Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bekerja dengan AWS Client VPN
Topik berikut menjelaskan tugas administratif utama yang diperlukan untuk bekerja dengan Client VPN:
+ **Akses portal swalayan** — Konfigurasikan akses ke portal layanan mandiri Client VPN sehingga klien dapat mengunduh sendiri file konfigurasi titik akhir Client VPN. Untuk informasi tentang mengakses portal swalayan, lihat. [AWS Client VPN akses ke portal swalayan](cvpn-self-service-portal.md)
+ **Aturan otorisasi** - Tambahkan aturan otorisasi untuk mengontrol akses klien ke jaringan tertentu. Untuk informasi tentang menambahkan aturan otorisasi, lihat[AWS Client VPN aturan otorisasi](cvpn-working-rules.md).
+ Daftar **pencabutan sertifikat klien — Gunakan daftar** pencabutan sertifikat klien untuk mencabut akses ke titik akhir Client VPN. Untuk informasi tentang daftar pencabutan sertifikat klien, lihat. [AWS Client VPN daftar pencabutan sertifikat klien](cvpn-working-certificates.md)
+ **Koneksi klien** — Melihat atau mengakhiri koneksi klien ke titik akhir Client VPN. Untuk informasi tentang melihat atau mengakhiri koneksi klien, lihat[AWS Client VPN koneksi klien](cvpn-working-connections.md).
+ **Spanduk login klien** — Tambahkan spanduk teks pada aplikasi desktop Client VPN saat sesi VPN dibuat. Anda dapat menggunakan spanduk teks untuk memenuhi kebutuhan peraturan dan kepatuhan Anda. Untuk informasi tentang spanduk login, lihat[AWS Client VPN spanduk login klien](cvpn-working-login-banner.md).
+ **Penegakan Rute Klien** — Menerapkan rute yang ditentukan administrator pada perangkat yang terhubung melalui VPN. Untuk informasi selengkapnya tentang Penegakan Rute Klien, lihat[AWS Client VPN Penegakan Rute Klien](cvpn-working-cre.md).
+ **Titik akhir Client VPN** — Konfigurasikan titik akhir Client VPN untuk mengelola dan mengontrol semua sesi VPN. Untuk informasi tentang mengonfigurasi titik akhir, lihat. [AWS Client VPN titik akhir](cvpn-working-endpoints.md)
+ **Log koneksi** - Aktifkan pencatatan koneksi untuk titik akhir Client VPN baru atau yang sudah ada untuk mulai menangkap log koneksi. Untuk informasi tentang pencatatan koneksi, lihat[AWS Client VPN log koneksi](cvpn-working-with-connection-logs.md).
+ **Ekspor file konfigurasi klien** — Konfigurasikan file konfigurasi klien yang dibutuhkan klien Client VPN untuk membuat koneksi VPN. Setelah mengkonfigurasi file, unduh (ekspor) untuk didistribusikan ke klien. Untuk informasi selengkapnya tentang mengekspor file konfigurasi klien, lihat[AWS Client VPN ekspor file konfigurasi titik akhir](cvpn-working-endpoint-export.md).
+ **Rute** — Konfigurasikan aturan otorisasi untuk setiap rute Client VPN untuk menentukan klien mana yang memiliki akses ke jaringan tujuan. Untuk informasi tentang mengonfigurasi aturan otorisasi, lihat [AWS Client VPN aturan otorisasi](cvpn-working-rules.md)
+ **Jaringan target** — Mengaitkan jaringan target dengan titik akhir Client VPN untuk memungkinkan klien terhubung dengannya dan membuat koneksi VPN. Untuk informasi tentang jaringan target, lihat[AWS Client VPN jaringan target](cvpn-working-target.md).
+ **Durasi sesi VPN maksimum** — Tetapkan opsi untuk durasi sesi VPN maksimum untuk memenuhi persyaratan keamanan dan kepatuhan Anda. Untuk informasi tentang durasi sesi VPN maksimum, lihat[AWS Client VPN batas waktu durasi sesi VPN maksimum](cvpn-working-max-duration.md).
# AWS Client VPN akses ke portal swalayan
Jika Anda mengaktifkan portal layanan mandiri untuk titik akhir Client VPN, Anda dapat menyediakan URL portal layanan mandiri untuk klien Anda. Klien dapat mengakses portal di peramban web, dan menggunakan kredensial berbasis pengguna untuk log in. Di portal, klien dapat mengunduh file konfigurasi titik akhir Client VPN dan mereka dapat mengunduh versi terbaru dari klien yang AWS disediakan.
Aturan-aturan berikut berlaku:
+ Portal layanan mandiri ini tidak tersedia untuk klien yang mengautentikasi menggunakan autentikasi bersama.
+ File konfigurasi yang tersedia di portal swalayan adalah file konfigurasi yang sama dengan yang Anda ekspor menggunakan konsol VPC Amazon atau. AWS CLI Jika Anda perlu menyesuaikan file konfigurasi sebelum mendistribusikan ke klien, Anda harus mendistribusikan sendiri file yang telah disesuaikan kepada klien.
+ Anda harus mengaktifkan opsi portal layanan mandiri untuk titik akhir Client VPN Anda, atau klien tidak dapat mengakses portal. Jika opsi ini tidak diaktifkan, Anda dapat mengubah titik akhir Client VPN Anda untuk mengaktifkannya.
Setelah Anda mengaktifkan opsi portal swalayan, berikan klien Anda salah satu dari yang berikut: URLs
+ `https://self-service.clientvpn.amazonaws.com/`
Jika klien mengakses portal menggunakan URL ini, mereka harus memasukkan ID titik akhir Client VPN sebelum dapat log in.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/`
Ganti ** di URL sebelumnya dengan ID titik akhir Client VPN Anda, misalnya,. `cvpn-endpoint-0123456abcd123456`
Anda juga dapat melihat URL untuk portal swalayan di output [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI perintah. Atau, URL tersedia di tab **Detail** pada halaman **Titik Akhir Client VPN** di konsol VPC Amazon.
Untuk informasi selengkapnya tentang konfigurasi portal layanan mandiri untuk digunakan dengan autentikasi gabungan, lihat [Dukungan untuk portal layanan mandiri](federated-authentication.md#saml-self-service-support).
# AWS Client VPN aturan otorisasi
Aturan otorisasi bertindak sebagai aturan firewall yang memberikan akses ke jaringan. Dengan menambahkan aturan otorisasi, Anda memberikan klien tertentu akses ke jaringan yang ditentukan. Anda harus memiliki aturan otorisasi untuk setiap jaringan yang ingin Anda akses. Anda dapat menambahkan aturan otorisasi ke titik akhir Client VPN menggunakan konsol dan AWS CLI.
**catatan**
Client VPN menggunakan pencocokan awalan terpanjang saat mengevaluasi aturan otorisasi. Lihat topik pemecahan masalah [Pemecahan masalah AWS Client VPN: Aturan otorisasi untuk grup Active Directory tidak berfungsi seperti yang diharapkan](ad-group-auth-rules.md) dan [Prioritas rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) di *Panduan Pengguna Amazon VPC* untuk detail selengkapnya.
## Poin penting untuk memahami aturan otorisasi
Poin-poin berikut menjelaskan beberapa perilaku aturan otorisasi:
+ Untuk mengizinkan akses ke jaringan tujuan, aturan otorisasi harus ditambahkan secara eksplisit. Perilaku default adalah menolak akses.
+ Anda tidak dapat menambahkan aturan otorisasi untuk *membatasi* akses ke jaringan tujuan.
+ `0.0.0.0/0`CIDR ditangani sebagai kasus khusus. Ini diproses terakhir, terlepas dari urutan aturan otorisasi dibuat.
+ `0.0.0.0/0`CIDR dapat dianggap sebagai “tujuan apa pun,” atau “tujuan apa pun yang tidak ditentukan oleh aturan otorisasi lainnya.”
+ Pencocokan awalan terpanjang adalah aturan yang diutamakan.
**Topics**
+ [Poin kunci](#key-points-summary)
+ [Contoh alur perencanaan](#auth-rule-example-scenarios)
+ [Tambahkan aturan otorisasi](cvpn-working-rule-authorize-add.md)
+ [Hapus aturan otorisasi](cvpn-working-rule-remove.md)
+ [Melihat aturan otorisasi](cvpn-working-rule-view.md)
## Contoh skenario untuk aturan otorisasi Client VPN
Bagian ini menjelaskan cara kerja aturan otorisasi. AWS Client VPN Ini mencakup poin-poin penting untuk memahami aturan otorisasi, arsitektur contoh, dan diskusi skenario contoh yang memetakan ke arsitektur contoh.
**Skenario**
+ [Contoh arsitektur untuk skenario aturan otorisasi](#example-arch-auth-rules)
+ [Akses ke satu tujuan](#auth-rules1)
+ [Gunakan tujuan apa pun (0.0.0.0/0) CIDR](#auth-rules2)
+ [Pencocokan awalan IP yang lebih panjang](#auth-rules3)
+ [CIDR yang tumpang tindih (grup yang sama)](#auth-rules4)
+ [Aturan 0.0.0.0/0 tambahan](#auth-rules5)
+ [Tambahkan aturan untuk 192.168.0.0/24](#auth-rules6)
+ [Otentikasi federasi SALL](#auth-rules7)
+ [Akses untuk semua grup pengguna](#auth-rules8)
### Contoh arsitektur untuk skenario aturan otorisasi
Diagram berikut menunjukkan contoh arsitektur yang digunakan untuk skenario contoh yang ditemukan di bagian ini.
![\[Contoh arsitektur Client VPN\]](http://docs.aws.amazon.com/id_id/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### Akses ke satu tujuan
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Menyediakan akses grup manajer ke Client VPN VPC | S-XXXXX16 | False | 192.168.0.0/24 |
**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan hanya dapat mengakses`10.0.0.0/16`.
+ Grup manajer hanya dapat mengakses`192.168.0.0/24`.
+ Semua lalu lintas lainnya dijatuhkan oleh titik akhir Client VPN.
**catatan**
Dalam skenario ini, tidak ada grup pengguna yang memiliki akses ke internet publik.
### Gunakan tujuan apa pun (0.0.0.0/0) CIDR
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan hanya dapat mengakses`10.0.0.0/16`.
+ Grup manajer dapat mengakses internet publik *dan*`192.168.0.0/24`, tetapi tidak dapat mengakses `172.16.0.0/24` atau`10.0.0/16`.
**catatan**
Dalam skenario ini, karena tidak ada aturan yang merujuk`192.168.0.0/24`, akses ke jaringan itu juga disediakan oleh `0.0.0.0/0` aturan.
Aturan yang mengandung selalu `0.0.0.0/0` dievaluasi terakhir terlepas dari urutan di mana aturan dibuat. Karena itu, perlu diingat bahwa aturan yang dievaluasi sebelumnya `0.0.0.0/0` berperan dalam menentukan jaringan mana yang `0.0.0.0/0` memberikan akses.
### Pencocokan awalan IP yang lebih panjang
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke satu host dalam pengembangan VPC | S-XXXXX16 | False | 10.0.2.119/32 |
**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam VPC pengembangan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa dalam VPC pengembangan.
**catatan**
Di sini Anda melihat bagaimana aturan dengan awalan IP yang lebih panjang lebih diutamakan daripada aturan dengan awalan IP yang lebih pendek. Jika Anda ingin grup pengembangan memiliki akses`10.0.2.119/32`, aturan tambahan yang memberikan akses kepada tim pengembangan `10.0.2.119/32` perlu ditambahkan.
