Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Integración de Transit Gateway con Client VPN
Puede conectar un punto final Client VPN de forma nativa a una Transit Gateway para un acceso remoto seguro a varias VPCs redes locales y otros recursos conectados a la Transit Gateway. Esto elimina la necesidad de crear puntos de conexión VPN independientes para cada VPC o gestionar el enrutamiento complejo a través de un intermedio. VPCs
**Topics**
+ [Descripción general de](#cvpn-tgw-overview)
+ [Ventajas](#cvpn-tgw-benefits)
+ [Cómo funciona la integración de Transit Gateway](#cvpn-tgw-how-it-works)
+ [Requisitos previos](#cvpn-tgw-prerequisites)
+ [Cree un terminal VPN Client de Transit Gateway](#cvpn-tgw-create)
+ [Administre las rutas](#cvpn-tgw-routes)
+ [Configuración de la autorización](#cvpn-tgw-authorization)
+ [Administre las zonas de disponibilidad](#cvpn-tgw-manage-azs)
+ [Acceso multicuenta a Transit Gateway](#cvpn-tgw-cross-account)
+ [Consideraciones y limitaciones](#cvpn-tgw-limitations)
## Descripción general de
Al asociar un Transit Gateway a un punto final Client VPN, los clientes VPN conectados pueden acceder a todos los recursos conectados al Transit Gateway si se configuran las rutas y reglas de autorización adecuadas en el punto final Client VPN.
Los puntos finales asociados a Transit Gateway conservan la dirección IP de origen del cliente. No se aplica la traducción de direcciones de red de origen (SNAT), lo que proporciona una mayor visibilidad del tráfico de clientes.
**importante**
No se pueden mezclar asociaciones de subredes de VPC y asociaciones de Transit Gateway en un único punto final Client VPN. Elija un tipo de asociación al crear el punto final.
## Ventajas
La integración de Transit Gateway con Client VPN ofrece las siguientes ventajas:
+ **Administración simplificada**: elimine la necesidad de puntos finales de VPN separados por VPC. No es necesario crear un intermedio VPCs únicamente para la terminación de la VPN.
+ **Enrutamiento centralizado**: aproveche Transit Gateway como centro de enrutamiento central. Simplifique la administración de rutas en toda su red.
+ **Visibilidad mejorada**: conserve las direcciones IP de origen del cliente (sin SNAT). Proporciona compatibilidad con registros de flujo para Client VPN.
+ **Escalabilidad**: añada fácilmente nuevos elementos VPCs a su Transit Gateway, a los que puede acceder a través de Client VPN. Amplíe para dar soporte a grandes fuerzas de trabajo y unidades de negocio remotas.
+ **Seguridad centralizada**: implemente políticas de seguridad coherentes en todas las redes conectadas. Mantenga registros de auditoría completos.
## Cómo funciona la integración de Transit Gateway
A continuación se describe cómo funciona Client VPN con Transit Gateway:
1. **Creación del punto final**: se crea un punto final de Client VPN y se especifica el ID de Transit Gateway.
1. **Creación de adjuntos**: crea AWS automáticamente un adjunto del tipo Transit Gateway `client-vpn` para el punto final.
1. **Selección de zona de disponibilidad**: usted especifica qué zonas de disponibilidad desea utilizar o AWS selecciona 2 zonas de disponibilidad automáticamente.
1. **Configuración de rutas**: agrega rutas a la tabla de rutas de puntos finales de Client VPN para dirigir el tráfico de los clientes a las redes de destino a través de Transit Gateway.
1. **Flujo de conexión del cliente**: cuando un cliente se conecta, el tráfico fluye desde el cliente a través del punto final de Client VPN hasta la Transit Gateway y, después, hasta la red de destino según las tablas de rutas de Transit Gateway.
## Requisitos previos
Antes de crear un punto final Client VPN asociado a Transit Gateway, compruebe los siguientes requisitos.
Requisitos de Transit Gateway
+ Una Transit Gateway existente en la misma región que el punto final Client VPN.
+ Para el acceso entre cuentas, la Transit Gateway debe compartirse con su cuenta a través AWS Resource Access Manager de.
