Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Arbeite mit AWS Client VPN
<a name="cvpn-working"></a>

In den folgenden Themen werden die wichtigsten administrativen Aufgaben erläutert, die für die Arbeit mit Client VPN erforderlich sind:
+ **Auf das Self-Service-Portal** zugreifen — Konfigurieren Sie den Zugriff auf das Client-VPN-Self-Service-Portal, sodass Kunden die Client-VPN-Endpunktkonfigurationsdatei selbst herunterladen können. Informationen zum Zugriff auf das Self-Service-Portal finden Sie unter. [AWS Client VPN Zugang zum Self-Service-Portal](cvpn-self-service-portal.md)
+ **Autorisierungsregeln** — Fügen Sie Autorisierungsregeln hinzu, um den Client-Zugriff auf bestimmte Netzwerke zu kontrollieren. Informationen zum Hinzufügen von Autorisierungsregeln finden Sie unter[AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md).
+ **Sperrlisten für Client-Zertifikate** — Verwenden Sie Client-Zertifikatssperrlisten, um den Zugriff auf einen Client-VPN-Endpunkt zu widerrufen. Informationen zu Sperrlisten für Client-Zertifikate finden Sie unter[AWS Client VPN Sperrlisten für Client-Zertifikate](cvpn-working-certificates.md).
+ **Client-Verbindungen** — Zeigt eine Client-Verbindung zu einem Client-VPN-Endpunkt an oder beendet sie. Hinweise zum Anzeigen oder Beenden einer Client-Verbindung finden Sie unter[AWS Client VPN Client-Verbindungen](cvpn-working-connections.md).
+ **Kundenanmelde-Banner** — Fügen Sie einer Client-VPN-Desktop-Anwendung ein Textbanner hinzu, wenn eine VPN-Sitzung eingerichtet wird. Sie können das Textbanner verwenden, um Ihre regulatorischen und Compliance-Anforderungen zu erfüllen. Informationen zu Login-Bannern finden Sie unter[AWS Client VPN Kunden-Login-Banner](cvpn-working-login-banner.md).
+ **Durchsetzung von Client-Routen** — Erzwingen Sie vom Administrator definierte Routen auf Geräten, die über das VPN verbunden sind. Weitere Informationen zur Client-Routenerzwingung finden Sie unter. [AWS Client VPN Durchsetzung der Client-Route](cvpn-working-cre.md) 
+ **Client-VPN-Endpunkte** — Konfigurieren Sie Client-VPN-Endpunkte zur Verwaltung und Steuerung aller VPN-Sitzungen. Informationen zur Konfiguration von Endpunkten finden Sie unter. [AWS Client VPN Endpunkte](cvpn-working-endpoints.md)
+ **Verbindungsprotokolle** — Aktivieren Sie die Verbindungsprotokollierung für neue oder bestehende Client-VPN-Endpunkte, um mit der Erfassung von Verbindungsprotokollen zu beginnen. Informationen zur Verbindungsprotokollierung finden Sie unter[AWS Client VPN Verbindungsprotokolle](cvpn-working-with-connection-logs.md).
+ **Export der Client-Konfigurationsdatei** — Konfigurieren Sie die Client-Konfigurationsdatei, die Client-VPN-Clients benötigen, um VPN-Verbindungen herzustellen. Nachdem Sie die Datei konfiguriert haben, laden Sie sie herunter (exportieren), um sie an die Clients zu verteilen. Weitere Hinweise zum Exportieren einer Client-Konfigurationsdatei finden Sie unter[AWS Client VPN Export von Endpunktkonfigurationsdateien](cvpn-working-endpoint-export.md).
+ **Routen** — Konfigurieren Sie Autorisierungsregeln für jede Client-VPN-Route, um anzugeben, welche Clients Zugriff auf das Zielnetzwerk haben. Informationen zur Konfiguration von Autorisierungsregeln finden Sie unter [AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md)
+ **Zielnetzwerke** — Ordnen Sie Zielnetzwerke einem Client-VPN-Endpunkt zu, damit Clients eine Verbindung zu diesem herstellen und eine VPN-Verbindung herstellen können. Informationen zu Zielnetzwerken finden Sie unter[AWS Client VPN Zielnetzwerke](cvpn-working-target.md).
+ **Maximale VPN-Sitzungsdauer** — Legen Sie Optionen für die maximale VPN-Sitzungsdauer fest, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen. Informationen zur maximalen Dauer einer VPN-Sitzung finden Sie unter[AWS Client VPN Timeout für die maximale Dauer der VPN-Sitzung](cvpn-working-max-duration.md).

# AWS Client VPN Zugang zum Self-Service-Portal
<a name="cvpn-self-service-portal"></a>

Nach der Aktivierung des Self-Service-Portals für Ihren Client-VPN-Endpunkt können Sie Ihren Kunden eine URL für das Self-Service-Portal bereitstellen. Kunden können in einem Webbrowser auf das Portal zugreifen und sich mit ihren benutzerbasierten Anmeldeinformationen anmelden. Im Portal können Kunden die Client-VPN-Endpunktkonfigurationsdatei und die neueste Version des AWS bereitgestellten Clients herunterladen.

Die folgenden Regeln gelten:
+ Das Self-Service-Portal ist nicht für Clients verfügbar, die sich mittels gegenseitiger Authentifizierung authentifizieren.
+ Die Konfigurationsdatei, die im Self-Service-Portal verfügbar ist, ist dieselbe Konfigurationsdatei, die Sie mit der Amazon VPC-Konsole oder exportieren. AWS CLI Wenn Sie die Konfigurationsdatei anpassen müssen, bevor Sie sie an Clients verteilen, müssen Sie die angepasste Datei selbst an die Clients verteilen.
+ Sie müssen die Self-Service-Portal-Option für Ihren Client-VPN-Endpunkt aktivieren, damit Clients auf das Portal zugreifen können. Wenn diese Option nicht aktiviert ist, können Sie Ihren Client-VPN-Endpunkt ändern, um ihn zu aktivieren.

Nachdem Sie die Self-Service-Portal-Option aktiviert haben, stellen Sie Ihren Kunden eine der folgenden Optionen zur Verfügung: URLs
+ `https://self-service.clientvpn.amazonaws.com/`

  Wenn diese mit dieser URL auf das Portal zugreifen, müssen sie die ID des Client-VPN-Endpunkts eingeben, bevor sie sich anmelden können.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/<endpoint-id>`

  Ersetzen Sie *<endpoint-id>* die vorherige URL durch die ID Ihres Client-VPN-Endpunkts, zum Beispiel`cvpn-endpoint-0123456abcd123456`.

Sie können die URL für das Self-Service-Portal auch in der Ausgabe des [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI Befehls anzeigen. Alternativ finden Sie die URL auf der Registerkarte **Details** auf der Seite **Client VPN Endpoints (Client-VPN-Endpunkte)** in der Amazon-VPC-Konsole.

Weitere Informationen zum Konfigurieren des Self-Service-Portals für die Verwendung mit föderierter Authentifizierung finden Sie unter [Unterstützung des Self-Service-Portals](federated-authentication.md#saml-self-service-support).

# AWS Client VPN Autorisierungsregeln
<a name="cvpn-working-rules"></a>

Autorisierungsregeln dienen als Firewall-Regeln, die den Zugriff auf Netzwerke regeln. Durch das Hinzufügen von Autorisierungsregeln gewähren Sie bestimmten Clients Zugriff auf das angegebene Netzwerk. Für jedes Netzwerk, für das Sie Zugriff gewähren möchten, sollten Sie eine Autorisierungsregel festlegen. Sie können einem Client VPN-Endpunkt mithilfe der Konsole und der AWS CLI Autorisierungsregeln hinzufügen.

**Anmerkung**  
Client VPN verwendet bei der Auswertung von Autorisierungsregeln das längste übereinstimmende Präfix. Weitere Details finden Sie im Fehlerbehebungsthema [Problembehandlung AWS Client VPN: Autorisierungsregeln für Active Directory-Gruppen funktionieren nicht wie erwartet](ad-group-auth-rules.md) und unter [Routenpriorität](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) im *Benutzerhandbuch zu Amazon VPC*.

## Wichtige Informationen zu Autorisierungsregeln
<a name="key-points-summary"></a>

Die folgenden Punkte beschreiben einen Teil des Verhaltens von Autorisierungsregeln:
+ Um den Zugriff auf ein Zielnetzwerk zu ermöglichen, muss eine Autorisierungsregel explizit hinzugefügt werden. Das Standardverhalten ist das Verweigern des Zugriffs.
+ Sie können keine Autorisierungsregel zum *Beschränken* des Zugriffs auf ein Zielnetzwerk hinzufügen.
+ Das CIDR `0.0.0.0/0` wird als Sonderfall behandelt. Es wird zuletzt verarbeitet, unabhängig von der Reihenfolge, in der die Autorisierungsregeln erstellt wurden.
+ Sie können sich das CIDR `0.0.0.0/0` als „jedes Ziel“ oder „jedes Ziel, das nicht durch andere Autorisierungsregeln definiert wird“ vorstellen.
+ Die längste Präfixübereinstimmung ist die Regel, die Vorrang hat.

**Topics**
+ [Wichtige Punkte](#key-points-summary)
+ [Beispielszenarien](#auth-rule-example-scenarios)
+ [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md)
+ [Entfernen Sie eine Autorisierungsregel](cvpn-working-rule-remove.md)
+ [Autorisierungsregeln anzeigen](cvpn-working-rule-view.md)

## Beispielszenarien für Client-VPN-Autorisierungsregeln
<a name="auth-rule-example-scenarios"></a>

In diesem Abschnitt wird beschrieben, wie Autorisierungsregeln für funktionieren AWS Client VPN. Der Abschnitt enthält wichtige Informationen zu Autorisierungsregeln, eine Beispielarchitektur und Beispielszenarien entsprechend der Beispielarchitektur.

**Szenarien**
+ [Beispielarchitektur für Szenarien zu Autorisierungsregeln](#example-arch-auth-rules)
+ [Zugriff auf ein einziges Ziel](#auth-rules1)
+ [Verwenden Sie ein beliebiges Ziel (0.0.0.0/0) CIDR](#auth-rules2)
+ [Längere Übereinstimmung mit dem IP-Präfix](#auth-rules3)
+ [Überlappendes CIDR (gleiche Gruppe)](#auth-rules4)
+ [Zusätzliche 0.0.0.0/0-Regel](#auth-rules5)
+ [Fügen Sie eine Regel für 192.168.0.0/24 hinzu](#auth-rules6)
+ [SAML-Verbundauthentifizierung](#auth-rules7)
+ [Zugriff für alle Benutzergruppen](#auth-rules8)

### Beispielarchitektur für Szenarien zu Autorisierungsregeln
<a name="example-arch-auth-rules"></a>

Das folgende Diagramm zeigt die Beispielarchitektur, die für die Beispielszenarien in diesem Abschnitt verwendet wird.

![\[Client-VPN-Beispielarchitektur\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)


### Zugriff auf ein einziges Ziel
<a name="auth-rules1"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf eine Client-VPN-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  192.168.0.0/24  | 

**Resultierendes Verhalten**
+ Die Engineering-Gruppe kann nur auf `172.16.0.0/24` zugreifen.
+ Die Entwicklungsgruppe kann nur auf `10.0.0.0/16` zugreifen.
+ Die Managergruppe kann nur auf `192.168.0.0/24` zugreifen.
+ Der gesamte restliche Datenverkehr wird vom Client-VPN-Endpunkt gelöscht.

**Anmerkung**  
In diesem Szenario hat keine Benutzergruppe Zugriff auf das öffentliche Internet.

### Verwenden Sie ein beliebiges Ziel (0.0.0.0/0) CIDR
<a name="auth-rules2"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 

**Resultierendes Verhalten**
+ Die Engineering-Gruppe kann nur auf `172.16.0.0/24` zugreifen.
+ Die Entwicklungsgruppe kann nur auf `10.0.0.0/16` zugreifen.
+ Die Managergruppe kann auf das öffentliche Internet *und* auf `192.168.0.0/24` zugreifen, jedoch nicht auf `172.16.0.0/24` oder `10.0.0/16`.

**Anmerkung**  
Da in diesem Szenario keine Regeln auf `192.168.0.0/24` verweisen, wird der Zugriff auf dieses Netzwerk auch durch die Regel `0.0.0.0/0` ermöglicht.  
Eine Regel, die `0.0.0.0/0` enthält, wird immer zuletzt ausgewertet, unabhängig von der Reihenfolge, in der die Regeln erstellt wurden. Beachten Sie daher, dass die vor `0.0.0.0/0` ausgewerteten Regeln eine Rolle bei der Ermittlung spielen, welchen Netzwerken `0.0.0.0/0` Zugriff gewährt.

### Längere Übereinstimmung mit dem IP-Präfix
<a name="auth-rules3"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf einen einzelnen Host in einer Entwicklungs-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  10.0.2.119/32  | 

**Resultierendes Verhalten**
+ Die Engineering-Gruppe kann nur auf `172.16.0.0/24` zugreifen.
+ Die Entwicklungsgruppe kann auf `10.0.0.0/16` zugreifen, *außer* auf den einzelnen Host `10.0.2.119/32`.
+ Die Managergruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und einen einzelnen Host (`10.0.2.119/32`) innerhalb der Entwicklungs-VPC zugreifen, sie hat jedoch keinen Zugriff auf `172.16.0.0/24` oder einen der übrigen Hosts in der Entwicklungs-VPC.

**Anmerkung**  
Hier sehen Sie, dass eine Regel mit einem längeren IP-Präfix Vorrang vor einer Regel mit einem kürzeren IP-Präfix hat. Wenn die Entwicklungsgruppe Zugriff auf `10.0.2.119/32` haben soll, muss eine zusätzliche Regel hinzugefügt werden, die dem Entwicklungsteam Zugriff auf `10.0.2.119/32` gewährt.

