Creación de un punto de conexión de AWS Client VPN - AWS Client VPN

Creación de un punto de conexión de AWS Client VPN

Cree un punto de conexión de AWS Client VPN para que sus clientes puedan establecer una sesión de VPN mediante la Consola de Amazon VPC o la AWS CLI. Client VPN admite todas las combinaciones de tipos de puntos de conexión (túnel dividido y túnel completo) con tipo de tráfico (IPv4, IPv6 y doble pila) durante la creación inicial.

Antes de crear un punto de conexión, familiarícese con los requisitos. Para obtener más información, consulte Requisitos para crear puntos de conexión de Client VPN.

Para crear un punto de conexión de Client VPN mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Client VPN Endpoints (Puntos de enlace de Client VPN) y Create Client VPN Endpoint (Crear punto de enlace de Client VPN).

  3. (Opcional) Escriba una etiqueta de nombre y una descripción del punto de conexión de Client VPN.

  4. En Tipo de dirección IP de punto de conexión, elija el tipo de dirección IP para el punto de conexión.

    • IPv4: el punto de conexión usa direcciones IPv4 para el tráfico del túnel de VPN externo.

    • IPv6: el punto de conexión usa direcciones IPv6 para el tráfico del túnel de VPN externo.

    • Doble pila: el punto de conexión usa direcciones IPv4 e IPv6 para el tráfico del túnel de VPN externo.

  5. En Tipo de dirección IP del tráfico, elija el tipo de dirección IP para el tráfico que fluye a través del punto de conexión.

    • IPv4: el punto de conexión IPv4 solo admite tráfico de IPv4.

    • IPv6: el punto de conexión IPv4 solo admite tráfico de IPv6.

    • Doble pila: el punto de conexión admite tráfico de IPv4 e IPv6.

  6. En Client IPv4 CIDR (CIDR de IPv4 de cliente), especifique el rango de direcciones IP, en notación CIDR, desde el que se van a asignar las direcciones IP del cliente. Por ejemplo, 10.0.0.0/22. Es obligatorio si ha seleccionado IPv4 o Doble pila como tipo de dirección IP de tráfico.

    nota

    • El intervalo de direcciones no puede solaparse al intervalo de direcciones de la red de destino, al intervalo de direcciones de la VPC ni a ninguna de las rutas que se asociarán con el punto de conexión de Client VPN. El intervalo de direcciones del cliente debe tener un tamaño de bloque de CIDR mínimo de /22 y no superior a /12. No puede cambiar el intervalo de direcciones del cliente después de crear el punto de conexión de Client VPN.

    • Al seleccionar IPv6 como tipo de dirección IP de punto de conexión, el campo CIDR de Client IPv4 se deshabilita. El punto de conexión de Client VPN asigna las direcciones IPv6 del cliente desde una subred asociada y usted puede asociar la subred después de crear el punto de conexión.

    nota

    Para el tráfico de IPv6 no es necesario especificar un intervalo de CIDR de cliente. Amazon asigna automáticamente intervalos de CIDR de IPv6 para clientes.

  7. En Server certificate ARN (ARN del certificado del servidor), especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados.

    nota

    El certificado de servidor debe estar presente en AWS Certificate Manager (ACM) en la región en la que está creando el punto de enlace de Client VPN. El certificado se puede aprovisionar con ACM o importarse a ACM.

    Para conocer los pasos para aprovisionar o importar un certificado a ACM, consulte Certificados de AWS Certificate Manager en la Guía del usuario de AWS Certificate Manager.

  8. Especifique el método de autenticación que se va a utilizar para autenticar los clientes al establecer una conexión de VPN. Debe seleccionar un método de autenticación.

    • Para usar la autenticación basada en usuarios, seleccione Utilizar la autenticación basada en usuarios y, a continuación, elija una de las opciones siguientes:

      • Autenticación con Active Directory: elija esta opción para la autenticación con Active Directory. Para ID de directorio, especifique el ID de Active Directory que se va a utilizar.

      • Autenticación federada: elija esta opción para la autenticación federada basada en SAML.

        Para ARN del proveedor SAML, especifique el ARN del proveedor de identidades SAML de IAM.

        (Opcional) En Self-service SAML provider ARN (ARN del proveedor SAML de autoservicio), especifique el ARN del proveedor de identidades SAML de IAM que creó para poder utilizar el portal de autoservicio, si procede.

    • Para utilizar la autenticación mutua de certificados, seleccione Use mutual authentication (Usar autenticación mutua) y luego, en Client certificate ARN (ARN de certificado de cliente), especifique el ARN del certificado de cliente aprovisionado en AWS Certificate Manager (ACM).

      nota

      Si los certificados de servidor y cliente los ha emitido la misma entidad de certificación (CA), puede utilizar el ARN del certificado de servidor para el servidor y el cliente. Si el certificado de cliente fue emitido por una entidad de certificación distinta, debe especificarse el ARN del certificado de cliente.

