Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie AWS Client VPN funktioniert
<a name="how-it-works"></a>

Bei AWS Client VPN gibt es zwei Arten von Benutzerpersönlichkeiten, die mit dem Client-VPN-Endpunkt interagieren: Administratoren und Clients.

Client VPN unterstützt IPv4 IPv6, und Dual-Stack-Konnektivität ( IPv4 sowohl als auch IPv6). Sie können Endpunkte erstellen, die entweder oder beides verwenden IPv4 IPv6, sodass Sie eine Verbindung zu IPv6 Ressourcen in Ihrem Netzwerk herstellen VPCs oder eine Verbindung zu Clients in Netzwerken herstellen können. IPv6 Diese Flexibilität hilft Unternehmen, die bereits eine Infrastruktur implementiert haben oder auf diese umsteigen IPv6 .

Der *Administrator* ist für das Einrichten und Konfigurieren des Service verantwortlich. Dazu gehört die Erstellung des Client-VPN-Endpunkts, die Zuordnung des Zielnetzwerks, die Konfiguration der Autorisierungsregeln und die Einrichtung zusätzlicher Routen (falls erforderlich). Nachdem der Client VPN-Endpunkt eingerichtet und konfiguriert ist, lädt der Administrator die Client VPN-Endpunkt-Konfigurationsdatei herunter und verteilt sie an die Clients, die Zugriff benötigen. Die Konfigurationsdatei für den Client-VPN-Endpunkt enthält den DNS-Namen des Client-VPN-Endpunkts und Authentifizierungsinformationen, die für die Einrichtung einer VPN-Sitzung erforderlich sind. Weitere Informationen zum Festlegen des Service finden Sie unter [Fangen Sie an mit AWS Client VPN](cvpn-getting-started.md).

Der *Client* ist der Endbenutzer. Dies ist die Person, die eine Verbindung mit dem Client VPN-Endpunkt herstellt, um eine VPN-Sitzung zu erstellen. Der Client erstellt die VPN-Sitzung von seinem lokalen Computer oder Mobilgerät mit einer OpenVPN-basierten VPN-Client-Anwendung. Nachdem er die VPN-Sitzung eingerichtet hat, hat er sicheren Zugriff auf die Ressourcen in der VPC, in der sich das zugeordnete Subnetz befindet. Sie können auch auf andere Ressourcen in AWS einem lokalen Netzwerk oder auf andere Clients zugreifen, wenn die erforderlichen Routen- und Autorisierungsregeln konfiguriert wurden. Weitere Informationen zum Herstellen einer Verbindung mit einem Client-VPN-Endpunkt, um eine VPN-Sitzung einzurichten, finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) im *AWS Client VPN Benutzerhandbuch*.

In der folgenden Grafik ist die grundlegende Client VPN-Architektur dargestellt.

![\[Client VPN-Architektur\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/architecture.png)


## Szenarien und Beispiele für Client-VPN
<a name="scenario"></a>

AWS Client VPN ist eine vollständig verwaltete VPN-Lösung für den Fernzugriff, mit der Sie Clients den sicheren Zugriff auf Ressourcen AWS sowohl innerhalb als auch in Ihrem lokalen Netzwerk ermöglichen. Es gibt mehrere Optionen für die Konfiguration des Zugriffs. Dieser Abschnitt enthält Beispiele für das Erstellen und Konfigurieren des Client VPN-Zugriffs für Ihre Clients.

**Szenarien**
+ [Mit Client-VPN auf eine VPC zugreifen](#scenario-vpc)
+ [Mit Client-VPN auf eine per Peering verbundene VPC zugreifen](#scenario-peered)
+ [Mit einem  Client VPN auf ein On-Premises-Netzwerk zugreifen](#scenario-onprem)
+ [Mithilfe eines  Client VPN auf das Internet zugreifen](#scenario-internet)
+ [Client-to-client Zugriff über Client VPN](#scenario-client-to-client)
+ [Den Zugriff auf Ihr Netzwerk mit Client VPN beschränken](#scenario-restrict)

### Mit Client-VPN auf eine VPC zugreifen
<a name="scenario-vpc"></a>

Die AWS Client VPN Konfiguration für dieses Szenario umfasst eine einzelne Ziel-VPC. Wir empfehlen diese Konfiguration, wenn Sie Clients den Zugriff auf die Ressourcen nur in einer einzelnen VPC gewähren.

![\[Client VPN beim Zugriff auf eine VPC\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-vpc.png)


Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Erstellen oder Identifizieren einer VPC mit mindestens einem Subnetz. Identifizieren Sie das Subnetz in der VPC, das dem Client-VPN-Endpunkt zugeordnet werden soll, und notieren Sie sich dessen IPv4 CIDR-Bereiche.
+ Identifizieren Sie einen geeigneten CIDR-Bereich für die Client-IP-Adressen, der nicht mit der VPC-CIDR überlappt. 
+ Lesen Sie die Regeln und Einschränkungen für Client VPN-Endpunkte in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

**So implementieren Sie diese Konfiguration**

1. Erstellen Sie einen Client VPN-Endpunkt in derselben Region wie die VPC. Führen Sie dazu die unter beschriebenen Schritte au [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Verknüpfen Sie das Subnetz mit dem Client VPN-Endpunkt. Führen Sie dazu die unter [Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt](cvpn-working-target-associate.md) beschriebenen Schritte aus und wählen Sie das Subnetz und die VPC aus, die Sie zuvor identifiziert haben.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients den Zugriff auf die VPC zu gewähren. Führen Sie dazu die unter beschriebenen Schritte aus und geben Sie für **Zielnetzwerk** den IPv4 CIDR-Bereich der VPC ein. [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md)

1. Fügen Sie den Sicherheitsgruppen Ihrer Ressourcen eine Regel hinzu, die Datenverkehr aus der Sicherheitsgruppe zulässt, die in Schritt 2 auf die Subnetzzuordnung angewendet wurde. Weitere Informationen finden Sie unter [Sicherheitsgruppen](client-authorization.md#security-groups).

### Mit Client-VPN auf eine per Peering verbundene VPC zugreifen
<a name="scenario-peered"></a>

Die AWS Client VPN Konfiguration für dieses Szenario umfasst eine Ziel-VPC (VPC A), die mit einer zusätzlichen VPC (VPC B) gepeert wird. Wir empfehlen diese Konfiguration, wenn Sie Clients Zugriff auf die Ressourcen innerhalb einer Ziel-VPC und auf andere Ressourcen gewähren müssen VPCs , die mit ihr gepeert werden (z. B. VPC B).

**Anmerkung**  
Das Verfahren zum Zulassen des Zugriffs auf eine Peering-VPC (wie im Netzwerkdiagramm beschrieben) ist nur erforderlich, wenn der Client-VPN-Endpunkt für den Split-Tunnel-Modus konfiguriert wurde. Im Volltunnelmodus ist der Zugriff auf die per Peering verbundene VPC standardmäßig zulässig.

![\[Client VPN beim Zugriff auf eine Peer-VPC\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-peer-vpc.png)


Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Erstellen oder Identifizieren einer VPC mit mindestens einem Subnetz. Identifizieren Sie das Subnetz in der VPC, das dem Client-VPN-Endpunkt zugeordnet werden soll, und notieren Sie sich dessen IPv4 CIDR-Bereiche.
+ Identifizieren Sie einen geeigneten CIDR-Bereich für die Client-IP-Adressen, der nicht mit der VPC-CIDR überlappt. 
+ Lesen Sie die Regeln und Einschränkungen für Client VPN-Endpunkte in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

**So implementieren Sie diese Konfiguration**

1. Stellen Sie die VPC-Peering-Verbindung zwischen den her. VPCs Befolgen Sie die Schritte unter [Erstellen und Akzeptieren einer VPC-Peering-Verbindung](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html) im *Amazon VPC Peering-Handbuch*. Vergewissern Sie sich, dass Instances in VPC A mit Instances in VPC B über die Peer-Verbindung kommunizieren können.

1. Erstellen Sie einen Client VPN-Endpunkt in der gleichen Region wie die Ziel-VPC. Im obigen Beispiel ist dies VPC A. Führen Sie die unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md) beschriebenen Schritte aus.

1. Ordnen Sie das identifizierte Subnetz dem Client-VPN-Endpunkt zu, den Sie erstellt haben. Führen Sie dazu die unter [Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt](cvpn-working-target-associate.md) beschriebenen Schritte aus, indem Sie das Subnetz und die VPC auswählen. Standardmäßig verknüpfen wir die Standardsicherheitsgruppe der VPC mit dem Client-VPN-Endpunkt. Mithilfe der unter [Wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an in AWS Client VPN](cvpn-working-target-apply.md) beschriebenen Schritte können Sie eine andere Sicherheitsgruppe zuordnen.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients Zugriff auf die Ziel-VPC zu gewähren. Führen Sie dazu die unter beschriebenen Schritte au [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md). Geben Sie für **die Aktivierung des Zielnetzwerks** den IPv4 CIDR-Bereich der VPC ein.

1. Fügen Sie eine Route hinzu, um den Datenverkehr an die per Peering verbundene VPC weiterzuleiten. Im obigen Beispiel ist dies VPC B. Führen Sie dazu die unter [Erstellen Sie eine AWS Client VPN Endpunktroute](cvpn-working-routes-create.md) beschriebenen Schritte aus. Geben Sie als **Routenziel** den IPv4 CIDR-Bereich der Peering-VPC ein. Wählen Sie als **Ziel-VPC-Subnetz-ID** das Subnetz aus, das mit dem Client-VPN-Endpunkt verknüpft ist.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients Zugriff auf die per Peering verbundene VPC zu gewähren. Führen Sie dazu die unter beschriebenen Schritte au [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md). Geben Sie für **Zielnetzwerk** den IPv4 CIDR-Bereich der Peering-VPC ein.

1. Fügen Sie den Sicherheitsgruppen Ihrer Ressourcen in VPC A und VPC B eine Regel hinzu, die Datenverkehr aus der Sicherheitsgruppe zulässt, auf die in Schritt 3 der Client-VPN-Endpunkt angewendet wurde. Weitere Informationen finden Sie unter [Sicherheitsgruppen](client-authorization.md#security-groups).