+ La Transit Gateway debe tener asignado un bloque IPv4 CIDR. Si planea usar IPv6 una configuración de doble pila, asigne también un bloque IPv6 CIDR.
Requisitos de red
+ El rango CIDR del cliente no debe superponerse con los rangos CIDR VPCs conectados a Transit Gateway.
+ Las zonas de disponibilidad que seleccione deben ser compatibles con Transit Gateway.
+ Las rutas de retorno deben configurarse en las tablas de enrutamiento de la VPC para dirigir el tráfico destinado al rango CIDR del cliente a Transit Gateway.
Requisitos del certificado
+ Un certificado de servidor aprovisionado en AWS Certificate Manager (ACM) en la misma región que el punto final Client VPN.
+ Si utiliza la autenticación mutua, un certificado de cliente aprovisionado en ACM.
## Cree un terminal VPN Client de Transit Gateway
Puede crear un punto final Client VPN asociado a una Transit Gateway mediante la consola o el AWS CLI.
**Para crear un punto final VPN Client de Transit Gateway (consola)**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)** y **Create Client VPN Endpoint (Crear punto de enlace de Client VPN)**.
1. (Opcional) En **Etiqueta de nombre** y **Descripción**, introduzca un nombre y una descripción para el punto de conexión.
1. Para **el tipo de dirección IP de tráfico**, elija una de las siguientes opciones:
+ **IPv4**— Especifique un rango de IPv4 CIDR del cliente (por ejemplo,`10.0.0.0/22`).
+ **IPv6**— asigna AWS automáticamente el rango IPv6 CIDR del cliente.
+ Pila **doble:** especifique un rango de IPv4 CIDR del cliente. AWS asigna automáticamente el rango IPv6 CIDR del cliente.
1. Para el **ARN del certificado de servidor, especifique el ARN** del certificado TLS aprovisionado en ACM.
1. Elija un método de autenticación. Para obtener más información, consulte [Autenticación de cliente en AWS Client VPN](client-authentication.md).
1. (Opcional) Para el **registro de conexiones**, active **Habilitar los detalles del registro en las conexiones de los clientes** y especifique el grupo de registros y el flujo de CloudWatch registros.
1. Para **Infraestructura de red**, elija **Transit Gateway**.
1. Para el **ID de Transit Gateway**, selecciona Transit Gateway en la lista desplegable.
1. (Opcional) Para **las zonas de disponibilidad**, selecciona hasta 5 zonas de disponibilidad. Si no selecciona zonas de disponibilidad, selecciona 2 AWS automáticamente.
1. (Opcional) Configure ajustes adicionales, como los servidores DNS, el protocolo de transporte, el túnel dividido, el puerto VPN, el tiempo de espera de la sesión y el banner de inicio de sesión.
1. Elija **Create Client VPN endpoint** (Crear punto de conexión de Client VPN).
**nota**
Tras la creación, el estado del punto final es. `pending-associate` El adjunto de Transit Gateway se crea automáticamente. Los clientes pueden conectarse una vez que el archivo adjunto esté disponible.
**Para crear un punto de conexión VPN Client de Transit Gateway (AWS CLI)**
Utilice el comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) con el parámetro `--transit-gateway-id`.
El siguiente ejemplo crea un punto final Client VPN con zonas de disponibilidad específicas:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
--availability-zone-list us-east-1a us-east-1b us-east-1c
```
Ejemplo de código de salida:
```
{
"ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
"Status": {
"Code": "pending-associate"
},
"DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}
```
Para permitir la selección AWS automática de 2 zonas de disponibilidad, omita el `--availability-zone-list` parámetro:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
```
### Verifique el archivo adjunto de Transit Gateway
Tras crear el punto final, compruebe que se haya creado el adjunto de Transit Gateway.
**Para verificar el adjunto de Transit Gateway (consola)**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de gateway de tránsito).
1. Localice el archivo adjunto con el **tipo de recurso** = `client-vpn` y el ID de **recurso que coincidan con su ID** de punto final de Client VPN.
1. Compruebe que el **estado** es`available`.
**Para verificar el archivo adjunto de Transit Gateway (AWS CLI)**
Utilice el comando [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).
