¿Qué es () AWS Client VPN? - AWS Client VPN
Características de Client VPNComponentes de Client VPNUso de Client VPNPrecios de Client VPN

¿Qué es () AWS Client VPN?

AWS Client VPN es un servicio de VPN basado en cliente administrado que le permite obtener acceso de forma segura a sus recursos de AWS en la red local. Con Client VPN, puede acceder a los recursos desde cualquier ubicación utilizando un cliente de VPN basado en OpenVPN.

Temas

Características de Client VPN

Client VPN cuenta con las siguientes características y funcionalidades:

  • Conexiones seguras: establece conexiones TLS cifradas desde cualquier ubicación a través del cliente OpenVPN, lo que garantiza la privacidad y la integridad de los datos.

  • Servicio administrado: elimina la carga operativa que supone la implementación y el mantenimiento de soluciones de VPN de acceso remoto de terceros mediante la administración completa de AWS.

  • Alta disponibilidad y elasticidad: se escala de forma dinámica para adaptar un número variable de usuarios que se conectan a los recursos de AWS y en las instalaciones sin intervención manual.

  • Autenticación: admite varios métodos de autenticación, como la integración de Active Directory, la autenticación federada y la autenticación basada en certificados para una administración flexible de identidades.

  • Control granular: implementa controles de seguridad precisos a través de reglas de acceso basadas en la red configurables en el nivel de grupo de Active Directory y el control de acceso basado en grupos de seguridad.

  • Facilidad de uso: proporciona acceso unificado a recursos de AWS y en las instalaciones a través de un único túnel de VPN, lo que simplifica la experiencia del usuario final.

  • Capacidad de administración: ofrece visibilidad completa a través de registros de conexiones detallados y funciones de administración en tiempo real, incluida la capacidad de monitorizar y finalizar conexiones activas de los clientes cuando sea necesario.

  • Integración profunda: se integra perfectamente con servicios de AWS existentes, incluidos AWS Directory Service Amazon VPC, lo que mejora las capacidades de conectividad de la infraestructura en la nube.

  • Compatibilidad con IPv6: habilita conectividad de IPv6 completa para los puntos de conexión de Client VPN, y admite conexiones a recursos de IPv6 en los VPC y desde clientes en redes de IPv6 para requisitos de red modernos.

Componentes de Client VPN

Estos son los conceptos clave de Client VPN:

Punto de enlace de Client VPN

El punto de enlace de Client VPN es el recurso que usted crea y configura para activar y administrar sesiones de Client VPN. Es el punto de terminación de todas las sesiones de Client VPN.

Red de destino

Una red de destino es la red que se asocia a un punto de enlace de Client VPN. Una subred de una VPC es una red de destino. La asociación de una subred con un punto de enlace de Client VPN le permite establecer las sesiones de VPN. Puede asociar varias subredes con un punto de enlace de Client VPN para disfrutar de una alta disponibilidad. Todas las subredes deben ser de la misma VPC. Cada subred debe pertenecer a una zona de disponibilidad diferente.

Ruta

Cada punto de enlace de Client VPN tiene una tabla de ruta que describe las rutas de la red de destino disponibles. Cada ruta de la tabla de enrutamiento especifica la ruta del tráfico a recursos o redes específicos.

Reglas de autorización

Una regla de autorización restringe los usuarios que pueden obtener acceso a una red. Para una red especificada, se configura el grupo de proveedor de identidades (IdP) o de Active Directory al que se permite el acceso. Solo los usuarios que pertenezcan a este grupo pueden obtener acceso a la red especificada. De forma predeterminada, no hay reglas de autorización, por lo que debe configurarlas para permitir que los usuarios obtengan acceso a los recursos y redes.

Cliente

Usuario final que se conecta al punto de enlace de Client VPN para establecer una sesión de VPN. Los usuarios finales tienen que descargar un cliente OpenVPN y utilizar el archivo de configuración de la VPN de cliente que creó para establecer una sesión de VPN.

Rango de CIDR del cliente

Un rango de direcciones IP desde el que asignar direcciones IP del cliente. A cada conexión con el punto de enlace de Client VPN se le asigna una dirección IP única del intervalo CIDR del cliente. Para el tráfico de IPv4, puede elegir el intervalo de CIDR del cliente, por ejemplo, 10.2.0.0/16. Para el tráfico de IPv6, AWS Client VPN asigna automáticamente el intervalo de CIDR del cliente.

Puertos de Client VPN

AWS Client VPN da soporte a los puertos 443 y 1194 tanto para TCP y UDP. El valor predeterminado es el puerto 443.

Interfaces de red de Client VPN

Cuando asocia una subred con el punto de enlace de Client VPN, se crean interfaces de red de Client VPN en esa subred. El tráfico que se envía a la VPC desde el punto de enlace de Client VPN se envía a través de una interfaz de red de Client VPN. Para el tráfico de IPv4, se aplica la traducción de direcciones de red de origen (SNAT), donde la dirección IP de origen del intervalo de CIDR del cliente se traduce en la dirección IP de la interfaz de red de Client VPN. Para el tráfico de IPv6, no se aplica SNAT, lo que proporciona una mayor visibilidad de la dirección IP del usuario conectado.

Registro de conexión

Puede activar los registros de conexión en el punto de enlace de Client VPN para que los eventos de conexión queden registrados. Esta información puede resultar útil para ejecutar análisis forenses, analizar cómo se está utilizando el punto de enlace de Client VPN o depurar problemas de conexión.

