie für **Serverzertifikat-ARN** den ARN für das in ACM bereitgestellte TLS-Zertifikat an.
1. Wählen Sie Ihre Authentifizierungsmethode. Weitere Informationen finden Sie unter [Client-Authentifizierung in AWS Client VPN](client-authentication.md).
1. (Optional) Aktivieren Sie für die **Verbindungsprotokollierung** die Option **Protokolldetails für Client-Verbindungen aktivieren** und geben Sie die CloudWatch Protokollgruppe und den Protokollstream an.
1. Wählen Sie für **Network Infrastructure** **Transit Gateway** aus.
1. Wählen Sie für **Transit Gateway ID** das Transit Gateway aus der Dropdownliste aus.
1. (Optional) Wählen Sie für **Availability Zones** bis zu 5 Availability Zones aus. Wenn Sie Availability Zones nicht auswählen, AWS werden automatisch 2 ausgewählt.
1. (Optional) Konfigurieren Sie zusätzliche Einstellungen wie DNS-Server, Transportprotokoll, Split-Tunnel, VPN-Port, Sitzungs-Timeout und Anmeldebanner.
1. Wählen Sie **Create Client VPN endpoint (Client-VPN-Endpunkt erstellen)** aus.
**Anmerkung**
Nach der Erstellung lautet der Endpunktstatus. `pending-associate` Der Transit Gateway Gateway-Anhang wird automatisch erstellt. Clients können eine Verbindung herstellen, sobald der Anhang verfügbar ist.
**So erstellen Sie einen Transit Gateway Client VPN VPN-Endpunkt (AWS CLI)**
Verwenden Sie den Befehl [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) mit dem Parameter `--transit-gateway-id`.
Im folgenden Beispiel wird ein Client-VPN-Endpunkt mit bestimmten Availability Zones erstellt:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
--availability-zone-list us-east-1a us-east-1b us-east-1c
```
Beispielausgabe:
```
{
"ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
"Status": {
"Code": "pending-associate"
},
"DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}
```
Um AWS automatisch 2 Availability Zones auswählen zu lassen, lassen Sie den `--availability-zone-list` Parameter weg:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
```
### Überprüfen Sie den Transit Gateway Gateway-Anhang
Nachdem Sie den Endpunkt erstellt haben, stellen Sie sicher, dass der Transit Gateway Gateway-Anhang erstellt wurde.
**So überprüfen Sie den Transit Gateway Gateway-Anhang (Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Suchen Sie den Anhang mit **Ressourcentyp** = `client-vpn` und **Ressourcen-ID**, die Ihrer Client-VPN-Endpunkt-ID entspricht.
1. Stellen Sie sicher, dass der **`available`Bundesstaat**
**Um den Transit Gateway Gateway-Anhang zu überprüfen (AWS CLI)**
Verwenden Sie den Befehl [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).
```
aws ec2 describe-transit-gateway-attachments \
--filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
```
Verwenden Sie den [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html)folgenden Befehl, um die Transit Gateway Gateway-Konfiguration für den Endpunkt anzuzeigen:
```
aws ec2 describe-client-vpn-endpoints \
--client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
Die Ausgabe umfasst ein `TransitGatewayConfiguration` Objekt mit der Transit Gateway Gateway-ID und den zugehörigen Availability Zones.
## Routen verwalten
**Wichtig**
Für mit Transit Gateway verknüpfte Endpunkte geben Sie beim Erstellen von Routen keine Zielsubnetz-ID an. Der Verkehr wird automatisch über den Transit Gateway Gateway-Anhang geleitet.
**Um eine Route hinzuzufügen (Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.
1. Wählen Sie den Client-VPN-Endpunkt aus, wählen Sie **Routentabelle** und dann **Route erstellen** aus.
1. Geben Sie **unter Routenziel** den CIDR-Zielbereich ein (z. B. `10.1.0.0/16` für eine VPC oder `0.0.0.0/0` für den gesamten Verkehr).
1. (Optional) Geben Sie **unter Beschreibung** eine Beschreibung für die Route ein.
1. Wählen Sie **Create route (Route erstellen)** aus.
**Um eine Route hinzuzufügen (AWS CLI)**
Verwenden Sie den [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html)Befehl ohne den `--target-vpc-subnet-id` Parameter.