### CIDR yang tumpang tindih (grup yang sama)
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC | S-XXXXX16 | False | 10.0.2.119/32 |
| Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal | S-XXXXX14 | False | 172.16.0.128/25 |
**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik memiliki akses ke`172.16.0.0/24`, termasuk subnet `172.16.0.128/25` yang lebih spesifik.
### Aturan 0.0.0.0/0 tambahan
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC | S-XXXXX16 | False | 10.0.2.119/32 |
| Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal | S-XXXXX14 | False | 172.16.0.128/25 |
| Menyediakan akses grup teknik ke tujuan apa pun | S-XXXXX14 | False | 0.0.0.0/0 |
**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,, dan `192.168.0.0/24``172.16.0.0/24`, termasuk subnet `172.16.0.128/25` yang lebih spesifik.
**catatan**
Perhatikan bahwa kelompok teknik dan manajer sekarang dapat mengakses`192.168.0.0/24`. Ini karena kedua grup memiliki akses ke `0.0.0.0/0` (tujuan apa pun) *dan* tidak ada aturan lain yang merujuk`192.168.0.0/24`.
### Tambahkan aturan untuk 192.168.0.0/24
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC | S-XXXXX16 | False | 10.0.2.119/32 |
| Menyediakan akses grup teknik ke subnet di jaringan lokal | S-XXXXX14 | False | 172.16.0.128/25 |
| Menyediakan akses grup teknik ke tujuan apa pun | S-XXXXX14 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke Client VPN VPC | S-XXXXX16 | False | 192.168.0.0/24 |
**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,`172.16.0.0/24`, dan`172.16.0.128/25`.
**catatan**
Perhatikan bagaimana menambahkan aturan untuk grup pengelola untuk mengakses `192.168.0.0/24` hasil dalam grup pengembangan tidak lagi memiliki akses ke jaringan tujuan tersebut.
### Otentikasi federasi SALL
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | Teknik | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | Developer | False | 10.0.0.0/16 |
| Menyediakan akses grup manajer ke Client VPN VPC | Manajer | False | 192.168.0.0/24 |
**Perilaku yang dihasilkan**
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Rekayasa” hanya dapat mengakses. `172.16.0.0/24`
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Pengembang” hanya dapat mengakses. `10.0.0.0/16`
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Manajer” hanya dapat mengakses. `192.168.0.0/24`
+ Semua lalu lintas lainnya dijatuhkan oleh titik akhir Client VPN.
**catatan**
Saat menggunakan otentikasi federasi SALL, bidang ID Grup sesuai dengan nilai atribut SALL yang mengidentifikasi keanggotaan grup pengguna. Atribut ini dikonfigurasi di penyedia identitas SALL Anda dan diteruskan ke Client VPN selama otentikasi.
### Akses untuk semua grup pengguna
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR |
| --- | --- | --- | --- |
| Menyediakan akses grup teknik ke jaringan lokal | S-XXXXX14 | False | 172.16.0.0/24 |
| Memberikan akses grup pengembangan ke VPC pengembangan | S-xxxxx15 | False | 10.0.0.0/16 |
| Berikan akses grup manajer ke tujuan apa pun | S-XXXXX16 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC | S-XXXXX16 | False | 10.0.2.119/32 |
| Menyediakan akses grup teknik ke subnet di jaringan lokal | S-XXXXX14 | False | 172.16.0.128/25 |
| Menyediakan akses grup teknik ke semua jaringan | S-XXXXX14 | False | 0.0.0.0/0 |
| Menyediakan akses grup manajer ke Client VPN VPC | S-XXXXX16 | False | 192.168.0.0/24 |
| Menyediakan akses ke semua grup | N/A | True | 0.0.0.0/0 |
**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,`172.16.0.0/24`, dan`172.16.0.128/25`.
+ Grup pengguna lain, misalnya “grup admin,” dapat mengakses internet publik, tetapi tidak ada jaringan tujuan lain yang ditentukan dalam aturan lain.
# Tambahkan aturan otorisasi ke titik akhir AWS Client VPN
Anda dapat menambahkan aturan otorisasi untuk memberikan atau membatasi akses ke titik akhir Client VPN dengan menggunakan. Konsol Manajemen AWS Aturan otorisasi dapat ditambahkan ke titik akhir Client VPN menggunakan Konsol VPC Amazon atau dengan menggunakan baris perintah atau API.
**Untuk menambahkan aturan otorisasi ke titik akhir Client VPN menggunakan Konsol Manajemen AWS**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk menambahkan aturan otorisasi, pilih Aturan **otorisasi, dan pilih **Tambahkan** aturan** otorisasi.
1. Untuk **jaringan Tujuan untuk mengaktifkan akses**, masukkan alamat IP, dalam notasi CIDR, dari jaringan yang Anda ingin pengguna akses (misalnya, blok CIDR VPC Anda).
1. Tentukan klien mana yang diizinkan untuk mengakses jaringan yang ditentukan. Untuk **Untuk memberikan akses**, lakukan salah satu langkah berikut:
+ Untuk memberikan akses ke semua klien, pilih **Izinkan akses ke semua pengguna**.
+ Untuk membatasi akses ke klien tertentu, pilih **Mengizinkan akses ke pengguna dalam grup tertentu**, dan kemudian untuk **akses ID grup**, masukkan ID untuk grup yang akan diberi akses. Misalnya, pengenal keamanan (SID) dari grup Active Directory, atau grup ID/name yang didefinisikan dalam penyedia identitas berbasis SAML (IDP).
+ (Active Directory) Untuk mendapatkan SID, Anda dapat menggunakan Microsoft Powershell [Get- ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet, misalnya:
```
Get-ADGroup -Filter 'Name -eq ""'
```
Sebagai alternatif, buka alat Pengguna dan Komputer Direktori Aktif, lihat properti untuk grup, buka tab Atribut Editor, dan dapatkan nilai untuk `objectSID`. Jika perlu, pilih dulu **Tampilan**, **Fitur lanjutan** untuk mengaktifkan tab Atribut Editor.
+ (Otentikasi federasi berbasis SAMP) Grup ID/name harus cocok dengan informasi atribut grup yang dikembalikan dalam pernyataan SAMP.
1. Untuk **Deskripsi**, masukkan deskripsi singkat tentang aturan otorisasi.
1. Pilih **Tambahkan aturan otorisasi**.
**Untuk menambahkan aturan otorisasi ke titik akhir Client VPN (AWS CLI)**
Gunakan perintah [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
# Hapus aturan otorisasi dari titik akhir AWS Client VPN
Anda dapat menghapus aturan otorisasi untuk titik akhir Client VPN tertentu menggunakan konsol dan. AWS CLI
**Untuk menghapus aturan otorisasi (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang ditambahkan aturan otorisasi, lalu pilih Aturan **otorisasi**.
1. Pilih aturan otorisasi yang akan dihapus, pilih **Hapus aturan otorisasi**, lalu pilih **Hapus aturan otorisasi** lagi untuk mengonfirmasi penghapusan.
**Untuk menghapus aturan otorisasi ()AWS CLI**
Gunakan perintah [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).
# Lihat AWS Client VPN aturan otorisasi
Anda dapat melihat aturan otorisasi untuk titik akhir Client VPN tertentu menggunakan konsol dan AWS CLI.
**Untuk melihat aturan otorisasi (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk melihat aturan otorisasi dan pilih Aturan **otorisasi**.
**Untuk melihat aturan otorisasi (AWS CLI)**
Gunakan perintah [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).
# AWS Client VPN daftar pencabutan sertifikat klien
Daftar pencabutan sertifikat klien Client VPN digunakan untuk mencabut akses ke titik akhir Client VPN untuk sertifikat klien tertentu. Anda dapat membuat daftar pencabutan atau mengimpor daftar yang ada. Anda juga dapat mengekspor daftar Anda saat ini file daftar pencabutan. Membuat daftar dilakukan menggunakan perangkat lunak OpenVPN di salah satu Linux/macOS atau di Windows. Mengimpor dan mengekspor dapat dilakukan dengan menggunakan Konsol VPC Amazon atau dengan menggunakan CLI. AWS
Untuk informasi selengkapnya tentang membuat sertifikat server dan klien dan kunci, lihat [Otentikasi timbal balik di AWS Client VPN](mutual.md)
**catatan**
Jika daftar pencabutan sertifikat klien telah kedaluwarsa, Anda tidak dapat terhubung ke titik akhir Client VPN. Anda harus membuat yang baru dan mengimpornya ke titik akhir Client VPN.
Anda hanya dapat menambahkan sejumlah entri terbatas ke daftar pencabutan sertifikat klien. Untuk informasi selengkapnya tentang jumlah entri yang dapat ditambahkan ke daftar pencabutan, lihat. [Kuota Client VPN](limits.md#quotas-endpoints)
**Topics**
+ [Buat daftar pencabutan sertifikat klien](cvpn-working-certificates-generate.md)
+ [Impor daftar pencabutan sertifikat klien](cvpn-working-certificates-import.md)
+ [Ekspor daftar pencabutan sertifikat klien](cvpn-working-certificates-export.md)
# Buat daftar pencabutan sertifikat AWS Client VPN klien
Anda dapat membuat daftar pencabutan sertifikat Client VPN pada sistem operasi Linux/macOS atau Windows. Daftar pencabutan digunakan untuk mencabut akses ke titik akhir Client VPN untuk sertifikat tertentu. Untuk informasi selengkapnya tentang daftar pencabutan sertifikat klien, lihat. [Daftar pencabutan sertifikat klien](cvpn-working-certificates.md)
------
#### [ Linux/macOS ]
Dalam prosedur berikut, Anda membuat daftar pencabutan sertifikat klien menggunakan utilitas baris perintah OpenVPN easy-rsa.
**Untuk membuat daftar pencabutan sertifikat klien menggunakan OpenVPN easy-rsa**
1. Masuk ke server hosting instalasi easyrsa yang digunakan untuk menghasilkan sertifikat.
1. Navigasikan ke folder `easy-rsa/easyrsa3` di repo lokal Anda.
```
$ cd easy-rsa/easyrsa3
```
1. Cabut sertifikat klien dan buat daftar pencabutan klien.
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
Masuk `yes` saat diminta.
------
#### [ Windows ]
Prosedur berikut menggunakan perangkat lunak OpenVPN untuk membuat daftar pencabutan klien. Ini mengasumsikan bahwa Anda mengikuti [langkah-langkah untuk menggunakan perangkat lunak OpenVPN](mutual.md) untuk membuat sertifikat klien dan server dan kunci.
**Untuk menghasilkan daftar pencabutan sertifikat klien menggunakan EasyRSA versi 3.xx**
1. Buka prompt perintah dan arahkan ke direktori EasyRSA-3.x.x, yang akan tergantung di mana ia diinstal pada sistem Anda.
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
1. Jalankan `EasyRSA-Start.bat` file untuk memulai shell EasyRSA.
```
C:\> .\EasyRSA-Start.bat
```
1. Di shell EasyRSA, cabut sertifikat klien.
```
# ./easyrsa revoke client_certificate_name
```
1. Masuk `yes` saat diminta.
1. Hasilkan daftar pencabutan klien.
```
# ./easyrsa gen-crl
```
1. Daftar pencabutan klien akan dibuat di lokasi berikut:
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```
**Untuk menghasilkan daftar pencabutan sertifikat klien menggunakan versi EasyRSA sebelumnya**
1. Buka prompt perintah dan navigasikan ke direktori OpenVPN.
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
1. Jalankan file `vars.bat`.
```
C:\> vars
```
1. Cabut sertifikat klien dan buat daftar pencabutan klien.
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```
------
# Impor AWS Client VPN daftar pencabutan sertifikat klien
Anda harus memiliki file daftar pencabutan sertifikat klien Client VPN untuk diimpor. Untuk informasi selengkapnya tentang membuat daftar pencabutan sertifikat klien, lihat [Buat daftar pencabutan sertifikat AWS Client VPN klien](cvpn-working-certificates-generate.md).