### Mit einem  Client VPN auf ein On-Premises-Netzwerk zugreifen
<a name="scenario-onprem"></a>

Die AWS Client VPN Konfiguration für dieses Szenario beinhaltet nur den Zugriff auf ein lokales Netzwerk. Wir empfehlen diese Konfiguration, wenn Sie Clients den Zugriff nur auf die Ressourcen in einem Netzwerk vor Ort gewähren müssen.

![\[Client VPN beim Zugriff auf ein On-Premise-Netzwerk\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-on-premises.png)


Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Erstellen oder Identifizieren einer VPC mit mindestens einem Subnetz. Identifizieren Sie das Subnetz in der VPC, das dem Client-VPN-Endpunkt zugeordnet werden soll, und notieren Sie sich dessen IPv4 CIDR-Bereiche.
+ Identifizieren Sie einen geeigneten CIDR-Bereich für die Client-IP-Adressen, der nicht mit der VPC-CIDR überlappt. 
+ Lesen Sie die Regeln und Einschränkungen für Client VPN-Endpunkte in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

**So implementieren Sie diese Konfiguration**

1. Ermöglichen Sie die Kommunikation zwischen der VPC und Ihrem eigenen lokalen Netzwerk über eine AWS Site-to-Site VPN-Verbindung. Führen Sie dazu die unter [Erste Schritte](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html) im *AWS Site-to-Site VPN -Benutzerhandbuch* beschriebenen Schritte aus. 
**Anmerkung**  
Alternativ können Sie dieses Szenario implementieren, indem Sie eine Direct Connect Verbindung zwischen Ihrer VPC und Ihrem lokalen Netzwerk verwenden. Weitere Informationen finden Sie im [Direct Connect -Benutzerhandbuch](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).

1. Testen Sie die AWS Site-to-Site VPN-Verbindung, die Sie im vorherigen Schritt erstellt haben. Führen Sie dazu die im *AWS Site-to-Site VPN Benutzerhandbuch* unter [Testen der Site-to-Site VPN-Verbindung](https://docs.aws.amazon.com/vpn/latest/s2svpn/HowToTestEndToEnd_Linux.html) beschriebenen Schritte aus. Wenn die VPN-Verbindung wie erwartet funktioniert, fahren Sie mit dem nächsten Schritt fort.

1. Erstellen Sie einen Client VPN-Endpunkt in derselben Region wie die VPC. Führen Sie dazu die unter beschriebenen Schritte au [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Verknüpfen Sie das Subnetz, das Sie zuvor mit dem Client VPN-Endpunkt identifiziert haben. Führen Sie dazu die unter [Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt](cvpn-working-target-associate.md) beschriebenen Schritte aus und wählen Sie die VPC und das Subnetz aus.

1. Fügen Sie eine Route hinzu, die den Zugriff auf die AWS Site-to-Site VPN-Verbindung ermöglicht. Führen Sie dazu die unter beschriebenen Schritte aus[Erstellen Sie eine AWS Client VPN Endpunktroute](cvpn-working-routes-create.md); geben Sie für **Route destination** den IPv4 CIDR-Bereich der AWS Site-to-Site VPN-Verbindung ein und wählen Sie für **Target VPC Subnet ID das Subnetz** aus, das Sie dem Client-VPN-Endpunkt zugeordnet haben.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients Zugriff auf die VPN-Verbindung zu gewähren. AWS Site-to-Site Führen Sie dazu die unter beschriebenen Schritte aus[Eine Autorisierungsregel zu einem AWS Client VPN Endpunkt hinzufügen](cvpn-working-rule-authorize-add.md); geben Sie für **Zielnetzwerk** den IPv4 CIDR-Bereich der AWS Site-to-Site VPN-Verbindung ein.

### Mithilfe eines  Client VPN auf das Internet zugreifen
<a name="scenario-internet"></a>

Die AWS Client VPN Konfiguration für dieses Szenario umfasst eine einzelne Ziel-VPC und Zugriff auf das Internet. Wir empfehlen diese Konfiguration, wenn Sie Clients Zugriff auf die Ressourcen innerhalb einer einzelnen Ziel-VPC gewähren und auch den Zugriff auf das Internet ermöglichen müssen.

Wenn Sie das [Fangen Sie an mit AWS Client VPN](cvpn-getting-started.md)-Tutorial abgeschlossen haben, haben Sie dieses Szenario bereits implementiert.

![\[Client VPN beim Zugriff auf das Internet\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-igw.png)


Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Erstellen oder Identifizieren einer VPC mit mindestens einem Subnetz. Identifizieren Sie das Subnetz in der VPC, das dem Client-VPN-Endpunkt zugeordnet werden soll, und notieren Sie sich dessen IPv4 CIDR-Bereiche.
+ Identifizieren Sie einen geeigneten CIDR-Bereich für die Client-IP-Adressen, der nicht mit der VPC-CIDR überlappt. 
+ Lesen Sie die Regeln und Einschränkungen für Client VPN-Endpunkte in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

**So implementieren Sie diese Konfiguration**

1. Stellen Sie sicher, dass die Sicherheitsgruppe, die Sie für den Client-VPN-Endpunkt verwenden werden, ausgehenden Datenverkehr zum Internet zulässt. Fügen Sie hierfür Regeln für ausgehenden Datenverkehr hinzu, die Datenverkehr zu 0.0.0.0/0 für HTTP- und HTTPS-Datenverkehr zulassen.

1. Erstellen Sie ein Internet-Gateway und fügen Sie es Ihrer VPC an. Weitere Informationen finden Sie unter [Erstellen und Anfügen eines Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) im *Amazon VPC-Benutzerhandbuch*.

1. Machen Sie Ihr Subnetz öffentlich zugänglich, indem Sie der Routing-Tabelle eine Route zum Internet-Gateway hinzufügen. Klicken Sie in der VPC-Konsole auf **Subnets (Subnetze)**. Wählen Sie das Subnetz, das Sie mit dem Client VPN-Endpunkt verknüpfen möchten, aus. Klicken Sie auf **Route Table (Routing-Tabelle)** und wählen Sie die Routing-Tabellen-ID aus. Wählen Sie **Actions (Aktionen)**, **Edit routes (Routen bearbeiten)** und **Add route (Route hinzufügen)** aus. Geben Sie `0.0.0.0/0` für **Destination (Ziel)** ein und wählen Sie für **Target (Ziel)** das Internet-Gateway aus dem vorherigen Schritt aus.

1. Erstellen Sie einen Client VPN-Endpunkt in derselben Region wie die VPC. Führen Sie dazu die unter beschriebenen Schritte au [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Verknüpfen Sie das Subnetz, das Sie zuvor mit dem Client VPN-Endpunkt identifiziert haben. Führen Sie dazu die unter [Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt](cvpn-working-target-associate.md) beschriebenen Schritte aus und wählen Sie die VPC und das Subnetz aus.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients den Zugriff auf die VPC zu gewähren. Führen Sie dazu die unter beschriebenen Schritte aus und geben Sie für **Destination network to enable** den IPv4 CIDR-Bereich der VPC ein. [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md)

1. Fügen Sie eine Route hinzu, die den Datenverkehr mit dem Internet ermöglicht. Führen Sie dazu die unter [Erstellen Sie eine AWS Client VPN Endpunktroute](cvpn-working-routes-create.md) beschriebenen Schritte aus. Geben Sie für **Route destination (Routing-Ziel)** `0.0.0.0/0` ein und wählen Sie für **Target VPC Subnet ID (Subnetz-ID der Ziel-VPC)** das Subnetz aus, das Sie mit dem Client VPN-Endpunkt verknüpft haben.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients den Zugriff auf das Internet zu gewähren. Führen Sie dazu die unter [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md) beschriebenen Schritte durch. Für **Destination network (Zielnetzwerk)** geben Sie `0.0.0.0/0` ein.

1. Stellen Sie sicher, dass die Sicherheitsgruppen für die Ressourcen in Ihrer VPC über eine Regel verfügen, die den Zugriff aus der dem Client-VPN-Endpunkt zugeordneten Sicherheitsgruppe zulässt. Auf diese Weise können Ihre Clients auf die Ressourcen in Ihrer VPC zugreifen.

### Client-to-client Zugriff über Client VPN
<a name="scenario-client-to-client"></a>

Die AWS Client VPN Konfiguration für dieses Szenario ermöglicht Clients den Zugriff auf eine einzelne VPC und ermöglicht es den Clients, den Datenverkehr untereinander weiterzuleiten. Wir empfehlen diese Konfiguration, wenn die Clients, die eine Verbindung mit dem gleichen Client VPN-Endpunkt herstellen, auch miteinander kommunizieren müssen. Clients können miteinander kommunizieren, indem sie die eindeutige IP-Adresse verwenden, die ihnen aus dem CIDR-Bereich des Clients zugewiesen wird, wenn sie eine Verbindung mit dem Client VPN-Endpunkt herstellen.

![\[Client-to-client Zugriff\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-client-to-client.png)


Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Erstellen oder Identifizieren einer VPC mit mindestens einem Subnetz. Identifizieren Sie das Subnetz in der VPC, das dem Client-VPN-Endpunkt zugeordnet werden soll, und notieren Sie sich dessen IPv4 CIDR-Bereiche.
+ Identifizieren Sie einen geeigneten CIDR-Bereich für die Client-IP-Adressen, der nicht mit der VPC-CIDR überlappt. 
+ Lesen Sie die Regeln und Einschränkungen für Client VPN-Endpunkte in [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

**Anmerkung**  
Netzwerkbasierte Autorisierungsregeln, die Active-Directory-Gruppen oder SAML-basierte IdP-Gruppen verwenden, werden in diesem Szenario nicht unterstützt.

**So implementieren Sie diese Konfiguration**

1. Erstellen Sie einen Client VPN-Endpunkt in derselben Region wie die VPC. Führen Sie dazu die unter beschriebenen Schritte au [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Verknüpfen Sie das Subnetz, das Sie zuvor mit dem Client VPN-Endpunkt identifiziert haben. Führen Sie dazu die unter [Verknüpfen Sie ein Zielnetzwerk mit einem AWS Client VPN Endpunkt](cvpn-working-target-associate.md) beschriebenen Schritte aus und wählen Sie die VPC und das Subnetz aus.

