Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es AWS Client VPN?
AWS Client VPN es un servicio de VPN gestionado y basado en clientes que le permite acceder de forma segura a sus AWS recursos y recursos de la red local. Con Client VPN, puede acceder a los recursos desde cualquier ubicación utilizando un cliente de VPN basado en OpenVPN.
**Topics**
+ [Características de Client VPN](#what-is-features)
+ [Componentes de Client VPN](#what-is-components)
+ [Uso de Client VPN](#what-is-access)
+ [Precios de Client VPN](#what-is-pricing)
+ [Reglas y prácticas recomendadas](what-is-best-practices.md)
## Características de Client VPN
Client VPN cuenta con las siguientes características y funcionalidades:
+ **Conexiones seguras**: establece conexiones TLS cifradas desde cualquier ubicación a través del cliente OpenVPN, lo que garantiza la privacidad y la integridad de los datos.
+ **Servicio administrado**: elimina la carga operativa que supone la implementación y el mantenimiento de soluciones de VPN de acceso remoto de terceros mediante la administración completa de AWS.
+ **Alta disponibilidad y elasticidad**: se escala de forma dinámica para adaptar un número variable de usuarios que se conectan a los recursos de AWS y en las instalaciones sin intervención manual.
+ **Autenticación**: admite varios métodos de autenticación, como la integración de Active Directory, la autenticación federada y la autenticación basada en certificados para una administración flexible de identidades.
+ **Control granular**: implementa controles de seguridad precisos a través de reglas de acceso basadas en la red configurables en el nivel de grupo de Active Directory y el control de acceso basado en grupos de seguridad.
+ **Facilidad de uso**: proporciona acceso unificado a recursos de AWS y en las instalaciones a través de un único túnel de VPN, lo que simplifica la experiencia del usuario final.
+ **Capacidad de administración**: ofrece visibilidad completa a través de registros de conexiones detallados y funciones de administración en tiempo real, incluida la capacidad de monitorizar y finalizar conexiones activas de los clientes cuando sea necesario.
+ **Integración profunda**: se integra perfectamente con los servicios de AWS existentes, incluida AWS Directory Service Amazon VPC, lo que mejora las capacidades de conectividad de su infraestructura de nube.
+ **IPv6 soporte**: permite una IPv6 conectividad total para los puntos finales Client VPN y admite conexiones a IPv6 los recursos de su red VPCs y desde los clientes de IPv6 las redes para los requisitos de red modernos.
## Componentes de Client VPN
Estos son los conceptos clave de Client VPN:
**Punto de enlace de Client VPN**
El punto de enlace de Client VPN es el recurso que usted crea y configura para activar y administrar sesiones de Client VPN. Es el punto de terminación de todas las sesiones de Client VPN.
**Red de destino**
Una red de destino es la red que se asocia a un punto de enlace de Client VPN. Una subred de una VPC es una red de destino. La asociación de una subred con un punto de enlace de Client VPN le permite establecer las sesiones de VPN. Puede asociar varias subredes con un punto de enlace de Client VPN para disfrutar de una alta disponibilidad. Todas las subredes deben ser de la misma VPC. Cada subred debe pertenecer a una zona de disponibilidad diferente.
**Ruta**
Cada punto de enlace de Client VPN tiene una tabla de ruta que describe las rutas de la red de destino disponibles. Cada ruta de la tabla de enrutamiento especifica la ruta del tráfico a recursos o redes específicos.
**Reglas de autorización**
Una regla de autorización restringe los usuarios que pueden obtener acceso a una red. Para una red especificada, se configura el grupo de proveedor de identidades (IdP) o de Active Directory al que se permite el acceso. Solo los usuarios que pertenezcan a este grupo pueden obtener acceso a la red especificada. De forma predeterminada, no hay reglas de autorización, por lo que debe configurarlas para permitir que los usuarios obtengan acceso a los recursos y redes.
**Cliente**
Usuario final que se conecta al punto de enlace de Client VPN para establecer una sesión de VPN. Los usuarios finales tienen que descargar un cliente OpenVPN y utilizar el archivo de configuración de la VPN de cliente que creó para establecer una sesión de VPN.
