Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Trabajar con de AWS Client VPN
<a name="cvpn-working"></a>

En los siguientes temas se explican las principales tareas administrativas necesarias para trabajar con Client VPN:
+ **Acceso al portal de autoservicio**: configure el acceso al portal de autoservicio de Client VPN para que los clientes puedan descargar por sí mismos el archivo de configuración del punto de conexión de Client VPN. Para obtener información sobre cómo acceder al portal de autoservicio, consulte [Acceso de AWS Client VPN al portal de la autoservicio](cvpn-self-service-portal.md).
+ **Reglas de autorización**: agregue reglas de autorización para controlar el acceso de los clientes a redes específicas. Para obtener información sobre cómo agregar reglas de autorización, consulte [AWS Client VPN reglas de autorización](cvpn-working-rules.md).
+ **Listas de revocación de certificados de cliente**: use listas de revocación de certificados de cliente para revocar el acceso a un punto de conexión de Client VPN. Para obtener información sobre listas de revocación de certificados del cliente, consulte [AWS Client VPN listas de revocación de certificados de cliente](cvpn-working-certificates.md).
+ **Conexiones de cliente**: permite ver o finalizar una conexión de cliente a un punto de conexión de Client VPN. Para obtener información sobre cómo ver o finalizar una conexión de cliente, consulte [Conexiones de clientes de AWS Client VPN](cvpn-working-connections.md).
+ **Banner de inicio de sesión de cliente**: agregue un banner de texto en una aplicación de escritorio de Client VPN cuando se establece una sesión de VPN. Puede usar el banner de texto para satisfacer sus necesidades normativas y de conformidad. Para obtener información sobre los banners de inicio de sesión, consulte [Banners de inicio de sesión de cliente de AWS Client VPN](cvpn-working-login-banner.md).
+ **Client Route Enforcement**: aplique rutas definidas por el administrador en los dispositivos conectados a través de la VPN. Para obtener más información sobre Client Route Enforcement, consulte [AWS Client VPN Aplicación de rutas del cliente](cvpn-working-cre.md). 
+ **Puntos de conexión de Client VPN**: configure los puntos de conexión de Client VPN para administrar y controlar todas las sesiones de VPN. Para obtener información sobre la configuración de los puntos de conexión, consulte [AWS Client VPN puntos finales](cvpn-working-endpoints.md).
+ **Registros de conexiones**: habilite el registro de conexión de puntos de conexión de Client VPN nuevos o existentes para comenzar a capturar registros de conexiones. Para obtener información sobre el registro de conexiones, consulte [registros de conexiones de AWS Client VPN](cvpn-working-with-connection-logs.md).
+ **Exportación del archivo de configuración del cliente**: configure el archivo de configuración del cliente que los clientes de Client VPN necesitan para establecer las conexiones de VPN. Tras configurar el archivo, descárguelo (expórtelo) para distribuirlo a los clientes. Para obtener más información sobre la exportación de un archivo de configuración del cliente, consulte [AWS Client VPN exportación de archivos de configuración de terminales](cvpn-working-endpoint-export.md).
+ **Rutas**: configure reglas de autorización para cada ruta de Client VPN para especificar qué clientes tienen acceso a la red de destino. Para obtener información acerca de la configuración de reglas de autorización, consulte [AWS Client VPN reglas de autorización](cvpn-working-rules.md)
+ **Redes de destino**: asocie las redes de destino con un punto de conexión de Client VPN para permitir que los clientes se conecten a él y establezcan una conexión de VPN. Para obtener más información sobre las redes de destino, consulte [Redes de destino de AWS Client VPN](cvpn-working-target.md).
+ **Duración máxima de la sesión de VPN**: establezca opciones para la duración máxima de la sesión de VPN para cumplir los requisitos de seguridad y conformidad. Para obtener información acerca de la duración máxima de la sesión de VPN, consulte [AWS Client VPN tiempo de espera máximo de la sesión de VPN](cvpn-working-max-duration.md).

# Acceso de AWS Client VPN al portal de la autoservicio
<a name="cvpn-self-service-portal"></a>

Si ha habilitado el portal de autoservicio en el punto de enlace de Client VPN, puede proporcionar a sus clientes una URL del portal de autoservicio. Los clientes pueden acceder al portal en un explorador web y utilizar sus credenciales basadas en usuarios para iniciar sesión. En el portal, los clientes pueden descargar el archivo de configuración del punto de enlace de Client VPN y la versión más reciente del cliente proporcionado por AWS.

Se aplican las siguientes reglas:
+ El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.
+ El archivo de configuración que está disponible en el portal de autoservicio es el mismo que se exporta a través de la consola de Amazon VPC o la AWS CLI. Si necesita personalizar el archivo de configuración antes de distribuirlo a los clientes, deberá encargarse usted mismo de distribuir el archivo personalizado a los clientes.
+ Debe habilitar la opción del portal de autoservicio en el punto de enlace de Client VPN o los clientes no podrán acceder al portal. Si esta opción no está habilitada, puede modificar el punto de enlace de Client VPN para habilitarla.

Una vez que la opción del portal de autoservicio esté habilitada, proporcione a sus clientes una de las siguientes direcciones URL:
+ `https://self-service.clientvpn.amazonaws.com/`

  Si los clientes acceden al portal mediante esta dirección URL, deben especificar el ID del punto de enlace de Client VPN para poder iniciar sesión.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/<endpoint-id>`

  En la URL anterior, sustituya *<endpoint-id>* por el ID del punto de enlace de Client VPN; por ejemplo, `cvpn-endpoint-0123456abcd123456`.

También puede ver la URL del portal de autoservicio en la salida del comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) de la AWS CLI. Por otro lado, la URL también está disponible en la pestaña **Details** (Detalles) de la página **VPN Client Endpoints** (Puntos de conexión de Client VPN) de la consola de Amazon VPC.

Para obtener más información acerca de cómo configurar el portal de autoservicio para usarlo con la autenticación federada, consulte [Compatibilidad con el portal de autoservicio](federated-authentication.md#saml-self-service-support).

# AWS Client VPN reglas de autorización
<a name="cvpn-working-rules"></a>

Las reglas de autorización actúan como reglas de firewall que conceden acceso a redes. Al agregar reglas de autorización, debe conceder a los clientes específicos acceso a la red especificada. Debe tener una regla de autorización para cada red a la que desea conceder acceso. Puede agregar reglas de autorización a un punto de enlace de Client VPN a través de la consola y la AWS CLI.

**nota**  
Client VPN utiliza la coincidencia de prefijos más larga al evaluar las reglas de autorización. Consulte el tema sobre solución de problemas [Solución de problemas AWS Client VPN: las reglas de autorización para los grupos de Active Directory no funcionan según lo esperado](ad-group-auth-rules.md) y [Prioridad de la ruta](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) en la *Guía del usuario de Amazon VPC* para obtener más información.

## Puntos clave para entender las reglas de autorización
<a name="key-points-summary"></a>

En los siguientes puntos se explican algunos de los comportamientos de las reglas de autorización:
+ Para permitir el acceso a una red de destino, debe agregarse explícitamente una regla de autorización. El comportamiento predeterminado es denegar el acceso.
+ No puede agregar una regla de autorización para *restringir* el acceso a una red de destino.
+ El CIDR `0.0.0.0/0` se gestiona como un caso especial. Se procesa en último lugar, independientemente del orden en que se crearon las reglas de autorización.
+ El CIDR `0.0.0.0/0` puede considerarse como "cualquier destino" o "cualquier destino no definido por otras reglas de autorización".
+ La coincidencia del prefijo más largo es la regla que tiene prioridad.

**Topics**
+ [Puntos clave](#key-points-summary)
+ [Ejemplos de escenarios de](#auth-rule-example-scenarios)
+ [Agregación de una regla de autorización](cvpn-working-rule-authorize-add.md)
+ [Eliminación de una regla de autorización](cvpn-working-rule-remove.md)
+ [Visualización de reglas de autorización](cvpn-working-rule-view.md)

## Escenarios de ejemplo para las reglas de autorización de Client VPN
<a name="auth-rule-example-scenarios"></a>

En esta sección se describe cómo funcionan las reglas de autorización para AWS Client VPN. Incluye puntos clave para entender las reglas de autorización, una arquitectura de ejemplo y la explicación de escenarios de ejemplo que se asignan a la arquitectura de ejemplo.

**Escenarios**
+ [Ejemplo de arquitectura para escenarios de reglas de autorización](#example-arch-auth-rules)
+ [Acceso a un único destino](#auth-rules1)
+ [Utilice cualquier CIDR de destino (0.0.0.0/0)](#auth-rules2)
+ [La concordancia de prefijo IP más larga](#auth-rules3)
+ [CIDR superpuesto (mismo grupo)](#auth-rules4)
+ [Regla 0.0.0.0/0 adicional](#auth-rules5)
+ [Agregación de una regla para 192.168.0.0/24](#auth-rules6)
+ [Autenticación federada SAML](#auth-rules7)
+ [Acceso para todos los grupos de usuarios](#auth-rules8)

### Ejemplo de arquitectura para escenarios de reglas de autorización
<a name="example-arch-auth-rules"></a>

En el siguiente diagrama se muestra la arquitectura de ejemplo que se utiliza para los escenarios de ejemplo que se encuentran en esta sección.

![\[Arquitectura de Client VPN de ejemplo\]](http://docs.aws.amazon.com/es_es/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)


### Acceso a un único destino
<a name="auth-rules1"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administración a la VPC de Client VPN  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 

**Comportamiento resultante**
+ El grupo de ingeniería puede acceder solo a `172.16.0.0/24`.
+ El grupo de desarrollo puede acceder solo a `10.0.0.0/16`.
+ El grupo de administradores puede acceder solo a `192.168.0.0/24`.
+ El punto de conexión de Client VPN descarta el resto del tráfico.

**nota**  
En este escenario, ningún grupo de usuarios tiene acceso al Internet público.

### Utilice cualquier CIDR de destino (0.0.0.0/0)
<a name="auth-rules2"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 

**Comportamiento resultante**
+ El grupo de ingeniería puede acceder solo a `172.16.0.0/24`.
+ El grupo de desarrollo puede acceder solo a `10.0.0.0/16`.
+ El grupo de administradores puede acceder al Internet público *y* a `192.168.0.0/24`, pero no puede acceder a `172.16.0.0/24` ni `10.0.0/16`.

**nota**  
En este escenario, como no hay reglas que hagan referencia a `192.168.0.0/24`, el acceso a esa red también lo proporciona la regla `0.0.0.0/0`.  
Una regla que contenga `0.0.0.0/0` siempre se evalúa en último lugar, independientemente del orden en que se crearon las reglas. Por ello, hay que tener en cuenta que las reglas evaluadas antes que `0.0.0.0/0` desempeñan un rol en la determinación de las redes a las que `0.0.0.0/0` concede acceso.

### La concordancia de prefijo IP más larga
<a name="auth-rules3"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administradores a un único host en la VPC de desarrollo  |  S-xxxxx16  |  False  |  10.0.2.119/32  | 

**Comportamiento resultante**
+ El grupo de ingeniería puede acceder solo a `172.16.0.0/24`.
+ El grupo de desarrollo puede acceder a `10.0.0.0/16`, *excepto* al host individual `10.0.2.119/32`.
+ El grupo de administradores puede acceder al Internet público, `192.168.0.0/24` y a un host individual (`10.0.2.119/32`) en la VPC de desarrollo, pero no tiene acceso a `172.16.0.0/24` ni a ninguno de los restantes hosts de la VPC de desarrollo.