### Überlappendes CIDR (gleiche Gruppe)
<a name="auth-rules4"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf einen einzelnen Host in einer Entwicklungs-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  10.0.2.119/32  | 
|  Erlauben des Zugriffs auf ein kleineres Subnetz innerhalb eines On-Premises-Netzwerks für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172,160,128/ 25  | 

**Resultierendes Verhalten**
+ Die Entwicklungsgruppe kann auf `10.0.0.0/16` zugreifen, *außer* auf den einzelnen Host `10.0.2.119/32`.
+ Die Managergruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und einen einzelnen Host (`10.0.2.119/32`) innerhalb des Netzwerks `10.0.0.0/16` zugreifen, sie hat jedoch keinen Zugriff auf `172.16.0.0/24` oder einen der übrigen Hosts im Netzwerk `10.0.0.0/16`.
+ Die Engineering-Gruppe hat Zugriff auf `172.16.0.0/24`, einschließlich des spezifischeren Subnetzes `172.16.0.128/25`.

### Zusätzliche 0.0.0.0/0-Regel
<a name="auth-rules5"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf einen einzelnen Host in einer Entwicklungs-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  10.0.2.119/32  | 
|  Erlauben des Zugriffs auf ein kleineres Subnetz innerhalb eines On-Premises-Netzwerks für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172,160,128/ 25  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  0.0.0.0/0  | 

**Resultierendes Verhalten**
+ Die Entwicklungsgruppe kann auf `10.0.0.0/16` zugreifen, *außer* auf den einzelnen Host `10.0.2.119/32`.
+ Die Managergruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und einen einzelnen Host (`10.0.2.119/32`) innerhalb des Netzwerks `10.0.0.0/16` zugreifen, sie hat jedoch keinen Zugriff auf `172.16.0.0/24` oder einen der übrigen Hosts im Netzwerk `10.0.0.0/16`.
+ Die Engineering-Gruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und `172.16.0.0/24` zugreifen, einschließlich des spezifischeren Subnetzes `172.16.0.128/25`.

**Anmerkung**  
Beachten Sie, dass jetzt sowohl die Engineering- als auch die Managergruppe auf `192.168.0.0/24` zugreifen können. Dies liegt daran, dass beide Gruppen Zugriff auf `0.0.0.0/0` (jedes Ziel) haben *und* keine anderen Regeln auf `192.168.0.0/24` verweisen.

### Fügen Sie eine Regel für 192.168.0.0/24 hinzu
<a name="auth-rules6"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf einen einzelnen Host in einer Entwicklungs-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  10.0.2.119/32  | 
|  Erlauben des Zugriffs auf ein Subnetz im On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172,160,128/ 25  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf eine Client-VPN-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  192.168.0.0/24  | 

**Resultierendes Verhalten**
+ Die Entwicklungsgruppe kann auf `10.0.0.0/16` zugreifen, *außer* auf den einzelnen Host `10.0.2.119/32`.
+ Die Managergruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und einen einzelnen Host (`10.0.2.119/32`) innerhalb des Netzwerks `10.0.0.0/16` zugreifen, sie hat jedoch keinen Zugriff auf `172.16.0.0/24` oder einen der übrigen Hosts im Netzwerk `10.0.0.0/16`.
+ Die Engineering-Gruppe kann auf das öffentliche Internet, `172.16.0.0/24`, und `172.16.0.128/25` zugreifen.

**Anmerkung**  
Beachten Sie, dass das Hinzufügen der Regel für den Zugriff der Managergruppe auf `192.168.0.0/24` dazu führt, dass die Entwicklungsgruppe nicht länger Zugriff auf dieses Zielnetzwerk hat.

### SAML-Verbundauthentifizierung
<a name="auth-rules7"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  Entwicklung  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  Entwickler  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf eine Client-VPN-VPC für die Managergruppe  |  Manager  |  Falsch  |  192.168.0.0/24  | 

**Resultierendes Verhalten**
+ Benutzer, die über SAML mit dem Gruppenattribut „Engineering“ authentifiziert wurden, können nur darauf zugreifen. `172.16.0.0/24`
+ Benutzer, die über SAML mit dem Gruppenattribut „Developers“ authentifiziert wurden, können nur darauf zugreifen. `10.0.0.0/16`
+ Benutzer, die über SAML mit dem Gruppenattribut „Manager“ authentifiziert wurden, können nur darauf zugreifen. `192.168.0.0/24`
+ Der gesamte restliche Datenverkehr wird vom Client-VPN-Endpunkt gelöscht.

**Anmerkung**  
Bei Verwendung der SAML-Verbundauthentifizierung entspricht das Gruppen-ID-Feld dem SAML-Attributwert, der die Gruppenmitgliedschaft des Benutzers identifiziert. Dieses Attribut wird in Ihrem SAML-Identitätsanbieter konfiguriert und bei der Authentifizierung an Client VPN übergeben.

### Zugriff für alle Benutzergruppen
<a name="auth-rules8"></a>


| Regelbeschreibung | Gruppen-ID | Zugriff auf alle Benutzer erlauben | Ziel-CIDR | 
| --- | --- | --- | --- | 
|  Erlauben des Zugriffs auf ein On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172.16.0.0/24  | 
|  Erlauben des Zugriffs auf eine Entwicklungs-VPC für die Entwicklungsgruppe  |  S-xxxxx15  |  Falsch  |  10.0.0.0/16  | 
|  Erlauben des Zugriffs auf jedes Ziel für die Managergruppe  |  S-xxxxx16  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf einen einzelnen Host in einer Entwicklungs-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  10.0.2.119/32  | 
|  Erlauben des Zugriffs auf ein Subnetz im On-Premises-Netzwerk für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  172,160,128/ 25  | 
|  Erlauben des Zugriffs auf alle Netzwerke für die Engineering-Gruppe  |  S-xxxxx14  |  Falsch  |  0.0.0.0/0  | 
|  Erlauben des Zugriffs auf eine Client-VPN-VPC für die Managergruppe  |  S-xxxxx16  |  Falsch  |  192.168.0.0/24  | 
|  Erlauben des Zugriffs für alle Gruppen  |  –  |  Wahr  |  0.0.0.0/0  | 

**Resultierendes Verhalten**
+ Die Entwicklungsgruppe kann auf `10.0.0.0/16` zugreifen, *außer* auf den einzelnen Host `10.0.2.119/32`.
+ Die Managergruppe kann auf das öffentliche Internet, `192.168.0.0/24`, und einen einzelnen Host (`10.0.2.119/32`) innerhalb des Netzwerks `10.0.0.0/16` zugreifen, sie hat jedoch keinen Zugriff auf `172.16.0.0/24` oder einen der übrigen Hosts im Netzwerk `10.0.0.0/16`.
+ Die Engineering-Gruppe kann auf das öffentliche Internet, `172.16.0.0/24`, und `172.16.0.128/25` zugreifen.
+ Alle anderen Benutzergruppen, zum Beispiel „Admin-Gruppe“, können auf das öffentliche Internet zugreifen, jedoch nicht auf andere Zielnetzwerke, die in den anderen Regeln definiert sind.

# Eine Autorisierungsregel zu einem AWS Client VPN Endpunkt hinzufügen
<a name="cvpn-working-rule-authorize-add"></a>

Sie können eine Autorisierungsregel hinzufügen, um den Zugriff auf einen Client-VPN-Endpunkt zu gewähren oder einzuschränken, indem Sie die verwenden AWS-Managementkonsole. Eine Autorisierungsregel kann einem Client-VPN-Endpunkt entweder über die Amazon VPC-Konsole oder über die Befehlszeile oder API hinzugefügt werden. 

**Um einem Client-VPN-Endpunkt eine Autorisierungsregel hinzuzufügen, verwenden Sie AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, zu dem Sie die Autorisierungsregel hinzufügen möchten, sowie die Optionen **Authorization rules (Autorisierungsregeln)** und **Add authorization rule (Autorisierungsregel hinzufügen)** aus.

1. Geben Sie für **Destination network to enable access (Zielnetzwerk, für das Zugriff ermöglicht werden soll)** die IP-Adresse des Netzwerks in CIDR-Notation ein, auf das Benutzer zugreifen sollen (z. B. den CIDR-Block Ihrer VPC).

1. Geben Sie an, welche Clients auf das angegebene Netzwerk zugreifen dürfen. Führen Sie für die Option **For grant access to (Zum Gewähren von Zugriff auf)** einen der folgenden Schritte aus:
   + Wenn Sie allen Clients Zugriff gewähren möchten, wählen Sie **Allow access to all users (Allen Benutzern Zugriff gewähren)** aus.
   + Um den Zugriff auf bestimmte Clients zu beschränken, wählen Sie **Zugriff für Benutzer in einer bestimmten Zugriffsgruppe zulassen** aus und geben Sie dann unter **Zugriffsgruppen-ID** die ID für die Gruppe ein, für die der Zugriff gewährt werden soll. Zum Beispiel die Sicherheits-ID (SID) einer Active Directory-Gruppe oder die einer Gruppe, die ID/name in einem SAML-basierten Identitätsanbieter (IdP) definiert ist.
     + (Active Directory) Um die SID abzurufen, können Sie das Microsoft ADGroup Powershell-Cmdlet [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) verwenden, zum Beispiel:

       ```
       Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'
       ```

       Alternativ können Sie das Tool „Active Directory-Benutzer und -Computer“ öffnen, die Eigenschaften für die Gruppe anzeigen, zur Registerkarte „Attribut-Editor“ wechseln und den Wert für `objectSID` abrufen. Wählen Sie ggf. zuerst **View (Ansicht)**, **Advanced Features (Erweiterte Funktionen)**, um die Registerkarte „Attribut-Editor“ zu aktivieren.
     + (SAML-basierte Verbundauthentifizierung) Die Gruppe ID/name sollte mit den Gruppenattributinformationen übereinstimmen, die in der SAML-Assertion zurückgegeben werden.

1. Geben Sie unter **Description (Beschreibung)** eine kurze Beschreibung der Autorisierungsregel ein.

1. Wählen Sie **Add authorization rule (Autorisierungsregel hinzufügen)** aus.

**Hinzufügen einer Autorisierungsregel zu einem Client VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).

# Eine Autorisierungsregel von einem AWS Client VPN Endpunkt entfernen
<a name="cvpn-working-rule-remove"></a>

Sie können Autorisierungsregeln für einen bestimmten Client-VPN-Endpunkt mithilfe der Konsole und der entfernen AWS CLI.

**Um Autorisierungsregeln zu entfernen (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, für den die Autorisierungsregel hinzugefügt wurde, und wählen Sie dann **Autorisierungsregeln** aus.

1. Wählen Sie die zu löschende Autorisierungsregel aus, wählen Sie **Autorisierungsregel entfernen** und klicken Sie dann erneut auf **Autorisierungsregel entfernen**, um das Löschen zu bestätigen.

**Um Autorisierungsregeln zu entfernen (AWS CLI)**  
Verwenden Sie den Befehl [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).

# AWS Client VPN Autorisierungsregeln anzeigen
<a name="cvpn-working-rule-view"></a>

Sie können Autorisierungsregeln für einen bestimmten Client VPN-Endpunkt mit der Konsole und der AWS CLI anzeigen.

**So zeigen Sie Autorisierungsregeln an (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, für den die Autorisierungsregeln angezeigt werden sollen, und die Option **Authorization rules (Autorisierungsregeln)** aus.

**So zeigen Sie Autorisierungsregeln an (AWS CLI)**  
Verwenden Sie den Befehl [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).

# AWS Client VPN Sperrlisten für Client-Zertifikate
<a name="cvpn-working-certificates"></a>

Sperrlisten für Client-VPN-Clientzertifikate werden verwendet, um bestimmten Client-Zertifikaten den Zugriff auf einen Client-VPN-Endpunkt zu entziehen. Sie können entweder eine Sperrliste erstellen oder eine vorhandene Liste importieren. Sie können Ihre aktuelle Liste auch als Sperrlistendatei exportieren. Das Generieren einer Liste erfolgt mit der OpenVPN-Software unter Linux/macOS oder unter Windows. Import und Export können entweder über die Amazon VPC-Konsole oder über die AWS CLI erfolgen. 

Weitere Informationen über die Generierung der Server- und Client-Zertifikate und Schlüssel finden Sie unter [Gegenseitige Authentifizierung in AWS Client VPN](mutual.md)

**Anmerkung**  
Wenn eine Sperrliste für Client-Zertifikate abgelaufen ist, können Sie keine Verbindung zum Client-VPN-Endpunkt herstellen. Sie müssen eine neue erstellen und sie in den Client-VPN-Endpunkt importieren. 

Sie können einer Sperrliste für Client-Zertifikate nur eine begrenzte Anzahl von Einträgen hinzufügen. Weitere Hinweise zur Anzahl der Einträge, die Sie einer Sperrliste hinzufügen können, finden Sie unter[Client VPN-Kontingente](limits.md#quotas-endpoints).

**Topics**
+ [Generieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-generate.md)
+ [Importieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-import.md)
+ [Exportieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-export.md)

# Generieren Sie eine Sperrliste für AWS Client VPN Client-Zertifikate
<a name="cvpn-working-certificates-generate"></a>

Sie können eine Sperrliste für Client-VPN-Zertifikate entweder auf einem Linux/macOS oder einem Windows-Betriebssystem erstellen. Die Sperrliste wird verwendet, um bestimmten Zertifikaten den Zugriff auf einen Client-VPN-Endpunkt zu entziehen. Weitere Informationen zu Sperrlisten für Client-Zertifikate finden Sie unter[Client-Zertifikatsperrlisten](cvpn-working-certificates.md).

------
#### [ Linux/macOS ]

Im folgenden Verfahren generieren Sie eine Client-Zertifikatssperrliste mithilfe des Befehlszeilen-Dienstprogramms OpenVPN Easy-RSA.

**So generieren Sie eine Client-Zertifikatssperrliste mit OpenVPN Easy-RSA**

1. Melden Sie sich bei dem Server an, der die easyrsa-Installation hostet, mit der das Zertifikat generiert wurde.

1. Wechseln Sie in den `easy-rsa/easyrsa3`-Ordner in Ihrem lokalen Repository.

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Widerrufen Sie das Client-Zertifikat und erstellen Sie die Client-Widerrufsliste.

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   Geben Sie ein, `yes` wenn Sie aufgefordert werden.

------
#### [ Windows ]

Im folgenden Verfahren wird die OpenVPN-Software verwendet, um eine Client-Sperrliste zu generieren. Es wird davon ausgegangen, dass Sie die [Schritte zur Verwendung der OpenVPN-Software](mutual.md) zum Generieren der Client- und Serverzertifikate und Schlüssel befolgt haben.