**Rango de CIDR del cliente**
Un rango de direcciones IP desde el que asignar direcciones IP del cliente. A cada conexión con el punto de enlace de Client VPN se le asigna una dirección IP única del intervalo CIDR del cliente. Para IPv4 el tráfico, puede elegir el rango CIDR de los clientes, por ejemplo. `10.2.0.0/16` Para IPv6 el tráfico, asigna AWS Client VPN automáticamente el rango CIDR del cliente.
**Puertos de Client VPN**
AWS Client VPN admite los puertos 443 y 1194 tanto para TCP como para UDP. El valor predeterminado es el puerto 443.
**Interfaces de red de Client VPN**
Cuando asocia una subred con el punto de enlace de Client VPN, se crean interfaces de red de Client VPN en esa subred. El tráfico que se envía a la VPC desde el punto de enlace de Client VPN se envía a través de una interfaz de red de Client VPN. Para IPv4 el tráfico, se aplica la traducción de direcciones de red de origen (SNAT), donde la dirección IP de origen del rango CIDR del cliente se traduce a la dirección IP de la interfaz de red de Client VPN. Para IPv6 el tráfico, no se aplica la SNAT, lo que proporciona una mayor visibilidad de la dirección IP del usuario conectado.
**Registro de conexión**
Puede activar los registros de conexión en el punto de enlace de Client VPN para que los eventos de conexión queden registrados. Esta información puede resultar útil para ejecutar análisis forenses, analizar cómo se está utilizando el punto de enlace de Client VPN o depurar problemas de conexión.
**Portal de autoservicio**
Client VPN proporciona un portal de autoservicio como página web para que los usuarios finales descarguen la versión más reciente de AWS VPN Desktop Client y del archivo de configuración del punto de enlace de Client VPN, que contiene la configuración necesaria con el fin de conectarse al punto de enlace. El administrador del punto de enlace de Client VPN puede habilitar o desactivar un portal de autoservicio para el punto de enlace de Client VPN. El portal de autoservicio es un servicio global respaldado por paquetes de servicios en las siguientes regiones: EE. UU. Este (Virginia del Norte), Asia Pacífico (Tokio), Europa (Irlanda) y AWS GovCloud (EE. UU. Oeste).
**Tipo de dirección IP de punto de conexión**
El tipo de dirección IP del punto final Client VPN, que puede ser IPv4 IPv6, o de doble pila (ambos IPv4 y IPv6).
**Tipo de dirección IP de tráfico**
El tipo de dirección IP del tráfico que fluye a través del punto final Client VPN, que puede ser IPv4 IPv6, o de doble pila (ambos IPv4 IPv6). Determina el tipo de tráfico interno (la carga útil real o el tráfico original que se canaliza a través de la conexión de VPN), los intervalos de CIDR del cliente, la asociación de subredes, las rutas y las reglas por punto de conexión.
## Uso de Client VPN
Puede utilizar Client VPN de cualquiera de las siguientes formas:
**Consola de administración de AWS**
La consola proporciona una interfaz de usuario basada en web para Client VPN.
La consola proporciona una interfaz de usuario basada en web para Client VPN con dos métodos de configuración:
+ Configuración de inicio rápido: creación simplificada de terminales con los valores predeterminados recomendados por AWS
+ Configuración estándar: control total sobre todas las opciones de configuración
Si se ha registrado en una Cuenta de AWS, puede iniciar sesión en la consola de [Amazon VPC](https://console.aws.amazon.com/vpc/) y seleccionar Client VPN en el panel de navegación.
**AWS Command Line Interface (AWS CLI)**
AWS CLI Proporciona acceso directo al público de Client VPN APIs. Es compatible con Windows, macOS y Linux. Para obtener más información sobre cómo empezar a utilizarla AWS CLI, consulte la [Guía del AWS Command Line Interface usuario](https://docs.aws.amazon.com/cli/latest/userguide/). Para obtener más información acerca de los comandos de Client VPN, consulte la [sección de EC2](https://docs.aws.amazon.com/cli/latest/reference/ec2/) de la *Referencia de línea de comandos de Amazon EC2*.