**nota**  
Aquí se ve cómo una regla con un prefijo IP más largo tiene prioridad sobre una regla con un prefijo IP más corto. Si desea que el grupo de desarrollo tenga acceso a `10.0.2.119/32`, es necesario agregar una regla adicional que conceda acceso a `10.0.2.119/32` al equipo de desarrollo.

### CIDR superpuesto (mismo grupo)
<a name="auth-rules4"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administradores a un único host en la VPC de desarrollo  |  S-xxxxx16  |  False  |  10.0.2.119/32  | 
|  Proporcionar acceso al grupo de ingeniería a una subred más pequeña en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.128/25  | 

**Comportamiento resultante**
+ El grupo de desarrollo puede acceder a `10.0.0.0/16`, *excepto* al host individual `10.0.2.119/32`.
+ El grupo de administradores puede acceder al Internet público, `192.168.0.0/24` y a un host individual (`10.0.2.119/32`) en la red `10.0.0.0/16`, pero no tiene acceso a `172.16.0.0/24` ni a ninguno de los restantes hosts de la red `10.0.0.0/16`.
+ El grupo de ingeniería tiene acceso a `172.16.0.0/24`, incluida la subred más específica `172.16.0.128/25`.

### Regla 0.0.0.0/0 adicional
<a name="auth-rules5"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administradores a un único host en la VPC de desarrollo  |  S-xxxxx16  |  False  |  10.0.2.119/32  | 
|  Proporcionar acceso al grupo de ingeniería a una subred más pequeña en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.128/25  | 
|  Proporcionar acceso al grupo de ingeniería a cualquier destino  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 

**Comportamiento resultante**
+ El grupo de desarrollo puede acceder a `10.0.0.0/16`, *excepto* al host individual `10.0.2.119/32`.
+ El grupo de administradores puede acceder al Internet público, `192.168.0.0/24` y a un host individual (`10.0.2.119/32`) en la red `10.0.0.0/16`, pero no tiene acceso a `172.16.0.0/24` ni a ninguno de los restantes hosts de la red `10.0.0.0/16`.
+ El grupo de ingeniería puede acceder al Internet público, `192.168.0.0/24` y `172.16.0.0/24`, incluida la subred más específica `172.16.0.128/25`.

**nota**  
Observe que tanto el grupo de ingenieros como el de administradores ahora pueden acceder a `192.168.0.0/24`. Esto se debe a que ambos grupos tienen acceso a `0.0.0.0/0` (cualquier destino) *y* no hay otras reglas que hagan referencia a `192.168.0.0/24`.

### Agregación de una regla para 192.168.0.0/24
<a name="auth-rules6"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administradores a un único host en la VPC de desarrollo  |  S-xxxxx16  |  False  |  10.0.2.119/32  | 
|  Proporcionar acceso al grupo de ingeniería a una subred en la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.128/25  | 
|  Proporcionar acceso al grupo de ingeniería a cualquier destino  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administración a la VPC de Client VPN  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 

**Comportamiento resultante**
+ El grupo de desarrollo puede acceder a `10.0.0.0/16`, *excepto* al host individual `10.0.2.119/32`.
+ El grupo de administradores puede acceder al Internet público, `192.168.0.0/24` y a un host individual (`10.0.2.119/32`) en la red `10.0.0.0/16`, pero no tiene acceso a `172.16.0.0/24` ni a ninguno de los restantes hosts de la red `10.0.0.0/16`.
+ El grupo de ingeniería puede acceder al Internet público, `172.16.0.0/24` y `172.16.0.128/25`.

**nota**  
Observe cómo al agregar la regla para que el grupo de administradores acceda a `192.168.0.0/24`, el grupo de desarrollo deja de tener acceso a esa red de destino.

### Autenticación federada SAML
<a name="auth-rules7"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  Diseño  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  Desarrolladores  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administración a la VPC de Client VPN  |  Administradores  |  False  |  192.168.0.0/24  | 

**Comportamiento resultante**
+ Los usuarios autenticados mediante SAML con el atributo de grupo “Ingeniería” solo pueden acceder a `172.16.0.0/24`.
+ Los usuarios autenticados mediante SAML con el atributo de grupo “Desarrolladores” solo pueden acceder a `10.0.0.0/16`.
+ Los usuarios autenticados mediante SAML con el atributo de grupo “Administradores” solo pueden acceder a `192.168.0.0/24`.
+ El punto de conexión de Client VPN descarta el resto del tráfico.

**nota**  
Cuando se utiliza la autenticación federada de SAML, el campo de ID de grupo corresponde al valor del atributo SAML que identifica la pertenencia al grupo del usuario. Este atributo se configura en el proveedor de identidad SAML y se pasa a Client VPN durante la autenticación.

### Acceso para todos los grupos de usuarios
<a name="auth-rules8"></a>


| Descripción de la regla | ID de grupo | Permitir el acceso a todos los usuarios | CIDR de destino | 
| --- | --- | --- | --- | 
|  Proporcionar acceso al grupo de ingeniería a la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Proporcionar acceso al grupo de desarrollo a la VPC de desarrollo  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Proporcionar acceso al grupo de administradores a cualquier destino  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administradores a un único host en la VPC de desarrollo  |  S-xxxxx16  |  False  |  10.0.2.119/32  | 
|  Proporcionar acceso al grupo de ingeniería a una subred en la red en las instalaciones  |  S-xxxxx14  |  False  |  172.16.0.128/25  | 
|  Proporcionar acceso al grupo de ingeniería a todas las redes  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 
|  Proporcionar acceso al grupo de administración a la VPC de Client VPN  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 
|  Proporcionar acceso a todos los grupos  |  N/A  |  True  |  0.0.0.0/0  | 

**Comportamiento resultante**
+ El grupo de desarrollo puede acceder a `10.0.0.0/16`, *excepto* al host individual `10.0.2.119/32`.
+ El grupo de administradores puede acceder al Internet público, `192.168.0.0/24` y a un host individual (`10.0.2.119/32`) en la red `10.0.0.0/16`, pero no tiene acceso a `172.16.0.0/24` ni a ninguno de los restantes hosts de la red `10.0.0.0/16`.
+ El grupo de ingeniería puede acceder al Internet público, `172.16.0.0/24` y `172.16.0.128/25`.
+ Cualquier otro grupo de usuarios, por ejemplo, el "grupo de administradores", puede acceder al Internet público, pero no a otras redes de destino definidas en las demás reglas.

# Agregar una regla de autorización a un AWS Client VPN punto final
<a name="cvpn-working-rule-authorize-add"></a>

Puede agregar una regla de autorización para conceder o restringir el acceso a un punto de conexión de Client VPN a través de Consola de administración de AWS. Se puede agregar una regla de autorización a un punto de conexión de Client VPN a través de la consola de Amazon VPC o a través de la línea de comandos o API. 

**Para agregar una regla de autorización a un punto final de Client VPN mediante Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN al que va a agregar la regla de autorización y elija **Authorization rules** (Reglas de autorización) y **Add authorization rule** (Agregar regla de autorización).

1. En **Destination network to enable access** (Red de destino para habilitar acceso), ingrese la dirección IP, en notación CIDR, de la red a la que desea que accedan los usuarios (por ejemplo, el bloque de CIDR de la VPC).

1. Especifique qué clientes pueden obtener acceso a la red especificada. En **For grant access to (Para conceder acceso a)**, realice una de las siguientes operaciones::
   + Para conceder acceso a todos los clientes, seleccione **Allow access to all users (Permitir acceso a todos los usuarios)**.
   + Para restringir el acceso a clientes específicos, elija **Permitir acceso a los usuarios de un grupo de acceso específico** y, a continuación, en **ID de grupo de acceso**, escriba el ID del grupo al que se va a conceder acceso. Por ejemplo, el identificador de seguridad (SID) de un grupo de Active Directory o el ID/name de un grupo definido en un proveedor de identidad (IdP) basado en SAML.
     + (Active Directory) Para obtener el SID, puede usar el ADGroup cmdlet [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) de Microsoft Powershell, por ejemplo:

       ```
       Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'
       ```

       También puede abrir la herramienta de usuarios y equipos de Active Directory, consultar las propiedades del grupo, ir a la pestaña del editor de atributos y obtener el valor de `objectSID`. Si es necesario, primero elija **View (Ver)**, **Advanced Features (Características avanzadas)** para habilitar la pestaña del editor de atributos.
     + (Autenticación federada basada en SAML) El grupo ID/name debe coincidir con la información de atributos del grupo que se devuelve en la afirmación SAML.

1. En **Description (Descripción)**, escriba una breve descripción de la regla de autorización.

1. Seleccione **Add authorization rule (Añadir regla de autorización)**.

**Agregar una regla de autorización a un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).

# Eliminar una regla de autorización de un AWS Client VPN punto final
<a name="cvpn-working-rule-remove"></a>

Puede eliminar las reglas de autorización de un punto de conexión de Client VPN específico a través de la consola y AWS CLI.

**Eliminación de reglas de autorización (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN para el que se agregó la regla de autorización y, a continuación, elija **Reglas de autorización**.

1. Seleccione la regla de autorización a eliminar, elija **Eliminación de regla de autorización** y, a continuación, elija **Eliminar regla de autorización**.

**Eliminación de reglas de autorización (AWS CLI)**  
Utilice el comando [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).

# Visualización de reglas de autorización de AWS Client VPN
<a name="cvpn-working-rule-view"></a>

Puede consultar las reglas de autorización de un punto de enlace de Client VPN específico a través de la consola y AWS CLI.

**Para ver las reglas de autorización (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN cuyas reglas de autorización desee ver y elija **Authorization rules** (Reglas de autorización).

**Para ver las reglas de autorización (AWS CLI)**  
Utilice el comando [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).

# AWS Client VPN listas de revocación de certificados de cliente
<a name="cvpn-working-certificates"></a>

Las listas de revocación de certificados de cliente de Client VPN se usan para revocar el acceso a un punto de conexión de Client VPN para certificados de cliente específicos. Puede generar una lista de revocación o importar una lista existente. También puede exportar la lista actual a un archivo de lista de revocación. La generación de una lista se realiza mediante el software OpenVPN en Windows Linux/macOS o en Windows. La importación y la exportación se pueden realizar mediante la consola de Amazon VPC o mediante la CLI AWS . 

Para obtener más información sobre cómo generar los certificados y las claves del cliente y el servidor, consulte [Autenticación mutua en AWS Client VPN](mutual.md)

**nota**  
Si esta lista ha caducado, no puede conectarse al punto de conexión de Client VPN. Deberá crear una nueva e importarla al punto de conexión de Client VPN. 

Puede agregar solo un número de entradas limitado a una lista de revocación de certificados de cliente. Para obtener más información sobre la cantidad de entradas que puede agregar a una lista de revocación, consulte [Cuotas de Client VPN](limits.md#quotas-endpoints).

**Topics**
+ [Generación de una lista de revocación de certificados del cliente](cvpn-working-certificates-generate.md)
+ [Importación de una lista de revocación de certificados del cliente](cvpn-working-certificates-import.md)
+ [Exportación de una lista de revocación de certificados del cliente](cvpn-working-certificates-export.md)

# Generar una lista de revocaciones de certificados de AWS Client VPN cliente
<a name="cvpn-working-certificates-generate"></a>

Puede generar una lista de revocaciones de certificados de Client VPN en un sistema operativo Linux/macOS o Windows. La lista de revocación se utiliza para revocar el acceso a un punto de conexión de Client VPN para certificados específicos. Para obtener más información sobre listas de revocación de certificados del cliente, consulte [Listas de revocación de certificados del cliente](cvpn-working-certificates.md).

------
#### [ Linux/macOS ]

En el procedimiento siguiente, genera una lista de revocación de certificados del cliente mediante la utilidad de línea de comandos easy-rsa de OpenVPN.