**So generieren Sie eine Client-Zertifikatssperrliste mit EasyRSA-Version 3.x.x**

1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zum Verzeichnis EasyRSA-3.x.x, was davon abhängt, wo es auf Ihrem System installiert ist.

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. Führen Sie die `EasyRSA-Start.bat` Datei aus, um die easyRSA-Shell zu starten.

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. Sperren Sie in der EasyRSA-Shell das Client-Zertifikat.

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. Geben Sie `yes` bei Aufforderung ein.

1. Generieren Sie die Client-Sperrliste.

   ```
   # ./easyrsa gen-crl
   ```

1. Die Client-Sperrliste wird am folgenden Speicherort erstellt:

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**So generieren Sie eine Client-Zertifikatssperrliste mit früheren EasyRSA-Versionen**

1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zum OpenVPN-Verzeichnis.

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. Führen Sie die Datei `vars.bat` aus.

   ```
   C:\> vars
   ```

1. Widerrufen Sie das Client-Zertifikat und erstellen Sie die Client-Widerrufsliste.

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# Eine Sperrliste für AWS Client VPN Client-Zertifikate importieren
<a name="cvpn-working-certificates-import"></a>

Sie benötigen eine Datei mit einer Sperrliste für Client-VPN-Clientzertifikate, die importiert werden können. Weitere Informationen zum Generieren einer Client-Zertifikatsperrliste finden Sie unter [Generieren Sie eine Sperrliste für AWS Client VPN Client-Zertifikate](cvpn-working-certificates-generate.md).

Sie können eine Client-Zertifikatssperrliste über die Konsole und die AWS CLI importieren.

**So importieren Sie eine Client-Zertifikatssperrliste (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, für den die Client-Zertifikatsperrliste importiert werden soll.

1. Wählen Sie **Actions (Aktionen)** und dann **Import Client Certificate CRL (Client-Zertifikatsperrlisten importieren)**.

1. Geben Sie für **Certificate Revocation List (Zertifikatssperrliste)** den Inhalt der Client-Zertifikatssperrlistendatei ein und wählen Sie **Import client certificate CRL (Client-Zertifikatssperrliste importieren)** aus.

**So importieren Sie eine Client-Zertifikatssperrliste (AWS CLI)**  
Verwenden Sie den certificate-revocation-list Befehl [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# Exportieren einer Sperrliste für AWS Client VPN Client-Zertifikate
<a name="cvpn-working-certificates-export"></a>

Sie können Sperrlisten für Client-VPN-Clientzertifikate mithilfe der Konsole und der exportieren AWS CLI.

**So exportieren Sie eine Client-Zertifikatssperrliste (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, für den die Client-Zertifikatsperrliste exportiert werden soll.

1. Wählen Sie **Actions (Aktionen)**, **Export Client Certificate CRL (Client-Zertifikatsperrliste exportieren)** und **Export Client Certificate CRL (Client-Zertifikatsperrliste exportieren)** aus.

**So exportieren Sie eine Client-Zertifikatssperrliste (AWS CLI)**  
Verwenden Sie den certificate-revocation-list Befehl [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).

# AWS Client VPN Client-Verbindungen
<a name="cvpn-working-connections"></a>

AWS Client VPN Verbindungen sind aktive VPN-Sitzungen, die von Clients zu einem bestimmten Client-VPN-Endpunkt eingerichtet wurden, sowie Verbindungen, die innerhalb der letzten 60 Minuten für diesen Endpunkt beendet wurden. Eine Verbindung wird hergestellt, wenn ein Client erfolgreich eine Verbindung mit einem Client VPN-Endpunkt aufbaut. Durch das Beenden einer Sitzung wird die Client-Verbindung zum Client-VPN-Endpunkt beendet.

Sie können Client-VPN-Verbindungen anzeigen und beenden. Beim Anzeigen von Verbindungsinformationen werden Informationen wie die aus dem CIDR-Blockbereich des Clients zugewiesene IP-Adresse, die Endpunkt-ID und der Zeitstempel zurückgegeben. Durch das Beenden einer Sitzung wird die angegebene VPN-Verbindung zum Endpunkt beendet. Das Anzeigen und Beenden von Sitzungen kann entweder über die Amazon VPC-Konsole oder die AWS CLI erfolgen. Falls Sie keine Verbindung zum Endpunkt herstellen können und je nach dem Fehler, finden Sie hier die Schritte [Problembehebung AWS Client VPN](troubleshooting.md) zur Lösung des Problems.

**Topics**
+ [Anzeigen von Client-Verbindungen](cvpn-working-connections-view.md)
+ [Beenden einer Client-Verbindung](cvpn-working-connections-disassociate.md)

# AWS Client VPN Client-Verbindungen anzeigen
<a name="cvpn-working-connections-view"></a>

Sie können die aktiven Client-VPN-Verbindungen entweder mit der Amazon VPC-Konsole oder der AWS CLI anzeigen.

**So zeigen Sie Client-VPN-Clientverbindungen an (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, für den Sie die Client-Verbindungen anzeigen möchten.

1. Wählen Sie die Registerkarte **Connections (Verbindungen)** aus. Die Registerkarte **Connections (Verbindungen)** listet alle aktiven und beendeten Client-Verbindungen auf.

**So zeigen Sie Client-VPN-Clientverbindungen an (AWS CLI)**  
Verwenden Sie den [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html)-Befehl.

# Eine AWS Client VPN Client-Verbindung beenden
<a name="cvpn-working-connections-disassociate"></a>

Sie können eine Client-VPN-Client-Verbindung mit der Amazon VPC-Konsole oder der AWS CLI beenden.

**So beenden Sie eine Client-VPN-Clientverbindung (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, mit dem der Client verbunden ist, und wählen Sie **Verbindungen** aus.

1. Wählen Sie die Verbindung aus, die Sie **beenden möchten, klicken Sie auf Verbindung** beenden und wählen Sie dann erneut **Verbindung beenden**, um die Kündigung zu bestätigen.

**Um eine Client-VPN-Clientverbindung zu beenden (AWS CLI)**  
Verwenden Sie den Befehl [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html).

# AWS Client VPN Kunden-Login-Banner
<a name="cvpn-working-login-banner"></a>

AWS Client VPN bietet die Option, ein Textbanner auf AWS bereitgestellten Client-VPN-Desktop-Anwendungen anzuzeigen, wenn eine VPN-Sitzung eingerichtet wird. Sie können den Inhalt des Textbanners so definieren, dass er Ihren regulatorischen und Compliance-Anforderungen entspricht. Es können maximal 1400 UTF-8-kodierte Zeichen verwendet werden.

**Anmerkung**  
Wenn ein Client-Anmelde-Banner aktiviert wurde, wird es nur bei neu erstellten VPN-Sitzungen angezeigt. Bestehende VPN-Sitzungen werden nicht unterbrochen, obwohl das Banner angezeigt wird, wenn eine vorhandene Sitzung wiederhergestellt wird.

## Erstellung von Bannern
<a name="configure-login-banner-endpoint-creation"></a>

Anmeldebanner werden zunächst während der Erstellung des Client-VPN-Endpunkts erstellt und aktiviert. Die Schritte zum Aktivieren eines Client-Login-Banners bei der Erstellung eines Client-VPN-Endpunkts finden Sie unter[Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

**Topics**
+ [Erstellung von Bannern](#configure-login-banner-endpoint-creation)
+ [Konfigurieren Sie ein Client-Anmeldebanner für einen vorhandenen Endpunkt](configure-login-banner-existing-endpoint.md)
+ [Deaktivieren Sie ein Client-Login-Banner für einen Endpunkt](disable-login-banner.md)
+ [Ändern Sie den vorhandenen Bannertext](modify-banner-text.md)
+ [Ein aktuell konfiguriertes Login-Banner anzeigen](display-login-banner.md)

# Konfigurieren Sie ein Client-Login-Banner für einen vorhandenen AWS Client VPN Endpunkt
<a name="configure-login-banner-existing-endpoint"></a>

Führen Sie die folgenden Schritte aus, um ein Client-Anmelde-Banner für einen bestehenden Client-VPN-Endpunkt zu konfigurieren.

**Aktivieren eines Client-Anmelde-Banners für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den zu ändernden Client-VPN-Endpunkt aus, wählen Sie **Actions (Aktionen)** und dann **Modify Client VPN Endpoint (Client VPN-Endpunkt ändern)**.

1. Scrollen Sie auf der Seite nach unten zum Abschnitt **Other Parameters (Weitere Parameter)**.

1. Aktivieren Sie **Enable client login banner (Banner für Client-Anmeldung aktivieren)**.

1. Geben Sie als **Bannertext für die Client-Anmeldung** den Text ein, der auf den AWS bereitgestellten Clients in einem Banner angezeigt wird, wenn eine VPN-Sitzung eingerichtet wird. Verwenden Sie nur UTF-8-kodierte Zeichen, wobei maximal 1 400 Zeichen zulässig sind.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Aktivieren eines Client-Anmelde-Banners für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Deaktivieren Sie ein Client-Login-Banner für einen vorhandenen AWS Client VPN Endpunkt
<a name="disable-login-banner"></a>

Führen Sie die folgenden Schritte aus, um ein Client-Anmelde-Banner für einen bestehenden Client-VPN-Endpunkt zu deaktivieren.

**Deaktivieren eines Client-Anmelde-Banners für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den zu ändernden Client-VPN-Endpunkt, **Actions (Aktionen)** und dann **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

1. Scrollen Sie auf der Seite nach unten zum Abschnitt **Other Parameters (Weitere Parameter)**.

1. Deaktivieren Sie **Enable client login banner? (Banner für Client-Anmeldung aktivieren?)**.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Deaktivieren eines Client-Anmelde-Banners für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Bestehenden Bannertext auf einem AWS Client VPN Endpunkt ändern
<a name="modify-banner-text"></a>

Gehen Sie wie folgt vor, um den vorhandenen Text auf einem Anmeldebanner für einen Client VPN-Client zu ändern.

**Ändern eines vorhandenen Bannertexts für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den zu ändernden Client-VPN-Endpunkt, **Actions (Aktionen)** und dann **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

1. Vergewissern Sie sich, dass **Enable client login banner? (Banner für Client-Anmeldung aktivieren?)** aktiviert ist.

1. Ersetzen Sie für den **Bannertext für die Kundenanmeldung** den vorhandenen Text durch neuen Text, der auf den AWS bereitgestellten Clients in einem Banner angezeigt werden soll, wenn eine VPN-Sitzung eingerichtet wird. Verwenden Sie nur UTF-8-kodierte Zeichen, wobei maximal 1 400 Zeichen zulässig sind.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Ändern eines Client-Anmelde-Banners für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Ein aktuell konfiguriertes AWS Client VPN Login-Banner anzeigen
<a name="display-login-banner"></a>

Gehen Sie wie folgt vor, um ein aktuell konfiguriertes Anmeldebanner für den Client VPN-Client anzuzeigen.

**Anzeigen des aktuellen Anmelde-Banners für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, den Sie anzeigen möchten.

1. Stellen Sie sicher, dass die Registerkarte **Details** ausgewählt ist.

1. Zeigen Sie den aktuell konfigurierten Anmelde-Banner-Text neben **Client login banner text (Text für Client-Anmelde-Banner)** an. 

**Anzeigen des aktuell konfigurierten Anmelde-Banners für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# AWS Client VPN Durchsetzung der Client-Route
<a name="cvpn-working-cre"></a>

Client Route Enforce hilft dabei, vom Administrator definierte Routen auf Geräten durchzusetzen, die über das VPN verbunden sind. Diese Funktion trägt zur Verbesserung Ihrer Sicherheitslage bei, indem sie sicherstellt, dass der Netzwerkverkehr, der von einem verbundenen Client ausgeht, nicht versehentlich aus dem VPN-Tunnel heraus gesendet wird.

Client Route Enforce überwacht die Haupt-Routingtabelle des verbundenen Geräts und stellt sicher, dass ausgehender Netzwerkverkehr gemäß den im Client-VPN-Endpunkt konfigurierten Netzwerkrouten in einen VPN-Tunnel geleitet wird. Dazu gehört das Ändern von Routingtabellen auf einem Gerät, falls Routen erkannt werden, die mit dem VPN-Tunnel in Konflikt stehen. Client Route Enforce unterstützt sowohl Adressfamilien als IPv4 auch IPv6 Adressfamilien.

## Voraussetzungen
<a name="requirements-cre"></a>

Client Route Enforcement funktioniert nur mit den folgenden AWS bereitgestellten Client-VPN-Versionen:
+ Windows-Version 5.2.0 oder höher (IPv4 Unterstützung)
+ macOS Version 5.2.0 oder höher (IPv4 Unterstützung)
+ Ubuntu Version 5.2.0 oder höher (Unterstützung) IPv4 
+ Windows-Version 5.3.0 oder höher (Unterstützung) IPv6 
+ macOS Version 5.3.0 oder höher (IPv6 Unterstützung)
+ Ubuntu-Version 5.3.0 oder höher (Unterstützung) IPv6 

Bei Dual-Stack-Endpunkten gilt die Einstellung für die Client-Routenerzwingung sowohl für beide als auch IPv4 für Stacks gleichzeitig. IPv6 Es ist nicht möglich, Client Route Enforce nur für einen Stack zu aktivieren.

## Routing-Konflikte
<a name="route-conflict-cre"></a>

Während ein Client mit VPN verbunden ist, wird ein Vergleich zwischen der lokalen Routentabelle des Clients und den Netzwerkrouten des Endpunkts durchgeführt. Ein Routingkonflikt tritt auf, wenn es eine Netzwerküberschneidung zwischen zwei Routing-Tabelleneinträgen gibt. Ein Beispiel für überlappende Netzwerke ist:
+ `172.31.0.0/16`
+ `172.31.1.0/24`

In diesem Beispiel stellen diese CIDR-Blöcke einen Routing-Konflikt dar. Dies `172.31.0.0/16` könnte beispielsweise der VPN-Tunnel CIDR sein. Da es spezifischer `172.31.1.0/24` ist, weil es ein längeres Präfix hat, hat es in der Regel Vorrang und leitet den VPN-Verkehr innerhalb des `172.31.1.0/24` IP-Bereichs möglicherweise zu einem anderen Ziel um. Dies könnte zu unbeabsichtigtem Routing-Verhalten führen. Wenn Client Route Enforcement jedoch aktiviert ist, wird letzteres CIDR entfernt. Bei der Verwendung dieser Funktion sollten potenzielle Routingkonflikte berücksichtigt werden.