**AWS Tools for Windows PowerShell**
AWS proporciona comandos para un amplio conjunto de AWS ofertas para quienes escriben en el PowerShell entorno. Para obtener más información acerca de cómo empezar a trabajar con AWS Tools for Windows PowerShell, consulte la [Guía del usuario de AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/). Para obtener más información acerca de los cmdlets de Client VPN, consulte la [Referencia de Cmdlet de AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/).
**API de consulta**
La API de consulta HTTPS de Client VPN le brinda acceso programático a Client VPN y AWS. La API de consulta HTTPS le permite emitir solicitudes HTTPS directamente al servicio. Cuando use la API HTTPS, debe incluir código para firmar digitalmente las solicitudes utilizando sus credenciales. Para obtener más información, consulte las [acciones de AWS Client VPN](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-cvpn.html).
## Precios de Client VPN
Se le cobra por cada asociación de puntos de conexión y cada conexión VPN cada hora. El uso IPv6 de los terminales de doble pila no supone ningún coste adicional; se cobra la misma tarifa que los terminales. IPv4 Para obtener más información, consulte [Precios de AWS Client VPN](https://aws.amazon.com/vpn/pricing/#AWS_Client_VPN_pricing).
Se le cobra la transferencia de datos desde Amazon EC2 a Internet. Para obtener más información, consulte la sección [Data Transfer](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer) (Transferencia de datos) en la página Precios bajo demanda de Amazon EC2.
Si habilita el registro de conexiones para su terminal Client VPN, debe crear un grupo de CloudWatch registros en su cuenta. Se aplican cargos por el uso de grupos de registro. Para obtener más información, consulta [ CloudWatch los precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/) (en el **nivel de pago**, selecciona **Logs**).
Si activa el controlador de la conexión del cliente en el punto de enlace de Client VPN, debe crear e invocar una función Lambda. Se aplicarán cargos por invocar funciones de Lambda. Para más información, consulte [Precios de AWS Lambda](https://aws.amazon.com/lambda/pricing/).
Los puntos de conexión de Client VPN están asociados con una red de destino, que es una subred en una VPC. Si esta VPC tiene una puerta de enlace a Internet, asociamos las direcciones IP elásticas a las interfaces de red elásticas de Client VPN ()ENIs. Estas direcciones IP elásticas se cobran como direcciones públicas IPv4 en uso. Para obtener más información, consulte la pestaña Public IPv4 Address en la página de [precios de la VPC](https://aws.amazon.com/vpc/pricing/).
**nota**
Los puntos de enlace de Client VPN requieren direcciones IP elásticas cuando se asocian a una subred de VPC que tiene una puerta de enlace de Internet, ya EIPs que permiten la conectividad directa a Internet para los clientes de VPN. Cuando se conectan a través de un punto de conexión de Client VPN, necesitan una dirección IP pública para comunicarse con los recursos de Internet. Elastic IPs cumple este propósito al proporcionar un punto final coherente y orientado al público. EIPs Se conectan a las interfaces de red elásticas de Client VPN (ENIs) y son esenciales para mantener un acceso a Internet estable y seguro para los clientes de VPN y, al mismo tiempo, garantizar el enrutamiento adecuado del tráfico. Dado que estas direcciones IP elásticas se asignan y utilizan activamente para el servicio Client VPN, las AWS cobra como IPv4 direcciones públicas en uso, siguiendo su modelo de precios estándar de asignación y asociación. EIPs
# Reglas y mejores prácticas de uso AWS Client VPN
En las secciones siguientes, se describen las reglas y prácticas recomendadas para utilizar AWS Client VPN:
**Topics**
+ [Requisitos de red y ancho de banda](#bp-nw)
+ [Configuración de subred y de VPC](#bp-subnet)
+ [Autenticación y seguridad](#bp-auth)
+ [Requisitos de conexión y DNS](#bp-dns)
+ [Restricciones y limitaciones](#bp-limits)
## Requisitos de red y ancho de banda
+ AWS Client VPN es un servicio totalmente gestionado que se escala automáticamente para adaptarse a las conexiones de usuario adicionales y a los requisitos de ancho de banda. Cada conexión de usuario tiene un ancho de banda base máximo de 50 Mbps.