1. Fügen Sie eine Route zum lokalen Netzwerk in der Routing-Tabelle hinzu. Führen Sie dazu die unter beschriebenen Schritte au [Erstellen Sie eine AWS Client VPN Endpunktroute](cvpn-working-routes-create.md). Geben Sie als **Routenziel** den CIDR-Bereich des Clients ein und geben Sie als **Ziel-VPC-Subnetz-ID** `local` an.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients den Zugriff auf die VPC zu gewähren. Führen Sie dazu die unter beschriebenen Schritte au [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md). Geben Sie für **die Aktivierung des Zielnetzwerks** den IPv4 CIDR-Bereich der VPC ein.

1. Fügen Sie eine Autorisierungsregel hinzu, um Clients den Zugriff auf den Client-CIDR-Bereich zu gewähren. Führen Sie dazu die unter beschriebenen Schritte au [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md). Geben Sie als **Zielnetzwerk** den CIDR-Bereich des Clients ein.

### Den Zugriff auf Ihr Netzwerk mit Client VPN beschränken
<a name="scenario-restrict"></a>

Sie können Ihren AWS Client VPN Endpunkt so konfigurieren, dass der Zugriff auf bestimmte Ressourcen in Ihrer VPC eingeschränkt wird. Für die benutzerbasierte Authentifizierung können Sie auch den Zugriff auf Teile des Netzwerks basierend auf der Benutzergruppe, die auf den Client VPN-Endpunkt zugreift, einschränken.

#### Den Zugriff mithilfe von Sicherheitsgruppen einschränken
<a name="scenario-restrict-security-groups"></a>

Sie können den Zugriff auf bestimmte Ressourcen in Ihrer VPC zulassen oder verweigern, indem Sie Sicherheitsgruppenregeln hinzufügen oder entfernen, die sich auf die Sicherheitsgruppe beziehen, die auf die Zielnetzwerk-Zuordnung (die Client VPN-Sicherheitsgruppe) angewendet wurde. Diese Konfiguration erweitert das unter beschriebene Szenari [Mit Client-VPN auf eine VPC zugreifen](#scenario-vpc). Diese Konfiguration wird zusätzlich zu den in diesem Szenario konfigurierten Autorisierungsregeln angewendet.

Um Zugriff auf eine spezifische Ressource zu gewähren, identifizieren Sie die Sicherheitsgruppe, die der Instance zugeordnet ist, auf der Ihre Ressource ausgeführt wird. Erstellen Sie dann eine Regel, die Datenverkehr aus der Client VPN-Sicherheitsgruppe zulässt. 

In der folgenden Abbildung ist Sicherheitsgruppe A die Client-VPN-Sicherheitsgruppe, Sicherheitsgruppe B ist einer EC2 Instanz zugeordnet und Sicherheitsgruppe C ist einer EC2 Instanz zugeordnet. Wenn Sie der Sicherheitsgruppe B eine Regel hinzufügen, die den Zugriff von Sicherheitsgruppe A aus ermöglicht, können Clients auf die Instance zugreifen, die der Sicherheitsgruppe B zugeordnet ist. Wenn bei Sicherheitsgruppe C keine Regel den Zugriff von Sicherheitsgruppe A aus erlaubt, können Clients nicht auf die Instance zugreifen, die der Sicherheitsgruppe C zugeordnet ist.

![\[Einschränken des Zugriffs auf Ressourcen in einer VPC\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-scenario-security-groups.png)


Bevor Sie beginnen, prüfen Sie, ob die Client VPN-Sicherheitsgruppe anderen Ressourcen in Ihrer VPC zugeordnet ist. Wenn Sie Regeln hinzufügen oder entfernen, die sich auf die Client VPN-Sicherheitsgruppe beziehen, können Sie den Zugriff auch für die anderen zugehörigen Ressourcen gewähren oder verweigern. Um dies zu verhindern, verwenden Sie eine Sicherheitsgruppe, die speziell für die Verwendung mit Ihrem Client VPN-Endpunkt erstellt wurde.

**So erstellen Sie eine Sicherheitsgruppenregel**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Wählen Sie die Sicherheitsgruppe aus, die der Instance zugeordnet ist, auf der Ihre Ressource ausgeführt wird.

1. Wählen Sie **Actions (Aktionen)**, **Edit inbound rules (Eingangsregeln bearbeiten)** aus.

1. Wählen Sie **Add Rule (Regel hinzufügen)** und gehen Sie wie folgt vor:
   + Wählen Sie für **Type (Typ)** die Option **All traffic (Gesamter Datenverkehr)** oder einen bestimmten Datenverkehrstyp aus, den Sie zulassen möchten.
   + Wählen Sie für **Source (Quelle)** die Option **Custom (Benutzerdefiniert)** aus. Geben Sie dann die ID der Client VPN-Sicherheitsgruppe ein oder wählen Sie sie aus.

1. Wählen Sie **Save rules (Regeln speichern)** aus

Um den Zugriff auf eine spezifische Ressource zu entfernen, überprüfen Sie die Sicherheitsgruppe, die der Instance zugeordnet ist, auf der Ihre Ressource ausgeführt wird. Wenn es eine Regel gibt, die Datenverkehr aus der Client VPN-Sicherheitsgruppe zulässt, löschen Sie diese.

**So prüfen Sie Ihre Sicherheitsgruppenregeln**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Wählen Sie **Inbound Rules (Eingangsregeln)** aus.

1. Überprüfen Sie die Liste der Regeln. Wenn es eine Regel gibt, bei der **Source (Quelle)** die Client VPN-Sicherheitsgruppe ist, wählen Sie **Edit Rules (Regeln bearbeiten)** aus. Wählen Sie dann **Delete (Löschen)** (das X-Symbol) für die Regel aus. Wählen Sie **Save rules (Regeln speichern)** aus.

#### Den Zugriff basierend auf Benutzergruppen einschränken
<a name="scenario-restrict-groups"></a>

Wenn Ihr Client VPN-Endpunkt für die benutzerbasierte Authentifizierung konfiguriert ist, können Sie spezifischen Benutzergruppen Zugriff auf spezifische Teile des Netzwerks gewähren. Führen Sie dazu die folgenden Schritte aus:

1. Konfigurieren Sie Benutzer und Gruppen in Directory Service oder Ihrem IdP. Weitere Informationen finden Sie unter den folgenden Themen:
   + [Active Directory-Authentifizierung im Client VPN](ad.md)
   + [Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung](federated-authentication.md#saml-requirements)

1. Erstellen Sie eine Autorisierungsregel für Ihren Client VPN-Endpunkt, die einer bestimmten Gruppe den Zugriff auf das gesamte oder einen Teil Ihres Netzwerks ermöglicht. Weitere Informationen finden Sie unter [AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md).

Wenn Ihr Client VPN-Endpunkt für die gegenseitige Authentifizierung konfiguriert ist, können Sie keine Benutzergruppen konfigurieren. Wenn Sie eine Autorisierungsregel erstellen, müssen Sie allen Benutzern Zugriff gewähren. Um bestimmten Benutzergruppen den Zugriff auf spezifische Teile Ihres Netzwerks zu ermöglichen, können Sie mehrere Client VPN-Endpunkte erstellen. Führen Sie beispielsweise für jede Benutzergruppe, die auf Ihr Netzwerk zugreift, die folgenden Schritte aus:

1. Erstellen Sie eine Gruppe von Server- und Clientzertifikaten und -schlüsseln für diese Benutzergruppe. Weitere Informationen finden Sie unter [Gegenseitige Authentifizierung in AWS Client VPN](mutual.md).

1. Erstellen Sie einen Client VPN-Endpunkt. Weitere Informationen finden Sie unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Erstellen Sie eine Autorisierungsregel, die Zugriff auf das gesamte oder einen Teil Ihres Netzwerks gewährt. Beispielsweise können Sie für einen Client VPN-Endpunkt, der von Administratoren verwendet wird, eine Autorisierungsregel erstellen, die Zugriff auf das gesamte Netzwerk gewährt. Weitere Informationen finden Sie unter [Fügen Sie eine Autorisierungsregel hinzu](cvpn-working-rule-authorize-add.md).

# Client-Authentifizierung in AWS Client VPN
<a name="client-authentication"></a>

Die Client-Authentifizierung wird am ersten Zugangspunkt in die AWS Cloud implementiert. Mit ihrer Hilfe wird ermittelt, ob Clients eine Verbindung mit dem Client VPN-Endpunkt herstellen dürfen. Wenn die Authentifizierung erfolgreich ist, stellen Clients eine Verbindung mit dem Client VPN-Endpunkt her und richtet eine VPN-Sitzung ein. Schlägt die Authentifizierung fehl, wird die Verbindung abgelehnt und der Client kann keine VPN-Sitzung einrichten.

Client VPN unterstützt die folgenden Clientauthentifizierungstypen: 
+ [Active Directory-Authentifizierung](ad.md) (benutzerbasiert)
+ [Gegenseitige Authentifizierung](mutual.md) (zertifikatbasiert)
+ [Single Sign-On (SAML-basierte Verbundauthentifizierung)](federated-authentication.md) (benutzerbasiert)

Sie können eine der oben genannten Methoden alleine oder eine Kombination aus gegenseitiger Authentifizierung mit einer benutzerbasierten Methode wie der folgenden verwenden:
+ Gegenseitige Authentifizierung und Verbundauthentifizierung
+ Gegenseitige Authentifizierung und Active Directory-Authentifizierung

**Wichtig**  
Um einen Client-VPN-Endpunkt zu erstellen, müssen Sie unabhängig von der Art der Authentifizierung AWS Certificate Manager, die Sie verwenden, ein Serverzertifikat bereitstellen. Weitere Informationen zur Erstellung und Bereitstellung eines Serverzertifikats finden Sie unter den Schritten in [Gegenseitige Authentifizierung in AWS Client VPN](mutual.md).
Wenn Sie eine Kombination aus gegenseitiger Authentifizierung und benutzerbasierter Authentifizierung verwenden, müssen beide Methoden verwendet werden, um sich im VPN korrekt zu authentifizieren. 