**Para generar una lista de revocación de certificados del cliente mediante easy-rsa de OpenVPN**

1. Inicie sesión en el servidor que aloja la instalación easyrsa que se usó para generar el certificado.

1. Vaya a la carpeta `easy-rsa/easyrsa3` de su repositorio local.

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Revocar el certificado de cliente y generar la lista de revocación de cliente.

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   Ingrese `yes` cuando se le pida.

------
#### [ Windows ]

El siguiente procedimiento utiliza el software OpenVPN para generar una lista de revocación de clientes. Se supone que ha seguido los [pasos para utilizar el software OpenVPN](mutual.md) para generar los certificados y claves de cliente y servidor.

**Para generar una lista de revocación de certificados de cliente utilizando EasyRSA versión 3.x.x**

1. Abra un símbolo del sistema y navegue hasta el directorio EasyRSA-3.x.x, que dependerá de dónde esté instalado en el sistema.

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. Ejecute el archivo `EasyRSA-Start.bat` para iniciar el intérprete de comandos de EasyRSA.

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. Revoque el certificado del cliente en el shell de EasyRSA.

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. Ingrese `yes` cuando se le pida.

1. Genere la lista de revocación de clientes.

   ```
   # ./easyrsa gen-crl
   ```

1. La lista de revocación de clientes se creará en la siguiente ubicación:

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**Para generar una lista de revocación de certificados de cliente utilizando versiones anteriores de EasyRSA**

1. Abra un símbolo del sistema y vaya al directorio de OpenVPN.

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. Ejecute el archivo `vars.bat`.

   ```
   C:\> vars
   ```

1. Revocar el certificado de cliente y generar la lista de revocación de cliente.

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# Importar una lista de revocaciones de certificados de AWS Client VPN cliente
<a name="cvpn-working-certificates-import"></a>

Debe tener un archivo de lista de revocación de certificados del cliente de Client VPN para importarlo. Para obtener más información sobre cómo generar una lista de revocación de certificados del cliente, consulte [Generar una lista de revocaciones de certificados de AWS Client VPN cliente](cvpn-working-certificates-generate.md).

Puede importar una lista de revocación de certificados del cliente mediante la consola y la AWS CLI.

**Para importar una lista de revocación de certificados del cliente (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN para el que va a importar la lista de revocación de certificados del cliente.

1. Elija **Actions (Acciones)** y seleccione **Import Client Certificate CRL (Importar CRL de certificados de cliente)**.

1. En **Certificate Revocation List** (Lista de revocación de certificados), ingrese el archivo de la lista de revocación de certificados del cliente y seleccione **Import client certificate CRL** (Importar CRL de certificados de cliente).

**Para importar una lista de revocación de certificados del cliente (AWS CLI)**  
Utilice el certificate-revocation-list comando [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# Exportar una lista de revocaciones de certificados de AWS Client VPN cliente
<a name="cvpn-working-certificates-export"></a>

Puede exportar listas de revocación de certificados de cliente de Client VPN mediante la consola y la AWS CLI.

**Para exportar una lista de revocación de certificados del cliente (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN para el que va a exportar la lista de revocación de certificados del cliente.

1. Elija **Actions (Acciones)**, seleccione **Export Client Certificate CRL (Exportar CRL de certificados de cliente)** y elija **Export Client Certificate CRL** (Exportar CRL de certificados de cliente).

**Para exportar una lista de revocación de certificados del cliente (AWS CLI)**  
Utilice el certificate-revocation-list comando [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).

# Conexiones de clientes de AWS Client VPN
<a name="cvpn-working-connections"></a>

Las conexiones de AWS Client VPN son sesiones de VPN activas que los clientes han establecido en un punto de conexión de Client VPN específico, así como conexiones que se hayan finalizado en los últimos 60 minutos para ese punto de conexión. Una conexión se establece cuando un cliente se conecta correctamente a un punto de enlace de Client VPN. Al finalizar una sesión, se finaliza la conexión del cliente con el punto de conexión de Client VPN.

Puede ver y finalizar las conexiones de Client VPN. La visualización de la información de conexión devuelve información como la dirección IP asignada del rango de bloques de CIDR del cliente, el ID del punto de conexión y la marca temporal. Al finalizar una sesión, se finaliza la conexión de la VPN especificada con el punto de conexión. La visualización y la finalización de las sesiones se pueden realizar mediante la consola de Amazon VPC o la CLI de AWS. Si no puede conectarse al punto de conexión y, en función del error, consulte [Resolución de problemas de AWS Client VPN](troubleshooting.md) para ver las medidas que debe tomar para resolver el problema.

**Topics**
+ [Visualización de conexiones de clientes](cvpn-working-connections-view.md)
+ [Terminación de una conexión de cliente](cvpn-working-connections-disassociate.md)

# Visualización de conexiones de clientes de AWS Client VPN
<a name="cvpn-working-connections-view"></a>

Puede ver las conexiones de Client VPN activas mediante la consola de Amazon VPC o la CLI de AWS.

**Visualización de las conexiones de clientes de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN cuyas conexiones de clientes desee ver.

1. Elija la pestaña **Connections (Conexiones)**. En la pestaña **Connections (Conexiones)** se incluyen todas las conexiones de clientes activas y terminadas.

**Visualización de las conexiones de clientes de Client VPN (AWS CLI)**  
Utilice el comando [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html).

# Finalizar una conexión de AWS Client VPN cliente
<a name="cvpn-working-connections-disassociate"></a>

Puede finalizar la conexión de un cliente Client VPN mediante la consola de Amazon VPC o la CLI AWS .

**Terminación de una conexión de cliente de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN al que está conectado el cliente y elija **Connections**.

1. Seleccione la conexión que va a terminar, elija **Terminar conexión** y, a continuación, elija **Terminar conexión** de nuevo para confirmar la terminación.

**Terminación de una conexión de cliente de Client VPN (AWS CLI)**  
Utilice el comando [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html).

# Banners de inicio de sesión de cliente de AWS Client VPN
<a name="cvpn-working-login-banner"></a>

AWS Client VPN ofrece la opción de mostrar un banner de texto en AWS proporciona aplicaciones de escritorio de Client VPN cuando se establece una sesión VPN. Puede definir el contenido del banner de texto para satisfacer sus necesidades normativas y de conformidad. Se pueden utilizar un máximo de 1400 caracteres codificados de UTF-8.

**nota**  
Cuando se ha habilitado un banner de inicio de sesión de cliente, solo se mostrará en las sesiones VPN recién creadas. Las sesiones VPN existentes no se interrumpen, aunque el banner se mostrará cuando se restablezca una sesión existente.

## Creación de un banner
<a name="configure-login-banner-endpoint-creation"></a>

Los banners de inicio de sesión se crean y se habilitan inicialmente durante la creación del punto de conexión de Client VPN. Para obtener los pasos para habilitar un banner de inicio de sesión de cliente durante la creación de un punto de conexión de Client VPN, consulte [Crear un AWS Client VPN punto final](cvpn-working-endpoint-create.md).

**Topics**
+ [Creación de un banner](#configure-login-banner-endpoint-creation)
+ [Configuración de un banner de inicio de sesión de cliente para un punto de conexión existente](configure-login-banner-existing-endpoint.md)
+ [Desactivación de un banner de inicio de sesión de cliente para un punto de conexión](disable-login-banner.md)
+ [Modificación del texto del banner existente](modify-banner-text.md)
+ [Visualización de un banner de inicio de sesión actualmente configurado](display-login-banner.md)

# Configurar un banner de inicio de sesión de cliente para un AWS Client VPN punto final existente
<a name="configure-login-banner-existing-endpoint"></a>

Siga los siguientes pasos para configurar un banner de inicio de sesión de cliente para un punto de conexión de Client VPN existente.

**Habilitar el banner de inicio de sesión de cliente en un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN Endpoint** (Modificar punto de conexión de Client VPN).

1. Desplácese por la página hasta la sección **Other parameters** (Otros parámetros).

1. Active **Enable client login banner** (Habilitar banner de inicio de sesión de cliente).

1. En el **texto del encabezado de inicio de sesión del cliente**, introduzca el texto que se mostrará en un banner en los clientes AWS proporcionados cuando se establezca una sesión de VPN. Utilice sólo caracteres codificados en UTF-8, con un máximo de 1400 caracteres permitidos.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Habilitar el banner de inicio de sesión de cliente en un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Desactivar un banner de inicio de sesión de cliente para un punto final existente AWS Client VPN
<a name="disable-login-banner"></a>

Siga estos pasos para desactivar un banner de inicio de sesión de cliente para un punto de conexión de Client VPN existente.

**Desactivar el banner de inicio de sesión de cliente en un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

1. Desplácese por la página hasta la sección **Other parameters** (Otros parámetros).

1. Desactive **Enable client login banner** (Habilitar banner de inicio de sesión de cliente).

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Desactivar el banner de inicio de sesión de cliente en un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Modificar el texto del encabezado existente en un AWS Client VPN punto final
<a name="modify-banner-text"></a>

Siga estos pasos para modificar el texto existente en un banner de inicio de sesión de cliente de Client VPN.

**Modificación del texto del banner existente en un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

1. En **Enable client login banner?**(¿Habilitar banner de inicio de sesión de cliente?), verifique que se ha activado.

1. En el **texto del encabezado de inicio de sesión del cliente**, sustituya el texto existente por el texto nuevo que desee que aparezca en un banner en los clientes AWS proporcionados cuando se establezca una sesión de VPN. Utilice sólo caracteres codificados en UTF-8, con un máximo de 1400 caracteres.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Modificación de un banner de inicio de sesión de cliente en un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Ver un banner de inicio de AWS Client VPN sesión configurado actualmente
<a name="display-login-banner"></a>

Utilice los pasos siguientes para ver un banner de inicio de sesión de cliente de Client VPN configurado actualmente.

**Ver el banner de inicio de sesión actual para un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea ver.

1. Verifique que la pestaña **Details** (Detalles) esté seleccionada.

1. Vea el texto del banner de inicio de sesión configurado actualmente junto a **Client login banner text** (Texto del banner de inicio de sesión de cliente). 

**Ver un banner de inicio de sesión configurado actualmente en un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# AWS Client VPN Aplicación de rutas del cliente
<a name="cvpn-working-cre"></a>

Client Route Enforcement ayuda a aplicar las rutas definidas por el administrador en los dispositivos conectados a través de la VPN. Esta característica ayuda a mejorar su nivel de seguridad al garantizar que el tráfico de red que se origina en un cliente conectado no se envíe por error fuera del túnel de la VPN.

Client Route Enforcement monitoriza la tabla de enrutamiento principal del dispositivo conectado y se asegura de que el tráfico de red saliente vaya a un túnel de VPN, de acuerdo con las rutas de red configuradas en el punto de conexión de la VPN cliente. Esto incluye la modificación de las tablas de enrutamiento de un dispositivo si se detectan rutas que entran en conflicto con el túnel de VPN. Client Route Enforcement apoya tanto IPv4 a las familias como a las de IPv6 direcciones.

## Requisitos
<a name="requirements-cre"></a>

Client Route Enforcement solo funciona con las siguientes versiones de Client VPN AWS proporcionadas:
+ Windows versión 5.2.0 o superior (IPv4 compatible)
+ macOS versión 5.2.0 o superior (IPv4 compatible)
+ Ubuntu versión 5.2.0 o superior (compatible) IPv4 
+ Windows versión 5.3.0 o superior (compatible) IPv6 
+ macOS versión 5.3.0 o superior (IPv6 compatible)
+ Ubuntu versión 5.3.0 o superior (compatible) IPv6 

En el caso de los puntos finales de doble pila, la configuración de cumplimiento de rutas del cliente se aplica a ambos IPv4 y IPv6 a las pilas simultáneamente. No es posible habilitar Client Route Enforcement para una sola pila.