```
aws ec2 describe-transit-gateway-attachments \
--filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
```
Para ver la configuración de Transit Gateway para el punto final, utilice el [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html)comando:
```
aws ec2 describe-client-vpn-endpoints \
--client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
La salida incluye un `TransitGatewayConfiguration` objeto con el ID de Transit Gateway y las zonas de disponibilidad asociadas.
## Administre las rutas
**importante**
En el caso de los puntos finales asociados a Transit Gateway, no se especifica un ID de subred de destino al crear rutas. El tráfico se dirige automáticamente a través del adjunto Transit Gateway.
**Para agregar una ruta (consola)**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.
1. Seleccione el punto final Client VPN, elija la **tabla de rutas** y, a continuación, elija **Crear ruta**.
1. En **Destino de ruta**, introduzca el rango CIDR de destino (por ejemplo, `10.1.0.0/16` para una VPC `0.0.0.0/0` o para todo el tráfico).
1. (Opcional) En **Descripción**, introduzca una descripción para la ruta.
1. Elija **Create route (Crear ruta)**.
**Para añadir una ruta (AWS CLI)**
Utilice el [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html)comando sin el `--target-vpc-subnet-id` parámetro.
```
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
Para añadir varias rutas, ejecute el comando para cada rango CIDR de destino:
```
# Route to VPC 1
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
# Route to VPC 2
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.2.0.0/16
# Route to on-premises network
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 192.168.0.0/16
```
**Para eliminar una ruta (consola)**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.
1. Seleccione el punto final Client VPN, elija la **tabla de rutas**, seleccione la ruta y, a continuación, elija **Eliminar ruta**.
1. Elija **Eliminar ruta** para confirmar.
**Para eliminar una ruta (AWS CLI)**
Utilice el comando [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).
```
aws ec2 delete-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
## Configuración de la autorización
**importante**
La autorización basada en grupos de seguridad no es compatible con los puntos finales Client VPN asociados a Transit Gateway. Debe usar reglas de autorización basadas en la red para controlar el acceso de los clientes.
**Para añadir una regla de autorización (consola)**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.
1. Seleccione el punto final Client VPN, elija **Reglas de autorización** y, a continuación, elija **Agregar regla de autorización**.
1. Para **que la red de destino permita el acceso**, introduzca el rango CIDR de destino (por ejemplo,`10.1.0.0/16`).
1. En **Otorgar acceso a**, elija una de las siguientes opciones:
+ **Permitir el acceso a todos los usuarios**: todos los clientes autenticados pueden acceder a la red de destino.
+ **Permitir el acceso a los usuarios de un grupo de acceso específico**: introduzca el SID del grupo de Active Directory o el nombre del grupo de IdP en el ID del **grupo de acceso**.
1. Seleccione **Add authorization rule (Añadir regla de autorización)**.
**Para agregar una regla de autorización ()AWS CLI**
Utilice el comando [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
El siguiente ejemplo autoriza a todos los usuarios a acceder a la `10.1.0.0/16` red:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--authorize-all-groups
```
El siguiente ejemplo autoriza un grupo específico de Active Directory:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
```
## Administre las zonas de disponibilidad
Puede modificar las zonas de disponibilidad de un punto final Client VPN asociado a Transit Gateway tras su creación.
**Para añadir una única zona de disponibilidad ()AWS CLI**
Utilice el comando [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) con el `--availability-zone` parámetro.
```
aws ec2 associate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--availability-zone us-east-1c
```
**Para eliminar una única zona de disponibilidad ()AWS CLI**
En primer lugar, utilice el comando [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) para buscar el ID de asociación de la zona de disponibilidad.
```
aws ec2 describe-client-vpn-target-networks \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
A continuación, utilice el comando [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) con el ID de asociación.
```
aws ec2 disassociate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
```
## Acceso multicuenta a Transit Gateway
Puede crear un punto final Client VPN asociado a una Transit Gateway que sea propiedad de una AWS cuenta diferente. Para ello, el propietario de la Transit Gateway debe compartir la Transit Gateway con tu cuenta a través de AWS Resource Access Manager.