# Active Directory-Authentifizierung im Client VPN
<a name="ad"></a>

Client VPN bietet Active Directory-Unterstützung durch Integration mit Directory Service. Mit der Active Directory-Authentifizierung werden Clients anhand vorhandener Active Directory-Gruppen identifiziert. Mithilfe von Directory Service Client VPN kann eine Verbindung zu vorhandenen Active Directorys hergestellt werden, die in AWS oder in Ihrem lokalen Netzwerk bereitgestellt werden. Auf diese Weise können Sie die vorhandene Infrastruktur für die Client-Authentifizierung verwenden. Wenn Sie ein lokales Active Directory verwenden und kein vorhandenes AWS verwaltetes Microsoft AD haben, müssen Sie einen Active Directory Connector (AD Connector) konfigurieren. Sie können einen Active Directory-Server zur Authentifizierung der Benutzer verwenden. Weitere Informationen zur Active-Directory-Integration finden Sie im [AWS Directory Service -Administratorhandbuch](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Client VPN unterstützt Multi-Factor-Authentifizierung (MFA), wenn diese für AWS Managed Microsoft AD oder AD Connector aktiviert ist. Wenn MFA aktiviert ist, müssen Clients einen Benutzernamen, ein Passwort und einen MFA-Code angeben, wenn sie sich mit einem Client VPN-Endpunkt verbinden. Weitere Informationen zur Aktivierung von MFA finden Sie unter [Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) und [Multi-Faktor-Authentifizierung für AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) im *AWS Directory Service -Administratorhandbuch*. 

Informationen zu Kontingenten und Regeln zum Konfigurieren von Benutzern und Gruppen in Active Directory finden Sie unter [Kontingente für Benutzer und Gruppen](limits.md#quotas-users-groups).

# Gegenseitige Authentifizierung in AWS Client VPN
<a name="mutual"></a>

Bei der gegenseitigen Authentifizierung verwendet Client VPN zur Authentifizierung zwischen Client und Server Zertifikate. Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Der Server verwendet Client-Zertifikate zur Authentifizierung von Clients, wenn sie versuchen, eine Verbindung mit dem Client VPN-Endpunkt herzustellen. Sie müssen ein Serverzertifikat und -schlüssel sowie mindestens ein Client-Zertifikat und -Schlüssel erstellen.

Sie müssen das Serverzertifikat auf AWS Certificate Manager (ACM) hochladen und es angeben, wenn Sie einen Client-VPN-Endpunkt erstellen. Wenn Sie das Serverzertifikat in ACM hochladen, geben Sie auch die Zertifizierungsstelle (Certificate Authority, CA) an. Sie müssen das Client-Zertifikat nur dann in ACM hochladen, wenn die Zertifizierungsstelle des Client-Zertifikats von der Zertifizierungsstelle des Serverzertifikats abweicht. Weitere Informationen zu ACM finden Sie im [AWS Certificate Manager -Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/). 

Sie können für jeden Client, der eine Verbindung mit dem Client VPN-Endpunkt herstellt, ein separates Client-Zertifikat und einen separaten Client-Schlüssel erstellen. Auf diese Weise können Sie ein bestimmtes Client-Zertifikat widerrufen, wenn ein Benutzer Ihre Organisation verlässt. In diesem Fall können Sie beim Erstellen des Client VPN-Endpunkts den ARN des Serverzertifikats für das Clientzertifikat angeben, vorausgesetzt, dass das Clientzertifikat von derselben Zertifizierungsstelle wie das Serverzertifikat ausgestellt wurde.

In AWS Client VPN verwendete Zertifikate müssen [RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) entsprechen, einschließlich der in Abschnitt 4.2 des Memos angegebenen Zertifikatserweiterungen.

**Anmerkung**  
Client VPN-Endpunkte unterstützen bei RSA nur Schlüsselgrößen von 1024-Bit und 2048-Bit. Außerdem muss das Clientzertifikat das CN-Attribut im Feld „Subject“ (Betreff) enthalten.  
Wenn Zertifikate, die mit dem Client-VPN-Dienst verwendet werden, aktualisiert werden, sei es durch automatische ACM-Rotation, manuelles Importieren eines neuen Zertifikats oder Metadaten-Updates für IAM Identity Center, aktualisiert der Client-VPN-Dienst den Client-VPN-Endpunkt automatisch mit dem neueren Zertifikat. Dies ist ein automatisierter Vorgang, der bis zu 5 Stunden dauern kann. 

**Topics**
+ [Aktivieren Sie die gegenseitige Authentifizierung](client-auth-mutual-enable.md)
+ [Erneuern Sie Ihr Serverzertifikat](mutual-renew.md)

# Aktivieren Sie die gegenseitige Authentifizierung für AWS Client VPN
<a name="client-auth-mutual-enable"></a>

Sie können die gegenseitige Authentifizierung in Client VPN entweder in Windows Linux/MacOS oder in Windows aktivieren.

------
#### [ Linux/macOS ]

Im folgenden Verfahren wird OpenVPN easy-rsa zum Generieren der Server- und Client-Zertifikate sowie der Schlüssel verwendet. Anschließend werden das Serverzertifikat und der Schlüssel nach ACM hochgeladen. Weitere Informationen finden Sie in der [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md)-Datei.

**So generieren Sie die Server- und Client-Zertifikate und Schlüssel und laden Sie nach ACM hoch**

1. Klonen Sie das OpenVPN easy-rsa Repo auf Ihren On-Premise-Computer und navigieren Sie zum Ordner `easy-rsa/easyrsa3`.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Initialisieren Sie eine neue PKI-Umgebung.

   ```
   $ ./easyrsa init-pki
   ```

1. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Generieren Sie das Server-Zertifikat und den Schlüssel.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Generieren Sie das Client-Zertifikat und den Schlüssel.

   Stellen Sie sicher, dass das Client-Zertifikat und der private Client-Schlüssel gespeichert werden, da Sie diese zum Konfigurieren des Clients benötigen.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.

1. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.

   Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl `mkdir`. Das folgende Beispiel erstellt einen benutzerdefinierten Ordner in Ihrem Stammverzeichnis.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Laden Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel auf ACM hoch. Stellen Sie sicher, dass Sie diese in die Region hochladen, in der Sie den Client VPN-Endpunkt erstellen möchten. Die folgenden Befehle verwenden AWS CLI zum Hochladen der Zertifikate. Informationen zum Hochladen der Zertifikate mit der ACM-Konsole finden Sie unter [Importieren eines Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) im *AWS Certificate Manager -Benutzerhandbuch*.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   Sie müssen das Clientzertifikat nicht zwangsläufig zu ACM hochladen. Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats beim Erstellen des Client-VPN-Endpunkts für den Server und den Client verwenden. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.

------
#### [ Windows ]

Mit dem folgenden Verfahren wird die Software „Easy-RSA 3.x“ installiert und dazu verwendet, Server- und Clientzertifikate sowie die Schlüssel zu generieren.

**So generieren Sie Server- und Client-Zertifikate und Schlüssel und laden Sie nach ACM hoch**

1. Öffnen Sie die Seite mit den [EasyRSA-Versionen](https://github.com/OpenVPN/easy-rsa/releases) und laden Sie die ZIP-Datei für Ihre Version von Windows herunter und extrahieren Sie sie.

1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Speicherort, an den der Ordner „`EasyRSA-3.x`“ extrahiert wurde.

1. Führen Sie den folgenden Befehl aus, um die EasyRSA-3-Shell zu öffnen.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Initialisieren Sie eine neue PKI-Umgebung.

   ```
   # ./easyrsa init-pki
   ```

1. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Generieren Sie das Server-Zertifikat und den Schlüssel.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Generieren Sie das Client-Zertifikat und den Schlüssel.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.

1. Beenden Sie die EasyRSA-3-Shell.

   ```
   # exit
   ```

1. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.

   Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl `mkdir`. Im folgenden Beispiel wird ein benutzerdefinierter Ordner in Ihrem C:\$1-Laufwerk erstellt.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Laden Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel auf ACM hoch. Stellen Sie sicher, dass Sie diese in die Region hochladen, in der Sie den Client VPN-Endpunkt erstellen möchten. Die folgenden Befehle verwenden den AWS CLI , um die Zertifikate hochzuladen. Informationen zum Hochladen der Zertifikate mit der ACM-Konsole finden Sie unter [Importieren eines Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) im *AWS Certificate Manager -Benutzerhandbuch*.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   Sie müssen das Clientzertifikat nicht zwangsläufig zu ACM hochladen. Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats beim Erstellen des Client-VPN-Endpunkts für den Server und den Client verwenden. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.

------

# Erneuern Sie Ihr Serverzertifikat für AWS Client VPN
<a name="mutual-renew"></a>

Sie können ein abgelaufenes Client-VPN-Serverzertifikat erneuern und erneut importieren. Abhängig von der Version von OpenVPN easy-rsa, die Sie verwenden, variiert das Verfahren. Weitere Informationen finden Sie in der Dokumentation zur [Verlängerung und zum Widerruf von Easy-RSA 3-Zertifikaten](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md).

**Um Ihr Serverzertifikat zu erneuern**

1. Führen Sie **einen** der folgenden Schritte aus:
   + Easy-RSA Version 3.1.x

     1. Führen Sie den Befehl „certificate renew“ aus.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Easy-RSA versie 3.2.x

     1. Führen Sie den Befehl expire aus.

        ```
        $ ./easyrsa expire server
        ```

     1. Signieren Sie ein neues Zertifikat.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Erstellen Sie einen benutzerdefinierten Ordner, kopieren Sie die neuen Dateien dorthin und navigieren Sie dann in den Ordner.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Importieren Sie die neuen Dateien in ACM. Achten Sie darauf, sie in derselben Region wie den Client-VPN-Endpunkt zu importieren. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Single Sign-On — SAML 2.0-basierte Verbundauthentifizierung — im Client VPN
<a name="federated-authentication"></a>

AWS Client VPN unterstützt den Identitätsverbund mit Security Assertion Markup Language 2.0 (SAML 2.0) für Client-VPN-Endpunkte. Sie können Identitätsanbieter (IdPs) verwenden, die SAML 2.0 unterstützen, um zentralisierte Benutzeridentitäten zu erstellen. Anschließend können Sie einen Client VPN-Endpunkt für die Verwendung der SAML-basierten Verbundauthentifizierung konfigurieren und ihn dem IdP zuordnen. Benutzer stellen dann mithilfe ihrer zentralen Anmeldeinformationen eine Verbindung zum Client VPN-Endpunkt her.