## Conflictos de enrutamiento
<a name="route-conflict-cre"></a>

Mientras un cliente está conectado a la VPN, se realiza una comparación entre la tabla de enrutamiento local del cliente y las rutas de red del punto de conexión. Se producirá un conflicto de enrutamiento si hay solapamiento de redes entre dos entradas de la tabla de enrutamiento. Un ejemplo de redes solapadas es:
+ `172.31.0.0/16`
+ `172.31.1.0/24`

En este ejemplo, estos bloques de CIDR constituyen un conflicto de enrutamiento. Por ejemplo, `172.31.0.0/16` podría ser el CIDR del túnel de VPN. Dado que `172.31.1.0/24` es más específico porque tiene un prefijo más largo, normalmente tiene prioridad y, potencialmente, redirige el tráfico de VPN en el intervalo de IP de `172.31.1.0/24` a otro destino. Esto podría provocar un comportamiento de enrutamiento no deseado. Sin embargo, cuando se habilita Client Route Enforcement, se elimina este último CIDR. Al utilizar esta característica, se deben tener en cuenta posibles conflictos de enrutamiento.

Las conexiones de VPN de túnel completo dirigen todo el tráfico de red a través de la conexión de VPN. Por ello, los dispositivos conectados a la VPN no podrán acceder a los recursos de la red local (LAN) si la característica Client Route Enforcement está habilitada. Si se requiere acceso a una LAN local, considere la posibilidad de utilizar el modo de túnel dividido en lugar del modo de túnel completo. Para obtener más información acerca del túnel dividido, consulte [Client VPN con un túnel dividido](split-tunnel-vpn.md).

## Consideraciones
<a name="considerations-cre"></a>

Debe tenerse en cuenta la siguiente información antes de activar Client Route Enforcement.
+ En el momento de la conexión, si se detecta un conflicto de enrutamiento, la característica actualizará la tabla de enrutamiento del cliente para dirigir el tráfico al túnel de VPN. Se restaurarán las rutas que existían antes de que se estableciera la conexión y que esta característica eliminó.
+ La característica solo se aplica en la tabla de enrutamiento principal y no se aplica a otros mecanismos de enrutamiento. Por ejemplo, la aplicación no se aplica a lo siguiente:
  + enrutamiento basado en políticas
  + enrutamiento en el ámbito de interfaz
+ Client Route Enforcement protege el túnel de VPN mientras está abierto. No hay protección después de desconectar el túnel o mientras el cliente se vuelve a conectar.

### Las directivas de OpenVPN afectan a Client Route Enforcement
<a name="considerations-openvpn"></a>

Algunas directivas personalizadas del archivo de configuración de OpenVPN tienen interacciones específicas con Client Route Enforcement:
+ La directiva `route` 
  + Al añadir rutas a una puerta de enlace de VPN. Por ejemplo, al agregar la ruta `192.168.100.0 255.255.255.0` a una puerta de enlace de VPN.

    El Client Route Enforcement monitoriza las rutas agregadas a una puerta de enlace VPN de forma similar a cualquier otra ruta de VPN. Se detectarán y eliminarán todas las rutas en conflicto. 
  + Al agregar rutas a una puerta de enlace de VPN. Por ejemplo, al agregar la ruta `192.168.200.0 255.255.255.0 net_gateway`.

    Las rutas agregadas a una puerta de enlace que no sea de VPN se excluyen de Client Route Enforcement, ya que omiten el túnel de la VPN. Se permiten rutas en conflicto. En el ejemplo anterior, la ruta quedará excluida de la monitorización de Client Route Enforcement. 
  + Al igual que en IPv4 las rutas, las IPv6 rutas agregadas a una puerta de enlace VPN son monitoreadas por Client Route Enforcement, mientras que las rutas agregadas a una puerta de enlace que no es de VPN se excluyen de la supervisión.

### Rutas ignoradas
<a name="cre-ignored"></a>

Client Route Enforcement ignorará IPv4 las rutas a las siguientes redes:
+ `127.0.0.0/8`: reservado para el host local
+ `169.254.0.0/16`: reservado para direcciones locales de enlace
+ `224.0.0.0/4`: reservado para multidifusión
+ `255.255.255.255/32`: reservado para transmisión

Client Route Enforcement ignorará IPv6 las rutas a las siguientes redes:
+ `::1/128`: reservado para bucles invertidos 
+ `fe80::/10`: reservado para direcciones locales de enlace 
+ `ff00::/8`: reservado para multidifusión 

**Topics**
+ [Requisitos](#requirements-cre)
+ [Conflictos de enrutamiento](#route-conflict-cre)
+ [Consideraciones](#considerations-cre)
+ [Activación de Client Route Enforcement](activate-cre.md)
+ [Desactivación de Client Route Enforcement](deactivate-cre.md)
+ [Solucione los problemas de cumplimiento de rutas IPv6 del cliente](cre-ipv6-troubleshooting.md)

# Active Client Route Enforcement para un AWS Client VPN punto final
<a name="activate-cre"></a>

Puede activar Client Route Enforcement en los puntos de conexión de Client VPN existentes mediante la consola o la AWS CLI.

**Cómo activar Client Route Enforcement mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN endpoints** (Puntos de conexión de Client VPN).

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Acciones** y, a continuación, elija **Modificar punto de conexión de Client VPN**.

1. Desplácese por la página hasta la sección **Other parameters** (Otros parámetros).

1. Active **Client Route Enforcement**.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Cómo activar Client Route Enforcement mediante la AWS CLI:**
+ Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Desactive Client Route Enforcement desde un punto final AWS Client VPN
<a name="deactivate-cre"></a>

Puede desactivar Client Route Enforcement en los puntos de conexión de Client VPN mediante la consola o la AWS CLI.

**Cómo desactivar Client Route Enforcement mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN endpoints** (Puntos de conexión de Client VPN).

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Acciones** y, a continuación, elija **Modificar punto de conexión de Client VPN**.

1. Desplácese por la página hasta la sección **Other parameters** (Otros parámetros).

1. Desactive **Client Route Enforcement**.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Para desactivar Client Route Enforcement mediante el AWS CLI**
+ Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Solucionar problemas de IPv6 Client Route Enforcement
<a name="cre-ipv6-troubleshooting"></a>

Si tiene problemas con la aplicación de rutas por IPv6 parte del cliente, tenga en cuenta los siguientes pasos de solución de problemas:

Verificación de la versión del cliente  
Asegúrese de utilizar la versión 5.3.0 o superior del cliente VPN de AWS, que es necesaria para el soporte de IPv6 Client Route Enforcement.

Comprobación de la configuración de punto de conexión  
Compruebe que el terminal tenga activado Client Route Enforcement y que esté configurado para el tráfico IPv6 de doble pila.

Examen de registros de clientes  
Revise los registros del cliente VPN de AWS para ver si hay algún mensaje de error relacionado con la aplicación de rutas de IPv6 clientes. Busque entradas que contengan «» y IPv6 «Client Route Enforcement» o «CRM».

Inspección de tablas de enrutamiento  
Use el comando apropiado para su sistema operativo para ver la tabla de IPv6 enrutamiento:  
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`

Comprobación de rutas en conflicto  
Busque cualquier IPv6 ruta que pueda entrar en conflicto con las rutas de la VPN. Preste especial atención a las rutas con el mismo destino, pero con diferentes puertas de enlace.

Verifica el soporte del ISP IPv6   
Asegúrese de que su proveedor de servicios de Internet (ISP) sea compatible adecuadamente. IPv6

Si sigue teniendo problemas con IPv6 Client Route Enforcement después de seguir estos pasos de solución de problemas, póngase en contacto con AWS Support para obtener más ayuda.

# AWS Client VPN puntos finales
<a name="cvpn-working-endpoints"></a>

Todas las AWS Client VPN sesiones establecen comunicación con un punto final Client VPN. Puede administrar el punto de conexión de Client VPN para crear, modificar, ver y eliminar sesiones de Client VPN con ese punto de conexión. Los puntos de conexión se pueden crear y modificar mediante la consola de Amazon VPC o mediante la CLI de AWS .

## Requisitos para crear puntos de conexión de Client VPN
<a name="cvpn-working-create-req"></a>

**importante**  
Se debe crear un punto final Client VPN en la misma AWS cuenta en la que se aprovisiona la red de destino prevista. También tendrá que generar un certificado de servidor y, si es necesario, un certificado de cliente. Para obtener más información, consulte [Autenticación de cliente en AWS Client VPN](client-authentication.md).

Antes de comenzar, asegúrese de hacer lo siguiente:
+ Revise las reglas y las limitaciones en [Reglas y mejores prácticas de uso AWS Client VPN](what-is-best-practices.md).
+ Genere el certificado de servidor y, si es necesario, el certificado de cliente. Para obtener más información, consulte [Autenticación de cliente en AWS Client VPN](client-authentication.md).

## Tipos de direcciones IP
<a name="cvpn-ip-address-types"></a>

AWS Client VPN admite configuraciones IPv4 de solo pila, solo y IPv6 de doble pila para la conectividad de los puntos finales y el enrutamiento del tráfico. La siguiente guía le ayuda a seleccionar el tipo de dirección IP adecuado en función de las capacidades del dispositivo cliente, la infraestructura de red y los requisitos de la aplicación.

### Tipo de dirección del punto de conexión
<a name="cvpn-endpoint-types"></a>

El tipo de dirección del punto de conexión determina qué protocolos IP admite el punto de conexión de Client VPN para las conexiones de los clientes. Este ajuste no se puede cambiar después de la creación del punto de conexión.

**Elija -solo cuando IPv4:**
+ Sus dispositivos cliente solo admiten conexiones IPv4 VPN
+ Sus herramientas de seguridad están optimizadas para la inspección IPv4 del tráfico

**Elija IPv6 -solo cuando:**
+ Todos los dispositivos cliente son totalmente compatibles IPv6 con las conexiones
+ Estás en redes en las que las IPv4 direcciones están agotadas

**Elija doble pila cuando:**
+ Tenga una combinación de dispositivos cliente con diferentes capacidades de IP
+ Estás realizando una transición gradual de a IPv4 IPv6

### Tipo de dirección IP de tráfico
<a name="cvpn-traffic-ip-considerations"></a>

El tipo de dirección IP de tráfico controla la forma en que Client VPN enruta el tráfico entre los clientes y sus recursos de VPC, independientemente que admita el punto de conexión.

**Dirija el tráfico como IPv4 cuando:**
+ Solo admite aplicaciones de destino en su VPC IPv4
+ Tiene redes y grupos IPv4 de seguridad complejos ACLs
+ Se esté conectando a sistemas heredados

**Redirija el tráfico como IPv6 cuando:**
+ Su infraestructura de VPC es principalmente IPv6
+ Quiera preparar la arquitectura de red para el futuro
+ Tiene aplicaciones modernas diseñadas para IPv6

## Modificación de puntos de conexión
<a name="cvpn-endpoints-modify-req"></a>

**nota**  
Los puntos finales de Client VPN creados mediante la configuración de inicio rápido se pueden modificar mediante los mismos procedimientos que los puntos finales creados con la configuración estándar. Todas las opciones de configuración están disponibles independientemente del método de configuración utilizado durante la creación.