Anda dapat mengimpor daftar pencabutan sertifikat klien menggunakan konsol dan AWS CLI.
**Untuk mengimpor daftar pencabutan sertifikat klien (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk mengimpor daftar pencabutan sertifikat klien.
1. Pilih **Tindakan**, dan pilih **Impor Sertifikat Klien CRL**.
1. Untuk Daftar **Pencabutan Sertifikat, masukkan isi file daftar** pencabutan sertifikat klien, dan pilih **Impor** sertifikat klien CRL.
**Untuk mengimpor daftar pencabutan sertifikat klien (AWS CLI)**
Gunakan certificate-revocation-list perintah [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).
```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```
# Ekspor daftar pencabutan sertifikat AWS Client VPN klien
Anda dapat mengekspor daftar pencabutan sertifikat klien Client VPN menggunakan konsol dan file. AWS CLI
**Untuk mengekspor daftar pencabutan sertifikat klien (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk mengekspor daftar pencabutan sertifikat klien.
1. Pilih **Tindakan**, pilih **Ekspor Client Certificate CRL**, dan pilih **Ekspor Client Certificate CRL**.
**Untuk mengekspor daftar pencabutan sertifikat klien (AWS CLI)**
Gunakan certificate-revocation-list perintah [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).
# AWS Client VPN koneksi klien
AWS Client VPN Koneksi adalah sesi VPN aktif yang telah dibuat oleh klien ke titik akhir Client VPN tertentu serta koneksi yang telah dihentikan dalam 60 menit terakhir untuk titik akhir tersebut. Koneksi dibuat ketika klien berhasil terhubung ke titik akhir Client VPN. Mengakhiri sesi mengakhiri koneksi klien ke titik akhir Client VPN.
Anda dapat melihat dan mengakhiri koneksi Client VPN. Melihat informasi koneksi mengembalikan informasi seperti alamat IP yang ditetapkan dari rentang blok CIDR klien, ID titik akhir, dan stempel waktu. Mengakhiri sesi mengakhiri koneksi VPN yang ditentukan ke titik akhir. Melihat dan mengakhiri sesi dapat dilakukan dengan menggunakan Konsol VPC Amazon atau CLI. AWS Jika Anda tidak dapat terhubung ke titik akhir, dan bergantung pada kesalahannya, lihat [Pemecahan masalah AWS Client VPN](troubleshooting.md) langkah-langkah yang harus diambil untuk mengatasi masalah tersebut.
**Topics**
+ [Melihat koneksi klien](cvpn-working-connections-view.md)
+ [Mengakhiri koneksi klien](cvpn-working-connections-disassociate.md)
# Lihat koneksi AWS Client VPN klien
Anda dapat melihat koneksi Client VPN yang aktif menggunakan Konsol VPC Amazon atau CLI AWS .
**Untuk melihat koneksi klien Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk melihat koneksi klien.
1. Pilih tab **Konektivitas**. Tab **Konektivitas** mencantumkan semua koneksi klien yang aktif dan yang diakhiri.
**Untuk melihat koneksi klien Client VPN (AWS CLI)**
Gunakan perintah [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html).
# Mengakhiri koneksi AWS Client VPN klien
Anda dapat mengakhiri koneksi klien Client VPN menggunakan Konsol VPC Amazon atau CLI. AWS
**Untuk mengakhiri koneksi klien Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang terhubung dengan klien, dan pilih **Koneksi**.
1. Pilih koneksi yang akan dihentikan, pilih **Hentikan Koneksi**, lalu pilih **Hentikan Koneksi** lagi untuk mengonfirmasi penghentian.
**Untuk mengakhiri koneksi klien Client VPN ()AWS CLI**
Gunakan perintah [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html).
# AWS Client VPN spanduk login klien
AWS Client VPN menyediakan opsi untuk menampilkan spanduk teks pada aplikasi desktop Client VPN yang AWS disediakan saat sesi VPN dibuat. Anda dapat menentukan isi spanduk teks untuk memenuhi kebutuhan peraturan dan kepatuhan Anda. Maksimal 1400 karakter yang dikodekan UTF-8 dapat digunakan.
**catatan**
Ketika banner login klien telah diaktifkan, itu akan ditampilkan pada sesi VPN yang baru dibuat saja. Sesi VPN yang ada tidak terganggu, meskipun spanduk akan ditampilkan ketika sesi yang ada dibuat kembali.
## Pembuatan spanduk
Spanduk login awalnya dibuat dan diaktifkan selama pembuatan titik akhir Client VPN. Untuk langkah-langkah mengaktifkan banner login klien selama pembuatan endpoint Client VPN, lihat[Buat titik AWS Client VPN akhir](cvpn-working-endpoint-create.md).
**Topics**
+ [Pembuatan spanduk](#configure-login-banner-endpoint-creation)
+ [Konfigurasikan banner login klien untuk titik akhir yang ada](configure-login-banner-existing-endpoint.md)
+ [Nonaktifkan banner login klien untuk titik akhir](disable-login-banner.md)
+ [Ubah teks spanduk yang ada](modify-banner-text.md)
+ [Lihat spanduk login yang saat ini dikonfigurasi](display-login-banner.md)
# Konfigurasikan banner login klien untuk titik AWS Client VPN akhir yang ada
Gunakan langkah-langkah berikut untuk mengonfigurasi banner login klien untuk titik akhir Client VPN yang ada.
**Aktifkan banner login klien pada titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN Endpoint**.
1. Gulir ke bawah halaman ke bagian **Parameter lainnya**.
1. **Aktifkan Aktifkan spanduk login klien**.
1. Untuk **teks banner login Klien**, masukkan teks yang akan ditampilkan di spanduk pada klien yang AWS disediakan saat sesi VPN dibuat. Gunakan karakter yang dikodekan UTF-8 saja, dengan maksimum 1400 karakter diizinkan.
1. Pilih **Ubah titik akhir Client VPN**.
**Aktifkan banner login klien pada titik akhir Client VPN ()AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Nonaktifkan banner login klien untuk titik akhir yang ada AWS Client VPN
Gunakan langkah-langkah berikut untuk menonaktifkan banner login klien untuk titik akhir Client VPN yang ada.
**Nonaktifkan banner login klien pada titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Gulir ke bawah halaman ke bagian **Parameter lainnya**.
1. Matikan **Aktifkan spanduk login klien?** .
1. Pilih **Ubah titik akhir Client VPN**.
**Nonaktifkan banner login klien pada titik akhir Client VPN ()AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Ubah teks spanduk yang ada pada titik AWS Client VPN akhir
Gunakan langkah-langkah berikut untuk memodifikasi teks yang ada pada spanduk login klien Client VPN.
**Ubah teks spanduk yang ada di titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Untuk **Aktifkan spanduk login klien?** , verifikasi bahwa itu dihidupkan.
1. Untuk **teks banner login Klien**, ganti teks yang ada dengan teks baru yang ingin ditampilkan di spanduk pada klien yang AWS disediakan saat sesi VPN dibuat. Gunakan karakter yang dikodekan UTF-8 saja, dengan maksimal 1400 karakter.
1. Pilih **Ubah titik akhir Client VPN**.
**Ubah spanduk login klien pada titik akhir Client VPN ()AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Lihat spanduk AWS Client VPN login yang saat ini dikonfigurasi
Gunakan langkah-langkah berikut untuk melihat spanduk login klien Client VPN yang saat ini dikonfigurasi.
**Lihat banner login saat ini untuk titik akhir Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang ingin Anda lihat.
1. Verifikasi bahwa tab **Detail** dipilih.
1. Lihat teks spanduk login yang saat ini dikonfigurasi di sebelah **teks spanduk login Klien**.
**Lihat banner login yang saat ini dikonfigurasi untuk titik akhir Client VPN ()AWS CLI**
Gunakan perintah [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# AWS Client VPN Penegakan Rute Klien
Penegakan Rute Klien membantu menegakkan rute yang ditentukan administrator pada perangkat yang terhubung melalui VPN. Fitur ini membantu meningkatkan postur keamanan Anda dengan memastikan bahwa lalu lintas jaringan yang berasal dari klien yang terhubung tidak secara tidak sengaja dikirim ke luar terowongan VPN.
Penegakan Rute Klien memantau tabel perutean utama perangkat yang terhubung dan memastikan bahwa lalu lintas jaringan keluar masuk ke terowongan VPN, sesuai dengan rute jaringan yang dikonfigurasi di titik akhir VPN klien. Ini termasuk memodifikasi tabel perutean pada perangkat jika rute yang bertentangan dengan terowongan VPN terdeteksi. Penegakan Rute Klien mendukung keduanya IPv4 dan IPv6 menangani keluarga.
## Persyaratan
Penegakan Rute Klien hanya berfungsi dengan versi Client VPN yang AWS disediakan berikut ini:
+ Windows versi 5.2.0 atau lebih tinggi (IPv4 dukungan)
+ macOS versi 5.2.0 atau lebih tinggi (dukungan) IPv4
+ Ubuntu versi 5.2.0 atau lebih tinggi (IPv4 dukungan)
+ Windows versi 5.3.0 atau lebih tinggi (IPv6 dukungan)
+ macOS versi 5.3.0 atau lebih tinggi (dukungan) IPv6
+ Ubuntu versi 5.3.0 atau lebih tinggi (IPv6 dukungan)
Untuk titik akhir dual-stack, pengaturan Penegakan Rute Klien berlaku untuk keduanya IPv4 dan IPv6 tumpukan secara bersamaan. Tidak mungkin mengaktifkan Penegakan Rute Klien hanya untuk satu tumpukan.
## Konflik perutean
Sementara klien terhubung ke VPN, perbandingan dibuat antara tabel rute lokal klien, dan rute jaringan titik akhir. Konflik routing akan terjadi jika ada jaringan tumpang tindih antara dua entri tabel rute. Contoh jaringan yang tumpang tindih adalah:
+ `172.31.0.0/16`
+ `172.31.1.0/24`
Dalam contoh ini, blok CIDR ini merupakan konflik routing. Misalnya, `172.31.0.0/16` mungkin terowongan VPN CIDR. Karena `172.31.1.0/24` lebih spesifik karena memiliki awalan yang lebih panjang, biasanya diutamakan dan berpotensi mengarahkan lalu lintas VPN dalam rentang `172.31.1.0/24` IP ke tujuan lain. Hal ini dapat menyebabkan perilaku routing yang tidak diinginkan. Namun, ketika Penegakan Rute Klien diaktifkan, CIDR yang terakhir akan dihapus. Saat menggunakan fitur ini, potensi konflik perutean harus dipertimbangkan.
Koneksi VPN terowongan penuh mengarahkan semua lalu lintas jaringan melalui koneksi VPN. Akibatnya, perangkat yang terhubung ke VPN tidak akan dapat mengakses sumber daya jaringan lokal (LAN), jika fitur Penegakan Rute Klien diaktifkan. Jika akses LAN lokal diperlukan, pertimbangkan untuk menggunakan mode split-tunnel alih-alih mode terowongan penuh. Untuk informasi selengkapnya tentang split-tunnel, lihat. [Terowongan terpisah Client VPN](split-tunnel-vpn.md)
## Pertimbangan-pertimbangan
Informasi berikut harus dipertimbangkan sebelum mengaktifkan Penegakan Rute Klien.