El ancho de banda real que experimenta al conectarse a través de un punto de conexión de Client VPN puede variar en función de varios factores. Se trata de factores como el tamaño del paquete, la composición del tráfico (combinación de TCP/UDP), las políticas de red (moldeado o limitación) de las redes intermedias, las condiciones de Internet, los requisitos específicos de la aplicación y el número total de conexiones simultáneas de usuarios. Si alcanza el límite de ancho de banda máximo, puede solicitar un aumento a AWS Support.
+ Los intervalos CIDR del cliente no pueden solaparse con el CIDR local de la VPC donde se encuentra la subred asociada ni con ninguna ruta que se haya agregado manualmente a la tabla de enrutamiento del punto de enlace de Client VPN.
+ Los rangos de CIDR del cliente deben tener un tamaño de bloque de al menos /22 y no tienen que ser superiores a /12.
+ Una parte de las direcciones del intervalo CIDR del cliente se utiliza para permitir el modelo de disponibilidad del punto de enlace de Client VPN y no se puede asignar a los clientes. Por lo tanto, es recomendable que asigne un bloque de CIDR que contenga el doble de direcciones IP de las necesarias para permitir el máximo número de conexiones simultáneas que tenga previsto admitir en el punto de enlace de Client VPN.
+ El intervalo CIDR del cliente no se puede cambiar después de crear el punto de enlace de Client VPN.
+ Client VPN admite IPv4 tráfico de doble pila (ambos IPv4 y IPv6). IPv6 Para obtener más información sobre el IPv6 soporte, consulte[Consideraciones sobre IPv6 para AWS Client VPNConsideraciones sobre IPv6](ipv6-considerations.md).
+
+ La dirección IP de origen se traduce a la dirección IP del punto de conexión de Client VPN.
+ El número de puerto de origen original del cliente permanece inalterado.
+ Client VPN realiza la traducción de direcciones de puertos (PAT) solo cuando los usuarios simultáneos se conectan al mismo destino. La traducción de puertos es automática y necesaria para admitir múltiples conexiones simultáneas a través del mismo punto de conexión de VPN.
+ Para la traducción de IP de origen, la dirección IP de origen se traduce a la dirección IP de VPN del cliente.
+ Para la traducción de puertos de origen para conexiones de un solo cliente, es posible que el número de puerto de origen original permanezca inalterado.
+ Para la traducción de puertos de origen para varios clientes que se conectan al mismo destino (la misma dirección IP y puerto de destino), Client VPN realiza la traducción de puertos para garantizar conexiones únicas.
Por ejemplo, cuando dos clientes, cliente 1 y cliente 2, se conectan al mismo servidor y puerto de destino a través de un punto de conexión de Client VPN:
+ El puerto original del cliente 1, por ejemplo, `9999`, podría traducirse a un puerto diferente, por ejemplo, el puerto `4306`.
+ El puerto original del cliente 2, por ejemplo, `9999`, podría traducirse a un puerto único diferente del cliente 1, por ejemplo, el puerto `63922`.
+ Para IPv6 el tráfico, Client VPN no realiza la traducción de direcciones de red (NAT). Esto proporciona una mayor visibilidad de la IPv6 dirección del usuario conectado.
## Configuración de subred y de VPC
+ Las subredes asociadas a un punto de enlace de Client VPN deben estar en la misma VPC.
+ No puede asociar varias subredes de la misma zona de disponibilidad con un punto de enlace de Client VPN.
+ Los puntos de enlace de Client VPN no admiten asociaciones de subredes en una VPC con tenencia dedicada.
+ Para el IPv6 tráfico de doble pila, las subredes asociadas deben tener rangos de CIDR de doble pila IPv6 o de doble pila.
+ Para puntos de conexión de doble pila, no puede asociar más de una subred por zona de disponibilidad.