Vollständige Tunnel-VPN-Verbindungen leiten den gesamten Netzwerkverkehr über die VPN-Verbindung. Daher können Geräte, die mit dem VPN verbunden sind, nicht auf lokale Netzwerkressourcen (LAN) zugreifen, wenn die Funktion Client Route Enforcementation aktiviert ist. Wenn ein lokaler LAN-Zugriff erforderlich ist, sollten Sie den Split-Tunnel-Modus anstelle des Full-Tunnel-Modus verwenden. Weitere Hinweise zum Split-Tunnel finden Sie unter. [Split-Tunnel-Client VPN](split-tunnel-vpn.md)

## Überlegungen
<a name="considerations-cre"></a>

Die folgenden Informationen sollten vor der Aktivierung von Client Route Enforce berücksichtigt werden.
+ Wenn zum Zeitpunkt der Verbindung ein Routingkonflikt erkannt wird, aktualisiert die Funktion die Routing-Tabelle des Clients, sodass der Datenverkehr in den VPN-Tunnel geleitet wird. Die Routen, die vor dem Verbindungsaufbau existierten und durch diese Funktion gelöscht wurden, werden wiederhergestellt.
+ Die Funktion wird nur in der Haupt-Routingtabelle erzwungen und gilt nicht für andere Routing-Mechanismen. Die Durchsetzung wird beispielsweise nicht auf Folgendes angewendet:
  + richtlinienbasiertes Routing
  + Routing mit Schnittstellenbereich
+ Client Route Enforce schützt den VPN-Tunnel, solange er geöffnet ist. Es besteht kein Schutz, nachdem der Tunnel getrennt wurde oder der Client erneut eine Verbindung herstellt.

### Auswirkungen von OpenVPN-Richtlinien auf die Durchsetzung von Cloud-Routen
<a name="considerations-openvpn"></a>

Einige benutzerdefinierte Direktiven in der OpenVPN-Konfigurationsdatei haben spezifische Interaktionen mit Client Route Enforce:
+ Die `route`-Direktive 
  + Beim Hinzufügen von Routen zu einem VPN-Gateway. Zum Beispiel beim Hinzufügen der Route `192.168.100.0 255.255.255.0` zu einem VPN-Gateway.

    Zu einem VPN-Gateway hinzugefügte Routen werden von Client Route Enforce ähnlich wie jede andere VPN-Route überwacht. Alle darin enthaltenen widersprüchlichen Routen werden erkannt und entfernt. 
  + Beim Hinzufügen von Routen zu einem Nicht-VPN-Gateway. Zum Beispiel das Hinzufügen der Route`192.168.200.0 255.255.255.0 net_gateway`.

    Routen, die zu einem Nicht-VPN-Gateway hinzugefügt wurden, sind von der Client Route Enforcement ausgeschlossen, da sie den VPN-Tunnel umgehen. In ihnen sind widersprüchliche Routen zulässig. Im obigen Beispiel wird die Route von der Überwachung durch Client Route Enforce ausgeschlossen. 
  + Ähnlich wie IPv4 Routen werden IPv6 Routen, die einem VPN-Gateway hinzugefügt wurden, von Client Route Enforce überwacht, während Routen, die zu einem Nicht-VPN-Gateway hinzugefügt wurden, von der Überwachung ausgeschlossen werden.

### Ignorierte Routen
<a name="cre-ignored"></a>

Routen zu den folgenden IPv4 Netzwerken werden von Client Route Enforcement ignoriert:
+ `127.0.0.0/8`— Reserviert für den lokalen Host
+ `169.254.0.0/16`— Reserviert für Link-Local-Adressen
+ `224.0.0.0/4`— Reserviert für Multicast
+ `255.255.255.255/32`— Reserviert für die Übertragung

Routen zu den folgenden IPv6 Netzwerken werden von Client Route Enforce ignoriert:
+ `::1/128`— Reserviert für Loopback 
+ `fe80::/10`— Reserviert für Link-Local-Adressen 
+ `ff00::/8`— Reserviert für Multicast 

**Topics**
+ [Voraussetzungen](#requirements-cre)
+ [Routing-Konflikte](#route-conflict-cre)
+ [Überlegungen](#considerations-cre)
+ [Aktivieren Sie die Client-Routenerzwingung](activate-cre.md)
+ [Deaktivieren Sie die Client-Routenerzwingung](deactivate-cre.md)
+ [Problembehandlung bei der Durchsetzung von IPv6 Client-Routen](cre-ipv6-troubleshooting.md)

# Aktivieren Sie Client Route Enforce für einen Endpunkt AWS Client VPN
<a name="activate-cre"></a>

Sie können Client Route Enforce auf vorhandenen Client-VPN-Endpunkten entweder über die Konsole oder die AWS CLI aktivieren.

**So aktivieren Sie Client Route Enforce über die Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client-VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, den Sie ändern möchten, wählen Sie **Aktionen** und dann **Client-VPN-Endpunkt ändern** aus.

1. Scrollen Sie auf der Seite nach unten zum Abschnitt **Other Parameters (Weitere Parameter)**.

1. Aktivieren Sie die **Client-Routenerzwingung**.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Um die Client-Routenerzwingung zu aktivieren, verwenden Sie den AWS CLI)**
+ Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Deaktivieren Sie die Client-Routenerzwingung von einem AWS Client VPN Endpunkt aus
<a name="deactivate-cre"></a>

Sie können Client Route Enforcement auf Client-VPN-Endpunkten entweder über die Konsole oder die AWS CLI deaktivieren.

**Um Client Route Enforce über die Konsole zu deaktivieren**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client-VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, den Sie ändern möchten, wählen Sie **Aktionen** und dann **Client-VPN-Endpunkt ändern** aus.

1. Scrollen Sie auf der Seite nach unten zum Abschnitt **Other Parameters (Weitere Parameter)**.

1. Schalten Sie die **Client-Routenerzwingung** aus.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Um Client Route Enforcement zu deaktivieren, verwenden Sie AWS CLI**
+ Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Problembehandlung bei IPv6 Client Route Enforcement
<a name="cre-ipv6-troubleshooting"></a>

Wenn Sie Probleme mit der IPv6 Client-Routenerzwingung haben, sollten Sie die folgenden Schritte zur Fehlerbehebung in Betracht ziehen:

Überprüfen Sie die Client-Version  
Stellen Sie sicher, dass Sie den AWS VPN Client Version 5.3.0 oder höher verwenden, der für die Unterstützung von IPv6 Client Route Enforce erforderlich ist.

Überprüfen Sie die Endpunktkonfiguration  
Stellen Sie sicher, dass auf dem Endpunkt Client Route Enforcement aktiviert ist und dass er für IPv6 Dual-Stack-Verkehr konfiguriert ist.

Untersuchen Sie die Client-Protokolle  
Überprüfen Sie die AWS-VPN-Client-Protokolle auf Fehlermeldungen im Zusammenhang mit IPv6 Client Route Enforcement. Suchen Sie nach Einträgen, die IPv6 "" und „Client Route Enforcement“ oder „CRM“ enthalten.

Überprüfen Sie die Routing-Tabelle  
Verwenden Sie den entsprechenden Befehl für Ihr Betriebssystem, um die IPv6 Routingtabelle anzuzeigen:  
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`

Suchen Sie nach widersprüchlichen Routen  
Suchen Sie nach IPv6 Routen, die mit den VPN-Routen in Konflikt geraten könnten. Achten Sie besonders auf Routen mit demselben Ziel, aber unterschiedlichen Gateways.

Überprüfen Sie die ISP-Unterstützung IPv6   
Stellen Sie sicher, dass Ihr Internetdienstanbieter (ISP) die Software ordnungsgemäß unterstützt. IPv6

Wenn Sie nach dem Ausführen dieser Schritte zur Fehlerbehebung weiterhin Probleme mit IPv6 Client Route Enforcement haben, wenden Sie sich an den AWS-Support, um weitere Support zu erhalten.

# AWS Client VPN Endpunkte
<a name="cvpn-working-endpoints"></a>

Alle AWS Client VPN Sitzungen stellen die Kommunikation mit einem Client-VPN-Endpunkt her. Sie können den Client-VPN-Endpunkt verwalten, um Client-VPN-Sitzungen mit diesem Endpunkt zu erstellen, zu ändern, anzuzeigen und zu löschen. Endpoints können entweder mit der Amazon VPC-Konsole oder mit der CLI erstellt und geändert werden. AWS 

## Anforderungen für die Erstellung von Client-VPN-Endpunkten
<a name="cvpn-working-create-req"></a>

**Wichtig**  
Ein Client-VPN-Endpunkt muss in demselben AWS Konto erstellt werden, in dem das vorgesehene Zielnetzwerk bereitgestellt wird. Sie müssen außerdem ein Serverzertifikat und, falls erforderlich, ein Client-Zertifikat generieren. Weitere Informationen finden Sie unter [Client-Authentifizierung in AWS Client VPN](client-authentication.md).

Bevor Sie beginnen, stellen Sie sicher, dass Folgendes erledigt ist:
+ Überprüfen Sie die Regeln und Einschränkungen in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).
+ Generieren Sie das Serverzertifikat und, falls erforderlich, das Client-Zertifikat. Weitere Informationen finden Sie unter [Client-Authentifizierung in AWS Client VPN](client-authentication.md).

## IP-Adresstypen
<a name="cvpn-ip-address-types"></a>

AWS Client VPN unterstützt Only-, IPv4 IPv6 -only- und Dual-Stack-Konfigurationen sowohl für Endpunktkonnektivität als auch für Datenverkehrs-Routing. Die folgende Anleitung hilft Ihnen bei der Auswahl des geeigneten IP-Adresstyps auf der Grundlage der Funktionen Ihres Client-Geräts, der Netzwerkinfrastruktur und der Anwendungsanforderungen.

### Adresstyp des Endpunkts
<a name="cvpn-endpoint-types"></a>

Der Adresstyp des Endpunkts bestimmt, welche IP-Protokolle Ihr Client-VPN-Endpunkt für Client-Verbindungen unterstützt. Diese Einstellung kann nach der Erstellung des Endpunkts nicht geändert werden.

**Wählen Sie IPv4 -nur, wenn:**
+ Ihre Client-Geräte unterstützen nur IPv4 VPN-Verbindungen
+ Ihre Sicherheitstools sind für die IPv4 Verkehrsinspektion optimiert

**Wählen Sie „ IPv6Nur“, wenn:**
+ Alle Client-Geräte unterstützen IPv6 Verbindungen in vollem Umfang
+ Sie befinden sich in Netzwerken, in denen die IPv4 Adressen erschöpft sind

**Wählen Sie Dual-Stack, wenn:**
+ Sie haben eine Mischung aus Client-Geräten mit unterschiedlichen IP-Funktionen
+ Sie wechseln schrittweise von zu IPv4 IPv6

### Art der IP-Adresse des Verkehrs
<a name="cvpn-traffic-ip-considerations"></a>

Der Verkehrs-IP-Adresstyp steuert, wie Client VPN den Verkehr zwischen Clients und Ihren VPC-Ressourcen weiterleitet, unabhängig von den unterstützten Protokollen des Endpunkts.

**Leiten Sie den Verkehr so weiter, IPv4 wenn:**
+ Unterstützung nur für Zielanwendungen in Ihrer VPC IPv4
+ Sie haben komplexe IPv4 Sicherheitsgruppen und ein komplexes Netzwerk ACLs
+ Sie stellen eine Verbindung zu älteren Systemen her

**Leiten Sie den Verkehr so weiter IPv6 , wie wenn:**
+ Ihre VPC-Infrastruktur ist in erster Linie IPv6
+ Sie möchten Ihre Netzwerkarchitektur zukunftssicher machen
+ Sie haben moderne Anwendungen entwickelt für IPv6

## Änderung von Endpunkten
<a name="cvpn-endpoints-modify-req"></a>

**Anmerkung**  
Client-VPN-Endpunkte, die mit dem Schnellstart-Setup erstellt wurden, können mit den gleichen Verfahren geändert werden wie Endpunkte, die mit der Standardkonfiguration erstellt wurden. Alle Konfigurationsoptionen sind unabhängig von der bei der Erstellung verwendeten Einrichtungsmethode verfügbar.

Nachdem ein Client-VPN erstellt wurde, können Sie jede der folgenden Einstellungen ändern: 
+ Die Beschreibung.
+ Das Serverzertifikat
+ Die Client-Verbindungsprotokollierungsoptionen
+ Die Client-Connect-Handler-Option
+ Die DNS-Server
+ Die Split-Tunnel-Option
+ Routen (bei Verwendung der Split-Tunnel-Option)
+ Zertifikatsperrliste (CRL)
+ Autorisierungsregeln
+ Die VPC- und Sicherheitsgruppenzuordnungen
+ Die VPN-Portnummer
+ Die Self-Service-Portal-Option
+ Die maximale VPN-Sitzungsdauer
+ Aktivieren oder deaktivieren Sie die automatische Wiederverbindung bei Sitzungs-Timeout
+ Bannertext für Client-Anmeldung aktivieren oder deaktivieren
+ Bannertext für Client-Anmeldung

**Anmerkung**  
Nach der Annahme einer Anfrage vom Client-VPN-Service kann es bis zu 4 Stunden dauern, bis Änderungen an Client-VPN-Endpunkten wirksam werden, einschließlich Änderungen an der Client-Zertifikatsperrliste (Certificate Revocation List, CRL).  
Sie können den IPv4 CIDR-Bereich des Clients, die Authentifizierungsoptionen, das Client-Zertifikat oder das Transportprotokoll nicht ändern, nachdem der Client-VPN-Endpunkt erstellt wurde.