**Topics**
+ [Aktivieren Sie SAML](client-auth-enable-saml.md)
+ [Authentifizierungs-Workflow](#federated-authentication-workflow)
+ [Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung](#saml-requirements)
+ [Konfigurationsressourcen für SAML-basierte IdPs](#saml-config-resources)

# SAML aktivieren für AWS Client VPN
<a name="client-auth-enable-saml"></a>

 Sie können SAML für Single Sign-On für Client VPN aktivieren, indem Sie die folgenden Schritte ausführen. Wenn das Self-Service-Portal für Ihren Client VPN-Endpunkt aktiviert ist, weisen Sie Ihre Benutzer alternativ an, zum Self-Service-Portal zu gehen, um die Konfigurationsdatei und den von AWS bereitgestellten Client abzurufen. Weitere Informationen finden Sie unter [AWS Client VPN Zugang zum Self-Service-Portal](cvpn-self-service-portal.md).

**Damit Ihr SAML-basierter IdP mit einem Client VPN-Endpunkt funktioniert, müssen Sie die folgenden Schritte ausführen.**

1. Erstellen Sie eine SAML-basierte App in Ihrem ausgewählten IdP, um sie mit einer vorhandenen App zu verwenden AWS Client VPN, oder verwenden Sie eine vorhandene App.

1. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS. Ressourcen finden Sie unter [Konfigurationsressourcen für SAML-basierte IdPs](federated-authentication.md#saml-config-resources).

1. Generieren Sie in Ihrem IdP ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, und laden Sie es herunter. 

   Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung zwischen AWS und dem IdP einzurichten.

1. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt. 

   Der IAM-SAML-Identitätsanbieter definiert die AWS IdP-zu-Vertrauens-Beziehung Ihrer Organisation anhand des vom IdP generierten Metadatendokuments. Weitere Informationen finden Sie unter [Erstellen von IAM SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*. Wenn Sie die Anwendungskonfiguration im IdP später aktualisieren, generieren Sie ein neues Metadatendokument und aktualisieren Sie Ihren IAM SAML-Identitätsanbieter.
**Anmerkung**  
Sie brauchen keine IAM-Rolle zu erstellen, um den IAM SAML-Identitätsanbieter zu verwenden.

1. Erstellen Sie einen Client VPN-Endpunkt. 

   Legen Sie die Verbundauthentifizierung als Authentifizierungstyp fest und geben Sie den von Ihnen erstellten IAM SAML-Identitätsanbieter an. Weitere Informationen finden Sie unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).

1. Exportieren Sie die [Client-Konfigurationsdatei](cvpn-working-endpoint-export.md) und verteilen Sie sie an Ihre Benutzer. Weisen Sie Ihre Benutzer an, die neueste Version des von [AWS bereitgestellten Clients](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) herunterzuladen und diese zum Laden der Konfigurationsdatei und Herstellen einer Verbindung mit dem Client VPN-Endpunkt zu verwenden.

## Authentifizierungs-Workflow
<a name="federated-authentication-workflow"></a>

Das folgende Diagramm bietet eine Übersicht zum Authentifizierungs-Workflow für einen Client VPN-Endpunkt, der die SAML-basierte Verbundauthentifizierung verwendet. Wenn Sie den Client VPN-Endpunkt erstellen und konfigurieren, geben Sie den IAM SAML-Identitätsanbieter an.

![\[Authentifizierungs-Workflow\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. Der Benutzer öffnet den AWS bereitgestellten Client auf seinem Gerät und initiiert eine Verbindung zum Client-VPN-Endpunkt.

1. Der Client VPN-Endpunkt sendet eine IdP-URL und eine Authentifizierungsanforderung an den Client zurück (basierend auf den Informationen, die im IAM SAML-Identitätsanbieter bereitgestellt wurden).

1. Der AWS bereitgestellte Client öffnet ein neues Browserfenster auf dem Gerät des Benutzers. Der Browser gibt eine Anfrage an den IdP aus und zeigt eine Anmeldeseite an.

1. Der Benutzer gibt seine Anmeldeinformationen auf der Anmeldeseite ein und der IdP sendet eine signierte SAML-Assertion zurück an den Client.

1. Der AWS bereitgestellte Client sendet die SAML-Assertion an den Client-VPN-Endpunkt.

1. Der Client VPN-Endpunkt validiert die Assertion und erlaubt oder verweigert dem Benutzer den Zugriff.

## Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung
<a name="saml-requirements"></a>

Im Folgenden sind die Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung aufgeführt.
+ Informationen zu Kontingenten und Regeln für die Konfiguration von Benutzern und Gruppen in einem SAML-basierten IdP finden Sie unter [Kontingente für Benutzer und Gruppen](limits.md#quotas-users-groups).
+ Die SAML-Assertion und -Antwort müssen signiert sein.
+ AWS Client VPN unterstützt nur die Bedingungen "AudienceRestriction" und "NotBefore und NotOnOrAfter" in SAML-Assertionen.
+ Die maximal unterstützte Größe für SAML-Antworten beträgt 128 KB.
+ AWS Client VPN stellt keine signierten Authentifizierungsanfragen bereit.
+ Die einmalige SAML-Abmeldung wird nicht unterstützt. Benutzer können sich abmelden, indem sie die Verbindung zum AWS bereitgestellten Client trennen, oder Sie können [die Verbindungen beenden](cvpn-working-connections-disassociate.md).
+ Client VPN-Endpunkte unterstützen nur einen einzelnen IdP.
+ Multi-Factor Authentication (MFA) wird unterstützt, wenn sie in Ihrem IdP aktiviert ist.
+ Benutzer müssen den AWS bereitgestellten Client verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen. Sie müssen Version 1.2.0 oder höher verwenden. Weitere Informationen finden Sie unter [Herstellen einer Verbindung über den AWS bereitgestellten Client](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Die folgenden Browser werden für die IdP-Authentifizierung unterstützt: Apple Safari, Google Chrome, Microsoft Edge und Mozilla Firefox.
+ Der AWS bereitgestellte Client reserviert den TCP-Port 35001 auf den Geräten der Benutzer für die SAML-Antwort.
+ Wenn das Metadatendokument für den IAM SAML-Identitätsanbieter mit einer falschen oder bösartigen URL aktualisiert wird, kann dies zu Authentifizierungsproblemen für Benutzer oder zu Phishing-Angriffen führen. Daher empfiehlt es sich, am IAM SAML-Identitätsanbieter vorgenommene Aktualisierungen mit AWS CloudTrail zu überwachen. Weitere Informationen finden Sie unter [Protokollierung von IAM- und AWS STS -Anrufen mit AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) im *IAM-Benutzerhandbuch*.
+ AWS Client VPN sendet über eine HTTP-Redirect-Bindung eine AuthN-Anfrage an den IdP. Daher sollte der IdP die HTTP-Redirect-Bindung unterstützen und sie sollte im Metadatendokument des IdP vorhanden sein.
+ Für die SAML-Assertion müssen Sie ein E-Mail-Adressformat für das `NameID`-Attribut verwenden.
+ Die maximale Länge des Benutzernamens (`NameID`) beträgt 1024 Byte. Verbindungen mit längeren Benutzernamen werden abgelehnt.
+ Wenn Zertifikate, die mit dem Client-VPN-Dienst verwendet werden, aktualisiert werden, sei es durch automatische ACM-Rotation, manuelles Importieren eines neuen Zertifikats oder Metadaten-Updates für IAM Identity Center, aktualisiert der Client-VPN-Dienst den Client-VPN-Endpunkt automatisch mit dem neueren Zertifikat. Dies ist ein automatisierter Vorgang, der bis zu 5 Stunden dauern kann.

## Konfigurationsressourcen für SAML-basierte IdPs
<a name="saml-config-resources"></a>

In der folgenden Tabelle sind die SAML-basierten Produkte aufgeführt IdPs , die wir für die Verwendung mit ihnen getestet haben AWS Client VPN, sowie Ressourcen, die Ihnen bei der Konfiguration des IdP helfen können.


| IdP | Ressource | 
| --- | --- | 
| Okta | [Authentifizieren AWS Client VPN Sie Benutzer mit SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| Microsoft Entra ID (früher Azure Active Directory) | Weitere Informationen finden Sie unter [Tutorial: Microsoft Entra Single Sign-On (SSO) -Integration mit AWS ClientVPN](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) auf der Microsoft-Dokumentationswebsite. | 
| JumpCloud | [Integrieren Sie mit AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| AWS IAM Identity Center | [Verwenden von IAM Identity Center mit AWS Client VPN zur Authentifizierung und Autorisierung](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Dienstanbieterinformationen zum Erstellen einer Anwendung
<a name="saml-config-service-provider-info"></a>

Um eine SAML-basierte App mit einem IdP zu erstellen, der nicht in der obigen Tabelle aufgeführt ist, verwenden Sie die folgenden Informationen, um die AWS Client VPN Service Provider-Informationen zu konfigurieren.
+ Assertionsverbraucherdienst-URL: `http://127.0.0.1:35001`
+ Zielgruppen-URI: `urn:amazon:webservices:clientvpn`

In der SAML-Antwort des IdP muss mindestens ein Attribut enthalten sein. Im Folgenden finden Sie einige Beispielattribute.


| Attribut | Description | 
| --- | --- | 
| FirstName | Der Vorname des Benutzers. | 
| LastName | Der Nachname des Benutzers. | 
| memberOf | Die Gruppe oder Gruppen, zu der bzw. denen der Benutzer gehört. | 

**Anmerkung**  
Das `memberOf`-Attribut ist für die Verwendung von gruppenbasierten Autorisierungsregeln für Active Directory oder SAML IdP erforderlich. Es wird auch zwischen Groß- und Kleinschreibung unterschieden, und es muss genau wie angegeben konfiguriert werden. Weitere Informationen finden Sie unter [Netzwerkbasierte Autorisierung](client-authorization.md#auth-rules) und [AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md).

### Unterstützung des Self-Service-Portals
<a name="saml-self-service-support"></a>

Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktivieren, melden sich Benutzer mit ihren SAML-basierten IdP-Anmeldeinformationen beim Portal an.