Requisitos previos
+ **Cuenta de propietario de Transit Gateway**: una Transit Gateway existente y permisos para crear recursos compartidos en ella AWS Resource Access Manager.
+ **Cuenta de punto final Client VPN**: permisos para crear puntos finales Client VPN y aceptar AWS Resource Access Manager recursos compartidos.
En la cuenta de punto final de Client VPN, acepte el recurso compartido en la AWS Resource Access Manager consola o mediante el [accept-resource-share-invitation](https://docs.aws.amazon.com/cli/latest/reference/ram/accept-resource-share-invitation.html)comando. Tras aceptar el uso compartido, la Transit Gateway aparece en el menú desplegable Transit Gateway ID al crear un punto de conexión Client VPN.
## Consideraciones y limitaciones
Tenga en cuenta lo siguiente cuando utilice la integración de Transit Gateway con Client VPN:
+ **Restricciones de asociación**
+ No se pueden mezclar asociaciones de subredes de VPC y asociaciones de Transit Gateway en un único punto final.
+ Cada punto final debe usar exclusivamente un tipo de asociación.
+ **Grupos de seguridad**
+ Los puntos finales de Transit Gateway no admiten la autorización basada en grupos de seguridad.
+ Utilice únicamente reglas de autorización basadas en la red.
+ **Administración de rutas**
+ No se admite la propagación automática de rutas desde Transit Gateway.
+ Debe definir manualmente las rutas para las redes de destino.
+ **Superposición de CIDR**
+ El bloque CIDR de VPN de cliente no debe superponerse con otros archivos adjuntos de Transit Gateway o bloques CIDR de Transit Gateway.
+ Transit Gateway no admite la superposición de rangos de CIDR entre los dispositivos conectados VPCs.
+ **Limitación regional**
+ El punto final Client VPN y Transit Gateway deben estar en la misma AWS región.
+ Client VPN no admite el emparejamiento entre regiones de Transit Gateway.
+ **Zonas de disponibilidad**
+ Puede especificar hasta 5 zonas de disponibilidad por punto final.
+ Si no se especifica, asigna AWS automáticamente 2 zonas de disponibilidad.
+ Client VPN y Transit Gateway deben admitir todas las zonas de disponibilidad especificadas.
+ **Enrutamiento de retorno**
+ VPCs los conectados a la Transit Gateway deben tener las rutas de retorno configuradas para enrutar el tráfico destinado al CIDR de la VPN del cliente de vuelta a la Transit Gateway.
+ Sin el enrutamiento de retorno adecuado, los clientes VPN no pueden acceder a los recursos del VPCs.
+ **Para IPv4**: El CIDR de Client VPN se conoce en el momento de la creación del punto final.
+ **Para IPv6**: Debe describir la tabla de rutas de Transit Gateway para determinar el rango de IPv6 CIDR asignado al punto final de la VPN del cliente (el rango de CIDR más grande de la tabla de enrutamiento de Transit Gateway asociada al punto final de la VPN del cliente), ya que los rangos de CIDR del IPv6 cliente los asigna automáticamente. AWS Client VPN
+ **Registros de conexión y flujo**
+ [Los registros de flujo de Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) se pueden habilitar para capturar información sobre el tráfico IP que entra y sale de sus Transit Gateways. [Los registros de conexión de Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html) se pueden habilitar para capturar información sobre los eventos de conexión de Client VPN.
+ Puede correlacionar un evento de registro de flujo de Transit Gateway con una conexión de Client VPN comparando una IP de cliente y una marca de tiempo en un evento de registro de flujo de Transit Gateway con la misma IP de cliente y período de tiempo en los registros de conexión de Client VPN.
+ **Conectividad a Internet**
+ Para acceder a Internet a través de Client VPN con Transit Gateway, sin túnel dividido, una VPC conectada debe tener NAT configurada.
+ **Para IPv4**: Configure una puerta de enlace NAT para reemplazar el cliente Client IPs VPN por una dirección IP pública.
+ **Para IPv6**: Consulte [Tráfico saliente de Internet centralizado con IPv6](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html#centralized-internet-outbound-traffic-with-ipv6).