Wenn Sie einen der folgenden Parameter auf einem Client-VPN-Endpunkt ändern, wird die Verbindung zurückgesetzt:
+ Das Serverzertifikat
+ Die DNS-Server
+ Die Split-Tunnel-Option (Unterstützung ein- oder ausschalten)
+ Routen (wenn Sie die Split-Tunnel-Option verwenden)
+  Zertifikatsperrliste (CRL)
+ Autorisierungsregeln
+ Die VPN-Portnummer

**Topics**
+ [Anforderungen für die Erstellung von Client-VPN-Endpunkten](#cvpn-working-create-req)
+ [IP-Adresstypen](#cvpn-ip-address-types)
+ [Änderung des Endpunkts](#cvpn-endpoints-modify-req)
+ [Endpunkt herstellen](cvpn-working-endpoint-create.md)
+ [-Endpunkte anzeigen](cvpn-working-endpoint-view.md)
+ [Ändern Sie einen Endpunkt](cvpn-working-endpoint-modify.md)
+ [Löschen eines Endpunkts](cvpn-working-endpoint-delete.md)

# Einen AWS Client VPN Endpunkt erstellen
<a name="cvpn-working-endpoint-create"></a>

Erstellen Sie einen AWS Client VPN Endpunkt, damit Ihre Kunden eine VPN-Sitzung entweder mit der Amazon VPC-Konsole oder der Amazon VPC-Konsole einrichten können.AWS CLI Client VPN unterstützt bei der ersten Erstellung alle Kombinationen von Endpunkttypen (Split-Tunnel und Full-Tunnel) mit Datenverkehrstyp (IPv4 IPv6, und Dual-Stack). 

Machen Sie sich mit den Anforderungen vertraut, bevor Sie einen Endpunkt erstellen. Weitere Informationen finden Sie unter [Anforderungen für die Erstellung von Client-VPN-Endpunkten](cvpn-working-endpoints.md#cvpn-working-create-req).

**So erstellen Sie einen Client-VPN-Endpunkt mit der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** und dann **Create Client VPN Endpoint (Client VPN-Endpunkt erstellen)** aus.

1. Wählen Sie unter „Einrichtungsmethode wählen“ eine der folgenden Optionen aus: 
   + Schnellstart — Erstellen Sie einen Endpunkt mit von AWS empfohlenen Standardeinstellungen
   + Standard — Konfigurieren Sie alle Einstellungen für den Endpunkt manuell

**Schnellstart-Setup:**

1. Wählen Sie unter „Einrichtungsmethode wählen“ die Option Schnellstart.

1.  Geben Sie für „Client IPv4 CIDR“ den IP-Adressbereich ein, aus dem Client-IP-Adressen zugewiesen werden sollen. AWS empfiehlt die Verwendung eines /22-CIDR-Blocks (z. B. 10.0.0.0/22). 

1.  Wählen Sie für „VPC“ die VPC aus, die dem Client-VPN-Endpunkt zugeordnet werden soll. 

1.  Wählen Sie für „Subnetze“ ein oder mehrere Subnetze in der VPC aus. Diese Subnetze werden für Zielnetzwerkzuordnungen verwendet. 

1.  Geben Sie unter Server certificate ARN (Serverzertifikat-ARN) den ARN für das TLS-Zertifikat an, das vom Server verwendet wird. Clients nutzen zur Authentifizierung des Client VPN-Endpunkts, mit dem sie eine Verbindung herstellen, das Serverzertifikat. 

1.  Wählen Sie „Client-VPN-Endpunkt erstellen“. 

AWS erstellt automatisch die folgenden Ressourcen: 
+ Autorisierungsregel, die allen Benutzern den Zugriff auf die VPC CIDR ermöglicht
+ Zielnetzwerkverknüpfung mit den ausgewählten VPC-Subnetzen
+ Routentabelleneinträge für die VPC CIDR

 Nachdem der Endpunkt erstellt wurde, können Sie die Client-Konfigurationsdatei von der Endpunktdetailseite herunterladen und sie zusammen mit dem Client-Zertifikat und dem Schlüssel an Ihre Benutzer verteilen. 

**Standardkonfiguration:**

1. Wählen Sie unter „Einrichtungsmethode wählen“ die Option Standard aus.

1. (Optional) Geben Sie ein Namens-Tag und eine Beschreibung für den Client-VPN-Endpunkt ein.

1. Wählen Sie **unter Endpunkt-IP-Adresstyp** den IP-Adresstyp für den Endpunkt aus:
   + **IPv4**: Der Endpunkt verwendet IPv4 Adressen für den externen VPN-Tunnelverkehr.
   + **IPv6**: Der Endpunkt verwendet IPv6 Adressen für den externen VPN-Tunnelverkehr.
   + **Dual-Stack**: Der Endpunkt verwendet IPv4 sowohl IPv6 Adressen als auch Adressen für den externen VPN-Tunnelverkehr.

1. Wählen Sie **unter Verkehrs-IP-Adresstyp** den IP-Adresstyp für den Datenverkehr aus, der über den Endpunkt fließt:
   + **IPv4**: Der Endpunkt unterstützt nur IPv4 Datenverkehr.
   + **IPv6**: Der Endpunkt unterstützt nur IPv6 Verkehr.
   + **Dual-Stack**: Der Endpunkt unterstützt IPv4 sowohl IPv6 Datenverkehr als auch.

1. Geben Sie für **Client IPv4 CIDR** einen IP-Adressbereich in CIDR-Notation an, aus dem Client-IP-Adressen zugewiesen werden sollen. Beispiel, `10.0.0.0/22`. Dies ist erforderlich, wenn Sie für den IP-Adresstyp Traffic IPv4 oder Dual-Stack ausgewählt haben.
**Anmerkung**  
Der IP-Adressbereich darf sich nicht mit dem Zielnetzwerk-Adressbereich, dem VPC-Adressbereich oder einer der Routen überschneiden, die dem Client-VPN-Endpunkt zugeordnet werden. Der Client-Adressbereich muss eine CIDR-Blockgröße von mindestens /22 und maximal /12 aufweisen. Sie können den Client-Adressbereich nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.
Wenn Sie IPv6 als Endpunkt-IP-Adresstyp auswählen, ist das Feld Client IPv4 CIDR deaktiviert. Der Client-VPN-Endpunkt weist IPv6 Clientadressen aus einem zugehörigen Subnetz zu, und Sie können das Subnetz zuordnen, nachdem Sie den Endpunkt erstellt haben.
**Anmerkung**  
Für den IPv6 Datenverkehr müssen Sie keinen Client-CIDR-Bereich angeben. Amazon weist Kunden automatisch IPv6 CIDR-Bereiche zu.

1. Geben Sie unter **Server certificate ARN (Serverzertifikat-ARN)** den ARN für das TLS-Zertifikat an, das vom Server verwendet wird. Clients nutzen zur Authentifizierung des Client VPN-Endpunkts, mit dem sie eine Verbindung herstellen, das Serverzertifikat.
**Anmerkung**  
Das Serverzertifikat muss in AWS Certificate Manager(ACM) in der Region vorhanden sein, in der Sie den Client-VPN-Endpunkt erstellen. Das Zertifikat kann entweder mit ACM bereitgestellt oder in ACM importiert werden.  
Die Schritte zum Bereitstellen oder Importieren eines Zertifikats in ACM finden Sie unter [AWS Certificate Manager Zertifikate](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) im *AWS Certificate Manager Benutzerhandbuch*.

1. Geben Sie die Authentifizierungsmethode zum Authentifizieren von Clients an, die verwendet werden soll, wenn diese eine VPN-Verbindung herstellen. Sie müssen eine Authentifizierungsmethode auswählen.
   + Um die benutzerbasierte Authentifizierung zu verwenden, wählen Sie **Benutzerbasierte Authentifizierung verwenden** und dann eine der folgenden Optionen aus:
     + **Active Directory-Authentifizierung**: Wählen Sie diese Option für die Active Directory-Authentifizierung. Geben Sie bei **Verzeichnis-ID** die ID des zu verwendenden Active Directory-Verzeichnisses an.
     + **Verbundauthentifizierung**: Wählen Sie diese Option für die SAML-basierte Verbundauthentifizierung. 

       Geben Sie für **SAML-Anbieter-ARN** den ARN des IAM-SAML-Identitätsanbieters an. 

       (Optional) Geben Sie unter **Self-service SAML provider ARN (ARN des Self-Service-SAML-Anbieters)** ggf. den ARN des IAM SAML-Identitätsanbieters an, den Sie zur [Unterstützung des Self-Service-Portals](federated-authentication.md#saml-self-service-support) erstellt haben.
   + Um die gegenseitige Zertifikatsauthentifizierung zu **verwenden, wählen Sie Gegenseitige Authentifizierung** verwenden aus, und geben Sie dann für **Client-Zertifikat-ARN** den ARN des Client-Zertifikats an, das in AWS Certificate Manager(ACM) bereitgestellt wird.
**Anmerkung**  
Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats für den Server und den Client verwenden. Wenn das Clientzertifikat von einer anderen Zertifizierungsstelle ausgestellt wurde, sollte der ARN des Clientzertifikats angegeben werden.

1. (Optional) Geben Sie für die **Verbindungsprotokollierung** an, ob Daten über Client-Verbindungen mithilfe von Amazon CloudWatch Logs protokolliert werden sollen. Aktivieren Sie **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren)**. Geben Sie **unter CloudWatch Logs-Protokollgruppenname** den Namen der zu verwendenden Protokollgruppe ein. Geben Sie **CloudWatch unter Log-Log-Stream-Name** den Namen des Log-Streams ein, der verwendet werden soll, oder lassen Sie diese Option leer, damit wir einen Log-Stream für Sie erstellen können. 

1. (Optional) Aktivieren Sie unter **Client Connect Handler** die Option **Enable client connect handler (Client-Connect-Handler aktivieren)**, um benutzerdefinierten Code auszuführen, der eine neue Verbindung mit dem Client-VPN-Endpunkt ermöglicht oder verweigert. Geben Sie unter **Client Connect Handler-ARN**, den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, die die Logik enthält, die Verbindungen zulässt oder verweigert.

1. (Optional) Geben Sie an, welche DNS-Server für die DNS-Auflösung verwendet werden sollen. Um benutzerdefinierte DNS-Server zu verwenden, geben Sie für **DNS-Server-1-IP-Adresse** und **DNS-Server-2-IP-Adresse** die IPv4 Adressen der zu verwendenden DNS-Server an. Für IPv6 oder Dual-Stack-Endpunkte können Sie auch die Adressen für **DNS-Server IPv6 1** und **DNS-Server IPv6 2** angeben. Zur Verwendung von VPC-DNS-Servern für **DNS Server 1 IP address (IP-Adresse für DNS-Server 1)** oder **DNS Server 2 IP address (IP-Adresse für DNS Server 2)** geben Sie die IP-Adressen ein und fügen die IP-Adresse für die VPC DNS-Server hinzu.
**Anmerkung**  
Stellen Sie sicher, dass die DNS-Servern von den Clients erreicht werden können.

1. (Optional) Standardmäßig verwendet der Client-VPN-Endpunkt das `UDP`-Transportprotokoll. Wenn Sie stattdessen das `TCP`-Transportprotokoll verwenden möchten, wählen Sie als **Transport Protocol (Transportprotokoll)** **TCP** aus.
**Anmerkung**  
UDP bietet in der Regel eine bessere Leistung als TCP. Sie können das Transportprotokoll nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.

1. (Optional) Wenn der Endpunkt ein Client-VPN-Endpunkt mit geteiltem Tunnel sein soll, aktivieren Sie **Enable split-tunnel (Split-Tunnel aktivieren)**. Standardmäßig ist Split Tunneling auf einem Client-VPN-Endpunkt deaktiviert.

1. (Optional) Wählen Sie unter **VPC ID** die VPC, die dem Client-VPN-Endpunkt zugeordnet werden soll. Wählen Sie für **Sicherheitsgruppe IDs** eine oder mehrere Sicherheitsgruppen der VPC aus, die auf den Client-VPN-Endpunkt angewendet werden sollen.

1. (Optional) Wählen Sie für **VPN Port** die VPN-Portnummer. Der Standardwert ist 443.

1. (Optional) Um eine [Self-Service-Portal-URL](cvpn-self-service-portal.md) für Kunden zu generieren, aktivieren Sie **Enable self-service portal (Self-Service-Portal aktivieren)**.

1. (Optional) Wählen Sie bei **Session timeout hours (Sitzungszeitüberschreitungsstunden)** die gewünschte maximale VPN-Sitzungsdauer in Stunden aus den verfügbaren Optionen oder lassen Sie sie auf den Standardwert von 24 Stunden eingestellt.

1. (Optional) Wählen **Sie unter Verbindung bei Sitzungstimeout trennen aus**, ob Sie die Sitzung beenden möchten, wenn die maximale Sitzungszeit erreicht ist. Wenn Sie diese Option wählen, müssen Benutzer manuell erneut eine Verbindung zum Endpunkt herstellen, wenn die Sitzung abgelaufen ist. Andernfalls versucht Client VPN automatisch, die Verbindung wiederherzustellen.

1. (Optional) Geben Sie an, ob der Bannertext für die Client-Anmeldung aktiviert sein soll. Aktivieren Sie **Enable client login banner (Banner für Client-Anmeldung aktivieren)**. Geben Sie bei **Client Login Banner Text (Bannertext für die Client-Anmeldung)** den Text ein, der in einem Banner auf AWS-bereitgestellten Clients angezeigt wird, wenn eine VPN-Sitzung eingerichtet wird. Nur UTF-8-kodierte Zeichen. Maximal 1 400 Zeichen.

1. Wählen Sie **Create Client VPN endpoint (Client-VPN-Endpunkt erstellen)** aus.

Führen Sie nach dem Erstellen des Client-VPN-Endpunkts die folgenden Schritte aus, um die Konfiguration abzuschließen und Clients das Herstellen einer Verbindung zu ermöglichen:
+ Der anfängliche Status des Client VPN-Endpunkts ist `pending-associate`. Clients können erst dann eine Verbindung mit dem Client-VPN-Endpunkt herstellen, nachdem Sie das erste [Zielnetzwerk](cvpn-working-target-associate.md) zugeordnet haben.
+ Erstellen Sie eine [Autorisierungsregel](cvpn-working-rules.md), um anzugeben, welche Clients Zugriff auf das Netzwerk haben.
+ Laden Sie die [Konfigurationsdatei](cvpn-working-endpoint-export.md) für den Client-VPN-Endpunkt herunter und bereiten Sie sie vor, um sie an Ihre Clients zu verteilen.
+ Weisen Sie Ihre Clients an, den AWS bereitgestellten Client oder eine andere OpenVPN-basierte Client-Anwendung zu verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen. Weitere Informationen finden Sie im [AWS Client VPN-Benutzerhandbuch](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).