Wenn Ihr IdP mehrere Assertion Consumer Service (ACS) unterstützt URLs, fügen Sie Ihrer App die folgende ACS-URL hinzu.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Wenn Sie den Client-VPN-Endpunkt in einer GovCloud Region verwenden, verwenden Sie stattdessen die folgende ACS-URL. Wenn Sie dieselbe IDP-App für die Authentifizierung sowohl für Standard- als auch für GovCloud Regionen verwenden, können Sie beide hinzufügen. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Wenn Ihr IdP nicht mehrere ACS unterstützt URLs, gehen Sie wie folgt vor: 

1. Erstellen Sie eine zusätzliche SAML-basierte App in Ihrem IdP und geben Sie die folgende ACS-URL an.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Generieren und laden Sie ein Verbund-Metadaten-Dokument.

1. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt. Weitere Informationen finden Sie unter [Erstellen von IAM SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*. 
**Anmerkung**  
Sie erstellen diesen IAM SAML-Identitätsanbieter zusätzlich zu dem, den Sie [für die Haupt-App erstellen](#federated-authentication).

1. [Erstellen Sie den Client VPN-Endpunkt](cvpn-working-endpoint-create.md) und geben Sie die beiden von Ihnen erstellten IAM SAML-Identitätsanbieter an.

# Kundenautorisierung in AWS Client VPN
<a name="client-authorization"></a>

Client VPN unterstützt zwei Arten von Client-Autorisierung, Sicherheitsgruppen und (über Autorisierungsregeln) netzwerkbasierte Autorisierung.

## Sicherheitsgruppen
<a name="security-groups"></a>

Wenn Sie einen Client VPN-Endpunkt erstellen, können Sie die Sicherheitsgruppen von einer bestimmten VPC angeben, die auf den Client VPN-Endpunkt angewendet werden sollen. Wenn Sie ein Subnetz mit einem Client VPN-Endpunkt verknüpfen, wird automatisch die Standardsicherheitsgruppe der VPC angewendet. Sie können die Sicherheitsgruppen ändern, nachdem Sie den Client VPN-Endpunkt erstellt haben. Weitere Informationen finden Sie unter [Wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an in AWS Client VPN](cvpn-working-target-apply.md). Die Sicherheitsgruppen sind den Client VPN-Netzwerkschnittstellen zugeordnet. 

Sie können Client VPN-Benutzern den Zugriff auf Ihre Anwendungen in einer VPC ermöglichen, indem Sie den Sicherheitsgruppen Ihrer Anwendungen eine Regel hinzufügen, um den Datenverkehr von der Sicherheitsgruppe zuzulassen, die für die Zuordnung übernommen wurde. 

Umgekehrt können Sie den Zugriff für Client VPN-Benutzer einschränken, indem Sie die Sicherheitsgruppe, die auf die Zuordnung angewendet wurde, nicht angeben oder indem Sie die Regel entfernen, die auf die Client VPN-Endpunkt-Sicherheitsgruppe verweist. Die von Ihnen benötigten Sicherheitsgruppenregeln sind möglicherweise auch von der Art des VPN-Zugriffs abhängig, den Sie konfigurieren möchten. Weitere Informationen finden Sie unter [Szenarien und Beispiele für Client-VPN](how-it-works.md#scenario).

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

## Netzwerkbasierte Autorisierung
<a name="auth-rules"></a>

Die netzwerkbasierte Autorisierung wird mithilfe von Autorisierungsregeln implementiert. Für jedes Netzwerk, für das Sie den Zugriff aktivieren möchten, müssen Sie Autorisierungsregeln konfigurieren, die die Benutzer mit Zugriff beschränken. Sie können für ein bestimmtes Netzwerk die Active Directory- oder SAML-basierte IdP-Gruppe konfigurieren, die Zugriff erhalten soll. Nur Benutzer, die Mitglied der angegebenen Gruppe sind, können auf das angegebene Netzwerk zugreifen. Wenn Sie keine Active Directory- oder SAML-basierte Verbundauthentifizierung verwenden oder allen Benutzern Zugriff gewähren möchten, können Sie eine Regel angeben, die allen Clients Zugriff gewährt. Weitere Informationen finden Sie unter [AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md).

**Topics**
+ [Sicherheitsgruppen](#security-groups)
+ [Netzwerkbasierte Autorisierung](#auth-rules)
+ [Erstellen Sie eine Gruppenregel für Endpunktsicherheit](client-auth-rule-create.md)

# Gruppenregel AWS Client VPN für Endpunktsicherheit erstellen
<a name="client-auth-rule-create"></a>

Die Standardsicherheitsgruppe für die VPC, die angewendet wird, wenn Sie einem Client VPN ein Subnetz zuordnen, kann den Datenverkehr aus der Standardsicherheitsgruppe einschränken, den Sie zulassen möchten, und gleichzeitig Datenverkehr zulassen, den Sie nicht möchten. Gehen Sie wie folgt vor, um eine Client-VPN-Endpunktsicherheitsgruppenregel zu erstellen, die den Datenverkehr für eine Endpunktsicherheitsgruppe, die einer Ressource oder Anwendung zugeordnet ist, entweder zulässt oder einschränkt. Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

**So fügen Sie eine Regel hinzu, die Datenverkehr aus der Client VPN-Endpunkt-Sicherheitsgruppe zulässt**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Wählen Sie die Sicherheitsgruppe aus, die Ihrer Ressource oder Anwendung zugeordnet ist. Wählen Sie anschließend **Actions (Aktionen)**, **Edit inbound rules (Eingehende Regeln bearbeiten)** aus.

1. Wählen Sie **Regel hinzufügen** aus.

1. Wählen Sie für **Type (Typ)** die Option **All traffic (Gesamter Datenverkehr)** aus. Alternativ können Sie den Zugriff auf eine bestimmte Art von Datenverkehr einschränken, beispielsweise **SSH**. 

   Geben Sie in **Quelle** die ID der Sicherheitsgruppe an, die dem Zielnetzwerk (Subnetz) für den Client VPN-Endpunkt zugeordnet ist.

1. Wählen Sie **Regeln speichern** aus.

# Verbindungsautorisierung in AWS Client VPN
<a name="connection-authorization"></a>

Sie können einen *Client-Connect-Handler* für Ihren Client-VPN-Endpunkt konfigurieren. Mit dem Handler können Sie eine benutzerdefinierte Logik ausführen, die eine neue Verbindung basierend auf Geräte-, Benutzer- und Verbindungsattributen autorisiert. Der Client-Connect-Handler wird ausgeführt, nachdem der Client-VPN-Service das Gerät und den Benutzer authentifiziert hat. 

Um einen Client Connect-Handler für Ihren Client-VPN-Endpunkt zu konfigurieren, erstellen Sie eine AWS Lambda -Funktion, die Geräte-, Benutzer- und Verbindungsattribute als Eingaben verwendet und die Entscheidung an den Client-VPN-Service zurückgibt, eine neue Verbindung zuzulassen oder zu verweigern. Sie geben die Lambda-Funktion in Ihrem Client-VPN-Endpunkt an. Wenn sich Geräte mit Ihrem Client-VPN-Endpunkt verbinden, ruft der Client-VPN-Service für Sie die Lambda-Funktion auf. Nur Verbindungen, die von der Lambda-Funktion autorisiert wurden, dürfen sich mit dem Client-VPN-Endpunkt verbinden.

**Anmerkung**  
Derzeit ist der einzige unterstützte Client-Connect-Handler-Typ eine Lambda-Funktion. 

## Anforderungen und Überlegungen
<a name="client-connect-handler-reqs"></a>

Nachfolgend werden Anforderungen und Überlegungen für den Client-Connect-Handler aufgeführt:
+ Der Name der Lambda-Funktion muss mit dem `AWSClientVPN-`-Präfix beginnen.
+ Qualifizierte Lambda-Funktionen werden unterstützt. 
+ Die Lambda-Funktion muss sich in derselben AWS Region und demselben AWS Konto wie der Client-VPN-Endpunkt befinden.
+ Die Lambda-Funktion läuft nach 30 Sekunden ab. Dieser Wert kann nicht geändert werden.
+ Die Lambda-Funktion wird synchron aufgerufen. Er wird nach der Geräte- und Benutzerauthentifizierung und vor der Auswertung der Autorisierungsregeln aufgerufen.
+ Wenn die Lambda-Funktion für eine neue Verbindung aufgerufen wird und der Client-VPN-Service keine erwartete Antwort von der Funktion erhält, lehnt der Client-VPN-Service die Verbindungsanfrage ab. Dies kann beispielsweise auftreten, wenn die Lambda-Funktion gedrosselt wird, ein Timeout auftritt oder auf andere unerwartete Fehler trifft oder wenn die Antwort der Funktion nicht in einem gültigen Format vorliegt.
+ Wir empfehlen, dass Sie die [bereitgestellte Parallelität](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html) für die Lambda-Funktion konfigurieren, damit sie ohne Latenzschwankungen skaliert werden kann.
+ Wenn Sie Ihre Lambda-Funktion aktualisieren, sind bestehende Verbindungen zum Client-VPN-Endpunkt nicht betroffen. Sie können die bestehenden Verbindungen beenden und Ihre Clients dann anweisen, neue Verbindungen herzustellen. Weitere Informationen finden Sie unter [Eine AWS Client VPN Client-Verbindung beendenBeenden einer Client-Verbindung](cvpn-working-connections-disassociate.md).
+ Wenn Clients den AWS bereitgestellten Client verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen, müssen sie Version 1.2.6 oder höher für Windows und Version 1.2.4 oder höher für macOS verwenden. Weitere Informationen finden Sie unter [Verbinden mit dem von AWS bereitgestellten Client](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).

## Lambda-Schnittstelle
<a name="connection-authorization-lambda"></a>

Die Lambda-Funktion verwendet Geräteattribute, Benutzerattribute und Verbindungsattribute als Eingaben vom Client-VPN-Service. Sie muss dann die Entscheidung an den Client-VPN-Service zurückgeben, ob die Verbindung zugelassen oder verweigert werden soll.