Después de crear una conexión de Client VPN, se puede modificar cualquiera de los siguientes ajustes: 
+ La descripción
+ El certificado de servidor
+ Las opciones de registro de la conexión de cliente
+ La opción del controlador de la conexión del cliente
+ Los servidores DNS
+ La opción de túnel dividido
+ Rutas (cuando se utiliza la opción de túnel dividido)
+ Lista de revocación de certificados (CRL)
+ Reglas de autorización
+ Las asociaciones de grupos de seguridad y VPC
+ El número de puerto de VPN
+ La opción del portal de autoservicio
+ El máximo de duración de la sesión VPN
+ Habilitación o deshabilitación de reconexión automática cuando se agota el tiempo de espera de sesión
+ Habilitar o desactivar el texto del banner de inicio de sesión de cliente
+ Texto del banner de inicio de sesión de cliente

**nota**  
Las modificaciones de los puntos de conexión de Client VPN, incluidos los cambios en la lista de revocación de certificados (CRL), surtirán efecto hasta cuatro horas después de que el servicio Client VPN acepte una solicitud.  
No puede modificar el rango IPv4 CIDR del cliente, las opciones de autenticación, el certificado del cliente o el protocolo de transporte una vez creado el punto final Client VPN.

Cuando modifica cualquiera de los siguientes parámetros en un punto de enlace de Client VPN, la conexión se restablece:
+ El certificado de servidor
+ Los servidores DNS
+ La opción de túnel dividido (activar o desactivar el soporte)
+ Rutas (cuando se utiliza la opción de túnel dividido)
+  Lista de revocación de certificados (CRL)
+ Reglas de autorización
+ El número de puerto de VPN

**Topics**
+ [Requisitos para crear puntos de conexión de Client VPN](#cvpn-working-create-req)
+ [Tipos de direcciones IP](#cvpn-ip-address-types)
+ [Modificación de puntos de conexión](#cvpn-endpoints-modify-req)
+ [Creación de un punto de conexión de](cvpn-working-endpoint-create.md)
+ [Visualización de puntos de enlace de](cvpn-working-endpoint-view.md)
+ [Modificación de un punto de conexión](cvpn-working-endpoint-modify.md)
+ [Eliminación de un punto de conexión](cvpn-working-endpoint-delete.md)

# Crear un AWS Client VPN punto final
<a name="cvpn-working-endpoint-create"></a>

Cree un AWS Client VPN punto final para que sus clientes puedan establecer una sesión de VPN mediante la consola Amazon VPC o la VPN AWS CLI.Client que admite todas las combinaciones del tipo de punto final (túnel dividido y túnel completo) con el tipo de tráfico (IPv4 IPv6, y pila doble) durante la creación inicial. 

Antes de crear un punto de conexión, familiarícese con los requisitos. Para obtener más información, consulte [Requisitos para crear puntos de conexión de Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req).

**Para crear un punto de conexión de Client VPN mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)** y **Create Client VPN Endpoint (Crear punto de enlace de Client VPN)**.

1. En «Elegir método de configuración», seleccione una de las siguientes opciones: 
   + Inicio rápido: cree un punto final con los valores predeterminados recomendados por AWS
   + Estándar: configure manualmente todos los ajustes del punto final

**Configuración de inicio rápido:**

1. En «Elegir método de configuración», selecciona Inicio rápido.

1.  En « IPv4 CIDR de cliente», introduzca el rango de direcciones IP desde el que desea asignar las direcciones IP de los clientes. AWS recomienda usar un bloque CIDR /22 (por ejemplo, 10.0.0.0/22). 

1.  En «VPC», seleccione la VPC que desee asociar al punto final de Client VPN. 

1.  En «Subredes», seleccione una o más subredes en la VPC. Estas subredes se utilizarán para las asociaciones de redes de destino. 

1.  En Server certificate ARN (ARN del certificado del servidor), especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados. 

1.  Elija «Crear punto final Client VPN». 

AWS crea automáticamente los siguientes recursos: 
+ Regla de autorización que permite a todos los usuarios acceder al CIDR de la VPC
+ Asociación de la red de destino con las subredes de VPC seleccionadas
+ Entradas de la tabla de enrutamiento para el CIDR de la VPC

 Una vez creado el punto final, puede descargar el archivo de configuración del cliente desde la página de detalles del dispositivo final y distribuirlo entre los usuarios junto con el certificado y la clave del cliente. 

**Configuración estándar:**

1. En «Elegir método de configuración», selecciona Estándar.

1. (Opcional) Escriba una etiqueta de nombre y una descripción del punto de conexión de Client VPN.

1. En **Tipo de dirección IP de punto de conexión**, elija el tipo de dirección IP para el punto de conexión.
   + **IPv4**: El punto final usa IPv4 direcciones para el tráfico del túnel VPN externo.
   + **IPv6**: El punto final usa IPv6 direcciones para el tráfico del túnel VPN externo.
   + Pila **doble**: el punto final utiliza ambas IPv6 direcciones IPv4 y para el tráfico del túnel VPN exterior.

1. En **Tipo de dirección IP del tráfico**, elija el tipo de dirección IP para el tráfico que fluye a través del punto de conexión.
   + **IPv4**: El punto final solo admite IPv4 tráfico.
   + **IPv6**: El punto final solo admite IPv6 tráfico.
   + **Doble pila**: el punto final admite ambos tipos IPv4 de IPv6 tráfico.

1. Para el ** IPv4 CIDR del cliente**, especifique un rango de direcciones IP, en notación CIDR, desde el que asignar las direcciones IP de los clientes. Por ejemplo, `10.0.0.0/22`. Esto es obligatorio si ha seleccionado IPv4 una pila doble para el tipo de dirección IP de tráfico.
**nota**  
El intervalo de direcciones no puede solaparse al intervalo de direcciones de la red de destino, al intervalo de direcciones de la VPC ni a ninguna de las rutas que se asociarán con el punto de conexión de Client VPN. El intervalo de direcciones del cliente debe tener un tamaño de bloque de CIDR mínimo de /22 y no superior a /12. No puede cambiar el intervalo de direcciones del cliente después de crear el punto de conexión de Client VPN.
 IPv6 Al seleccionar el tipo de dirección IP del punto final, el campo IPv4 CIDR del cliente se deshabilita. El punto final Client VPN asigna IPv6 las direcciones de los clientes de una subred asociada y usted puede asociar la subred después de crear el punto final.
**nota**  
Para el IPv6 tráfico, no es necesario especificar un rango de CIDR de cliente. Amazon asigna automáticamente los rangos de IPv6 CIDR a los clientes.

1. En **Server certificate ARN (ARN del certificado del servidor)**, especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados.
**nota**  
El certificado del servidor debe estar presente en AWS Certificate Manager(ACM) en la región en la que va a crear el punto final Client VPN. El certificado se puede aprovisionar con ACM o importarse a ACM.  
Para conocer los pasos para aprovisionar o importar un certificado a ACM, consulte [Certificados de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la *Guía del usuario de AWS Certificate Manager*.

1. Especifique el método de autenticación que se va a utilizar para autenticar los clientes al establecer una conexión de VPN. Debe seleccionar un método de autenticación.
   + Para usar la autenticación basada en usuarios, seleccione **Utilizar la autenticación basada en usuarios** y, a continuación, elija una de las opciones siguientes:
     + **Autenticación con Active Directory**: elija esta opción para la autenticación con Active Directory. Para **ID de directorio**, especifique el ID de Active Directory que se va a utilizar.
     + **Autenticación federada**: elija esta opción para la autenticación federada basada en SAML. 

       Para **ARN del proveedor SAML**, especifique el ARN del proveedor de identidades SAML de IAM. 

       (Opcional) En **Self-service SAML provider ARN (ARN del proveedor SAML de autoservicio)**, especifique el ARN del proveedor de identidades SAML de IAM que creó para [poder utilizar el portal de autoservicio](federated-authentication.md#saml-self-service-support), si procede.
   + Para usar la autenticación con certificado mutuo, seleccione **Usar autenticación mutua** y, a continuación, **en el ARN del certificado de cliente**, especifique el ARN del certificado de cliente aprovisionado en (ACM).AWS Certificate Manager
**nota**  
Si los certificados de servidor y cliente los ha emitido la misma entidad de certificación (CA), puede utilizar el ARN del certificado de servidor para el servidor y el cliente. Si el certificado de cliente fue emitido por una entidad de certificación distinta, debe especificarse el ARN del certificado de cliente.

1. (Opcional) Para el **registro de conexiones**, especifique si desea registrar los datos sobre las conexiones de los clientes mediante Amazon CloudWatch Logs. Active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente). En el **nombre del grupo de CloudWatch registros**, introduzca el nombre del grupo de registros que se va a utilizar. En el caso **del nombre del flujo de registro de CloudWatch registros**, introduzca el nombre del flujo de registro que desee utilizar o deje esta opción en blanco para que podamos crear un flujo de registro para usted. 

1. (Opcional) En **Client Connect Handler** (Controlador de conexión de cliente), active **Enable client connect handler** (Habilitar controlador de conexión de cliente) para ejecutar código personalizado que permita o deniegue una nueva conexión con el punto de conexión de Client VPN. En **Client Connect Handler ARN (ARN del controlador de la conexión del cliente)**, especifique el nombre de recurso de Amazon (ARN) de la función Lambda que contiene la lógica que va a permitir o a denegar las conexiones.

1. (Opcional) Especifique qué servidores DNS se van a utilizar para la resolución de DNS. Para usar servidores DNS personalizados, para la **dirección IP del servidor DNS 1 y la dirección** **IP del servidor DNS 2**, especifique las IPv4 direcciones de los servidores DNS que se van a utilizar. Para los puntos finales IPv6 o de doble pila, también puede especificar las direcciones **del servidor DNS IPv6 1** y **del servidor DNS IPv6 2**. Para utilizar un servidor DNS de la VPC, en **DNS Server 1 IP address** (Dirección IP del servidor DNS 1) o **DNS Server 2 IP address** (Dirección IP del servidor DNS 2), especifique las direcciones IP y agregue la dirección IP del servidor DNS de la VPC.
**nota**  
Asegúrese de que los clientes pueden acceder a los servidores DNS.

1. (Opcional) De forma predeterminada, el punto de conexión de Client VPN utiliza el protocolo de transporte `UDP`. Para utilizar el protocolo de transporte `TCP` en su lugar, en **Transport Protocol (Protocolo de transporte)**, seleccione **TCP**.
**nota**  
Normalmente UDP tiene mejor rendimiento que TCP. El protocolo de transporte no se puede cambiar una vez creado el punto de enlace de Client VPN.

1. (Opcional) Para que el punto de conexión sea un punto de conexión de Client VPN de túnel dividido, active **Enable split-tunnel** (Habilitar túnel dividido). De forma predeterminada, el túnel dividido en un punto de conexión de Client VPN está desactivado.

1. (Opcional) En **VPC ID (ID de VPC)**, elija la VPC que desea asociar con el punto de enlace de Client VPN. En **Security Group IDs**, elija uno o más de los grupos de seguridad de la VPC para aplicarlos al punto final Client VPN.

1. (Opcional) En **VPN port** (Puerto de VPN), elija el número de puerto de VPN. El valor predeterminado es 443.

1. (Opcional) Si desea generar una [URL del portal de autoservicio](cvpn-self-service-portal.md) para los clientes, active **Enable self-service portal** (Habilitar portal de autoservicio).

1. (Opcional) Para **Session timeout hours** (Tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas de las opciones disponibles o deje el valor predeterminado de 24 horas.

1. (Opcional) Para **Desconectarse al finalizar el tiempo de espera de la sesión**, elija si desea terminar la sesión cuando se llegue al tiempo máximo de sesión. La elección de esta opción requiere que los usuarios se vuelvan a conectar manualmente al punto de conexión al finalizar el tiempo de espera de la sesión; de lo contrario, Client VPN intentará volver a conectarse automáticamente.