+ Pada saat koneksi, jika konflik routing terdeteksi, fitur akan memperbarui tabel rute klien untuk mengarahkan lalu lintas ke terowongan VPN. Rute yang ada sebelum koneksi dibuat, dan dihapus oleh fitur ini, akan dipulihkan.
+ Fitur ini diberlakukan hanya pada tabel routing utama dan tidak berlaku untuk mekanisme routing lainnya. Misalnya, penegakan hukum tidak diterapkan pada hal-hal berikut:
+ perutean berbasis kebijakan
+ perutean cakupan antarmuka
+ Client Route Enforcement melindungi terowongan VPN saat terbuka. Tidak ada perlindungan setelah terowongan terputus atau saat klien terhubung kembali.
### Arahan OpenVPN berdampak pada Penegakan Rute Cloud
Beberapa arahan khusus dalam file konfigurasi OpenVPN memiliki interaksi khusus dengan Penegakan Rute Klien:
+ `route`Arahan
+ Saat menambahkan rute ke gateway VPN. Misalnya, menambahkan rute `192.168.100.0 255.255.255.0` ke gateway VPN.
Rute yang ditambahkan ke gateway VPN dipantau oleh Client Route Enforcement mirip dengan rute VPN lainnya. Setiap rute yang saling bertentangan di dalamnya akan terdeteksi dan dihapus.
+ Saat menambahkan rute ke gateway non-VPN. Misalnya, menambahkan rute`192.168.200.0 255.255.255.0 net_gateway`.
Rute yang ditambahkan ke gateway non-VPN dikecualikan dari Penegakan Rute Klien karena mereka melewati terowongan VPN. Rute yang saling bertentangan diperbolehkan di dalamnya. Dalam contoh, di atas rute akan dikecualikan dari pemantauan oleh Penegakan Rute Klien.
+ Mirip dengan IPv4 rute, IPv6 rute yang ditambahkan ke gateway VPN dipantau oleh Penegakan Rute Klien, sementara rute yang ditambahkan ke gateway non-VPN dikecualikan dari pemantauan.
### Rute yang diabaikan
Rute ke IPv4 jaringan berikut akan diabaikan oleh Penegakan Rute Klien:
+ `127.0.0.0/8`— Dicadangkan untuk tuan rumah lokal
+ `169.254.0.0/16`— Dicadangkan untuk alamat link-lokal
+ `224.0.0.0/4`— Dicadangkan untuk multicast
+ `255.255.255.255/32`— Dicadangkan untuk siaran
Rute ke IPv6 jaringan berikut akan diabaikan oleh Penegakan Rute Klien:
+ `::1/128`— Dicadangkan untuk loopback
+ `fe80::/10`— Dicadangkan untuk alamat link-lokal
+ `ff00::/8`— Dicadangkan untuk multicast
**Topics**
+ [Persyaratan](#requirements-cre)
+ [
## Konflik perutean
](#route-conflict-cre)
+ [Pertimbangan-pertimbangan](#considerations-cre)
+ [Aktifkan Penegakan Rute Klien](activate-cre.md)
+ [Nonaktifkan Penegakan Rute Klien](deactivate-cre.md)
+ [Memecahkan Masalah Penegakan Rute IPv6 Klien](cre-ipv6-troubleshooting.md)
# Aktifkan Penegakan Rute Klien untuk titik AWS Client VPN akhir
Anda dapat mengaktifkan Penegakan Rute Klien pada titik akhir Client VPN yang ada menggunakan konsol atau. AWS CLI
**Untuk mengaktifkan Penegakan Rute Klien menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih titik **akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Gulir ke bawah halaman ke bagian **Parameter lainnya**.
1. Aktifkan **Penegakan Rute Klien**.
1. Pilih **Ubah titik akhir Client VPN**.
**Untuk mengaktifkan Penegakan Rute Klien menggunakan AWS CLI)**
+ Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Nonaktifkan Penegakan Rute Klien dari titik akhir AWS Client VPN
Anda dapat menonaktifkan Penegakan Rute Klien pada titik akhir Client VPN menggunakan konsol atau. AWS CLI
**Untuk menonaktifkan Penegakan Rute Klien menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih titik **akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Gulir ke bawah halaman ke bagian **Parameter lainnya**.
1. Matikan **Penegakan Rute Klien**.
1. Pilih **Ubah titik akhir Client VPN**.
**Untuk menonaktifkan Penegakan Rute Klien menggunakan AWS CLI**
+ Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Memecahkan Masalah Penegakan Rute IPv6 Klien
Jika Anda mengalami masalah dengan Penegakan Rute IPv6 Klien, pertimbangkan langkah-langkah pemecahan masalah berikut:
Verifikasi versi klien
Pastikan Anda menggunakan AWS VPN Client versi 5.3.0 atau yang lebih tinggi, yang diperlukan untuk dukungan Penegakan Rute IPv6 Klien.
Periksa konfigurasi titik akhir
Verifikasi bahwa titik akhir mengaktifkan Penegakan Rute Klien dan dikonfigurasi untuk IPv6 atau lalu lintas tumpukan ganda.
Periksa log klien
Tinjau log Klien AWS VPN untuk mengetahui pesan kesalahan apa pun yang terkait dengan Penegakan Rute IPv6 Klien. Cari entri yang berisi "IPv6" dan “Penegakan Rute Klien” atau “CRM”.
Periksa tabel routing
Gunakan perintah yang sesuai untuk sistem operasi Anda untuk melihat tabel IPv6 routing:
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
Periksa rute yang saling bertentangan
Cari IPv6 rute apa pun yang mungkin bertentangan dengan rute VPN. Berikan perhatian khusus pada rute dengan tujuan yang sama tetapi gateway yang berbeda.
Verifikasi dukungan ISP IPv6
Pastikan penyedia layanan internet (ISP) Anda mendukung IPv6 dengan benar.
Jika Anda terus mengalami masalah dengan Penegakan Rute IPv6 Klien setelah mencoba langkah-langkah pemecahan masalah ini, hubungi AWS Support untuk bantuan lebih lanjut.
# AWS Client VPN titik akhir
Semua AWS Client VPN sesi menjalin komunikasi dengan titik akhir Client VPN. Anda dapat mengelola titik akhir Client VPN untuk membuat, memodifikasi, melihat, dan menghapus sesi VPN klien dengan titik akhir tersebut. Titik akhir dapat dibuat dan dimodifikasi menggunakan Konsol VPC Amazon atau dengan menggunakan CLI. AWS
## Persyaratan untuk membuat titik akhir Client VPN
**penting**
Titik akhir Client VPN harus dibuat di AWS akun yang sama di mana jaringan target yang dimaksud disediakan. Anda juga harus membuat sertifikat server, dan jika diperlukan, sertifikat klien. Untuk informasi selengkapnya, lihat [Otentikasi klien di AWS Client VPN](client-authentication.md).
Sebelum memulai, pastikan Anda melakukan hal berikut:
+ Meninjau aturan dan batasan di [Aturan dan praktik terbaik untuk menggunakan AWS Client VPN](what-is-best-practices.md).
+ Membuat sertifikat server, dan jika diperlukan, sertifikat klien. Untuk informasi selengkapnya, lihat [Otentikasi klien di AWS Client VPN](client-authentication.md).
## Jenis alamat IP
AWS Client VPN mendukung konfigurasi IPv4 -only, IPv6 -only, dan dual-stack untuk konektivitas titik akhir dan perutean lalu lintas. Panduan berikut membantu Anda memilih jenis alamat IP yang sesuai berdasarkan kemampuan perangkat klien, infrastruktur jaringan, dan persyaratan aplikasi Anda.
### Jenis alamat titik akhir
Jenis alamat endpoint menentukan protokol IP mana yang didukung endpoint Client VPN Anda untuk koneksi klien. Pengaturan ini tidak dapat diubah setelah pembuatan titik akhir.
**Pilih IPv4 -hanya ketika:**
+ Perangkat klien Anda hanya mendukung koneksi IPv4 VPN
+ Alat keamanan Anda dioptimalkan untuk inspeksi IPv4 lalu lintas
**Pilih IPv6 -hanya ketika:**
+ Semua perangkat klien sepenuhnya mendukung IPv6 koneksi
+ Anda berada di jaringan di mana IPv4 alamat habis
**Pilih dual-stack saat:**
+ Anda memiliki campuran perangkat klien dengan berbagai kemampuan IP
+ Anda secara bertahap beralih dari ke IPv4 IPv6
### Jenis alamat IP lalu lintas
Jenis alamat IP lalu lintas mengontrol cara Client VPN merutekan lalu lintas antara klien dan sumber daya VPC Anda, terlepas dari protokol yang didukung endpoint.
**Rute lalu lintas seperti IPv4 ketika:**
+ Targetkan aplikasi di VPC Anda hanya mendukung IPv4
+ Anda memiliki grup dan jaringan IPv4 keamanan yang kompleks ACLs
+ Anda terhubung ke sistem lama
**Rute lalu lintas seperti IPv6 ketika:**
+ Infrastruktur VPC Anda terutama IPv6
+ Anda ingin membuktikan arsitektur jaringan Anda di masa depan
+ Anda memiliki aplikasi modern yang dibangun untuk IPv6
## Modifikasi titik akhir
**catatan**
Titik akhir Client VPN yang dibuat menggunakan pengaturan quickstart dapat dimodifikasi menggunakan prosedur yang sama seperti titik akhir yang dibuat dengan pengaturan standar. Semua opsi konfigurasi tersedia terlepas dari metode pengaturan yang digunakan selama pembuatan.
Setelah Client VPN dibuat, Anda dapat mengubah salah satu pengaturan berikut ini:
+ Deskripsi
+ Sertifikat server
+ Opsi pencatatan koneksi klien
+ Opsi handler koneksi klien
+ Server DNS
+ Opsi terowongan terpisah
+ Rute (saat menggunakan opsi split-tunnel)
+ Daftar Pencabutan Sertifikat (CRL)
+ Aturan otorisasi
+ Asosiasi VPC dan grup keamanan
+ Nomor port VPN
+ Opsi portal layanan mandiri
+ Durasi sesi VPN maksimum
+ Mengaktifkan atau menonaktifkan koneksi ulang otomatis pada batas waktu sesi
+ Aktifkan atau nonaktifkan teks spanduk login klien
+ Teks spanduk login klien
**catatan**
Modifikasi pada titik akhir Client VPN, termasuk perubahan Daftar Pencabutan Sertifikat (CRL), akan berlaku hingga 4 jam setelah permintaan diterima oleh layanan Client VPN.
Anda tidak dapat mengubah rentang IPv4 CIDR klien, opsi otentikasi, sertifikat klien, atau protokol transportasi setelah titik akhir Client VPN dibuat.
Ketika Anda mengubah salah satu parameter berikut pada titik akhir Client VPN, koneksi akan diatur ulang:
+ Sertifikat server
+ Server DNS
+ Opsi terowongan terpisah (mengaktifkan atau menonaktifkan dukungan)
+ Rute (ketika Anda menggunakan opsi terowongan terpisah)
+ Daftar Pencabutan Sertifikat (CRL)
+ Aturan otorisasi
+ Nomor port VPN
**Topics**
+ [Persyaratan untuk membuat titik akhir Client VPN](#cvpn-working-create-req)
+ [
## Jenis alamat IP
](#cvpn-ip-address-types)
+ [Modifikasi titik akhir](#cvpn-endpoints-modify-req)
+ [Buat titik akhir](cvpn-working-endpoint-create.md)
+ [Lihat titik akhir](cvpn-working-endpoint-view.md)
+ [Memodifikasi titik akhir](cvpn-working-endpoint-modify.md)
+ [Hapus titik akhir](cvpn-working-endpoint-delete.md)
# Buat titik AWS Client VPN akhir
Buat AWS Client VPN titik akhir untuk memungkinkan klien Anda membuat sesi VPN menggunakan Konsol VPC Amazon atau AWS CLI.Client VPN mendukung semua kombinasi tipe titik akhir (split-tunnel dan full-tunnel) dengan tipe lalu lintas IPv4 ( IPv6,, dan dual-stack) selama pembuatan awal.