**Anfrageschema**  
Die Lambda-Funktion verwendet einen JSON-Blob mit den folgenden Feldern als Eingabe.

```
{
    "connection-id": <connection ID>,
    "endpoint-id": <client VPN endpoint ID>,
    "common-name": <cert-common-name>,
    "username": <user identifier>,
    "platform": <OS platform>,
    "platform-version": <OS version>,
    "public-ip": <public IP address>,
    "client-openvpn-version": <client OpenVPN version>,
    "aws-client-version": <AWS client version>,
    "groups": <group identifier>,
    "schema-version": "v3"
}
```
+ `connection-id` – Die ID der Client-Verbindung mit dem Client-VPN-Endpunkt.
+ `endpoint-id` – Die ID des Client-VPN-Endpunkts.
+ `common-name` – Die Geräte-ID. In dem Client-Zertifikat, das Sie für das Gerät erstellen, identifiziert der allgemeine Name das Gerät eindeutig.
+ `username` – Die Benutzer-ID, falls zutreffend. Bei der Active Directory-Authentifizierung ist dies der Benutzername. Bei der SAML-basierten föderierten Authentifizierung ist dies `NameID`. Bei gegenseitiger Authentifizierung ist dieses Feld leer.
+ `platform` – Die Client-Betriebssystemplattform. 
+ `platform-version` – Die Version des Betriebssystems. Der Client-VPN-Service stellt einen Wert bereit, wenn die `--push-peer-info`-Richtlinie in der OpenVPN-Client-Konfiguration vorhanden ist, wenn Clients eine Verbindung zu einem Client-VPN-Endpunkt herstellen und wenn der Client die Windows-Plattform ausführt.
+ `public-ip` – Die öffentliche IP-Adresse des sich verbindenden Geräts.
+ `client-openvpn-version` – Die OpenVPN-Version, die der Client verwendet.
+ `aws-client-version`— Die AWS Client-Version.
+ `groups` – Die Gruppen-ID, falls zutreffend. Bei der Active-Directory-Authentifizierung ist dies eine Liste mit Active-Directory-Gruppen. Bei der SAML-basierten Verbundauthentifizierung ist dies eine Liste von Identitätsanbietergruppen (IdP-Gruppen). Bei gegenseitiger Authentifizierung ist dieses Feld leer.
+ `schema-version` – Die Schema-Version Der Standardwert ist `v3`.

**Antwortschema**  
Die Lambda-Funktion muss die folgenden Felder zurückgeben.

```
{
    "allow": boolean,
    "error-msg-on-denied-connection": "",
    "posture-compliance-statuses": [],
    "schema-version": "v3"
}
```
+ `allow` – Erforderlich. Ein boolescher Wert (`true` \$1 `false`), der angibt, ob die neue Verbindung zugelassen oder verweigert werden soll.
+ `error-msg-on-denied-connection` – Erforderlich. Eine Zeichenfolge von bis zu 255 Zeichen, die verwendet werden kann, um den Clients Schritte und Anleitungen zu übermitteln, wenn die Verbindung von der Lambda-Funktion verweigert wird. Falls bei der Ausführung der Lambda-Funktion Fehler auftreten (z. B. aufgrund von Drosselung), wird die folgende Standardnachricht vom Client-VPN-Dienst an die Clients zurückgegeben.

  ```
  Error establishing connection. Please contact your administrator.
  ```
+ `posture-compliance-statuses` – Erforderlich. Wenn Sie die Lambda-Funktion für das [Posture Assessment](#connection-authorization-posture-assessment) verwenden, ist dies eine Liste der Status für das sich verbindende Gerät. Sie definieren die Statusnamen entsprechend Ihren Posture Assessment-Kategorien für Geräte, z. B. `compliant`, `quarantined`, `unknown` usw. Jeder Name kann bis zu 255 Zeichen lang sein. Sie können bis zu 10 Status angeben.
+ `schema-version` – Erforderlich. Die Schemaversion. Der Standardwert ist `v3`.

Sie können dieselbe Lambda-Funktion für mehrere Client VPN-Endpunkte in derselben Region verwenden.

Weitere Informationen zum Erstellen einer Lambda-Funktion finden Sie unter [Erste Schritte mit AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html) im *AWS Lambda -Entwicklerhandbuch*.

## Verwenden Sie den Client Connect-Handler für die Beurteilung der Körperhaltung
<a name="connection-authorization-posture-assessment"></a>

Sie können den Client Connect-Handler verwenden, um Ihren Client-VPN-Endpunkt in Ihre vorhandene Geräteverwaltungslösung zu integrieren, um die Einhaltung der Posture-Anforderungen der sich verbindenden Geräte zu evaluieren. Damit die Lambda-Funktion als Geräteautorisierungs-Handler funktioniert, verwenden Sie die [gegenseitige Authentifizierung](mutual.md) für Ihren Client-VPN-Endpunkt. Erstellen Sie ein eindeutiges Client-Zertifikat und einen Schlüssel für jeden Client (jedes Gerät), der sich mit dem Client-VPN-Endpunkt verbindet. Die Lambda-Funktion kann den eindeutigen allgemeinen Namen für das Client-Zertifikat (das vom Client-VPN-Service weitergegeben wird) verwenden, um das Gerät zu identifizieren und seinen Posture-Compliance-Status von Ihrer Geräteverwaltungslösung abzurufen. Sie können die gegenseitige Authentifizierung in Kombination mit einer benutzerbasierten Authentifizierung verwenden. 

Alternativ können Sie ein grundlegendes Posture Assessment in der Lambda-Funktion selbst vornehmen. Sie können beispielsweise die Felder `platform` und `platform-version` bewerten, die vom Client-VPN-Service an die Lambda-Funktion übergeben werden.

**Anmerkung**  
Der Verbindungshandler kann zwar verwendet werden, um eine Mindestversion der AWS Client VPN Anwendung zu erzwingen, das Feld `aws-client-version` im Verbindungshandler gilt jedoch nur für die AWS Client VPN Anwendung und wird anhand von Umgebungsvariablen auf dem Benutzergerät aufgefüllt.

## Aktivieren Sie den Client-Connect-Handler
<a name="enable-client-connect-handler"></a>

Um den Client Connect-Handler zu aktivieren, erstellen oder ändern Sie einen Client-VPN-Endpunkt und geben Sie den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an. Weitere Informationen erhalten Sie unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md) und [Einen AWS Client VPN Endpunkt ändern](cvpn-working-endpoint-modify.md). 

## Serviceverknüpfte Rolle
<a name="connection-authorization-slr"></a>

AWS Client VPN erstellt automatisch eine mit dem Dienst verknüpfte Rolle in Ihrem Konto namens **AWSServiceRoleForClientVPNConnections**. Die Rolle verfügt über Berechtigungen zum Aufrufen der Lambda-Funktion, wenn eine Verbindung zum Client-VPN-Endpunkt hergestellt wird. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS Client VPN](using-service-linked-roles.md).

## Überwachen Sie Fehler bei der Verbindungsautorisierung
<a name="connection-authorization-monitoring"></a>

Sie können den Status der Verbindungsautorisierung von Verbindungen zum Client-VPN-Endpunkt anzeigen. Weitere Informationen finden Sie unter [AWS Client VPN Client-Verbindungen anzeigenAnzeigen von Client-Verbindungen](cvpn-working-connections-view.md).

Wenn der Client Connect-Handler für das Posture Assessment verwendet wird, können Sie auch die Compliance-Status von Geräten, die sich mit Ihrem Client-VPN-Endpunkt verbinden, in den Verbindungsprotokollen anzeigen. Weitere Informationen finden Sie unter [Verbindungsprotokollierung für einen Endpunkt AWS Client VPN](connection-logging.md). 

Wenn ein Gerät die Verbindungsautorisierung nicht besteht, gibt das `connection-attempt-failure-reason`-Feld in den Verbindungsprotokollen einen der folgenden Fehlergründe zurück:
+ `client-connect-failed` – Die Lambda-Funktion verhinderte, dass die Verbindung hergestellt wurde.
+ `client-connect-handler-timed-out` – Die Lambda-Funktion hat das Zeitlimit überschritten.
+ `client-connect-handler-other-execution-error` – Die Lambda-Funktion ist auf einen unerwarteten Fehler gestoßen.
+ `client-connect-handler-throttled` – Die Lambda-Funktion wurde gedrosselt.
+ `client-connect-handler-invalid-response` – Die Lambda-Funktion gab eine ungültige Antwort zurück.
+ `client-connect-handler-service-error` – Während des Verbindungsversuchs ist ein serviceseitiger Fehler aufgetreten.

# Split-Tunnel auf Endpunkten AWS Client VPN
<a name="split-tunnel-vpn"></a>

Wenn Sie einen Client VPN-Endpunkt haben, wird standardmäßig der gesamte Datenverkehr von Clients über den Client VPN-Tunnel geleitet. Wenn Sie Split-Tunnel auf dem Client-VPN-Endpunkt aktivieren, übertragen wir die Routen auf der [Routing-Tabelle des Client-VPN-Endpunkts](cvpn-working-routes.md) auf das Gerät, das mit dem Client-VPN-Endpunkt verbunden ist. Dadurch wird sichergestellt, dass nur Datenverkehr mit einem Ziel im Netzwerk, das mit einer Route aus der Client-VPN-Endpunkt-Routing-Tabelle übereinstimmt, über den Client-VPN-Tunnel geroutet wird. 

Sie können einen Split-Tunnel-Client-VPN-Endpunkt verwenden, wenn Sie nicht möchten, dass der gesamte Benutzerdatenverkehr über den Client-VPN-Endpunkt geroutet wird. 

Im folgenden Beispiel ist die Split-Tunnel-Funktion für den Client-VPN-Endpunkt aktiviert. Nur Datenverkehr, der für die VPC (`172.31.0.0/16`) bestimmt ist, wird über den Client-VPN-Tunnel geroutet. Datenverkehr, der für On-Premise-Ressourcen bestimmt ist, wird nicht über den Client-VPN-Tunnel geroutet.

![\[Split-Tunnel-Client-VPN-Endpunkt\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/client-vpn-split-tunnel.png)


## Split-Tunnel-Vorteile
<a name="split-tunnel-benefits"></a>

Split-Tunnel für Client VPN-Endpunkte bietet die folgenden Vorteile:
+ Sie können das Routing des Datenverkehrs von Clients optimieren, indem Sie nur den dafür vorgesehenen AWS Datenverkehr den VPN-Tunnel durchqueren lassen.
+ Sie können das Volumen des ausgehenden Datenverkehrs von reduzieren AWS und damit die Kosten für die Datenübertragung senken.