Portal de autoservicio

Client VPN proporciona un portal de autoservicio como página web para que los usuarios finales descarguen la versión más reciente de AWS VPN Desktop Client y del archivo de configuración del punto de enlace de Client VPN, que contiene la configuración necesaria con el fin de conectarse al punto de enlace. El administrador del punto de enlace de Client VPN puede habilitar o desactivar un portal de autoservicio para el punto de enlace de Client VPN. El portal de autoservicio es un servicio global respaldado por pilas de servicios en las regiones de Este de EE. UU. (Norte de Virginia), Asia Pacífico (Tokio), Europa (Irlanda) y AWSGovCloud (EE. UU. Oeste).

Tipo de dirección IP de punto de conexión

Tipo de dirección IP de punto de conexión de Client VPN, que puede ser IPv4, IPv6 o de doble pila (IPv4 e IPv6).

Tipo de dirección IP de tráfico

Tipo de dirección IP para el tráfico que fluye a través del punto de conexión de Client VPN, que puede ser IPv4, IPv6 o de doble pila (IPv4 e IPv6). Determina el tipo de tráfico interno (la carga útil real o el tráfico original que se canaliza a través de la conexión de VPN), los intervalos de CIDR del cliente, la asociación de subredes, las rutas y las reglas por punto de conexión.

Uso de Client VPN

Puede utilizar Client VPN de cualquiera de las siguientes formas:

Consola de administración de AWS

La consola proporciona una interfaz de usuario basada en web para Client VPN. Si ya se registró para una Cuenta de AWS, puede iniciar sesión en la consola de Amazon VPC y seleccionar Client VPN en el panel de navegación.

AWS Command Line Interface (AWS CLI)

La AWS CLI proporciona acceso directo a las API públicas de Client VPN. Es compatible con Windows, macOS y Linux. Para obtener más información acerca de cómo empezar a trabajar con AWS CLI, consulte la Guía del usuario de AWS Command Line Interface. Para obtener más información acerca de los comandos de Client VPN, consulte la sección de EC2 de la Referencia de línea de comandos de Amazon EC2.

AWS Tools for Windows PowerShell

AWS proporciona comandos para un amplio conjunto de ofertas de AWS para los usuarios que utilizan scripts en el entorno de PowerShell. Para obtener más información acerca de cómo empezar a trabajar con AWS Tools for Windows PowerShell, consulte la Guía del usuario de AWS Tools for Windows PowerShell. Para obtener más información acerca de los cmdlets de Client VPN, consulte la Referencia de Cmdlet de AWS Tools for Windows PowerShell.

API de consulta

La API de consulta HTTPS de Client VPN proporciona acceso mediante programación a Client VPN y AWS. La API de consulta HTTPS le permite emitir solicitudes HTTPS directamente al servicio. Cuando use la API HTTPS, debe incluir código para firmar digitalmente las solicitudes utilizando sus credenciales. Para obtener más información, consulte las acciones de AWS Client VPN.

Precios de Client VPN

Se le cobra por cada asociación de puntos de conexión y cada conexión VPN cada hora. El uso de puntos de conexión IPv6 o de doble pila no supone ningún costo adicional; se cobra la misma tarifa que en los puntos de conexión IPv4. Para más información, consulte Precios de AWS Client VPN.

Se le cobra la transferencia de datos desde Amazon EC2 a Internet. Para obtener más información, consulte la sección Data Transfer (Transferencia de datos) en la página Precios bajo demanda de Amazon EC2.

Si activa el registro de conexiones en el punto de enlace de Client VPN, debe crear un grupo de registros de CloudWatch Logs en la cuenta. Se aplican cargos por el uso de grupos de registro. Para obtener más información, consulte Precios de Amazon CloudWatch (en Nivel de pago, elija Registros).

Si activa el controlador de la conexión del cliente en el punto de enlace de Client VPN, debe crear e invocar una función Lambda. Se aplicarán cargos por invocar funciones de Lambda. Para obtener más información, consulte Precios de AWS Lambda.

Los puntos de conexión de Client VPN están asociados con una red de destino, que es una subred en una VPC. Si esta VPC tiene una puerta de enlace de Internet, asociamos las direcciones IP elásticas con las interfaces de red elásticas (ENI) de Client VPN. Estas direcciones IP elásticas se cobran como direcciones IPv4 públicas en uso. Para obtener más información, consulte la pestaña de direcciones IPv4 públicas en la página de precios de VPC.

nota

Los puntos de conexión de Client VPN requieren direcciones IP elásticas cuando se asocian a una subred de VPC que tiene una puerta de enlace de Internet, ya que estas EIP proporcionan conectividad directa a Internet para clientes de VPN. Cuando se conectan a través de un punto de conexión de Client VPN, necesitan una dirección IP pública para comunicarse con los recursos de Internet. Las IP elásticas cumplen este propósito al proporcionar un punto de conexión coherente y orientado al público. Estas EIP están conectadas a las interfaces de red elásticas (ENI) de Client VPN y son esenciales para mantener un acceso a Internet estable y seguro para los clientes de VPN y, al mismo tiempo, garantizar el enrutamiento adecuado del tráfico. Dado que estas direcciones IP elásticas se asignan y utilizan activamente para el servicio Client VPN, AWS las cobra como direcciones IPv4 públicas en uso, siguiendo su modelo de precios estándar para EIP asignadas y asociadas.