Sebelum membuat titik akhir, biasakan diri Anda dengan persyaratan. Untuk informasi selengkapnya, lihat [Persyaratan untuk membuat titik akhir Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req).
**Untuk membuat titik akhir Client VPN menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN** lalu pilih **Buat Titik akhir Client VPN**.
1. Di bawah “Pilih metode penyiapan”, pilih salah satu dari berikut ini:
+ Quickstart - Buat titik akhir dengan default yang direkomendasikan AWS
+ Standar - Konfigurasikan semua pengaturan untuk titik akhir secara manual
**Pengaturan mulai cepat:**
1. Untuk “Pilih metode penyiapan”, pilih Mulai cepat.
1. Untuk “ IPv4 Client CIDR”, masukkan rentang alamat IP untuk menetapkan alamat IP klien. AWS merekomendasikan penggunaan blok CIDR /22 (misalnya, 10.0.0.0/22).
1. Untuk “VPC”, pilih VPC yang akan dikaitkan dengan titik akhir Client VPN.
1. Untuk “Subnet”, pilih satu atau lebih subnet di VPC. Subnet ini akan digunakan untuk asosiasi jaringan target.
1. Untuk Sertifikat server ARN, tentukan ARN untuk sertifikat TLS yang akan digunakan oleh server. Klien menggunakan sertifikat server untuk mengautentikasi titik akhir Client VPN tempat klien terhubung.
1. Pilih “Buat titik akhir Client VPN”.
AWS secara otomatis membuat sumber daya berikut:
+ Aturan otorisasi yang memungkinkan semua pengguna mengakses CIDR VPC
+ Asosiasi jaringan target dengan subnet VPC yang dipilih
+ Entri tabel rute untuk CIDR VPC
Setelah titik akhir dibuat, Anda dapat mengunduh file konfigurasi klien dari halaman detail titik akhir dan mendistribusikannya ke pengguna Anda bersama dengan sertifikat dan kunci klien.
**Pengaturan standar:**
1. Untuk “Pilih metode pengaturan”, pilih Standar.
1. (Opsional) Berikan tag nama dan deskripsi untuk titik akhir Client VPN.
1. Untuk **jenis alamat IP Endpoint**, pilih jenis alamat IP untuk titik akhir:
+ **IPv4**: Titik akhir menggunakan IPv4 alamat untuk lalu lintas terowongan VPN luar.
+ **IPv6**: Titik akhir menggunakan IPv6 alamat untuk lalu lintas terowongan VPN luar.
+ **Dual-stack**: Titik akhir menggunakan keduanya IPv4 dan IPv6 alamat untuk lalu lintas terowongan VPN luar.
1. Untuk **jenis alamat IP Lalu** Lintas, pilih jenis alamat IP untuk lalu lintas yang mengalir melalui titik akhir:
+ **IPv4**: Titik akhir hanya mendukung IPv4 lalu lintas.
+ **IPv6**: Titik akhir hanya mendukung IPv6 lalu lintas.
+ **Dual-stack**: Endpoint mendukung keduanya IPv4 dan lalu lintas. IPv6
1. Untuk ** IPv4 Client CIDR**, tentukan rentang alamat IP, dalam notasi CIDR, dari mana untuk menetapkan alamat IP klien. Misalnya, `10.0.0.0/22`. Ini diperlukan jika Anda memilih IPv4 atau Dual-stack untuk jenis alamat IP Lalu Lintas.
**catatan**
Rentang alamat tidak dapat tumpang tindih dengan rentang alamat jaringan target, rentang alamat VPC, atau rute apa pun yang akan dikaitkan dengan titik akhir Client VPN. Rentang alamat klien harus minimal /22 dan tidak lebih besar dari/12 ukuran blok CIDR. Anda tidak dapat mengubah rentang alamat klien setelah Anda membuat titik akhir Client VPN.
Saat Anda memilih IPv6 sebagai jenis alamat IP titik akhir, bidang IPv4 CIDR Klien dinonaktifkan. Endpoint Client VPN mengalokasikan IPv6 alamat klien dari subnet terkait, dan Anda dapat mengaitkan subnet setelah membuat endpoint.
**catatan**
Untuk IPv6 lalu lintas, Anda tidak perlu menentukan rentang CIDR klien. Amazon secara otomatis menetapkan rentang IPv6 CIDR untuk klien.
1. Untuk **Sertifikat server ARN**, tentukan ARN untuk sertifikat TLS yang akan digunakan oleh server. Klien menggunakan sertifikat server untuk mengautentikasi titik akhir Client VPN tempat klien terhubung.
**catatan**
Sertifikat server harus ada di AWS Certificate Manager(ACM) di wilayah tempat Anda membuat titik akhir Client VPN. Sertifikat dapat disediakan dengan ACM atau diimpor ke ACM.
Untuk langkah-langkah untuk menyediakan atau mengimpor sertifikat ke ACM, lihat [AWS Certificate Manager Sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) di *Panduan AWS Certificate Manager Pengguna*.
1. Tentukan metode autentikasi yang akan digunakan untuk mengautentikasi klien ketika mereka membuat koneksi VPN. Anda harus memilih metode autentikasi.
+ Untuk menggunakan autentikasi berbasis pengguna, pilih **Gunakan autentikasi berbasis pengguna**, lalu pilih salah satu hal berikut ini:
+ **Autentikasi Direktori Aktif**: Pilih opsi ini untuk autentikasi Direktori Aktif. Untuk **ID Direktori**, tentukan ID dari Direktori Aktif yang akan digunakan.
+ **Autentikasi gabungan**: Pilih opsi ini untuk autentikasi gabungan berbasis SAML.
Untuk **ARN penyedia SAML**, tentukan ARN dari penyedia identitas IAM SAML.
(Opsional) **ARN Penyedia SAML layanan mandiri**, tentukan ARN dari penyedia identitas IAM SAML yang Anda buat untuk [mendukung portal layanan mandiri](federated-authentication.md#saml-self-service-support), jika ada.
+ Untuk menggunakan otentikasi sertifikat timbal **balik, pilih Gunakan otentikasi** timbal balik, dan kemudian untuk **ARN sertifikat klien**, tentukan ARN dari sertifikat klien yang disediakan di (ACM).AWS Certificate Manager
**catatan**
Jika sertifikat server dan klien telah dikeluarkan oleh Otoritas Sertifikat (CA) yang sama, Anda dapat menggunakan sertifikat server ARN untuk server dan klien. Jika sertifikat klien dikeluarkan oleh CA yang berbeda, maka sertifikat klien ARN harus ditentukan.
1. (Opsional) Untuk **pencatatan Koneksi**, tentukan apakah akan mencatat data tentang koneksi klien menggunakan Amazon CloudWatch Logs. **Aktifkan Aktifkan detail log pada koneksi klien**. Untuk **nama grup CloudWatch log Log**, masukkan nama grup log yang akan digunakan. Untuk **nama aliran CloudWatch log Log**, masukkan nama aliran log yang akan digunakan, atau biarkan opsi ini kosong agar kami membuat aliran log untuk Anda.
1. (Opsional) Untuk **Client Connect Handler**, **aktifkan Enable client connect handler** untuk menjalankan kode kustom yang memungkinkan atau menolak koneksi baru ke endpoint Client VPN. Untuk **ARN Client Connect Handler**, tentukan untuk Amazon Resource Name (ARN) dari fungsi Lambda yang berisi logika yang mengizinkan atau menolak koneksi.
1. (Opsional) Menentukan server DNS yang akan digunakan untuk resolusi DNS. Untuk menggunakan server DNS khusus, untuk alamat IP **DNS Server 1 dan alamat IP** **DNS Server 2, tentukan alamat** server DNS yang akan digunakan. IPv4 Untuk IPv6 atau dual-stack endpoint, Anda juga dapat menentukan alamat **DNS Server IPv6 1 dan **DNS** Server 2**. IPv6 Untuk menggunakan server DNS VPC, **Alamat IP DNS Server 1** atau **Alamat IP DNS Server 2**, tentukan alamat IP dan tambahkan alamat IP dari server DNS VPC.
**catatan**
Verifikasi bahwa server DNS dapat dijangkau oleh klien.
1. (Opsional) Secara default, titik akhir Client VPN menggunakan protokol `UDP` transport. Untuk menggunakan protokol transportasi `TCP`, pada **Protokol transportasi**, pilih **TCP**.
**catatan**
UDP biasanya menawarkan performa yang lebih baik daripada TCP. Anda tidak dapat mengubah protokol transportasi setelah Anda membuat titik akhir Client VPN.
1. **(Opsional) Agar titik akhir menjadi titik akhir Client VPN split-tunnel, aktifkan Aktifkan split-tunnel.** Secara default, split-tunnel pada titik akhir Client VPN dinonaktifkan.
1. (Opsional) Untuk **ID VPC**, pilih VPC agar dikaitkan dengan titik akhir Client VPN. Untuk **Grup Keamanan IDs**, pilih satu atau beberapa grup keamanan VPC untuk diterapkan ke titik akhir Client VPN.
1. (Opsional) Pada **Port VPN**, pilih nomor port VPN. Default-nya adalah 443.
1. (Opsional) Untuk menghasilkan [URL portal swalayan](cvpn-self-service-portal.md) untuk klien, **aktifkan Aktifkan portal swalayan**.
1. (Opsional) Untuk **jam tunggu Sesi**, pilih waktu durasi sesi VPN maksimum yang diinginkan dalam jam dari opsi yang tersedia, atau biarkan disetel ke default 24 jam.
1. (Opsional) Untuk **Putuskan sambungan pada batas waktu sesi**, pilih apakah Anda ingin mengakhiri sesi saat waktu sesi maksimum tercapai. Memilih opsi ini mengharuskan pengguna terhubung kembali secara manual ke titik akhir saat sesi habis; jika tidak, Client VPN akan secara otomatis mencoba menyambung kembali.
1. (Opsional) Tentukan apakah akan mengaktifkan teks banner login klien. **Aktifkan Aktifkan spanduk login klien**. Untuk **teks banner login Klien**, masukkan teks yang akan ditampilkan di spanduk pada klien yang disediakan AWS saat sesi VPN dibuat. Hanya karakter yang dikodekan UTF-8. Maksimal 1400 karakter.
1. Pilih **Create Client VPN endpoint**.
Setelah Anda membuat titik akhir Client VPN, lakukan hal berikut untuk menyelesaikan konfigurasi dan memungkinkan klien untuk terhubung:
+ Keadaan awal titik akhir Client VPN adalah `pending-associate`. Klien hanya dapat terhubung ke titik akhir Client VPN setelah Anda mengaitkan [jaringan target](cvpn-working-target-associate.md) pertama.
+ Buat [aturan otorisasi](cvpn-working-rules.md) untuk menentukan klien mana yang memiliki akses ke jaringan.
+ Unduh dan siapkan [file konfigurasi](cvpn-working-endpoint-export.md) titik akhir Client VPN untuk didistribusikan ke klien Anda.