  9. (Opcional) En Connection logging (Registro de conexiones), especifique si desea registrar datos sobre las conexiones del cliente a través de Amazon CloudWatch Logs. Active Enable log details on client connections (Habilitar los detalles de registro en las conexiones de cliente). En Nombre del grupo de registro de CloudWatch Logs, escriba el nombre del grupo de registro que se va a utilizar. En Nombre de la secuencia de registro de CloudWatch Logs, escriba el nombre de la secuencia de registro que se va a utilizar o deje esta opción en blanco para permitirnos crear una secuencia de registro para usted.

  10. (Opcional) En Client Connect Handler (Controlador de conexión de cliente), active Enable client connect handler (Habilitar controlador de conexión de cliente) para ejecutar código personalizado que permita o deniegue una nueva conexión con el punto de conexión de Client VPN. En Client Connect Handler ARN (ARN del controlador de la conexión del cliente), especifique el nombre de recurso de Amazon (ARN) de la función Lambda que contiene la lógica que va a permitir o a denegar las conexiones.

  11. (Opcional) Especifique qué servidores DNS se van a utilizar para la resolución de DNS. Para utilizar servidores DNS personalizados, en DNS Server 1 IP address (Dirección IP de servidor de DNS 1) yDNS Server 2 IP address (Dirección IP de servidor de DNS 2), especifique las direcciones IPv4 de los servidores DNS que se van a utilizar. Para los puntos de conexión IPv6 o de doble pila, también puede especificar las direcciones IPv6 1 de servidor de DNS e IPv6 2 de servidor de DNS. Para utilizar un servidor DNS de la VPC, en DNS Server 1 IP address (Dirección IP del servidor DNS 1) o DNS Server 2 IP address (Dirección IP del servidor DNS 2), especifique las direcciones IP y agregue la dirección IP del servidor DNS de la VPC.

    nota

    Asegúrese de que los clientes pueden acceder a los servidores DNS.

  12. (Opcional) De forma predeterminada, el punto de conexión de Client VPN utiliza el protocolo de transporte UDP. Para utilizar el protocolo de transporte TCP en su lugar, en Transport Protocol (Protocolo de transporte), seleccione TCP.

    nota

    Normalmente UDP tiene mejor rendimiento que TCP. El protocolo de transporte no se puede cambiar una vez creado el punto de enlace de Client VPN.

  13. (Opcional) Para que el punto de conexión sea un punto de conexión de Client VPN de túnel dividido, active Enable split-tunnel (Habilitar túnel dividido). De forma predeterminada, el túnel dividido en un punto de conexión de Client VPN está desactivado.

  14. (Opcional) En VPC ID (ID de VPC), elija la VPC que desea asociar con el punto de enlace de Client VPN. En Security Group IDs (ID de grupo de seguridad), elija uno o varios grupos de seguridad de la VPC para aplicarlos al punto de enlace de Client VPN.

  15. (Opcional) En VPN port (Puerto de VPN), elija el número de puerto de VPN. El valor predeterminado es 443.

  16. (Opcional) Si desea generar una URL del portal de autoservicio para los clientes, active Enable self-service portal (Habilitar portal de autoservicio).

  17. (Opcional) Para Session timeout hours (Tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas de las opciones disponibles o deje el valor predeterminado de 24 horas.

  18. (Opcional) Para Desconectarse al finalizar el tiempo de espera de la sesión, elija si desea terminar la sesión cuando se llegue al tiempo máximo de sesión. La elección de esta opción requiere que los usuarios se vuelvan a conectar manualmente al punto de conexión al finalizar el tiempo de espera de la sesión; de lo contrario, Client VPN intentará volver a conectarse automáticamente.

  19. (Opcional) Especifique si desea habilitar el texto del banner de inicio de sesión de cliente. Active Enable client login banner (Habilitar banner de inicio de sesión de cliente). En Client Login Banner Text (Texto de banner de inicio de sesión de cliente), ingrese el texto que se mostrará en un banner en los clientes proporcionados por AWS cuando se establezca una sesión de VPN. Solo caracteres con codificación UTF-8. Máximo de 1400 caracteres.

  20. Elija Create Client VPN endpoint (Crear punto de conexión de Client VPN).

Cuando haya creado el punto de enlace de Client VPN, haga lo siguiente para completar la configuración y permitir que los clientes se conecten:

  • El estado inicial del punto de enlace de Client VPN es pending-associate. Los clientes solo pueden conectarse al punto de enlace de Client VPN después de asociar la primera red de destino.

  • Cree una regla de autorización para especificar qué clientes tienen acceso a la red.

  • Descargue y prepare el archivo de configuración del punto de enlace de Client VPN para distribuirlo a sus clientes.

  • Indique a sus clientes que utilicen el cliente proporcionado por AWS u otra aplicación cliente basada en OpenVPN para conectarse al punto de enlace de Client VPN. Para obtener más información, consulte la Guía del usuario de AWS Client VPN.

Cómo crear un punto de conexión de Client VPN mediante la AWS CLI

Utilice el comando create-client-vpn-endpoint.

Ejemplo de creación de un punto de conexión IPv4:

aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Ejemplo de creación de un punto de conexión IPv6:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Ejemplo de creación de un punto de conexión de doble pila:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false