**Um einen Client-VPN-Endpunkt mit dem zu erstellen AWS CLI**  
Verwenden Sie den Befehl [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).

Beispiel für die Erstellung eines IPv4 Endpunkts:

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Beispiel für die Erstellung eines IPv6 Endpunkts:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Beispiel für die Erstellung eines Dual-Stack-Endpunkts:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# AWS Client VPN Endpunkte anzeigen
<a name="cvpn-working-endpoint-view"></a>

Sie können Informationen zu Client-VPN-Endpunkten mit der Amazon VPC-Konsole oder dem anzeigen. AWS CLI

**So zeigen Sie Client-VPN-Endpunkte an (Konsole):**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, den Sie anzeigen möchten.

1. Verwenden Sie die Registerkarten **Details**, **Target network associations (Zielnetzwerkzuordnungen)**, **Security groups (Sicherheitsgruppen)**, **Authorization rules (Autorisierungsregeln)**, **Route table (Routing-Tabelle)**, **Connections (Verbindungen)** und **Tags**, um Informationen über vorhandene Client-VPN-Endpunkte anzuzeigen.

   Sie können auch Filter verwenden, um Ihre Suche zu verfeinern.

**So zeigen Sie Client-VPN-Endpunkte an (AWS CLI):**  
Verwenden Sie den [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html)-Befehl.

# Einen AWS Client VPN Endpunkt ändern
<a name="cvpn-working-endpoint-modify"></a>

Sie können einen Client-VPN-Endpunkt mithilfe der Amazon VPC-Konsole oder der AWS CLIändern. Weitere Informationen zu den Feldern, die Sie bearbeiten können, finden Sie unter[Änderung von Endpunkten](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).

## Einschränkungen
<a name="endpoints-limits"></a>

Bei der Änderung eines Endpunkts gelten die folgenden Einschränkungen 
+  Nach der Annahme einer Anfrage vom Client-VPN-Service kann es bis zu 4 Stunden dauern, bis Änderungen an Client-VPN-Endpunkten wirksam werden, einschließlich Änderungen an der Client-Zertifikatsperrliste (Certificate Revocation List, CRL).
+ Sie können den IPv4 CIDR-Bereich des Clients, die Authentifizierungsoptionen, das Client-Zertifikat oder das Transportprotokoll nicht ändern, nachdem der Client-VPN-Endpunkt erstellt wurde.
+ Sie können bestehende IPv4 Endpunkte sowohl für Endpunkt-IP- als auch für Verkehrs-IP-Typen auf Dual-Stack umstellen. Wenn Sie IPv6 -nur für Endpunkt-IP und Traffic-IP benötigen, müssen Sie einen neuen Endpunkt erstellen.
+ Client VPN unterstützt keine Änderung des Endpunkttyps (IPv4, IPv6, Dual-Stack) oder des Datenverkehrstyps (IPv4, IPv6, Dual-Stack) nach der Erstellung.
+ Das Ändern eines Client VPN mit einer bestimmten Kombination aus Endpunkttyp und Verkehrstyp wird nicht unterstützt. Sie können nicht zu einer anderen Kombination wechseln. Der Endpunkt muss gelöscht und mit der gewünschten Konfiguration neu erstellt werden.
+ Client-to-client Die Kommunikation für IPv6 den Verkehr wird nicht unterstützt.

## Ändern eines Client-VPN-Endpunkts
<a name="endpoint-modify"></a>

Sie können einen Client-VPN-Endpunkt entweder mit der Konsole oder dem ändern AWS CLI. 

**So ändern Sie einen Client-VPN-Endpunkt mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den zu ändernden Client-VPN-Endpunkt, **Actions (Aktionen)** und dann **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

1. Geben Sie unter **Description (Beschreibung)** eine kurze Beschreibung für den Client-VPN-Endpunkt ein.

1. Für den **Endpunkt-IP-Adresstyp** können Sie einen vorhandenen IPv4 Endpunkt in Dual-Stack ändern. Diese Option ist nur für IPv4 Endpunkte verfügbar.

1. Für den **IP-Adresstyp Traffic** können Sie einen vorhandenen IPv4 Endpunkt in einen Dual-Stack-Endpunkt ändern. Diese Option ist nur für IPv4 Endpunkte verfügbar.

1. Geben Sie unter **Server certificate ARN (Serverzertifikat-ARN)** den ARN für das TLS-Zertifikat an, das vom Server verwendet wird. Clients nutzen zur Authentifizierung des Client VPN-Endpunkts, mit dem sie eine Verbindung herstellen, das Serverzertifikat.
**Anmerkung**  
Das Serverzertifikat muss in AWS Certificate Manager (ACM) in der Region vorhanden sein, in der Sie den Client-VPN-Endpunkt erstellen. Das Zertifikat kann entweder mit ACM bereitgestellt oder in ACM importiert werden.

1. Geben Sie an, ob Daten über Client-Verbindungen mithilfe von Amazon CloudWatch Logs protokolliert werden sollen. Führen Sie für **Do you want to log details on client connections? (Möchten Sie Details zu Client-Verbindungen protokollieren)** einen der folgenden Schritte aus:
   + Wenn Sie die Client-Verbindungsprotokollierung aktivieren möchten, aktivieren Sie die Option **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren)**. Wählen Sie **unter CloudWatch Logs-Protokollgruppenname** den Namen der zu verwendenden Protokollgruppe aus. Wählen Sie unter **Name des CloudWatch Protokolldatenstroms** den Namen des zu verwendenden Log-Streams aus, oder lassen Sie diese Option leer, damit wir einen Log-Stream für Sie erstellen können.
   + Wenn Sie die Client-Verbindungsprotokollierung deaktivieren möchten, deaktivieren Sie die Option **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren)**.

1. Für **Client Connect Handler** gilt Folgendes: Wenn Sie den [Client-Connect-Handler](connection-authorization.md) aktivieren möchten, aktivieren Sie die Option **Enable client connect handler (Client-Connect-Handler aktivieren)**. Geben Sie unter **Client Connect Handler-ARN**, den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, die die Logik enthält, die Verbindungen zulässt oder verweigert.

1. Aktivieren oder deaktivieren Sie die Option **Enable DNS servers (DNS-Server aktivieren)**. Um benutzerdefinierte DNS-Server zu verwenden, geben Sie für **DNS-Server-1-IP-Adresse** und **DNS-Server-2-IP-Adresse** die IPv4 Adressen der zu verwendenden DNS-Server an. Für IPv6 oder Dual-Stack-Endpunkte können Sie auch die Adressen für **DNS-Server IPv6 1** und **DNS-Server IPv6 2** angeben. Zur Verwendung von VPC-DNS-Servern für **DNS Server 1 IP address (IP-Adresse für DNS-Server 1)** oder **DNS Server 2 IP address (IP-Adresse für DNS Server 2)** geben Sie die IP-Adressen ein und fügen die IP-Adresse für die VPC DNS-Server hinzu.
**Anmerkung**  
Stellen Sie sicher, dass die DNS-Servern von den Clients erreicht werden können.

1. Aktivieren oder deaktivieren Sie die Option **Enable split-tunnel (Split-Tunnel aktivieren)**. Standardmäßig ist Split Tunneling auf einem VPN-Endpunkt deaktiviert.

1. Wählen Sie unter **VPC ID** die VPC aus, die dem Client-VPN-Endpunkt zugeordnet werden soll. Wählen Sie für **Sicherheitsgruppe IDs** eine oder mehrere Sicherheitsgruppen der VPC aus, die auf den Client-VPN-Endpunkt angewendet werden sollen.

1. Wählen Sie für **VPN Port** die VPN-Portnummer. Der Standardwert ist 443.

1. Um eine [Self-Service-Portal-URL](cvpn-self-service-portal.md) für Kunden zu generieren, aktivieren Sie **Enable self-service portal (Self-Service-Portal aktivieren)**.

1. Wählen Sie bei **Session timeout hours (Sitzungszeitüberschreitungsstunden)** die gewünschte maximale VPN-Sitzungsdauer in Stunden aus den verfügbaren Optionen aus oder lassen Sie sie auf den Standardwert von 24 Stunden eingestellt.

1. Wählen **Sie für Disconnect on session timeout aus**, ob Sie die Sitzung beenden möchten, wenn die maximale Sitzungszeit erreicht ist. Wenn Sie diese Option wählen, müssen Benutzer manuell erneut eine Verbindung zum Endpunkt herstellen, wenn die Sitzung abgelaufen ist. Andernfalls versucht Client VPN automatisch, die Verbindung wiederherzustellen.

1. Aktivieren oder deaktivieren Sie **Enable client login banner (Banner für Client-Anmeldung aktivieren)**. Wenn Sie das Banner für die Client-Anmeldung verwenden möchten, geben Sie den Text ein, der in einem Banner auf AWS-bereitgestellten Clients angezeigt wird, wenn eine VPN-Sitzung eingerichtet wird. Nur UTF-8-kodierte Zeichen. Maximal 1 400 Zeichen.

1. Wählen Sie **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

**Um einen Client-VPN-Endpunkt mit dem zu ändern AWS CLI**  
Verwenden Sie den [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html)-Befehl.

Beispiel für die Änderung eines IPv4 Endpunkts auf Dual-Stack:

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# Löschen Sie einen AWS Client VPN Endpunkt
<a name="cvpn-working-endpoint-delete"></a>

Sie müssen die Zuordnung aller Zielnetzwerke trennen, bevor Sie einen Client-VPN-Endpunkt löschen können. Wenn Sie einen Client-VPN-Endpunkt löschen, ändert sich dessen Status zu `deleting` und Clients können sich nicht mehr mit diesem verbinden. 

Sie können einen Client-VPN-Endpunkt löschen, indem Sie die Konsole oder die AWS CLI verwenden.

**So löschen Sie einen Client VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, den Sie löschen möchten. Wählen Sie **Actions (Aktionen)**,**Delete Client VPN endpoint (Client–VPN-Endpunkt löschen)** aus.

1. Geben Sie *Delete (Löschen)* im Bestätigungsfenster an und wählen Sie **Delete (Löschen)** aus.

**Löschen eines Client-VPN-Endpunkts (AWS CLI)**  
Verwenden Sie den [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html)-Befehl.

# AWS Client VPN Verbindungsprotokolle
<a name="cvpn-working-with-connection-logs"></a>

Sie können die Verbindungsprotokollierung für einen neuen oder einen vorhandenen Client-VPN-Endpunkt aktivieren und mit der Erfassung von Verbindungsprotokollen beginnen. Verbindungsprotokolle zeigen die Reihenfolge der Protokollereignisse für den Client-VPN-Endpunkt. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokolldatenstrom angeben, erstellt der Client-VPN-Service einen für Sie. In der Verbindungsprotokollierung werden dann die folgenden Informationen protokolliert: Verbindungsanfragen des Clients, Ergebnisse der Client-Verbindung (erfolgreich oder nicht erfolgreich), Gründe für erfolglose Verbindungsergebnisse und Zeitpunkt der Client-Beendigung vom Endpunkt aus. 

Bevor Sie beginnen, muss Ihr Konto über eine Protokollgruppe „ CloudWatch Protokolle“ verfügen. Weitere Informationen finden Sie unter [Arbeiten mit Protokollgruppen und Protokollstreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. Für die Nutzung von CloudWatch Logs fallen Gebühren an. Weitere Informationen finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

Client-VPN-Verbindungsprotokolle können entweder mit der Amazon VPC-Konsole oder der AWS CLI erstellt werden.

**Topics**
+ [Aktivieren der Verbindungsprotokollierung für einen neuen -Endpunkt](create-connection-log-new.md)
+ [Verbindungsprotokollierung für einen vorhandenen -Endpunkt aktivieren](create-connection-log-existing.md)
+ [Verbindungsprotokolle anzeigen](view-connection-logs.md)
+ [Deaktivieren der Verbindungsprotokollierung](disable-connection-logs.md)

# Verbindungsprotokollierung für einen neuen AWS Client VPN Endpunkt aktivieren
<a name="create-connection-log-new"></a>

Sie können die Verbindungsprotokollierung aktivieren, wenn Sie einen neuen Client-VPN-Endpunkt mithilfe der Konsole oder der Befehlszeile erstellen.

**So aktivieren Sie die Verbindungsprotokollierung für einen neuen Client-VPN-Endpunkt mit der Konsole:**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client-VPN-Endpunkte)** und dann **Create Client VPN endpoint (Client-VPN-Endpunkt erstellen)** aus.

1. Füllen Sie die Optionen aus, bis Sie den Abschnitt **Connection Logging (Verbindungsprotokollierung)** erreichen. Weitere Informationen zu diesen Optionen finden Sie unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Aktivieren Sie unter **Connection logging (Verbindungsprotokollierung)** die Option **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren**.

1. Wählen Sie unter **Name der CloudWatch Logs-Protokollgruppe** den Namen der CloudWatch Logs-Protokollgruppe aus.

1. (Optional) Wählen Sie unter **Name des CloudWatch Logs-Log-Streams** den Namen des CloudWatch Logs-Log-Streams aus.

1. Wählen Sie **Create Client VPN endpoint (Client-VPN-Endpunkt erstellen)** aus.

**Um die Verbindungsprotokollierung für einen neuen Client-VPN-Endpunkt zu aktivieren, verwenden Sie den AWS CLI**  
Verwenden Sie den [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)Befehl und geben Sie den `--connection-log-options` Parameter an. Sie können die Verbindungsprotokolle wie im folgenden Beispiel gezeigt im JSON-Format angeben.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# Verbindungsprotokollierung für einen vorhandenen AWS Client VPN Endpunkt aktivieren
<a name="create-connection-log-existing"></a>

Sie können die Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt über die Konsole oder die Befehlszeile aktivieren.

**So aktivieren Sie die Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt mit der Konsole:**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, wählen Sie **Actions (Aktionen)** und dann **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

1. Aktivieren Sie unter **Connection logging (Verbindungsprotokollierung)** die Option **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren**.