+ Instruksikan klien Anda untuk menggunakan klien yang AWS disediakan atau aplikasi klien berbasis OpenVPN lainnya untuk terhubung ke titik akhir Client VPN. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).
**Untuk membuat titik akhir Client VPN menggunakan AWS CLI**
Gunakan perintah [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).
Contoh untuk membuat IPv4 titik akhir:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
Contoh untuk membuat IPv6 titik akhir:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
Contoh untuk membuat titik akhir dual-stack:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# Lihat titik AWS Client VPN akhir
Anda dapat melihat informasi tentang titik akhir Client VPN dengan menggunakan Konsol VPC Amazon atau. AWS CLI
**Untuk melihat titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk melihat.
1. Gunakan tab **Detail**, **Asosiasi jaringan target**, **Grup keamanan**, **Aturan otorisasi**, **Tabel rute**, **Koneksi**, dan **Tag** untuk melihat informasi tentang titik akhir Client VPN yang ada.
Anda juga dapat menggunakan filter untuk membantu menyempurnakan pencarian Anda.
**Untuk melihat titik akhir Client VPN ()AWS CLI**
Gunakan perintah [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# Memodifikasi AWS Client VPN titik akhir
Anda dapat memodifikasi titik akhir Client VPN dengan menggunakan Konsol VPC Amazon atau. AWS CLI Untuk informasi selengkapnya tentang bidang yang dapat Anda gunakan pada bidang Client VPN yang dapat Anda ubah, lihat[Modifikasi titik akhir](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).
## Batasan
Batasan berikut berlaku saat memodifikasi titik akhir
+ Modifikasi pada titik akhir Client VPN, termasuk perubahan Daftar Pencabutan Sertifikat (CRL), akan berlaku hingga 4 jam setelah permintaan diterima oleh layanan Client VPN.
+ Anda tidak dapat mengubah rentang IPv4 CIDR klien, opsi otentikasi, sertifikat klien, atau protokol transportasi setelah titik akhir Client VPN dibuat.
+ Anda dapat memodifikasi IPv4 titik akhir yang ada menjadi dual-stack untuk IP endpoint dan jenis IP lalu lintas. Jika Anda membutuhkan IPv6 -only untuk IP endpoint dan IP lalu lintas, Anda harus membuat endpoint baru.
+ Client VPN tidak mendukung modifikasi tipe endpoint (IPv4, IPv6, dual-stack) atau tipe lalu lintas (IPv4, IPv6, dual-stack) setelah pembuatan.
+ Memodifikasi Client VPN dengan kombinasi spesifik tipe endpoint dan tipe lalu lintas tidak didukung. Anda tidak dapat mengubah ke kombinasi lainnya. Titik akhir harus dihapus dan dibuat ulang dengan konfigurasi yang diinginkan.
+ Client-to-client komunikasi untuk IPv6 lalu lintas tidak didukung.
## Mengubah titik akhir Client VPN
Anda dapat memodifikasi titik akhir Client VPN menggunakan konsol atau. AWS CLI
**Untuk memodifikasi titik akhir Client VPN menggunakan konsol**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN yang akan diubah, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Untuk **Deskripsi**, masukkan deskripsi singkat titik akhir Client VPN.
1. Untuk **jenis alamat IP Endpoint**, Anda dapat memodifikasi IPv4 endpoint yang ada menjadi dual-stack. Opsi ini hanya tersedia untuk IPv4 titik akhir.
1. Untuk **jenis alamat IP Lalu Lintas**, Anda dapat memodifikasi IPv4 titik akhir yang ada menjadi dual-stack. Opsi ini hanya tersedia untuk IPv4 titik akhir.
1. Untuk **Sertifikat server ARN**, tentukan ARN untuk sertifikat TLS yang akan digunakan oleh server. Klien menggunakan sertifikat server untuk mengautentikasi titik akhir Client VPN tempat klien terhubung.
**catatan**
Sertifikat server harus ada di AWS Certificate Manager (ACM) di wilayah tempat Anda membuat titik akhir Client VPN. Sertifikat dapat disediakan dengan ACM atau diimpor ke ACM.
1. Tentukan apakah akan mencatat data tentang koneksi klien menggunakan Amazon CloudWatch Logs. Untuk **Aktifkan detail log pada koneksi klien**, lakukan salah satu hal berikut:
+ Untuk mengaktifkan pencatatan koneksi klien, aktifkan **Aktifkan detail log pada koneksi klien**. Untuk **nama grup CloudWatch log Log**, pilih nama grup log yang akan digunakan. Untuk **nama aliran CloudWatch log Log**, pilih nama aliran log yang akan digunakan, atau biarkan opsi ini kosong agar kami dapat membuat aliran log untuk Anda.
+ Untuk menonaktifkan pencatatan koneksi klien, matikan **Aktifkan detail log pada koneksi klien**.
1. Untuk **Client connect handler**, untuk mengaktifkan [client connect handler](connection-authorization.md) aktifkan **Enable client connect** handler. Untuk **ARN Client Connect Handler**, tentukan untuk Amazon Resource Name (ARN) dari fungsi Lambda yang berisi logika yang mengizinkan atau menolak koneksi.
1. Nyalakan atau nonaktifkan **Aktifkan server DNS**. Untuk menggunakan server DNS khusus, untuk alamat IP **DNS Server 1 dan alamat IP** **DNS Server 2, tentukan alamat** server DNS yang akan digunakan. IPv4 Untuk IPv6 atau dual-stack endpoint, Anda juga dapat menentukan alamat **DNS Server IPv6 1 dan **DNS** Server 2**. IPv6 Untuk menggunakan server DNS VPC, **Alamat IP DNS Server 1** atau **Alamat IP DNS Server 2**, tentukan alamat IP dan tambahkan alamat IP dari server DNS VPC.
**catatan**
Verifikasi bahwa server DNS dapat dijangkau oleh klien.
1. Hidupkan atau matikan **Aktifkan split-tunnel**. Secara default, split-tunnel pada titik akhir VPN tidak aktif.
1. Untuk **ID VPC**, pilih VPC yang akan diasosiasikan dengan titik akhir Client VPN. Untuk **Grup Keamanan IDs**, pilih satu atau beberapa grup keamanan VPC untuk diterapkan ke titik akhir Client VPN.
1. Untuk **Port VPN**, pilih nomor port VPN. Default-nya adalah 443.
1. Untuk menghasilkan [URL portal swalayan](cvpn-self-service-portal.md) untuk klien, **aktifkan Aktifkan portal swalayan**.
1. Untuk **jam tunggu Sesi**, pilih waktu durasi sesi VPN maksimum yang diinginkan dalam jam dari opsi yang tersedia, atau biarkan disetel ke default 24 jam.
1. Untuk **Putuskan sambungan pada batas waktu sesi**, pilih apakah Anda ingin mengakhiri sesi saat waktu sesi maksimum tercapai. Memilih opsi ini mengharuskan pengguna terhubung kembali secara manual ke titik akhir saat sesi habis; jika tidak, Client VPN akan secara otomatis mencoba menyambung kembali.
1. Menghidupkan atau menonaktifkan **Aktifkan spanduk login klien**. Jika Anda ingin menggunakan spanduk login klien, masukkan teks yang akan ditampilkan di spanduk pada klien yang disediakan AWS saat sesi VPN dibuat. Hanya karakter yang dikodekan UTF-8. Maksimal 1400 karakter.
1. Pilih **Ubah titik akhir Client VPN**.
**Untuk memodifikasi titik akhir Client VPN menggunakan AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
Contoh untuk memodifikasi IPv4 titik akhir menjadi dual-stack:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# Hapus titik AWS Client VPN akhir
Anda harus memisahkan semua jaringan target sebelum dapat menghapus titik akhir Client VPN. Ketika Anda menghapus titik akhir Client VPN, statusnya berubah menjadi `deleting` dan klien tidak bisa lagi terhubung kesana.
Anda dapat menghapus titik akhir Client VPN menggunakan konsol atau AWS CLI.
**Untuk menghapus titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk dihapus. Pilih **Tindakan**, **Hapus titik akhir Client VPN**.
1. Masukkan *hapus* ke jendela konfirmasi dan pilih **Hapus**.
**Untuk menghapus titik akhir Client VPN (AWS CLI)**
Gunakan perintah [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).
# AWS Client VPN log koneksi
Anda dapat mengaktifkan logging koneksi untuk titik akhir Client VPN baru atau yang sudah ada, dan mulai menangkap log koneksi. Log koneksi menunjukkan urutan peristiwa log untuk titik akhir Client VPN. Bila Anda mengaktifkan logging koneksi, Anda dapat menentukan nama pengaliran log dalam grup log. Jika Anda tidak menentukan pengaliran log, layanan Client VPN akan membuat satu untuk Anda. Pencatatan koneksi kemudian mencatat informasi berikut: permintaan koneksi klien, hasil koneksi klien (berhasil atau tidak berhasil), alasan hasil koneksi yang tidak berhasil, dan waktu penghentian klien dari titik akhir.
Sebelum memulai, Anda harus memiliki grup CloudWatch log Log di akun Anda. Untuk informasi selengkapnya, lihat [Bekerja dengan Grup Log dan Aliran Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) di *Panduan Pengguna Amazon CloudWatch Logs*. Biaya berlaku untuk menggunakan CloudWatch Log. Untuk informasi selengkapnya, lihat [ CloudWatch harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Log koneksi Client VPN dapat dibuat menggunakan Konsol VPC Amazon atau CLI AWS .
**Topics**
+ [Aktifkan pencatatan koneksi untuk titik akhir baru](create-connection-log-new.md)
+ [Aktifkan pencatatan koneksi untuk titik akhir yang ada](create-connection-log-existing.md)
+ [Melihat log koneksi](view-connection-logs.md)
+ [Matikan pencatatan koneksi](disable-connection-logs.md)
# Aktifkan pencatatan koneksi untuk titik AWS Client VPN akhir baru
Anda dapat mengaktifkan logging koneksi ketika Anda membuat titik akhir Client VPN baru menggunakan konsol atau baris perintah.
**Untuk mengaktifkan logging koneksi untuk titik akhir Client VPN baru menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Titik Akhir **Client VPN, lalu pilih **Create Client VPN** endpoint**.
1. Lengkapi opsi sampai Anda mencapai bagian **Logging koneksi**. Untuk informasi lebih lanjut tentang opsi, lihat [Buat titik AWS Client VPN akhir](cvpn-working-endpoint-create.md).
1. Di bawah **Pencatatan koneksi**, aktifkan **Aktifkan detail log pada koneksi klien**.
1. Untuk **nama grup CloudWatch log Log**, pilih nama grup CloudWatch log Log.
1. (Opsional) Untuk **nama aliran CloudWatch log Log**, pilih nama aliran CloudWatch log Log.
1. Pilih **Create Client VPN endpoint**.
**Untuk mengaktifkan pencatatan koneksi untuk titik akhir Client VPN baru menggunakan AWS CLI**
Gunakan [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)perintah, dan tentukan `--connection-log-options` parameternya. Anda dapat menentukan informasi log koneksi dalam format JSON, seperti yang ditunjukkan pada contoh berikut.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# Aktifkan pencatatan koneksi untuk titik AWS Client VPN akhir yang ada
Anda dapat mengaktifkan logging koneksi titik akhir Client VPN menggunakan konsol atau baris perintah.
**Untuk mengaktifkan logging koneksi untuk titik akhir Client VPN yang ada menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Di bawah **Pencatatan koneksi**, aktifkan **Aktifkan detail log pada koneksi klien**.