```
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
Um mehrere Routen hinzuzufügen, führen Sie den Befehl für jeden CIDR-Zielbereich aus:
```
# Route to VPC 1
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
# Route to VPC 2
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.2.0.0/16
# Route to on-premises network
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 192.168.0.0/16
```
**Um eine Route zu löschen (Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.
1. Wählen Sie den Client-VPN-Endpunkt aus, wählen Sie **Routentabelle**, wählen Sie die Route aus und klicken Sie dann auf **Route löschen**.
1. Wählen Sie zur Bestätigung **Route löschen** aus.
**Um eine Route zu löschen (AWS CLI)**
Verwenden Sie den Befehl [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).
```
aws ec2 delete-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
## Autorisierung konfigurieren
**Wichtig**
Die auf Sicherheitsgruppen basierende Autorisierung wird für mit Transit Gateway verknüpfte Client-VPN-Endpunkte nicht unterstützt. Sie müssen netzwerkbasierte Autorisierungsregeln verwenden, um den Client-Zugriff zu kontrollieren.
**Um eine Autorisierungsregel hinzuzufügen (Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.
1. Wählen Sie den Client-VPN-Endpunkt aus, wählen Sie **Autorisierungsregeln** und dann **Autorisierungsregel hinzufügen** aus.
1. Geben Sie für **das Zielnetzwerk, um den Zugriff zu aktivieren**, den CIDR-Zielbereich ein (z. B.`10.1.0.0/16`).
1. Wählen Sie für **Zugriff gewähren** für eine der folgenden Optionen aus:
+ Allen **Benutzern Zugriff gewähren** — Alle authentifizierten Clients können auf das Zielnetzwerk zugreifen.
+ **Benutzern in einer bestimmten Zugriffsgruppe Zugriff gewähren — Geben Sie die Active Directory-Gruppen-SID** oder den IdP-Gruppennamen in das Feld **Zugriffsgruppen-ID** ein.
1. Wählen Sie **Add authorization rule (Autorisierungsregel hinzufügen)** aus.
**Um eine Autorisierungsregel hinzuzufügen ()AWS CLI**
Verwenden Sie den Befehl [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
Das folgende Beispiel autorisiert alle Benutzer für den Zugriff auf das `10.1.0.0/16` Netzwerk:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--authorize-all-groups
```
Das folgende Beispiel autorisiert eine bestimmte Active Directory-Gruppe:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
```
## Availability Zones verwalten
Sie können die Availability Zones für einen mit Transit Gateway verknüpften Client-VPN-Endpunkt nach der Erstellung ändern.
**Um eine einzelne Availability Zone hinzuzufügen ()AWS CLI**
Verwenden Sie den Befehl [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) mit dem `--availability-zone` Parameter.
```
aws ec2 associate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--availability-zone us-east-1c
```
**Um eine einzelne Availability Zone ()AWS CLI zu entfernen**
Verwenden Sie zunächst den Befehl [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html), um die Zuordnungs-ID für die Availability Zone zu ermitteln.
```
aws ec2 describe-client-vpn-target-networks \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
Verwenden Sie dann den Befehl [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) mit der Zuordnungs-ID.
```
aws ec2 disassociate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
```
## Kontoübergreifender Transit Gateway Gateway-Zugriff
Sie können einen Client-VPN-Endpunkt erstellen, der einem Transit Gateway zugeordnet ist, das einem anderen AWS Konto gehört. Dazu muss der Transit Gateway-Besitzer das Transit Gateway mit Ihrem Konto teilen AWS Resource Access Manager.
Voraussetzungen
+ **Transit Gateway-Besitzerkonto** — Ein vorhandenes Transit Gateway und Berechtigungen zum Erstellen von Ressourcenfreigaben in AWS Resource Access Manager.
+ **Client-VPN-Endpunktkonto** — Berechtigungen zum Erstellen von Client-VPN-Endpunkten und zum Akzeptieren von AWS Resource Access Manager Ressourcenfreigaben.
Akzeptieren Sie im Client-VPN-Endpunktkonto die Ressourcenfreigabe in der AWS Resource Access Manager Konsole oder mithilfe des [accept-resource-share-invitation](https://docs.aws.amazon.com/cli/latest/reference/ram/accept-resource-share-invitation.html)Befehls. Nachdem Sie die Freigabe akzeptiert haben, wird das Transit Gateway in der Dropdownliste Transit Gateway Gateway-ID angezeigt, wenn Sie einen Client-VPN-Endpunkt erstellen.