1. (Opcional) Especifique si desea habilitar el texto del banner de inicio de sesión de cliente. Active **Enable client login banner** (Habilitar banner de inicio de sesión de cliente). En **Client Login Banner Text** (Texto de banner de inicio de sesión de cliente), ingrese el texto que se mostrará en un banner en los clientes proporcionados por AWS cuando se establezca una sesión de VPN. Solo caracteres con codificación UTF-8. Máximo de 1400 caracteres.

1. Elija **Create Client VPN endpoint** (Crear punto de conexión de Client VPN).

Cuando haya creado el punto de enlace de Client VPN, haga lo siguiente para completar la configuración y permitir que los clientes se conecten:
+ El estado inicial del punto de enlace de Client VPN es `pending-associate`. Los clientes solo pueden conectarse al punto de enlace de Client VPN después de asociar la primera [red de destino](cvpn-working-target-associate.md).
+ Cree una [regla de autorización](cvpn-working-rules.md) para especificar qué clientes tienen acceso a la red.
+ Descargue y prepare el [archivo de configuración](cvpn-working-endpoint-export.md) del punto de enlace de Client VPN para distribuirlo a sus clientes.
+ Indique a sus clientes que utilicen el cliente AWS proporcionado u otra aplicación cliente basada en OpenVPN para conectarse al punto final Client VPN. Para obtener más información, consulte la [Guía del usuario de AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).

**Para crear un punto final Client VPN mediante el AWS CLI**  
Utilice el comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).

Ejemplo de creación de un IPv4 punto final:

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Ejemplo de creación de un IPv6 punto final:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Ejemplo de creación de un punto de conexión de doble pila:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# Visualización de puntos de enlace de AWS Client VPN
<a name="cvpn-working-endpoint-view"></a>

Puede consultar información sobre los puntos de conexión de Client VPN a través de la consola de Amazon VPC o la AWS CLI.

**Para ver los puntos de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN que desea ver.

1. Use las pestañas **Detalles**, **Asociaciones de red de destino**, **Grupos de seguridad**, **Reglas de autorización**, **Tabla de enrutamiento**, **Conexiones** y **Etiquetas** para ver la información sobre los puntos de conexión de Client VPN existentes.

   También puede usar filtros para mejorar la búsqueda.

**Para ver los puntos de conexión de Client VPN (AWS CLI)**  
Utilice el comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modificación de un punto de conexión de AWS Client VPN
<a name="cvpn-working-endpoint-modify"></a>

Puede modificar un punto de conexión de Client VPN mediante la consola de Amazon VPC o la AWS CLI. Para obtener más información acerca de los campos que puede modificar de Client VPN, consulte [Modificación de puntos de conexión](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).

## Limitaciones
<a name="endpoints-limits"></a>

Se aplican las siguientes limitaciones para modificar un punto de conexión: 
+  Las modificaciones de los puntos de conexión de Client VPN, incluidos los cambios en la lista de revocación de certificados (CRL), surtirán efecto hasta cuatro horas después de que el servicio Client VPN acepte una solicitud.
+ No puede modificar el intervalo CIDR IPv4 del cliente, las opciones de autenticación, el certificado de cliente ni el protocolo de transporte después de crear el punto de conexión de Client VPN.
+ Puede modificar los puntos de conexión IPv4 existentes para convertirlos a doble pila, tanto los tipos de IP de punto de conexión como de tráfico. Si solo necesita IPv6 para IP de punto de conexión e IP de tráfico, debe crear un nuevo punto de conexión.
+ Client VPN no admite la modificación del tipo de punto de conexión (IPv4, IPv6, doble pila) ni del tipo de tráfico (IPv4, IPv6, doble pila) después de la creación.
+ No se admite la modificación de una Client VPN con una combinación específica de tipo de punto de conexión y tipo de tráfico. No puede cambiar a ninguna otra combinación. El punto de conexión se debe eliminar y volver a crear con la configuración deseada.
+ Los clientes IPv6 no admiten la comunicación de cliente a cliente.

## Modificación de un punto de enlace de Client VPN.
<a name="endpoint-modify"></a>

Los puntos de conexión de Client VPN se pueden modificar a través de la consola o la AWS CLI. 

**Cómo modificar un punto de conexión de Client VPN mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea modificar, elija **Actions** (Acciones) y haga clic en **Modify Client VPN Endpoint** (Modificar punto de conexión de Client VPN).

1. En **Description (Descripción)**, escriba una breve descripción del punto de enlace de Client VPN.

1. En **Tipo de dirección IP de punto de conexión**, puede modificar un punto de conexión IPv4 existente para que sea de doble pila. Esta opción solo está disponible para puntos de conexión IPv4.

1. En **Tipo de dirección IP de tráfico**, puede modificar un punto de conexión IPv4 existente para que sea de doble pila. Esta opción solo está disponible para puntos de conexión IPv4.

1. En **Server certificate ARN (ARN del certificado del servidor)**, especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados.
**nota**  
El certificado de servidor debe estar presente en AWS Certificate Manager (ACM) en la región en la que está creando el punto de enlace de Client VPN. El certificado se puede aprovisionar con ACM o importarse a ACM.

1. Indique si desea registrar datos sobre las conexiones del cliente a través de Amazon CloudWatch Logs. En **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente), realice una de las siguientes acciones:
   + Para activar el registro de la conexión del cliente, active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente). En **CloudWatch Logs log group name** (Nombre del grupo de registro de CloudWatch Logs), seleccione el nombre del grupo de registro que se va a utilizar. En **CloudWatch Logs log stream name** (Nombre de la secuencia de registro de CloudWatch), seleccione el nombre de la secuencia de registro que se va a utilizar o deje esta opción en blanco para permitirnos crear una secuencia de registro automáticamente.
   + Para desactivar el registro de la conexión del cliente, desactive **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente).

1. En **Client connect handler** (Controlador de conexión de cliente), para activar el [controlador de conexión de cliente](connection-authorization.md), active **Enable client connect handler** (Habilitar controlador de conexión de cliente). En **Client Connect Handler ARN (ARN del controlador de la conexión del cliente)**, especifique el nombre de recurso de Amazon (ARN) de la función Lambda que contiene la lógica que va a permitir o a denegar las conexiones.

1. Active o desactive **Enable DNS servers** (Habilitar servidores DNS). Para utilizar servidores DNS personalizados, en **DNS Server 1 IP address (Dirección IP de servidor de DNS 1)** y**DNS Server 2 IP address (Dirección IP de servidor de DNS 2)**, especifique las direcciones IPv4 de los servidores DNS que se van a utilizar. Para los puntos de conexión IPv6 o de doble pila, también puede especificar las direcciones **IPv6 1 de servidor de DNS** e **IPv6 2 de servidor de DNS**. Para utilizar un servidor DNS de la VPC, en **DNS Server 1 IP address** (Dirección IP del servidor DNS 1) o **DNS Server 2 IP address** (Dirección IP del servidor DNS 2), especifique las direcciones IP y agregue la dirección IP del servidor DNS de la VPC.
**nota**  
Asegúrese de que los clientes pueden acceder a los servidores DNS.

1. Active o desactive **Enable split-tunnel** (Habilitar túnel dividido). De forma predeterminada, el túnel dividido en un punto de conexión de VPN está desactivado.

1. En **VPC ID** (ID de VPC), elija la VPC que desea asociar con el punto de conexión de Client VPN. En **Security Group IDs (ID de grupo de seguridad)**, elija uno o varios grupos de seguridad de la VPC para aplicarlos al punto de enlace de Client VPN.

1. En **VPN port** (Puerto de VPN), elija el número de puerto de VPN. El valor predeterminado es 443.

1. Si desea generar una [URL del portal de autoservicio](cvpn-self-service-portal.md) para los clientes, active **Enable self-service portal** (Habilitar portal de autoservicio).

1. En **Session timeout hours** (Horas de tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas de las opciones disponibles o deje el valor predeterminado de 24 horas.

1. En **Desconectarse al finalizar el tiempo de espera de la sesión**, elija si desea finalizar la sesión cuando termine el tiempo máximo de sesión. La elección de esta opción requiere que los usuarios se vuelvan a conectar manualmente al punto de conexión al finalizar el tiempo de espera de la sesión; de lo contrario, Client VPN intentará volver a conectarse automáticamente.

1. Active o desactive **Enable client login banner** (Habilitar banner de inicio de sesión de cliente). Si desea usar el banner de inicio de sesión de cliente, ingrese el texto que se mostrará en un banner en los clientes proporcionados por AWS cuando se establezca una sesión VPN. Solo caracteres con codificación UTF-8. Máximo de 1400 caracteres.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Cómo modificar un punto de conexión de Client VPN mediante la AWS CLI**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

Ejemplo de modificación de un punto de conexión IPv4 para que sea de doble pila:

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# Eliminación de un punto de conexión de AWS Client VPN
<a name="cvpn-working-endpoint-delete"></a>

Tendrá que desconectar todas las redes de destino para poder eliminar un punto de conexión de Client VPN. Cuando se elimina un punto de enlace de Client VPN, su estado cambia a `deleting` y los clientes ya no pueden conectarse a él. 

Los puntos de enlace de Client VPN pueden eliminarse a través de la consola o la AWS CLI.

**Para eliminar un punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea eliminar. Elija **Actions** (Acciones), **Delete Client VPN endpoint** (Eliminar punto de conexión de Client VPN).

1. Ingrese *delete* en la ventana de confirmación y elija **Delete** (Eliminar).

**Eliminación de un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).

# registros de conexiones de AWS Client VPN
<a name="cvpn-working-with-connection-logs"></a>

Puede habilitar el registro de conexión de un punto de enlace de Client VPN nuevo o existente y comenzar a capturar registros de conexión. Los registros de conexiones muestran la secuencia de los eventos de registro del punto de conexión de Client VPN. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no especifica ninguna secuencia de registros, el servicio Client VPN creará una automáticamente. A continuación, el registro de conexiones registra la siguiente información: las solicitudes de conexión del cliente, los resultados de la conexión del cliente (correcta o no), los motivos por los que la conexión no se realiza correctamente y la hora de finalización del cliente desde el punto de conexión. 

Antes de comenzar, debe tener un grupo de registro de CloudWatch Logs en su cuenta. Para obtener más información, consulte este artículo sobre el [uso de grupos y secuencias de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) en la *Guía del usuario de Amazon CloudWatch Logs*. Se aplican cargos por usar los registros de CloudWatch Logs. Para más información, consulte [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).

Los registros de conexiones de Client VPN se pueden crear mediante la consola de Amazon VPC o la CLI de AWS.

**Topics**
+ [Habilitar el registro de conexión para un nuevo punto de enlace de](create-connection-log-new.md)
+ [Habilitar el registro de conexión para un punto de enlace de existente](create-connection-log-existing.md)
+ [Visualización de los registros de conexiones](view-connection-logs.md)
+ [Desactivación del registro de conexiones](disable-connection-logs.md)

# Habilitar el registro de conexiones para un nuevo AWS Client VPN punto final
<a name="create-connection-log-new"></a>

Puede activar el registro de conexión al crear un nuevo punto de enlace de Client VPN a través de la consola o la línea de comandos.

**Para habilitar el registro de conexión de un nuevo punto de enlace de Client VPN a través de la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints** (Puntos de conexión de Client VPN) y **Create Client VPN endpoint** (Crear punto de conexión de Client VPN).

1. Complete las opciones hasta que llegue a la sección **Registro de conexión**. Para obtener más información sobre las opciones, consulte [Crear un AWS Client VPN punto final](cvpn-working-endpoint-create.md).

1. En **Connection logging** (Registro de conexiones), active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente).

1. En el **nombre del grupo de CloudWatch registros**, elija el nombre del grupo de CloudWatch registros.

1. (Opcional) Para el **nombre del flujo de registro de CloudWatch registros**, elija el nombre del flujo de registro de CloudWatch registros.