1. Untuk **nama grup CloudWatch log Log**, pilih nama grup CloudWatch log Log.
1. (Opsional) Untuk **nama aliran CloudWatch log Log**, pilih nama aliran CloudWatch log Log.
1. Pilih **Ubah titik akhir Client VPN**.
**Untuk mengaktifkan pencatatan koneksi untuk titik akhir Client VPN yang ada menggunakan AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) dan tentukan parameter `--connection-log-options`. Anda dapat menentukan informasi log koneksi dalam format JSON, seperti yang ditunjukkan pada contoh berikut.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# Lihat log AWS Client VPN koneksi
Anda dapat melihat log koneksi Client VPN menggunakan konsol CloudWatch Log.
**Untuk melihat log koneksi menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Grup log**, dan pilih grup log yang berisi log koneksi Anda.
1. Pilih pengaliran log untuk titik akhir Client VPN Anda.
**catatan**
Kolom **Timestamp** menampilkan waktu log koneksi dipublikasikan ke CloudWatch Log, bukan waktu koneksi.
Untuk informasi selengkapnya tentang penelusuran data [log, lihat Cari Data Log Menggunakan Pola Filter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) di *Panduan Pengguna CloudWatch Log Amazon*.
# Matikan pencatatan AWS Client VPN koneksi
Anda dapat mematikan pencatatan koneksi untuk titik akhir Client VPN dengan menggunakan konsol atau baris perintah. Saat Anda mematikan pencatatan koneksi, log koneksi yang ada di CloudWatch Log tidak akan dihapus.
**Untuk mematikan logging koneksi menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih endpoint Client VPN, pilih **Actions**, lalu pilih **Modify Client VPN endpoint**.
1. Di bawah **Pencatatan koneksi**, matikan **Aktifkan detail log pada koneksi klien**.
1. Pilih **Ubah titik akhir Client VPN**.
**Untuk mematikan log koneksi menggunakan AWS CLI**
Gunakan [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html)perintah, dan tentukan `--connection-log-options` parameternya. Pastikan bahwa `Enabled` diatur ke `false`.
# AWS Client VPN ekspor file konfigurasi titik akhir
File konfigurasi AWS Client VPN endpoint adalah file yang digunakan klien (pengguna) untuk membuat koneksi VPN dengan titik akhir Client VPN. Anda harus mengunduh (mengekspor) file ini dan mendistribusikan ke semua klien yang membutuhkan akses VPN. Atau, jika Anda mengaktifkan portal swalayan untuk titik akhir Client VPN Anda, klien dapat masuk ke portal dan mengunduh file konfigurasi sendiri. Untuk informasi selengkapnya, lihat [AWS Client VPN akses ke portal swalayan](cvpn-self-service-portal.md).
Jika titik akhir Client VPN Anda menggunakan autentikasi bersama, Anda harus [menambahkan sertifikat klien dan kunci privat klien ke konfigurasi file .ovpn](add-config-file-cert-key.md) yang diunduh. Setelah Anda menambahkan informasi, klien dapat mengimpor file .ovpn ke perangkat lunak klien OpenVPN.
**penting**
Jika Anda tidak menambahkan sertifikat klien dan informasi kunci privat klien ke dalam file, autentikasi klien yang menggunakan autentikasi bersama tidak dapat terhubung ke titik akhir Client VPN.
Secara default, opsi “remote-random-hostname” dalam konfigurasi klien OpenVPN memungkinkan DNS wildcard. Karena wildcard DNS diaktifkan, klien tidak membuat cache titik akhir alamat IP dan Anda tidak akan dapat mengirim ping titik akhir nama DNS.
Jika titik akhir Client VPN menggunakan autentikasi Direktori Aktif dan jika Anda mengaktifkan autentikasi multi-faktor (MFA) pada direktori Anda setelah mendistribusikan file konfigurasi klien, Anda harus mengunduh file baru dan mendistribusikan kembali ke klien Anda. Klien tidak dapat menggunakan file konfigurasi sebelumnya untuk terhubung ke titik akhir Client VPN.
**Topics**
+ [Ekspor file konfigurasi klien](export-client-config-file.md)
+ [Tambahkan sertifikat klien dan informasi kunci untuk otentikasi timbal balik](add-config-file-cert-key.md)
# Ekspor file konfigurasi AWS Client VPN klien
Anda dapat mengekspor konfigurasi klien Client VPN dengan menggunakan konsol atau AWS CLI.
**Untuk mengekspor konfigurasi klien (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk mengunduh konfigurasi klien dan pilih **Unduh Konfigurasi Klien**.
**Untuk mengekspor konfigurasi klien (AWS CLI)**
Gunakan perintah [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) dan tentukan nama file output.
```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```
# Tambahkan sertifikat AWS Client VPN klien dan informasi kunci untuk otentikasi timbal balik
Jika titik akhir Client VPN Anda menggunakan autentikasi bersama, Anda harus menambahkan sertifikat klien dan kunci privat klien ke konfigurasi file .ovpn yang Anda unduh.
Anda tidak dapat mengubah sertifikat klien ketika Anda menggunakan autentikasi bersama.
**Untuk menambahkan sertifikat klien dan informasi kunci (autentikasi bersama)**
Anda dapat menggunakan salah satu opsi berikut.
(Opsi 1) Distribusikan sertifikat klien dan kunci untuk klien bersama dengan konfigurasi file titik akhir Client VPN. Dalam hal ini, tentukan jalur ke sertifikat dan kunci di dalam file konfigurasi. Buka file konfigurasi menggunakan editor teks pilihan Anda dan tambahkan berikut ini di akhir file. Ganti */path/* dengan lokasi sertifikat dan kunci klien (lokasi relatif terhadap klien yang terhubung ke titik akhir).
```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```
(Opsi 2) Tambahkan isi sertifikat klien antara tanda ```` dan isi dari kunci privat antara tanda ```` ke file konfigurasi. Jika Anda memilih opsi ini, Anda hanya mendistiribusikan file konfigurasi untuk klien Anda.
Jika Anda membuat sertifikat klien dan kunci secara terpisah untuk setiap pengguna yang akan terhubung ke titik akhir Client VPN, ulangi langkah ini untuk setiap pengguna.
Berikut ini adalah contoh format file konfigurasi Client VPN yang mencakup sertifikat klien beserta kunci.
```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
Contents of CA
Contents of client certificate (.crt) file
Contents of private key (.key) file
reneg-sec 0
```
# AWS Client VPN rute
Setiap AWS Client VPN titik akhir memiliki tabel rute yang menjelaskan rute jaringan tujuan yang tersedia. Setiap rute dalam tabel rute menentukan tempat lalu lintas jaringan diarahkan. Anda harus mengonfigurasi aturan otorisasi untuk setiap rute titik akhir Client VPN untuk menentukan klien yang memiliki akses ke jaringan tujuan.
Ketika Anda mengaitkan subnet dari VPC dengan titik akhir Client VPN, rute untuk VPC secara otomatis ditambahkan ke tabel rute titik akhir Client VPN. Untuk mengaktifkan akses untuk jaringan tambahan, seperti jaringan peered VPCs, lokal, jaringan lokal (untuk memungkinkan klien berkomunikasi satu sama lain), atau internet, Anda harus menambahkan rute secara manual ke tabel rute titik akhir Client VPN.
**catatan**
Jika Anda mengaitkan beberapa subnet ke titik akhir Client VPN, Anda harus memastikan untuk membuat rute untuk setiap subnet seperti yang dijelaskan di sini. [Pemecahan masalah AWS Client VPN: Akses ke VPC peered, Amazon S3, atau internet terputus-putus](intermittent-access.md) Setiap subnet terkait harus memiliki serangkaian rute yang identik.
## Pertimbangan untuk menggunakan split-tunnel pada titik akhir Client VPN
Ketika Anda menggunakan terowongan terpisah pada titik akhir Client VPN, semua rute yang ada di tabel rute Client VPN ditambahkan ke tabel rute klien ketika VPN dibuat. Jika Anda menambahkan rute setelah VPN dibuat, Anda harus mengatur ulang koneksi sehingga rute baru dikirim ke klien.
Kami merekomendasikan Anda untuk memperhitungkan jumlah rute yang dapat ditangani perangkat klien sebelum Anda mengubah tabel rute titik akhir Client VPN.
**Topics**
+ [
## Pertimbangan untuk menggunakan split-tunnel pada titik akhir Client VPN
](#split-tunnel-routes)
+ [Membuat rute titik akhir](cvpn-working-routes-create.md)
+ [Melihat rute titik akhir](cvpn-working-routes-view.md)
+ [Menghapus rute titik akhir](cvpn-working-routes-delete.md)
# Buat rute AWS Client VPN titik akhir
Saat Anda membuat rute titik akhir Client VPN, Anda menentukan bagaimana lalu lintas untuk jaringan tujuan harus diarahkan.
Untuk mengizinkan klien mengakses internet, tambahkan rute `0.0.0.0/0` tujuan.
Anda dapat menambahkan rute ke titik akhir Client VPN dengan menggunakan konsol tersebut dan AWS CLI.
**Untuk membuat rute titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang akan ditambahkan rute, pilih **tabel Rute**, lalu pilih **Buat rute**.
1. Untuk **tujuan Rute**, tentukan rentang IPv4 CIDR untuk jaringan tujuan. Misalnya:
+ Untuk menambahkan rute untuk VPC titik akhir Client VPN, masukkan rentang CIDR VPC. IPv4
+ Untuk menambahkan rute akses internet, masukkan `0.0.0.0/0`.
+ Untuk menambahkan rute untuk VPC peered, masukkan rentang CIDR VPC yang diintip. IPv4
+ Untuk menambahkan rute untuk jaringan lokal, masukkan rentang IPv4 CIDR koneksi AWS Site-to-Site VPN.
1. Untuk **Subnet ID untuk asosiasi jaringan target**, pilih subnet yang terkait dengan titik akhir Client VPN.
Atau, jika Anda menambahkan rute untuk jaringan endpoint Client VPN lokal, pilih`local`.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi singkat untuk rute tersebut.
1. Pilih **Buat rute**.
**Untuk membuat rute titik akhir Client VPN (AWS CLI)**
Gunakan perintah [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html).
# Lihat AWS Client VPN rute titik akhir
Anda dapat melihat rute untuk titik akhir Client VPN tertentu dengan menggunakan konsol tersebut atau AWS CLI.
**Untuk melihat rute titik akhir Client VPN (konsol)**
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk melihat rute dan pilih **tabel Rute**.
**Untuk melihat rute titik akhir Client VPN (AWS CLI)**
Gunakan perintah [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html).
# Hapus rute AWS Client VPN titik akhir
Anda hanya dapat menghapus rute Client VPN yang Anda tambahkan secara manual. Anda tidak dapat menghapus rute yang ditambahkan secara otomatis ketika Anda mengaitkan subnet dengan titik akhir Client VPN. Untuk menghapus rute yang ditambahkan secara otomatis, Anda harus memisahkan subnet yang pembuatannya dimulai dari titik akhir Client VPN.
Anda dapat menghapus rute dari titik akhir Client VPN dengan menggunakan konsol tersebut atau AWS CLI.
**Untuk menghapus rute titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk menghapus rute dan pilih **tabel Route**.
1. Pilih rute yang akan dihapus, pilih **Hapus rute**, dan pilih **Hapus rute**.
**Untuk menghapus rute titik akhir Client VPN (AWS CLI)**
Gunakan perintah [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).
# AWS Client VPN jaringan target
Jaringan target adalah subnet dalam VPC. AWS Client VPN Endpoint harus memiliki setidaknya satu jaringan target untuk memungkinkan klien terhubung dengannya dan membuat koneksi VPN.