## Überlegungen und Einschränkungen
Beachten Sie Folgendes, wenn Sie die Transit Gateway Gateway-Integration mit Client VPN verwenden:
+ **Einschränkungen für Verbände**
+ Sie können VPC-Subnetzzuordnungen und Transit Gateway Gateway-Zuordnungen nicht in einem einzigen Endpunkt kombinieren.
+ Jeder Endpunkt muss ausschließlich einen Zuordnungstyp verwenden.
+ **Sicherheitsgruppen**
+ Die auf Sicherheitsgruppen basierende Autorisierung wird für Transit Gateway Gateway-Endpunkte nicht unterstützt.
+ Verwenden Sie nur netzwerkbasierte Autorisierungsregeln.
+ **Routenmanagement**
+ Die automatische Routenweiterleitung von Transit Gateway wird nicht unterstützt.
+ Sie müssen Routen für Zielnetzwerke manuell definieren.
+ **CIDR-Überschneidung**
+ Client VPN Client-VPN-CIDR-Block sollte sich nicht mit anderen Transit Gateway Gateway-Anhängen oder Transit Gateway-CIDR-Blöcken überschneiden.
+ Transit Gateway unterstützt keine überlappenden CIDR-Bereiche in verbundenen Bereichen. VPCs
+ **Regionale Beschränkung**
+ Client VPN Client-VPN-Endpunkt und das Transit Gateway müssen sich in derselben AWS Region befinden.
+ Regionsübergreifendes Transit Gateway Gateway-Peering wird für Client VPN nicht unterstützt.
+ **Availability Zones**
+ Sie können bis zu 5 Availability Zones pro Endpunkt angeben.
+ Wenn nicht angegeben, AWS werden automatisch 2 Availability Zones zugewiesen.
+ Alle angegebenen Availability Zones müssen sowohl von Client VPN als auch von Transit Gateway unterstützt werden.
+ **Routing zurückschicken**
+ VPCs Bei einer Verbindung mit dem Transit Gateway müssen Rückrouten konfiguriert sein, um den für das Client-VPN-CIDR bestimmten Verkehr zurück zum Transit Gateway weiterzuleiten.
+ Ohne ordnungsgemäßes Return-Routing können VPN-Clients nicht auf Ressourcen in der zugreifen. VPCs
+ **Für IPv4**: Das Client-VPN-CIDR ist zum Zeitpunkt der Endpunkterstellung bekannt.
+ **Für IPv6**: Sie müssen die Transit Gateway Gateway-Routentabelle beschreiben, um den IPv6 CIDR-Bereich zu ermitteln, der dem Client-VPN-Endpunkt zugewiesen ist (der größte CIDR-Bereich in der Transit Gateway Gateway-Routentabelle, der dem Client-VPN-Endpunkt zugeordnet ist), da IPv6 Client-CIDR-Bereiche automatisch von zugewiesen werden. AWS Client VPN
+ **Verbindungs- und Datenflussprotokolle**
+ [Transit Gateway Gateway-Flow-Logs](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) können aktiviert werden, um Informationen über den IP-Verkehr zu und von Ihren Transit Gateways zu erfassen. [Client-VPN-Verbindungsprotokolle](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html) können aktiviert werden, um Informationen über Client-VPN-Verbindungsereignisse zu erfassen.
+ Sie können ein Transit Gateway Gateway-Flow-Log-Ereignis mit einer Client-VPN-Verbindung korrelieren, indem Sie eine Client-IP und einen Zeitstempel in einem Transit Gateway Gateway-Flow-Log-Ereignis mit derselben Client-IP und demselben Zeitraum in den Client-VPN-Verbindungsprotokollen vergleichen.
+ **Internetkonnektivität**
+ Um über Client VPN mit Transit Gateway ohne Split-Tunnel auf das Internet zuzugreifen, muss für eine angeschlossene VPC NAT konfiguriert sein.
+ **Für IPv4**: Konfigurieren Sie ein NAT-Gateway, um den Client-VPN-Client IPs durch eine öffentliche IP-Adresse zu ersetzen.
+ **Für IPv6**: Siehe [Zentralisierter ausgehender Internetverkehr mit IPv6](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html#centralized-internet-outbound-traffic-with-ipv6).