1. Elija **Create Client VPN endpoint** (Crear punto de conexión de Client VPN).

**Para habilitar el registro de conexiones para un nuevo punto final Client VPN mediante AWS CLI**  
Utilice el [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)comando y especifique el `--connection-log-options` parámetro. Puede especificar la información de los registros de conexión en formato JSON, como se muestra en el siguiente ejemplo.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# Habilitar el registro de conexiones para un AWS Client VPN punto final existente
<a name="create-connection-log-existing"></a>

Puede habilitar el registro de conexión en un punto de enlace de Client VPN existente a través de la consola o la línea de comandos.

**Para habilitar el registro de conexión en un punto de enlace de Client VPN existente a través de la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN endpoint** (Modificar el punto de conexión de Client VPN).

1. En **Connection logging** (Registro de conexiones), active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente).

1. En el **nombre del grupo de CloudWatch registros**, elija el nombre del grupo de CloudWatch registros.

1. (Opcional) Para el **nombre del flujo de registro de CloudWatch registros**, elija el nombre del flujo de registro de CloudWatch registros.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Para habilitar el registro de conexiones para un punto final Client VPN existente mediante el AWS CLI**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) y especifique el parámetro `--connection-log-options`. Puede especificar la información de los registros de conexión en formato JSON, como se muestra en el siguiente ejemplo.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# Visualización de los registros de conexiones de AWS Client VPN
<a name="view-connection-logs"></a>

Puede ver los registros de conexiones de Client VPN mediante la consola de CloudWatch Logs.

**Para ver los registros de conexión mediante la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Grupos de registros** y seleccione el grupo de registros que contiene los registros de conexión. 

1. Seleccione la secuencia de registros del punto de enlace de Client VPN.
**nota**  
En la columna **Timestamp (Marca temporal)**, se muestra la hora a la que el registro de conexión se publicó en CloudWatch Logs, no la hora de la conexión.

Para obtener más información sobre la búsqueda de datos de registro, consulte [Búsqueda de datos de registro mediante patrones de filtro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) en la *Guía del usuario de Amazon CloudWatch Logs*.

# Desactivación del registro de conexiones de AWS Client VPN
<a name="disable-connection-logs"></a>

Puede desactivar los registros de conexiones de un punto de conexión de Client VPN a través de la consola o la línea de comandos. Cuando desactiva el registro de conexiones, no se eliminan los registros de CloudWatch Logs existentes.

**Para desactivar el registro de conexiones mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN endpoint** (Modificar el punto de conexión de Client VPN).

1. En **Connection logging** (Registro de conexiones), desactive **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente).

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Para desactivar el registro de conexiones mediante la AWS CLI**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) y especifique el parámetro `--connection-log-options`. Asegúrese de que `Enabled` está establecido en `false`.

# AWS Client VPN exportación de archivos de configuración de terminales
<a name="cvpn-working-endpoint-export"></a>

El archivo de configuración del AWS Client VPN punto final es el archivo que los clientes (usuarios) utilizan para establecer una conexión VPN con el punto final Client VPN. Debe descargar (exportar) este archivo y distribuirlo a todos los clientes que necesitan acceder a la VPN. Alternativamente, si ha habilitado el portal de autoservicio para el punto de conexión de Client VPN, los clientes también pueden iniciar sesión en el portal y descargar el archivo de configuración ellos mismos. Para obtener más información, consulte [Acceso de AWS Client VPN al portal de la autoservicio](cvpn-self-service-portal.md).

Si el punto de enlace de Client VPN utiliza la autenticación mutua, debe [agregar el certificado y la clave privada del cliente al archivo de configuración .ovpn](add-config-file-cert-key.md) que descargue. Después de agregar la información, los clientes pueden importar el archivo .ovpn al software de cliente OpenVPN.

**importante**  
Si no agrega el certificado de cliente y la información de la clave privada del cliente al archivo, los clientes que utilicen la autenticación mutua no podrán conectarse al punto de enlace de Client VPN.

De forma predeterminada, la opción «remote-random-hostname» de la configuración del cliente de OpenVPN habilita el DNS comodín. Dado que el DNS comodín está habilitado, el cliente no almacena en caché la dirección IP del punto de enlace, por lo que no podrá hacer ping al nombre de DNS del punto de enlace. 

Si el punto de enlace de Client VPN utiliza la autenticación de Active Directory y habilita la autenticación multifactor (MFA) en el directorio después de distribuir el archivo de configuración del cliente, deberá descargar un archivo nuevo y volver a distribuirlo entre sus clientes. Los clientes no pueden usar el archivo de configuración anterior para conectarse al punto de enlace de Client VPN.

**Topics**
+ [Exportación del archivo de configuración del cliente](export-client-config-file.md)
+ [Agregación del certificado de cliente y la información clave para la autenticación mutua](add-config-file-cert-key.md)

# Exportar el archivo de configuración del AWS Client VPN cliente
<a name="export-client-config-file"></a>

Puede exportar la configuración del cliente de Client VPN mediante la consola o la AWS CLI.

**Para exportar la configuración del cliente (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN cuyo archivo de configuración desea descargar y elija **Download Client Configuration (Descargar configuración del cliente)**.

**Para exportar la configuración del cliente (AWS CLI)**  
Utilice el comando [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) y especifique el nombre del archivo de salida.

```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```

# Agregue el certificado del AWS Client VPN cliente y la información clave para la autenticación mutua
<a name="add-config-file-cert-key"></a>

Si el punto de enlace de Client VPN utiliza la autenticación mutua, debe agregar el certificado y la clave privada del cliente al archivo de configuración .ovpn que descargue.

No se puede modificar el certificado de cliente cuando utiliza la autenticación mutua.

**Para agregar el certificado de cliente y la información de la clave (autenticación mutua)**  
Puede utilizar una de las siguientes opciones.

(Opción 1) Distribuya la clave y el certificado de cliente entre los clientes junto con el archivo de configuración del punto de enlace de Client VPN. En este caso, especifique la ruta de acceso al certificado y la clave en el archivo de configuración. Abra el archivo de configuración utilizando el editor que prefiera y agregue lo siguiente al final del archivo. */path/*Sustitúyala por la ubicación del certificado y la clave del cliente (la ubicación es relativa al cliente que se conecta al punto final).

```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```

(Opción 2) Añada el contenido del certificado de cliente entre las etiquetas `<cert>``</cert>` y el contenido de la clave privada entre las etiquetas `<key>``</key>` al archivo de configuración. Si elige esta opción, distribuirá únicamente el archivo de configuración entre sus clientes.

Si ha generado certificados y claves de cliente diferentes para cada uno de los usuarios que se van a conectar al punto de enlace de Client VPN, repita este paso con todos los usuarios.

A continuación, se muestra un ejemplo del formato de un archivo de configuración de Client VPN que incluye la clave y el certificado de cliente.

```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0
```

# AWS Client VPN rutas
<a name="cvpn-working-routes"></a>

Cada AWS Client VPN punto final tiene una tabla de rutas que describe las rutas de red de destino disponibles. Cada ruta de la tabla de ruteo determina la ubicación a la que se dirige el tráfico de red. Debe configurar reglas de autorización en cada ruta del punto de enlace de Client VPN para especificar qué clientes tienen acceso a la red de destino.

Cuando asocia una subred de una VPC con un punto de enlace de Client VPN, se agrega automáticamente una ruta de la VPC a la tabla de enrutamiento del punto de enlace de Client VPN. Para habilitar el acceso a redes adicionales, como las redes locales interconectadas VPCs, la red local (para permitir que los clientes se comuniquen entre sí) o Internet, debe agregar manualmente una ruta a la tabla de rutas del punto final Client VPN.

**nota**  
Si va a asociar varias subredes al punto de enlace de Client VPN, debe asegurarse de crear una ruta para cada subred tal como se describe aquí: [Solución de problemas AWS Client VPN: el acceso a una VPC interconectada, Amazon S3 o Internet es intermitente](intermittent-access.md). Cada subred asociada debe tener un conjunto de rutas idéntico.

## Consideraciones sobre el uso de túneles divididos en los puntos de conexión de Client VPN
<a name="split-tunnel-routes"></a>

Cuando se utiliza un túnel dividido en un punto de enlace de Client VPN, todas las rutas que están en las tablas de enrutamiento de Client VPN se agregan a la tabla de enrutamiento del cliente al establecer la VPN. Si agrega una ruta después de establecer la VPN, tendrá que restablecer la conexión para que la nueva ruta se envíe al cliente.

Es conveniente que tenga en cuenta el número de rutas que el dispositivo cliente puede controlar antes de modificar la tabla de enrutamiento del punto de enlace de Client VPN.

**Topics**
+ [Consideraciones sobre el uso de túneles divididos en los puntos de conexión de Client VPN](#split-tunnel-routes)
+ [Creación de una ruta de punto de enlace](cvpn-working-routes-create.md)
+ [Visualización de rutas de punto de enlace](cvpn-working-routes-view.md)
+ [Eliminación de una ruta de punto de enlace](cvpn-working-routes-delete.md)

# Creación de una ruta de punto de conexión de AWS Client VPN
<a name="cvpn-working-routes-create"></a>

Al crear una ruta de punto de conexión de Client VPN, debe especificar cómo se debe dirigir el tráfico de la red de destino.

Para permitir que los clientes obtengan acceso a Internet, añada una ruta `0.0.0.0/0` de destino.

Puede agregar rutas a un punto de enlace de Client VPN a través de la consola y la AWS CLI.

**Para crear la ruta de un punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN al que desee agregar la ruta y elija **Route table** (Table de enrutamiento) y **Create Route** (Crear ruta).

1. En **Route destination (Destino de ruta)**, especifique el rango de CIDR de IPv4 para la red de destino. Por ejemplo:
   + Para agregar una ruta para la VPC del punto de conexión de Client VPN, ingrese el intervalo CIDR IPv4 de la VPC.
   + Para agregar una ruta para acceder a Internet, escriba `0.0.0.0/0`.
   + Para agregar una ruta para una VPC interconectada, escriba el rango de CIDR de IPv4 de la VPC interconectada.
   + Para agregar la ruta de una red en las instalaciones, ingrese el rango CIDR IPv4 de la conexión de AWS Site-to-Site VPN.

1. En **Subnet ID for target network association** (ID de subred para la asociación de red de destino), seleccione la subred que está asociada al punto de conexión de Client VPN.

   Si va a agregar una ruta para la red local del punto de conexión de Client VPN, también puede seleccionar `local`.

1. (Opcional) En **Description** (Descripción), ingrese una breve descripción de la ruta.

1. Elija **Create route (Crear ruta)**.

**Para crear una ruta de punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html).

# Visualización de rutas de punto de conexión de AWS Client VPN
<a name="cvpn-working-routes-view"></a>

Puede ver las rutas de un punto de enlace de Client VPN específico a través de la consola o la AWS CLI.

**Para ver las rutas de un punto de enlace de Client VPN (consola)**

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN cuyas rutas desee ver y elija **Route Table** (Tabla de enrutamiento).

**Para ver las rutas de un punto de enlace de Client VPN (AWS CLI)**  
Ejecute el comando [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html).

# Eliminación de una ruta de punto de conexión de AWS Client VPN
<a name="cvpn-working-routes-delete"></a>

Solo puede eliminar las rutas de Client VPN que haya agregado manualmente. No se pueden eliminar las rutas que se hayan agregado automáticamente al asociar una subred con el punto de enlace de Client VPN. Para eliminar las rutas que se han agregado automáticamente, debe desconectar la subred que inició la creación de estas rutas del punto de enlace de Client VPN.

Puede eliminar una ruta de un punto de enlace de Client VPN a través de la consola o la AWS CLI.