Untuk informasi selengkapnya tentang jenis akses yang dapat Anda konfigurasi (seperti memungkinkan klien Anda mengakses internet), lihat[Skenario dan contoh untuk Client VPN](how-it-works.md#scenario).
## Persyaratan jaringan target Client VPN
Saat membuat jaringan target, aturan berikut berlaku:
+ Subnet harus memiliki blok CIDR dengan setidaknya bitmask /27, misalnya 10.0.0.0/27. Subnet juga harus memiliki setidaknya 20 alamat IP yang tersedia setiap saat.
+ Blok CIDR subnet tidak dapat tumpang tindih dengan kisaran CIDR klien titik akhir Client VPN.
+ Jika Anda mengaitkan lebih dari satu subnet dengan titik akhir Client VPN, setiap subnet harus berada di Availability Zone yang berbeda. Kami merekomendasikan Anda mengaitkan setidaknya dua subnet untuk menyediakan redundansi Availability Zone.
+ Jika Anda menetapkan VPC ketika Anda membuat titik akhir Client VPN, subnet harus dalam VPC yang sama. Jika Anda belum mengaitkan VPC dengan titik akhir Client VPN, Anda dapat memilih subnet apa pun di VPC manapun.
Semua asosiasi subnet selanjutnya harus berasal dari VPC yang sama. Untuk mengaitkan subnet dari VPC yang berbeda, Anda harus terlebih dahulu memodifikasi titik akhir Client VPN dan mengubah VPC yang terkait dengannya. Untuk informasi selengkapnya, lihat [Memodifikasi AWS Client VPN titik akhir](cvpn-working-endpoint-modify.md).
Ketika Anda mengaitkan subnet dengan titik akhir Client VPN, kami secara otomatis menambahkan rute lokal VPC di mana subnet terkait disediakan ke tabel rute titik akhir Client VPN.
**catatan**
Setelah jaringan target Anda dikaitkan, ketika Anda menambah atau menghapus tambahan CIDRs ke VPC terlampir, Anda harus melakukan salah satu operasi berikut untuk memperbarui rute lokal untuk tabel rute titik akhir Client VPN Anda:
Pisahkan titik akhir Client VPN Anda dari jaringan target, lalu kaitkan titik akhir Client VPN ke jaringan target.
Secara manual menambahkan rute ke, atau menghapus rute dari titik akhir Client VPN tabel rute.
Setelah Anda mengaitkan subnet pertama dengan titik akhir Client VPN, status titik akhir Client VPN berubah `pending-associate` dari `available` ke dan klien dapat membuat koneksi VPN.
**Topics**
+ [Persyaratan untuk membuat jaringan target](#cvpn-create-target-reqs)
+ [Mengaitkan jaringan target dengan titik akhir](cvpn-working-target-associate.md)
+ [Terapkan grup keamanan ke jaringan target](cvpn-working-target-apply.md)
+ [Lihat jaringan target](cvpn-working-target-view.md)
+ [Putuskan hubungan jaringan target dari titik akhir](cvpn-working-target-disassociate.md)
# Mengaitkan jaringan target dengan titik AWS Client VPN akhir
Anda dapat mengaitkan satu atau beberapa jaringan target (subnet) dengan titik akhir Client VPN menggunakan Konsol VPC Amazon atau CLI. AWS Sebelum Anda mengaitkan jaringan target dengan titik akhir Client VPN, biasakan diri Anda dengan persyaratan. Lihat [Persyaratan untuk membuat jaringan target](cvpn-working-target.md#cvpn-create-target-reqs).
**Untuk mengaitkan jaringan target dengan titik akhir Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk mengaitkan jaringan target, pilih **Asosiasi jaringan target**, lalu pilih **Associate target network**.
1. Untuk **VPC**, pilih VPC tempat subnet berada. Jika Anda menetapkan VPC ketika Anda membuat titik akhir Client VPN atau jika Anda memiliki asosiasi subnet sebelumnya, subnet harus dalam VPC yang sama.
1. Untuk **Pilih subnet untuk diasosiasikan**, pilih subnet yang akan dikaitkan dengan titik akhir Client VPN.
1. Pilih **Jaringan target Associate**.
**Untuk mengaitkan jaringan target dengan titik akhir Client VPN (AWS CLI)**
Gunakan perintah [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html).
# Menerapkan grup keamanan ke jaringan target di AWS Client VPN
Saat Anda membuat titik akhir Client VPN, Anda dapat menentukan grup keamanan untuk diterapkan ke jaringan target. Saat Anda mengaitkan jaringan target pertama dengan titik akhir Client VPN, kami secara otomatis menerapkan grup keamanan default VPC tempat subnet terkait berada. Untuk informasi selengkapnya, lihat [Grup keamanan](client-authorization.md#security-groups).
Anda dapat mengubah grup keamanan untuk akhir Client VPN. Aturan grup keamanan yang Anda perlukan bergantung pada jenis akses VPN yang ingin Anda konfigurasikan. Untuk informasi selengkapnya, lihat [Skenario dan contoh untuk Client VPN](how-it-works.md#scenario).
**Untuk menerapkan grup keamanan ke jaringan target (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN**.
1. Pilih titik akhir Client VPN untuk menerapkan grup keamanan.
1. Pilih **Grup Keamanan**, lalu pilih **Terapkan Grup Keamanan**.
1. Pilih grup keamanan yang sesuai dari **grup Keamanan IDs**.
1. Pilih **Terapkan Grup Keamanan**.
**Untuk menerapkan grup keamanan ke jaringan target (AWS CLI)**
Gunakan client-vpn-target-network perintah [apply-security-groups-to-](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html).
# Lihat jaringan AWS Client VPN target
Anda dapat melihat target yang terkait dengan titik akhir Client VPN menggunakan konsol atau AWS CLI.
**Untuk melihat jaringan target (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang sesuai dan pilih **Asosiasi jaringan target**.
**Untuk melihat jaringan target menggunakan AWS CLI**
Gunakan perintah [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html).
# Putuskan hubungan jaringan target dari titik akhir AWS Client VPN
Saat Anda memisahkan jaringan target, rute apa pun yang ditambahkan secara manual ke tabel rute titik akhir Client VPN akan dihapus, serta rute yang dibuat secara otomatis saat asosiasi jaringan target dibuat (rute lokal VPC). Jika Anda memisahkan semua jaringan target dari titik akhir Client VPN, klien tidak dapat lagi membuat koneksi VPN.
**Untuk memisahkan jaringan target dari titik akhir Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang terkait dengan jaringan target dan pilih **Asosiasi jaringan target**.
1. Pilih jaringan target untuk memisahkan, pilih **Disassociate**, dan kemudian pilih **Disassociate** target network.
**Untuk memisahkan jaringan target dari titik akhir Client VPN (AWS CLI)**
Gunakan perintah [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html).
# AWS Client VPN batas waktu durasi sesi VPN maksimum
AWS Client VPN menyediakan beberapa opsi untuk durasi sesi VPN maksimum, yang merupakan waktu maksimum yang diizinkan untuk koneksi klien ke titik akhir Client VPN. Anda dapat mengonfigurasi durasi sesi VPN maksimum yang lebih pendek untuk membantu memenuhi persyaratan keamanan dan kepatuhan. Secara default, durasi sesi VPN maksimum adalah 24 jam. Setelah Anda mengatur durasi sesi maksimum, Anda dapat mengontrol apa yang terjadi dengan sesi itu ketika batas waktu tercapai. Opsi putuskan sambungan pada batas waktu sesi memungkinkan Anda untuk mengakhiri sesi atau secara otomatis mencoba koneksi ulang ke titik akhir. Mengakhiri sesi memungkinkan Anda lebih banyak mengontrol keamanan titik akhir dengan menerapkan durasi sesi VPN maksimum. Jika sesi diatur untuk berakhir ketika waktu maksimum tercapai, pengguna harus menyambung kembali dan memberikan kredensi otentikasi mereka untuk membangun kembali koneksi VPN.
Ketika pemutusan pada batas waktu sesi diatur untuk menyambung kembali secara otomatis, dan waktu sesi maksimum tercapai,
+ sesi baru secara otomatis dibuat dalam kasus kredensi pengguna cache (Active Directory) atau otentikasi berbasis sertifikat (Mutual Authentication). Untuk memutuskan sambungan sepenuhnya dan tidak terhubung kembali secara otomatis, pengguna ini harus memutuskan sambungan secara manual.
+ sesi baru tidak secara otomatis dibuat dalam kasus otentikasi federasi (SAFL). Pengguna ini harus mengautentikasi lagi setelah batas waktu sesi kedaluwarsa untuk membangun kembali koneksi VPN.
**catatan**
Ketika nilai durasi sesi VPN maksimum dikurangi dari nilainya saat ini, setiap sesi VPN aktif yang terhubung ke titik akhir untuk jangka waktu yang lebih lama dari durasi yang baru ditetapkan akan terputus.
Mengubah opsi putuskan sambungan pada batas waktu sesi menerapkan pengaturan baru ke sesi yang sedang dibuka.
## Konfigurasikan sesi VPN maksimum selama pembuatan titik AWS Client VPN akhir
Durasi sesi VPN dikonfigurasi selama pembuatan titik akhir Client VPN. Lihat langkah-langkah [Buat titik AWS Client VPN akhir](cvpn-working-endpoint-create.md) untuk membuat titik akhir Client VPN dan mengatur durasi sesi maksimum.
**Topics**
+ [Konfigurasikan sesi VPN maksimum selama pembuatan titik akhir](#configure-max-duration-endpoint-creation)
+ [Lihat durasi sesi VPN maksimum saat ini](display-max-duration.md)
+ [Ubah durasi sesi VPN maksimum](modify-max-timeout.md)
# Lihat durasi sesi VPN maksimum AWS Client VPN saat ini
Gunakan langkah-langkah berikut untuk melihat durasi sesi VPN maksimum Client VPN saat ini.
**Lihat durasi sesi VPN maksimum saat ini untuk titik akhir Client VPN (konsol)**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN yang ingin Anda lihat.
1. Verifikasi bahwa tab **Detail** dipilih.
1. Lihat durasi sesi VPN maksimum saat ini di samping **Jam tunggu sesi** dan jika **Putuskan sambungan saat batas waktu diaktifkan** atau dinonaktifkan.
**Lihat durasi sesi VPN maksimum saat ini untuk titik akhir Client VPN ()AWS CLI**
Gunakan perintah [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# Ubah durasi AWS Client VPN sesi maksimum dan perilaku batas waktu
Gunakan langkah-langkah berikut untuk mengubah durasi sesi VPN maksimum Client VPN yang ada dan mengubah perilaku pemutusan waktu sesi.
**Ubah durasi sesi VPN maksimum yang ada untuk titik akhir Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih titik **akhir Client VPN**.
1. Pilih endpoint Client VPN yang ingin Anda ubah, pilih **Actions**, lalu pilih **Modify Client VPN Endpoint**.
1. Untuk **jam tunggu sesi**, pilih durasi sesi VPN maksimum yang diinginkan dalam jam.
1. Untuk **Putuskan sambungan pada batas waktu sesi**, pilih apakah Anda ingin memutuskan sambungan sesi saat batas waktu sesi maksimum tercapai. Secara default, ini dimatikan saat pertama kali Anda memodifikasi titik akhir.
1. Pilih **Ubah titik akhir Client VPN**.
**Ubah durasi sesi VPN maksimum yang ada untuk titik akhir Client VPN ()AWS CLI**
Gunakan perintah [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).