## Überlegungen zum Routing
<a name="split-tunnel-routing"></a>
+ Wenn Sie den Split-Tunnelmodus aktivieren, werden alle Routen in der Routentabelle des Client-VPN-Endpunkts zur Routentabelle des Clients hinzugefügt, wenn die VPN-Verbindung hergestellt wird. Diese Operation unterscheidet sich vom Standardverhalten, bei dem die Routing-Tabelle des Clients mit dem Eintrag `0.0.0.0/0` überschrieben wird, um den gesamten Datenverkehr über das VPN zu leiten.
**Anmerkung**  
Das Hinzufügen einer 0.0.0.0/0-Route zur Routentabelle des Client-VPN-Endpunkts bei Verwendung des Split-Tunnel-Modus kann zu Verbindungsunterbrechungen führen und wird nicht empfohlen
+ Wenn der Split-Tunnel-Modus aktiviert ist, führt jede Änderung an der Routing-Tabelle der Client-VPN-Endpunkte dazu, dass alle Client-Verbindungen zurückgesetzt werden.

## Split-Tunnel aktivieren
<a name="split-tunnel-enable"></a>

Sie können Split-Tunnel für einen neuen oder einen vorhandenen Client-VPN-Endpunkt aktivieren. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md)
+ [Einen AWS Client VPN Endpunkt ändern](cvpn-working-endpoint-modify.md)

# Verbindungsprotokollierung für einen Endpunkt AWS Client VPN
<a name="connection-logging"></a>

Die Verbindungsprotokollierung ist eine Funktion AWS Client VPN , mit der Sie *Verbindungsprotokolle* für Ihren Client-VPN-Endpunkt erfassen können. 

Ein Verbindungsprotokoll enthält *Verbindungsprotokolleinträge*, in denen Informationen über Verbindungsereignisse erfasst werden, z. B. wenn ein Client (Endbenutzer) eine Verbindung zu Ihrem Client-VPN-Endpunkt herstellt, versucht, eine Verbindung herzustellen oder die Verbindung trennt. Sie können diese Informationen verwenden, um forensische Untersuchungen durchzuführen, zu analysieren, wie Ihr Client VPN-Endpunkt verwendet wird, oder Verbindungsprobleme zu debuggen.

Die Verbindungsprotokollierung ist in allen Regionen verfügbar, in denen sie verfügbar AWS Client VPN ist. Verbindungsprotokolle werden in einer Protokollgruppe „ CloudWatch Protokolle“ in Ihrem Konto veröffentlicht.

**Anmerkung**  
Fehlgeschlagene Versuche zur gegenseitigen Authentifizierung werden nicht protokolliert.

## Verbindungsprotokolleinträge
<a name="connection-log-entries"></a>

Ein Verbindungsprotokolleintrag ist ein in JSON formatierter Blob von Schlüssel-Wert-Paaren. Im Folgenden finden Sie ein Beispiel für den Verbindungsprotokolleintrag.

```
{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-reset-status": "NA",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-abc123abc123abc12",
    "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33",
    "transport-protocol": "udp",
    "connection-start-time": "2020-03-26 20:37:15",
    "connection-last-update-time": "2020-03-26 20:37:15",
    "client-ip": "10.0.1.2",
    "common-name": "client1",
    "device-type": "mac",
    "device-ip": "98.247.202.82",
    "port": "50096",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA",
    "username": "joe"
    }
```

Ein Verbindungsprotokolleintrag enthält die folgenden Schlüssel:
+ `connection-log-type`: Der Typ des Verbindungsprotokolleintrags (`connection-attempt` oder `connection-reset`).
+ `connection-attempt-status`: Der Status der Verbindungsanforderung (`successful`, `failed`, `waiting-for-assertion` oder `NA`).
+ `connection-reset-status`: Der Status eines Verbindungsrücksetzereignisses (`NA` oder `assertion-received`).
+ `connection-attempt-failure-reason`: Der Grund für den Verbindungsfehler, falls zutreffend.
+ `connection-id`: Die ID der Verbindung.
+ `client-vpn-endpoint-id`: Die ID des Client VPN-Endpunkts, mit dem die Verbindung hergestellt wurde.
+ `transport-protocol`: Das Transportprotokoll, das für die Verbindung verwendet wurde.
+ `connection-start-time`: Die Startzeit der Verbindung.
+ `connection-last-update-time`: Die letzte Aktualisierungszeit der Verbindung. Dieser Wert wird regelmäßig in den Protokollen aktualisiert.
+ `client-ip`— Die IP-Adresse des Clients, die aus dem IPv4 CIDR-Bereich des Clients für den Client-VPN-Endpunkt zugewiesen wurde.
+ `common-name`: Der Common Name des Zertifikats, das für die zertifikatbasierte Authentifizierung verwendet wird.
+ `device-type`: Der Gerätetyp, der vom Endbenutzer für die Verbindung verwendet wird.
+ `device-ip`: Die öffentliche IP-Adresse des Geräts.
+ `port`: Die Portnummer für die Verbindung.
+ `ingress-bytes`: Die Anzahl der eingehenden Bytes für die Verbindung. Dieser Wert wird regelmäßig in den Protokollen aktualisiert.
+ `egress-bytes`: Die Anzahl der ausgehenden Bytes für die Verbindung. Dieser Wert wird regelmäßig in den Protokollen aktualisiert.
+ `ingress-packets`: Die Anzahl der eingehenden Pakete für die Verbindung. Dieser Wert wird regelmäßig in den Protokollen aktualisiert.
+ `egress-packets`: Die Anzahl der ausgehenden Pakete für die Verbindung. Dieser Wert wird regelmäßig in den Protokollen aktualisiert.
+ `connection-end-time`: Die Endzeit der Verbindung. Der Wert ist „`NA`“, wenn die Verbindung noch ausgeführt wird oder der Verbindungsversuch fehlgeschlagen ist.
+ `posture-compliance-statuses`: Die vom [Client-Verbindungs-Handler](connection-authorization.md) zurückgegebenen Niveau-Compliance-Status, falls zutreffend.
+ `username`: Der Benutzername wird aufgezeichnet, wenn eine benutzerbasierte Authentifizierung (AD oder SAML) für den Endpunkt verwendet wird.
+ `connection-duration-seconds`: Die Dauer einer Verbindung in Sekunden. Entspricht der Differenz zwischen "connection-start-time" und "connection-end-time“.

Weitere Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter [AWS Client VPN Verbindungsprotokolle](cvpn-working-with-connection-logs.md).

# Überlegungen zur Client-VPN-Skalierung
<a name="scaling-considerations"></a>

Berücksichtigen Sie beim Erstellen eines Client-VPN-Endpunkts die maximale Anzahl gleichzeitiger VPN-Verbindungen, die Sie unterstützen möchten. Sie sollten die Anzahl der Clients berücksichtigen, die Sie derzeit unterstützen, und ob Ihr Client-VPN-Endpunkt skaliert werden kann, um bei Bedarf zusätzlichen Bedarf zu decken. 

Die folgenden Faktoren beeinflussen die maximale Anzahl gleichzeitiger VPN-Verbindungen, die auf einem Client-VPN-Endpunkt unterstützt werden können:

**CIDR-Bereichsgröße des Clients**  
Wenn Sie [einen Client-VPN-Endpunkt erstellen](cvpn-working-endpoint-create.md), müssen Sie einen Client-CIDR-Bereich angeben, bei dem es sich um einen IPv4 CIDR-Block zwischen einer /12- und /22-Netzmaske handelt. Jeder VPN-Verbindung mit dem Client-VPN-Endpunkt wird eine eindeutige IP-Adresse aus dem Client-CIDR-Bereich zugewiesen. Ein Teil der Adressen im Client-CIDR-Bereich wird auch zur Unterstützung des Verfügbarkeitsmodells des Client VPN-Endpunkts verwendet und kann Clients nicht zugewiesen werden. Sie können den Client-CIDR-Bereich nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.  
Im Allgemeinen empfehlen wir, dass Sie einen Client-CIDR-Bereich angeben, der die doppelte Anzahl von IP-Adressen (und damit gleichzeitigen Verbindungen) enthält, die Sie auf dem Client-VPN-Endpunkt unterstützen möchten. 

**Anzahl der zugehörigen Subnetze**  
Wenn Sie [ein Subnetz mit einem Client-VPN-Endpunkt verknüpfen](cvpn-working-target.md), ermöglichen Sie Benutzern, VPN-Sitzungen für den Client-VPN-Endpunkt einzurichten. Sie können einem Client-VPN-Endpunkt mehrere Subnetze zuordnen, um eine hohe Verfügbarkeit zu ermöglichen und zusätzliche Verbindungskapazität zu aktivieren.   
Im Folgenden finden Sie die Anzahl der unterstützten gleichzeitigen VPN-Verbindungen basierend auf der Anzahl der Subnetzzuordnungen für den Client-VPN-Endpunkt.      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/scaling-considerations.html)

Sie können nicht mehrere Subnetze derselben Availability Zone mit einem Client VPN-Endpunkt verknüpfen. Daher hängt die Anzahl der Subnetzzuordnungen auch von der Anzahl der Availability Zones ab, die in einer Region verfügbar sind. AWS 

Wenn Sie beispielsweise erwarten, 8 000 VPN-Verbindungen zu Ihrem Client-VPN-Endpunkt zu unterstützen, geben Sie eine minimale CIDR-Client-Bereichsgröße von `/18` (16 384 IP-Adressen) an und verknüpfen Sie mindestens 2 Subnetze mit dem Client-VPN-Endpunkt.

Wenn Sie sich nicht sicher sind, wie viele die erwarteten VPN-Verbindungen für Ihren Client-VPN-Endpunkt sind, empfehlen wir Ihnen, einen CIDR-Block der Größe `/16` oder größer anzugeben.

Weitere Informationen zu den Regeln und Einschränkungen für die Arbeit mit CIDR-Bereichen und Zielnetzwerken von Clients finden Sie unter [Regeln und bewährte Verfahren für die Verwendung AWS Client VPN](what-is-best-practices.md).

Weitere Informationen zu Kontingenten für Ihren Client-VPN-Endpunkt finden Sie unter [AWS Client VPN Kontingente](limits.md).