1. Wählen Sie unter **Name der CloudWatch Logs-Protokollgruppe** den Namen der CloudWatch Logs-Protokollgruppe aus.

1. (Optional) Wählen Sie unter **Name des CloudWatch Logs-Log-Streams** den Namen des CloudWatch Logs-Log-Streams aus.

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Um die Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt zu aktivieren, verwenden Sie den AWS CLI**  
Verwenden Sie den [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html)-Befehl und geben Sie den `--connection-log-options`-Parameter an. Sie können die Verbindungsprotokolle wie im folgenden Beispiel gezeigt im JSON-Format angeben.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# AWS Client VPN Verbindungsprotokolle anzeigen
<a name="view-connection-logs"></a>

Sie können Ihre Client-VPN-Verbindungsprotokolle in der CloudWatch Logs-Konsole anzeigen.

**So zeigen Sie die Verbindungsprotokolle über die Konsole an**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Log groups (Protokollgruppen)** und danach die Protokollgruppe mit Ihrem Verbindungsprotokoll. 

1. Wählen Sie den Protokolldatenstrom für Ihren Client-VPN-Endpunkt aus.
**Anmerkung**  
In der Spalte **Zeitstempel** wird die Zeit angezeigt, zu der das Verbindungsprotokoll in CloudWatch Logs veröffentlicht wurde, nicht die Uhrzeit der Verbindung.

Weitere Informationen zum Durchsuchen von Protokolldaten finden Sie unter [Suchen von Protokolldaten mithilfe von Filtermustern](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

# AWS Client VPN Verbindungsprotokollierung ausschalten
<a name="disable-connection-logs"></a>

Sie können die Verbindungsprotokollierung für einen Client-VPN-Endpunkt über die Konsole oder die Befehlszeile deaktivieren. Wenn Sie die Verbindungsprotokollierung deaktivieren, werden bestehende CloudWatch Verbindungsprotokolle in den Protokollen nicht gelöscht.

**So deaktivieren Sie Verbindungsprotokollierung mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, wählen Sie **Actions (Aktionen)** und dann **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

1. Deaktivieren Sie unter **Connection logging (Verbindungsprotokollierung)** die Option **Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren**.

1. Wählen Sie **Modify Client VPN endpoint (Client-VPN-Endpunkt ändern)** aus.

**Um die Verbindungsprotokollierung zu deaktivieren, verwenden Sie AWS CLI**  
Verwenden Sie den [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html)Befehl und geben Sie den `--connection-log-options` Parameter an. Stellen Sie sicher, dass `Enabled` auf „`false`“ festgelegt ist.

# AWS Client VPN Export von Endpunktkonfigurationsdateien
<a name="cvpn-working-endpoint-export"></a>

Die AWS Client VPN Endpunktkonfigurationsdatei ist die Datei, die Clients (Benutzer) verwenden, um eine VPN-Verbindung mit dem Client-VPN-Endpunkt herzustellen. Sie müssen diese Datei herunterladen (exportieren) und alle Clients verteilen, die auf das VPN zugreifen müssen. Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktiviert haben, können sich Kunden alternativ beim Portal anmelden und die Konfigurationsdatei selbst herunterladen. Weitere Informationen finden Sie unter [AWS Client VPN Zugang zum Self-Service-Portal](cvpn-self-service-portal.md).

Wenn Ihr Client-VPN-Endpunkt die gegenseitige Authentifizierung verwendet, müssen Sie das [Client-Zertifikat und den privaten Schlüssel des Clients zu der OVPN-Konfigurationsdatei hinzufügen](add-config-file-cert-key.md), die Sie herunterladen. Nach dem Hinzufügen der Informationen können Sie die OVPN-Datei in die OpenVPN-Client-Software importieren.

**Wichtig**  
Wenn Sie der Datei das Client-Zertifikat und die privaten Schlüsselinformationen des Clients nicht hinzufügen, können Clients, die die gegenseitige Authentifizierung verwenden, keine Verbindung zum Client-VPN-Endpunkt herstellen.

Standardmäßig aktiviert die Option „remote-random-hostname“ in der OpenVPN-Clientkonfiguration Wildcard-DNS. Da DNS-Platzhalter aktiviert sind, speichert der Client die IP-Adresse des Endpunkts nicht zwischen und Sie können keinen Ping an den DNS-Namen des Endpunkts ausführen. 

Wenn Ihr Client-VPN-Endpunkt die Active Directory-Authentifizierung verwendet und Sie nach der Verteilung der Client-Konfigurationsdatei Multi-Factor Authentication (MFA) in Ihrem Verzeichnis aktivieren, müssen Sie eine neue Datei herunterladen und an Ihre Clients weitergeben. Clients können nicht die vorherige Konfigurationsdatei verwenden, um eine Verbindung mit dem Client-VPN-Endpunkt herzustellen.

**Topics**
+ [Exportieren der Client-Konfigurationsdatei](export-client-config-file.md)
+ [Fügen Sie das Client-Zertifikat und die Schlüsselinformationen für die gegenseitige Authentifizierung hinzu](add-config-file-cert-key.md)

# Exportieren Sie die AWS Client VPN Client-Konfigurationsdatei
<a name="export-client-config-file"></a>

Sie können die Client-VPN-Clientkonfiguration mithilfe der Konsole oder der exportieren AWS CLI.

**So exportieren Sie die Client-Konfiguration (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, für den die Client-Konfiguration heruntergeladen werden soll, und dann die Option **Download Client Configuration (Client-Konfiguration herunterladen)** aus.

**So exportieren Sie die Client-Konfiguration (AWS CLI)**  
Verwenden Sie den Befehl [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) und geben Sie den Namen der Ausgabedatei an.

```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```

# Fügen Sie das AWS Client VPN Client-Zertifikat und die Schlüsselinformationen für die gegenseitige Authentifizierung hinzu
<a name="add-config-file-cert-key"></a>

Wenn Ihr Client-VPN-Endpunkt die gegenseitige Authentifizierung verwendet, müssen Sie das Client-Zertifikat und den privaten Schlüssel des Clients zu der OVPN-Konfigurationsdatei hinzufügen, die Sie herunterladen.

Sie können das Clientzertifikat nicht ändern, wenn Sie die gegenseitige Authentifizierung verwenden.

**Hinzufügen des Client-Zertifikats und der Schlüsselinformationen (gegenseitige Authentifizierung)**  
Verwenden Sie eine der folgenden Optionen.

(Option 1) Verteilen Sie das Client-Zertifikat und den Schlüssel zusammen mit der Client-VPN-Endpunktkonfigurationsdatei an Clients. Geben Sie in diesem Fall den Pfad zum Zertifikat und Schlüssel in der Konfigurationsdatei an. Öffnen Sie die Konfigurationsdatei mit Ihrem bevorzugten Texteditor und fügen Sie Folgendes an das Ende der Datei an. */path/*Ersetzen Sie es durch den Speicherort des Client-Zertifikats und des Schlüssels (der Standort bezieht sich auf den Client, der eine Verbindung zum Endpunkt herstellt).

```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```

(Option 2) Fügen Sie der Konfigurationsdatei den Inhalt des Client-Zertifikats in `<cert>``</cert>`-Tags und den Inhalt des privaten Schlüssels in `<key>``</key>`-Tags hinzu. Wenn Sie diese Option wählen, verteilen Sie nur die Konfigurationsdatei an Ihre Clients.

Wenn Sie separate Client-Zertifikate und Schlüssel für jeden Benutzer erstellt haben, der eine Verbindung zum Client-VPN-Endpunkt herstellt, wiederholen Sie diesen Schritt für jeden Benutzer.

Nachfolgend finden Sie ein Beispiel für das Format einer Client-VPN-Konfigurationsdatei, die das Client-Zertifikat und den Schlüssel enthält.

```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0
```

# AWS Client VPN Routen
<a name="cvpn-working-routes"></a>

Jeder AWS Client VPN Endpunkt hat eine Routentabelle, in der die verfügbaren Zielnetzwerkrouten beschrieben werden. Jede Route in der Routing-Tabelle bestimmt, wohin der Netzwerkverkehr geleitet wird. Sie müssen für jede Client-VPN-Endpunkt-Route Autorisierungsregeln konfigurieren, um festzulegen, welche Clients Zugriff auf das Zielnetzwerk haben.

Wenn Sie ein Subnetz aus einer VPC mit einem Client-VPC-Endpunkt verknüpfen, wird eine Route für die VPC automatisch zur Routing-Tabelle des Client-VPN-Endpunkts hinzugefügt. Um den Zugriff für zusätzliche Netzwerke zu ermöglichen, z. B. lokale VPCs Peering-Netzwerke, das lokale Netzwerk (damit Clients miteinander kommunizieren können) oder das Internet, müssen Sie der Routentabelle des Client-VPN-Endpunkts manuell eine Route hinzufügen.

**Anmerkung**  
Wenn Sie dem Client-VPN-Endpunkt mehrere Subnetze zuordnen, sollten Sie sicherstellen, dass Sie für jedes Subnetz eine Route erstellen, wie hier [Fehlerbehebung AWS Client VPN: Der Zugriff auf eine Peer-VPC, Amazon S3 oder das Internet ist unterbrochen](intermittent-access.md) beschrieben. Jedes zugeordnete Subnetz sollte einen identischen Satz von Routen aufweisen.

## Überlegungen zur Verwendung von Split-Tunnel auf Client-VPN-Endpunkten
<a name="split-tunnel-routes"></a>

Wenn Sie Split-Tunnel auf einem Client-VPN-Endpunkt verwenden, werden alle Routen, die in den Client-VPN-Routing-Tabellen enthalten sind, der Client-Routing-Tabelle hinzugefügt, wenn das VPN eingerichtet wird. Wenn Sie eine Route hinzufügen, nachdem das VPN eingerichtet ist, müssen Sie die Verbindung zurücksetzen, damit die neue Route an den Client gesendet wird.

Wir empfehlen, dass Sie die Anzahl der Routen, die das Client-Gerät verarbeiten kann, berücksichtigen, bevor Sie die Client-VPN-Endpunkt-Routing-Tabelle ändern.

**Topics**
+ [Überlegungen zur Verwendung von Split-Tunnel auf Client-VPN-Endpunkten](#split-tunnel-routes)
+ [Endpunkt-Route erstellen](cvpn-working-routes-create.md)
+ [Anzeigen von Endpunktrouten](cvpn-working-routes-view.md)
+ [Löschen einer Endpunktroute](cvpn-working-routes-delete.md)

# Erstellen Sie eine AWS Client VPN Endpunktroute
<a name="cvpn-working-routes-create"></a>

Wenn Sie eine Client-VPN-Endpunktroute erstellen, geben Sie an, wie der Verkehr für das Zielnetzwerk geleitet werden soll.

Fügen Sie die Zielroute `0.0.0.0/0` hinzu, damit Clients Zugriff auf das Internet haben.

Sie können Routen zu einem Client-VPN-Endpunkt hinzufügen, indem Sie die Konsole und die AWS CLI verwenden.

**So erstellen Sie eine Client VPN-Endpunkt-Route (Konsole):**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, dem die Route hinzugefügt werden soll, sowie die Optionen **Route Table (Routing-Tabelle)** und **Create Route (Route erstellen)** aus.

1. Geben Sie **unter Routenziel** den IPv4 CIDR-Bereich für das Zielnetzwerk an. Beispiel:
   + Um eine Route für die VPC des Client-VPN-Endpunkts hinzuzufügen, geben Sie den IPv4 CIDR-Bereich der VPC ein.
   + Um eine Route für den Internetzugang hinzuzufügen, geben Sie `0.0.0.0/0` ein.
   + Um eine Route für eine gepeerte VPC hinzuzufügen, geben Sie den CIDR-Bereich der gepeerten VPC ein. IPv4 
   + Um eine Route für ein lokales Netzwerk hinzuzufügen, geben Sie den CIDR-Bereich der AWS Site-to-Site VPN-Verbindung ein. IPv4 

1. Wählen Sie für **Subnet ID for target network association (Subnetz-ID für Zielnetzwerkzuordnung)** das Subnetz aus, das dem Client-VPN-Endpunkt zugeordnet ist.

   Wenn Sie eine Route für das lokale Client-VPN-Endpunktnetzwerk hinzufügen, wählen Sie `local` aus.

1. (Optional) Geben Sie unter **Description (Beschreibung)** eine kurze Beschreibung der Route ein.

1. Wählen Sie **Create route (Route erstellen)** aus.

**So erstellen Sie einen Client VPN-Endpunkt-Route (AWS CLI)**  
Verwenden Sie den [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html)-Befehl.

# AWS Client VPN Endpunktrouten anzeigen
<a name="cvpn-working-routes-view"></a>

Sie können die Routen für einen bestimmten Client-VPN-Endpunkt mithilfe der Konsole oder der AWS CLI anzeigen.

**So zeigen Sie Client-VPN-Endpunkt-Routen an (Konsole):**

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, für den Routen angezeigt werden sollen, und dann **Route table (Routing-Tabelle)** aus.

**Anzeigen von Client-VPN-Endpunkt-Routen (AWS CLI)**  
Verwenden Sie den [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html)-Befehl.

# Löschen Sie eine AWS Client VPN Endpunktroute
<a name="cvpn-working-routes-delete"></a>

Sie können nur Client-VPN-Routen löschen, die Sie manuell hinzugefügt haben. Sie können keine Routen löschen, die automatisch hinzugefügt wurden, wenn Sie ein Subnetz mit dem Client-VPN-Endpunkt verknüpft haben. Zum Löschen von automatisch hinzugefügten Routen müssen Sie das Subnetz, das das Erstellen initiiert hat, vom Client-VPN-Endpunkt trennen.

Sie können eine Route von einem Client-VPN-Endpunkt löschen, indem Sie die Konsole oder die AWS CLI verwenden.

**So löschen Sie eine Client VPN-Endpunktroute (Konsole):**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, von dem Sie die Route löschen möchten, sowie die Option **Route table (Routing-Tabelle)** aus.

1. Wählen Sie die zu löschende Route und die Optionen **Delete route (Route löschen)** und **Delete route (Route löschen)** aus.

**Löschen einer Client-VPN-Endpunktroute (AWS CLI)**  
Verwenden Sie den [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html)-Befehl.

# AWS Client VPN Zielnetzwerke
<a name="cvpn-working-target"></a>

Ein Zielnetzwerk ist ein Subnetz in einer VPC. Ein AWS Client VPN Endpunkt muss über mindestens ein Zielnetzwerk verfügen, damit Clients eine Verbindung zu ihm herstellen und eine VPN-Verbindung herstellen können. 