**Para eliminar una ruta de punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN del que desea eliminar la ruta y elija **Route table** (Tabla de enrutamiento).

1. Seleccione la ruta que va a eliminar, elija **Delete route** (Eliminar ruta) y seleccione **Delete route** (Eliminar ruta).

**Para eliminar la ruta de un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).

# Redes de destino de AWS Client VPN
<a name="cvpn-working-target"></a>

Una red de destino es una subred en una VPC. Un punto de conexión de AWS Client VPN debe tener al menos una red de destino para permitir que los clientes se conecten a ella y establecer una conexión de VPN. 

Para obtener más información sobre los tipos de acceso que puede configurar (por ejemplo, permitir que los clientes accedan a Internet), consulte [Escenarios y ejemplos para Client VPN](how-it-works.md#scenario).

## Requisitos de la red de destino de Client VPN
<a name="cvpn-create-target-reqs"></a>

Cuando se crea una red de destino, se aplican las reglas siguientes:
+ La subred debe tener un bloque de CIDR con al menos una máscara de bits de /27, por ejemplo 10.0.0.0/27. La subred debe tener también al menos 20 direcciones IP disponibles en todo momento.
+ El bloque de CIDR de la subred no se puede solapar con el intervalo CIDR del cliente del punto de enlace de Client VPN.
+ Si asocia varias subredes con un punto de enlace de Client VPN, cada subred tendrá que estar en una zona de disponibilidad diferente. Le recomendamos que asocie al menos dos subredes para proporcionar redundancia a la zona de disponibilidad.
+ Si al crear el punto de enlace de Client VPN especificó una subred, dicha subred tendrá que estar en la misma VPC. Si aún no ha asociado ninguna VPC con el punto de enlace de Client VPN, puede elegir cualquier subred de cualquier VPC. 

  Todas las asociaciones de subred adicionales tienen que ser de la misma VPC. Para asociar una subred de una VPC diferente, primero tiene que modificar el punto de enlace de Client VPN y cambiar la VPC que tiene asociada. Para obtener más información, consulte [Modificación de un punto de conexión de AWS Client VPN](cvpn-working-endpoint-modify.md).

Al asociar una subred con un punto de enlace de Client VPN, la ruta local de la VPC en la que está aprovisionada la subred asociada se agrega automáticamente a la tabla de enrutamiento del punto de enlace de Client VPN.

**nota**  
Una vez asociadas las redes de destino, cuando agregue o quite CIDR adicionales a la VPC conectada, debe realizar una de las siguientes operaciones para actualizar la ruta local para la tabla de enrutamiento del punto de enlace de Client VPN:  
Desasocie el punto de enlace de Client VPN de la red de destino y, a continuación, asocie el punto de enlace de Client VPN a la red de destino.
Agregar manualmente o eliminar la ruta de la tabla de enrutamiento del punto de enlace de Client VPN.

Después de asociar la primera subred con el punto de enlace de Client VPN, el estado del punto de enlace de Client VPN cambia de `pending-associate` a `available` y los clientes pueden establecer una conexión de VPN.

**Topics**
+ [Requisitos para crear una red de destino](#cvpn-create-target-reqs)
+ [Asociación de una red de destino con un punto de conexión](cvpn-working-target-associate.md)
+ [Aplicación de un grupo de seguridad a una red de destino](cvpn-working-target-apply.md)
+ [Visualización de redes de destino](cvpn-working-target-view.md)
+ [Desasociación de una red de destino de un punto de conexión](cvpn-working-target-disassociate.md)

# Asociar una red de destino a un AWS Client VPN punto final
<a name="cvpn-working-target-associate"></a>

Puede asociar una o más redes de destino (subredes) a un punto final Client VPN mediante la consola de Amazon VPC o la AWS CLI. Antes de asociar una red de destino con un punto de conexión de Client VPN, familiarícese con los requisitos. Consulte [Requisitos para crear una red de destino](cvpn-working-target.md#cvpn-create-target-reqs).

**Para asociar una red de destino a un punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN con el que desee asociar la red de destino, elija **Target network associations** (Asociaciones de red de destino) y, a continuación, elija **Associate target network** (Asociar red de destino).

1. En **VPC**, elija la VPC en la que se encuentra la subred. Si al crear el punto de enlace de Client VPN especificó una VPC o si tiene asociaciones de subredes anteriores, debe ser la misma VPC.

1. En **Choose a subnet to associate** (Elija una subred para asociar), elija la subred que desee asociar con el punto de conexión de Client VPN.

1. Elija **Associate target network** (Asociar red de destino).

**Asociación una red de destino con un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html).

# Aplicar un grupo de seguridad a una red de destino en AWS Client VPN
<a name="cvpn-working-target-apply"></a>

Cuando cree un punto de enlace de Client VPN, puede especificar los grupos de seguridad que se aplicarán a la red de destino. Al asociar la primera red de destino con un punto de enlace de Client VPN, se aplica automáticamente el grupo de seguridad predeterminado de la VPC en la que se encuentra la subred asociada. Para obtener más información, consulte [Grupos de seguridad](client-authorization.md#security-groups).

Puede cambiar los grupos de seguridad del punto de enlace de Client VPN. Las reglas de los grupos de seguridad que necesite también pueden depender del tipo de acceso de VPN que desee configurar. Para obtener más información, consulte [Escenarios y ejemplos para Client VPN](how-it-works.md#scenario).

**Para aplicar un grupo de seguridad a una red de destino (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN al que se aplican los grupos de seguridad.

1. Elija **Security Groups** (Grupos de seguridad) y, luego, elija **Apply Security Groups** (Aplicar grupos de seguridad).

1. Seleccione los grupos de seguridad adecuados en **Grupo de seguridad IDs**.

1. Elija **Apply Security Groups** (Aplicar grupos de seguridad).

**Para aplicar un grupo de seguridad a una red de destino (AWS CLI)**  
Utilice el client-vpn-target-network comando [apply-security-groups-to-](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html).

# Visualización de redes de destino de AWS Client VPN
<a name="cvpn-working-target-view"></a>

Puede ver los destinos asociados con un determinado punto de enlace de Client VPN a través de la consola o la AWS CLI.

**Para ver las redes de destino (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN adecuado y elija **Target network associations** (Asociaciones de la red de destino).

**Para ver las redes de destino mediante la AWS CLI**  
Utilice el comando [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html).

# Desasociar una red de destino de un punto final AWS Client VPN
<a name="cvpn-working-target-disassociate"></a>

Cuando desasocie una red de destino, se eliminará cualquier ruta que se haya agregado manualmente a la tabla de enrutamiento del punto de conexión de la VPN de cliente, así como la ruta que se creó automáticamente cuando se realizó la asociación de la red de destino (la ruta local de la VPC). Si desconecta todas las redes de destino de un punto de enlace de Client VPN, los clientes ya no podrán establecer una conexión de VPN. 

**Para desconectar una red de destino de un punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN al que está asociada la red de destino y elija **Target network associations** (Asociaciones de red de destino).

1. Seleccione la red de destino que desea desasociar, elija **Disassociate** (Desasociar) y, a continuación, elija **Disassociate target network** (Desasociar red de destino).

**Desconectar una red de destino de un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html).

# AWS Client VPN tiempo de espera máximo de la sesión de VPN
<a name="cvpn-working-max-duration"></a>

AWS Client VPN proporciona varias opciones para la duración máxima de la sesión de VPN, que es el tiempo máximo permitido para la conexión de un cliente al punto final de Client VPN. Puede configurar una sesión VPN de duración máxima menor para ayudar a cumplir con los requisitos de seguridad y conformidad. De forma predeterminada, la duración máxima de la sesión VPN es de 24 horas. Una vez que haya establecido la duración máxima de la sesión, podrá controlar lo que ocurrirá con esa sesión al finalizar el tiempo de espera. La opción de desconexión al finalizar el tiempo de espera de la sesión le permite terminar la sesión o intentar volver a conectarse automáticamente al punto de conexión. La finalización de una sesión le permite tener más control sobre la seguridad de los puntos de conexión aplicando la duración máxima de la sesión de VPN. Si una sesión está configurada para finalizar al llegar al límite de tiempo, los usuarios deberán volver a conectarse y proporcionar sus credenciales de autenticación para restablecer la conexión de VPN. 

Cuando la desconexión al finalizar el tiempo de espera de la sesión esté configurada para volver a conectarse automáticamente y se agote el tiempo máximo de la sesión, 
+ se establecerá automáticamente una nueva sesión en el caso de las credenciales de usuario almacenadas en caché (Active Directory) o de la autenticación basada en certificados (autenticación mutua). Para desconectarse por completo y no volver a conectarse automáticamente, estos usuarios se deben desconectar manualmente. 
+ no se establecerá automáticamente una nueva sesión en el caso de la autenticación federada (SAML). Estos usuarios deben volver a autenticarse una vez transcurrido el tiempo de espera de la sesión para restablecer la conexión de VPN.

**nota**  
Cuando el valor máximo de duración de la sesión de VPN disminuye con respecto a su valor actual, se desconecta cualquier sesión de VPN activa que esté conectada al punto de conexión durante un periodo de tiempo superior a la duración recién establecida.
Al cambiar la opción de desconexión al finalizar el tiempo de espera de la sesión, se aplicará la nueva configuración a todas las sesiones abiertas actualmente.

## Configure la sesión VPN máxima durante la creación de un AWS Client VPN punto final
<a name="configure-max-duration-endpoint-creation"></a>

La duración de una sesión de VPN se configura durante la creación de un punto de conexión de Client VPN. Consulte [Crear un AWS Client VPN punto final](cvpn-working-endpoint-create.md) para los pasos, para crear un punto de conexión de Client VPN y establecer la duración máxima de la sesión.

**Topics**
+ [Configuración de la sesión de VPN máxima durante la creación de un punto de conexión](#configure-max-duration-endpoint-creation)
+ [Visualización de la duración máxima de la sesión de VPN actual](display-max-duration.md)
+ [Modificación de la duración máxima de la sesión de VPN](modify-max-timeout.md)

# Ver la duración máxima AWS Client VPN actual de la sesión de VPN
<a name="display-max-duration"></a>

Siga estos pasos para ver la duración de la sesión de VPN máxima de Client VPN actual.

**Visualización de la duración máxima de la sesión de VPN para un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea ver.

1. Verifique que la pestaña **Details** (Detalles) esté seleccionada.

1. Consulte la duración máxima de la sesión de VPN actual junto a **Horas de tiempo de espera de la sesión** y si está habilitada o deshabilitada la opción **Desconectarse al finalizar el tiempo de espera**.

**Visualización de la duración máxima de la sesión de VPN para un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modificar la duración máxima de la AWS Client VPN sesión y el comportamiento del tiempo de espera
<a name="modify-max-timeout"></a>

Siga estos pasos para modificar la duración máxima de una sesión de VPN existente de Client VPN y cambiar el comportamiento de desconexión al finalizar el tiempo de espera de la sesión.

**Modificar la duración máxima de una sesión VPN existente para un punto de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN endpoints** (Puntos de conexión de Client VPN).

1. Seleccione el punto de conexión de Client VPN que desee modificar, elija **Actions** (Acciones) y, a continuación, elija **Modify Client VPN Endpoint** (Modificar punto de conexión de Client VPN).

1. Para el **Session timeout hours** (Tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas.

1. En **Desconectarse al finalizar el tiempo de espera de la sesión**, elija si desea desconectar una sesión cuando termine el tiempo máximo de sesión. De forma predeterminada, este ajuste está desactivado la primera vez que se modifica un punto de conexión. 

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Modificar la duración máxima de una sesión VPN existente para un punto de conexión de Client VPN (AWS CLI)**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).