## Autenticación y seguridad
+ El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.
+ Si la autenticación multifactor (MFA) está deshabilitada para Active Directory, las contraseñas de usuario no pueden tener el siguiente formato.
```
SCRV1:base64_encoded_string:base64_encoded_string
```
+ Los certificados que se utilizan en AWS Client VPN deben cumplir [RFC 5280: perfil del certificado de infraestructura de clave pública X.509 de Internet y de la lista de revocación de certificados (CRL)](https://datatracker.ietf.org/doc/html/rfc5280), incluidas las extensiones del certificado que se especifican en la sección 4.2 de la nota.
+ Los nombres de usuario con caracteres especiales pueden provocar errores de conexión.
+ La longitud máxima del nombre de usuario es de 1024 bytes. Se rechazarán las conexiones con nombres de usuario más largos.
## Requisitos de conexión y DNS
+ No se recomienda conectarse a un punto de conexión de Client VPN mediante direcciones IP. Como Client VPN es un servicio administrado, ocasionalmente verá cambios en las direcciones IP que resuelve el nombre de DNS. Además, verá las interfaces de red Client VPN eliminadas y recreadas en sus CloudTrail registros. Se recomienda conectarse al punto de conexión de Client VPN utilizando el nombre de DNS proporcionado.
+ El servicio de Client VPN requiere que la dirección IP a la que se conecta el cliente coincida con la IP que resuelve el nombre de DNS de punto de conexión de Client VPN. En otras palabras, si configura un registro DNS personalizado para el punto final Client VPN y, a continuación, reenvía el tráfico a la dirección IP real a la que se dirige el nombre DNS del punto final, esta configuración no funcionará con los clientes AWS proporcionados recientemente. Esta regla se agregó para mitigar un ataque IP al servidor como se describe aquí: [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/).
+ Puede usar un cliente AWS proporcionado para conectarse a varias sesiones DNS simultáneas. Sin embargo, para que la resolución de nombres funcione correctamente, los servidores de DNS de todas las conexiones deben tener registros sincronizados.
+ El servicio de Client VPN requiere que los rangos de direcciones IP de la red de área local (LAN) de los dispositivos cliente estén dentro de los siguientes rangos de direcciones IP privadas estándar: `10.0.0.0/8`, `172.16.0.0/12`, `192.168.0.0/16` o `169.254.0.0/16`. Si se detecta que el rango de direcciones LAN del cliente se encuentra fuera de los rangos anteriores, el punto de conexión de Client VPN enviará automáticamente la directiva de OpenVPN “redirect-gateway block-local” al cliente, lo que forzará todo el tráfico de LAN en la VPN. Por lo tanto, si necesita acceso de LAN durante las conexiones de VPN, se recomienda que utilice los rangos de direcciones convencionales mostrados anteriormente para la LAN. Esta regla se aplica para mitigar las posibilidades de un ataque a la red local, como se describe aquí: [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/).
+ En Windows, cuando se utiliza un punto final de túnel completo, todo el tráfico de DNS pasa por el túnel, independientemente del tipo de dirección IP del punto final (IPv4 IPv6o pila doble). Para que DNS funcione, se debe configurar un servidor de DNS al que se pueda acceder en el túnel.
## Restricciones y limitaciones
+ Actualmente, no se admite el reenvío de IP cuando se utiliza la aplicación de AWS Client VPN escritorio. Otros clientes admiten el reenvío de IP.
+ Client VPN no admite la replicación en varias regiones en AWS Managed Microsoft AD. El punto final Client VPN debe estar en la misma región que el AWS Managed Microsoft AD recurso.
+ No puede establecer una conexión VPN desde un ordenador si hay varios usuarios conectados al sistema operativo.
+ Client-to-client los IPv6 clientes no admiten la comunicación. Si un IPv6 cliente intenta comunicarse con otro IPv6 cliente, se interrumpirá el tráfico.
+ IPv6 y los puntos finales de doble pila requieren que los dispositivos de los usuarios y los proveedores de servicios de Internet (ISPs) admitan la configuración de IP correspondiente.