Weitere Informationen zu den Zugriffsarten, die Sie konfigurieren können (z. B. den Zugriff Ihrer Clients auf das Internet), finden Sie unter[Szenarien und Beispiele für Client-VPN](how-it-works.md#scenario).

## Client-VPN-Zielnetzwerkanforderungen
<a name="cvpn-create-target-reqs"></a>

Bei der Erstellung eines Zielnetzwerks gelten die folgenden Regeln:
+ Das Subnetz muss einen CIDR-Block mit mindestens einer /27-Bitmaske haben, z. B. 10.0.0.0/27. Das Subnetz muss außerdem über mindestens 20 verfügbare IP-Adressen verfügen.
+ Der CIDR-Block des Subnetzes darf sich nicht mit dem Client-CIDR-Bereich des Client VPN-Endpunkts überschneiden.
+ Wenn Sie mehr als ein Subnetz mit einem Client VPN-Endpunkt verknüpfen, muss sich jedes Subnetz in einer anderen Availability Zone befinden. Wir empfehlen, dass Sie mindestens zwei Subnetze zuordnen, um für Availability Zone-Redundanz zu sorgen.
+ Wenn Sie beim Erstellen des Client VPN-Endpunkts eine VPC angegeben haben, muss sich das Subnetz in eben dieser VPC befinden. Wenn Sie noch keine VPC mit dem Client VPN-Endpunkt verknüpft haben, können Sie ein beliebiges Subnetz aus irgendeiner VPC auswählen. 

  Alle weiteren Subnetz-Zuordnungen müssen von derselben VPC stammen. Um ein Subnetz aus einer anderen VPC zuzuordnen, müssen Sie zunächst den Client VPC-Endpunkt modifizieren, indem Sie die ihm zugeordnete VPC ändern. Weitere Informationen finden Sie unter [Einen AWS Client VPN Endpunkt ändern](cvpn-working-endpoint-modify.md).

Wenn Sie ein Subnetz mit einem Client VPN-Endpunkt verknüpfen, fügen wir automatisch die lokale Route der VPC hinzu, in der das verknüpfte Subnetz in der Routing-Tabelle des Client VPN-Endpunkts bereitgestellt wird.

**Anmerkung**  
Nachdem Ihre Zielnetzwerke verknüpft wurden und Sie weitere CIDRs zu Ihrer angeschlossenen VPC hinzufügen oder entfernen, müssen Sie einen der folgenden Schritte ausführen, um die lokale Route für Ihre Client-VPN-Endpunkt-Routentabelle zu aktualisieren:  
Trennen Sie Ihren Client-VPN-Endpunkt vom Zielnetzwerk und verknüpfen Sie dann den Client-VPN-Endpunkt mit dem Zielnetzwerk.
Fügen Sie die Route manuell hinzu oder entfernen Sie die Route aus der Routing-Tabelle des Client-VPN-Endpunkts.

Nachdem Sie das erste Subnetz mit dem Client VPN-Endpunkt verknüpft haben, ändert sich der Status des Client VPN-Endpunkts von `pending-associate` in `available`, und Clients können eine VPN-Verbindung herstellen.

**Topics**
+ [Anforderungen für die Erstellung eines Zielnetzwerks](#cvpn-create-target-reqs)
+ [Ordnen Sie ein Zielnetzwerk einem Endpunkt zu](cvpn-working-target-associate.md)
+ [Anwenden einer Sicherheitsgruppe auf ein Zielnetzwerk](cvpn-working-target-apply.md)
+ [Anzeigen von Zielnetzwerken](cvpn-working-target-view.md)
+ [Trennen Sie die Zuordnung eines Zielnetzwerks zu einem Endpunkt](cvpn-working-target-disassociate.md)

# Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt
<a name="cvpn-working-target-associate"></a>

Sie können einem Client-VPN-Endpunkt über die Amazon VPC-Konsole oder die CLI ein oder mehrere Zielnetzwerke (Subnetze) zuordnen. AWS Machen Sie sich mit den Anforderungen vertraut, bevor Sie ein Zielnetzwerk mit einem Client-VPN-Endpunkt verknüpfen. Siehe [Anforderungen für die Erstellung eines Zielnetzwerks](cvpn-working-target.md#cvpn-create-target-reqs).

**So verknüpfen Sie ein Zielnetzwerk mit einem Client VPN-Endpunkt über die Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, mit dem das Zielnetzwerk verknüpft werden soll. Wählen Sie dann **Target network associations (Zielnetzwerkzuordnungen)** und **Associate target network (Zielnetzwerk zuordnen)** aus.

1. Wählen Sie für **VPC** die VPC aus, in der sich das Subnetz befindet. Wenn Sie bei der Erstellung des Client VPN-Endpunkts eine VPC angegeben haben oder wenn Sie vorherige Subnetz-Zuordnungen haben, muss es sich um diese VPC handeln.

1. Wählen Sie für **Choose a subnet to associate (Zuzuordnendes Subnetz auswählen)** das Subnetz aus, das dem Client-VPN-Endpunkt zugeordnet werden soll.

1. Wählen Sie **Associate target network (Zielnetzwerk zuordnen)** aus.

**Zuordnen eines Zielnetzwerk zu einem Client VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html).

# Wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an in AWS Client VPN
<a name="cvpn-working-target-apply"></a>

Wenn Sie einen Client VPN-Endpunkt erstellen, können Sie die Sicherheitsgruppen angeben, die für das Zielnetzwerk gelten sollen. Wenn Sie das erste Zielnetzwerk mit einem Client VPN-Endpunkt verknüpfen, wenden wir automatisch die Standardsicherheitsgruppe der VPC an, in der sich das zugeordnete Subnetz befindet. Weitere Informationen finden Sie unter [Sicherheitsgruppen](client-authorization.md#security-groups).

Sie können die Sicherheitsgruppen für den Client VPN-Endpunkt ändern. Welche Regeln der Sicherheitsgruppe Sie benötigen, hängt von der Art des VPN-Zugriffs ab, den Sie konfigurieren möchten. Weitere Informationen finden Sie unter [Szenarien und Beispiele für Client-VPN](how-it-works.md#scenario).

**So wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, auf den die Sicherheitsgruppen angewendet werden sollen.

1. Wählen Sie **Security Groups (Sicherheitsgruppen)** und dann **Apply Security Groups (Sicherheitsgruppen anwenden)** aus.

1. Wählen Sie die entsprechende (n) Sicherheitsgruppe (n) unter **Sicherheitsgruppe** aus IDs.

1. Wählen Sie **Apply Security Groups (Sicherheitsgruppen anwenden)** aus.

**So wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an (AWS CLI)**  
Verwenden Sie den client-vpn-target-network Befehl [apply-security-groups-to-](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html).

# AWS Client VPN Zielnetzwerke anzeigen
<a name="cvpn-working-target-view"></a>

Sie können die Zielnetzwerke, die mit einem Client VPN-Endpunkt verknüpft sind, mit der Konsole oder der AWS CLI anzeigen.

**So zeigen Sie Zielnetzwerke an (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den entsprechenden Client-VPN-Endpunkt und anschließend **Target network associations (Zielnetzwerkzuordnungen)** aus.

**Um Zielnetzwerke mit dem anzuzeigen AWS CLI**  
Verwenden Sie den Befehl [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html).

# Trennen Sie die Zuordnung eines Zielnetzwerks zu einem Endpunkt AWS Client VPN
<a name="cvpn-working-target-disassociate"></a>

Wenn Sie die Zuordnung zu einem Zielnetzwerk aufheben, werden alle Routen gelöscht, die manuell zur Routing-Tabelle der Client-VPN-Endpunkte hinzugefügt wurden, sowie die Route, die beim Herstellen der Zielnetzwerkzuordnung automatisch erstellt wurde (die lokale Route der VPC). Wenn Sie die Zuordnung aller Zielnetzwerke zu einem Client VPN-Endpunkt aufheben, können Clients keine VPN-Verbindung mehr herstellen. 

**So heben Sie die Zuordnung eines Zielnetzwerks zu einem Client VPN-Endpunkt auf (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt, dem das Zielnetzwerk zugeordnet ist, und dann **Target network associations (Zielnetzwerkzuordnungen)** aus.

1. Wählen Sie das zu trennende Zielnetzwerk, die Option **Disassociate (Zuordnung aufheben)** und dann **Disassociate target network (Zuordnung von Zielnetzwerk aufheben)** aus.

**Trennen eines Zielnetzwerks von einem Client VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html).

# AWS Client VPN Timeout für die maximale Dauer der VPN-Sitzung
<a name="cvpn-working-max-duration"></a>

AWS Client VPN bietet mehrere Optionen für die maximale VPN-Sitzungsdauer, d. h. die maximal zulässige Zeit für eine Client-Verbindung zum Client-VPN-Endpunkt. Sie können eine kürzere maximale VPN-Sitzungsdauer konfigurieren, um die Sicherheits- und Compliance-Anforderungen zu erfüllen. Die Sitzungsdauer beträgt standardmäßig 24 Stunden. Sobald Sie die maximale Sitzungsdauer festgelegt haben, können Sie steuern, was mit der Sitzung passiert, wenn diese Zeitüberschreitung erreicht ist. Mit der Option „Verbindung bei Sitzungstimeout trennen“ können Sie die Sitzung beenden oder automatisch versuchen, eine erneute Verbindung zum Endpunkt herzustellen. Wenn Sie eine Sitzung beenden, haben Sie mehr Kontrolle über die Endpunktsicherheit, indem Sie die maximale VPN-Sitzungsdauer durchsetzen. Wenn eine Sitzung so eingestellt ist, dass sie beendet wird, wenn die maximale Zeit erreicht ist, müssen Benutzer erneut eine Verbindung herstellen und ihre Authentifizierungsdaten angeben, um die VPN-Verbindung wiederherzustellen. 

Wenn „Trennen bei Sitzungstimeout“ so eingestellt ist, dass die Verbindung automatisch wiederhergestellt wird und die maximale Sitzungszeit erreicht ist, 
+ Bei zwischengespeicherten Benutzeranmeldeinformationen (Active Directory) oder zertifikatsbasierter Authentifizierung (Mutual Authentication) wird automatisch eine neue Sitzung eingerichtet. Um die Verbindung vollständig zu trennen und nicht automatisch wieder herzustellen, sollten diese Benutzer die Verbindung manuell trennen. 
+ Bei der Verbundauthentifizierung (SAML) wird nicht automatisch eine neue Sitzung eingerichtet. Diese Benutzer müssen sich nach Ablauf des Sitzungstimeouts erneut authentifizieren, um die VPN-Verbindung wiederherzustellen.

**Anmerkung**  
Wenn der Wert für die maximale VPN-Sitzungsdauer gegenüber dem aktuellen Wert verringert wird, werden alle aktiven VPN-Sitzungen, die länger als die neu festgelegte Dauer mit dem Endpunkt verbunden sind, getrennt.
Wenn Sie die Option „Verbindung bei Sitzungstimeout trennen“ ändern, wird die neue Einstellung auf alle derzeit geöffneten Sitzungen angewendet.

## Konfigurieren Sie die maximale VPN-Sitzung bei der Erstellung eines Endpunkts AWS Client VPN
<a name="configure-max-duration-endpoint-creation"></a>

Die Dauer einer VPN-Sitzung wird bei der Erstellung eines Client-VPN-Endpunkts konfiguriert. Die Schritte [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md) zum Erstellen eines Client-VPN-Endpunkts und zum Festlegen der maximalen Sitzungsdauer finden Sie unter.

**Topics**
+ [Konfigurieren Sie die maximale VPN-Sitzung bei der Erstellung eines Endpunkts](#configure-max-duration-endpoint-creation)
+ [Anzeigen der maximalen VPN-Sitzungsdauer](display-max-duration.md)
+ [Ändern Sie die maximale Dauer der VPN-Sitzung](modify-max-timeout.md)

# AWS Client VPN Aktuelle maximale VPN-Sitzungsdauer anzeigen
<a name="display-max-duration"></a>

Gehen Sie wie folgt vor, um die aktuelle maximale VPN-Sitzungsdauer für Client-VPN anzuzeigen.

**Anzeigen der aktuellen maximalen VPN-Sitzungsdauer für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client-VPN-Endpunkt aus, den Sie anzeigen möchten.

1. Stellen Sie sicher, dass die Registerkarte **Details** ausgewählt ist.

1. Sehen Sie sich die aktuelle maximale VPN-Sitzungsdauer neben den **Stunden für das Sitzungs-Timeout** an und ob „**Verbindung bei Timeout trennen**“ aktiviert oder deaktiviert ist.

**Anzeigen der aktuellen maximalen VPN-Sitzungsdauer für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Ändern Sie die maximale AWS Client VPN Sitzungsdauer und das Timeout-Verhalten
<a name="modify-max-timeout"></a>

Gehen Sie wie folgt vor, um die maximale Dauer einer bestehenden Client-VPN-Sitzung zu ändern und das Verhalten beim Trennen bei Sitzungstimeout zu ändern.

**Ändern einer vorhandenen maximalen VPN-Sitzungsdauer für einen Client-VPN-Endpunkt (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client-VPN-Endpunkte)** aus.

1. Wählen Sie den zu ändernden Client-VPN-Endpunkt aus, wählen Sie **Actions (Aktionen)** und dann **Modify Client VPN Endpoint (Client VPN-Endpunkt ändern)**.

1. Wählen Sie bei **Session timeout hours (Sitzungszeitüberschreitungsstunden)** die gewünschte maximale Dauer der VPN-Sitzung in Stunden aus.

1. Wählen **Sie für Verbindung bei Sitzungstimeout aus**, ob Sie eine Sitzung trennen möchten, wenn das maximale Sitzungstimeout erreicht ist. Standardmäßig ist dies deaktiviert, wenn Sie einen Endpunkt zum ersten Mal ändern. 

1. Wählen Sie **Modify Client VPN Endpoint (Client-VPN-Endpunkt ändern)** aus.

**Ändern einer vorhandenen maximalen VPN-Sitzungsdauer für einen Client-VPN-Endpunkt (AWS CLI)**  
Verwenden Sie den Befehl [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).