Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Apa itu AWS Client VPN?
AWS Client VPN adalah layanan VPN berbasis klien terkelola yang memungkinkan Anda mengakses AWS sumber daya dan sumber daya dengan aman di jaringan lokal Anda. Dengan Client VPN, Anda dapat mengakses sumber daya Anda dari lokasi manapun menggunakan klien VPN berbasis OpenVPN.
**Topics**
+ [Fitur Client VPN](#what-is-features)
+ [Komponen Client VPN](#what-is-components)
+ [Bekerja dengan Client VPN](#what-is-access)
+ [Harga untuk Client VPN](#what-is-pricing)
+ [Aturan dan praktik terbaik](what-is-best-practices.md)
## Fitur Client VPN
Client VPN menawarkan fitur dan fungsionalitas sebagai berikut:
+ **Koneksi aman — Menetapkan koneksi** TLS terenkripsi dari lokasi mana pun melalui klien OpenVPN, memastikan privasi dan integritas data.
+ **Layanan terkelola** — Menghilangkan beban operasional penerapan dan pemeliharaan solusi VPN akses jarak jauh pihak ketiga melalui manajemen AWS yang lengkap.
+ **Ketersediaan dan elastisitas tinggi** — Skala dinamis untuk mengakomodasi berbagai jumlah pengguna yang terhubung ke AWS dan sumber daya lokal Anda tanpa intervensi manual.
+ **Otentikasi** — Mendukung beberapa metode otentikasi termasuk integrasi Active Directory, otentikasi federasi, dan otentikasi berbasis sertifikat untuk manajemen identitas yang fleksibel.
+ **Kontrol granular** — Menerapkan kontrol keamanan yang tepat melalui aturan akses berbasis jaringan yang dapat dikonfigurasi pada tingkat grup Active Directory dan kontrol akses berbasis grup keamanan.
+ **Kemudahan penggunaan** — Menyediakan akses terpadu ke AWS dan sumber daya lokal melalui satu terowongan VPN, menyederhanakan pengalaman pengguna akhir.
+ **Pengelolaan** — Menawarkan visibilitas komprehensif melalui log koneksi terperinci dan kemampuan manajemen waktu nyata, termasuk kemampuan untuk memantau dan menghentikan koneksi klien aktif bila diperlukan.
+ **Integrasi mendalam** — Terintegrasi secara mulus dengan layanan AWS yang ada, termasuk dan AWS Directory Service Amazon VPC, meningkatkan kemampuan konektivitas infrastruktur cloud Anda.
+ **IPv6 dukungan** - Memungkinkan IPv6 konektivitas penuh untuk titik akhir Client VPN, mendukung koneksi ke IPv6 sumber daya di Anda VPCs dan dari klien di IPv6 jaringan untuk kebutuhan jaringan modern.
## Komponen Client VPN
Berikut ini adalah konsep kunci untuk Client VPN:
**Titik akhir Client VPN**
Titik akhir Client VPN adalah sumber daya yang Anda buat dan konfigurasikan untuk mengaktifkan dan mengelola sesi Client VPN. Ini adalah titik terminasi untuk semua sesi VPN klien.
**Jaringan target**
Jaringan target adalah jaringan yang Anda kaitkan dengan titik akhir Client VPN. Subnet dari VPC merupakan jaringan target. Menghubungkan subnet dengan titik akhir Client VPN memungkinkan Anda untuk membuat sesi VPN. Anda dapat mengaitkan beberapa subnet dengan titik akhir Client VPN untuk ketersediaan yang tinggi. Semua subnet harus berasal dari VPC yang sama. Setiap subnet harus menjadi bagian dari Availability Zone yang berbeda.
**Rute**
Setiap titik akhir Client VPN memiliki tabel rute yang menjelaskan rute jaringan tujuan yang tersedia. Setiap rute dalam tabel rute menentukan jalur untuk lalu lintas ke sumber daya atau jaringan tertentu.
**Aturan otorisasi**
Aturan otorisasi membatasi pengguna yang dapat mengakses jaringan. Untuk jaringan yang ditentukan, Anda mengonfigurasi grup Direktori Aktif atau identitas provider (IdP) yang aksesnya diizinkan. Hanya pengguna dalam grup ini yang dapat mengakses jaringan yang ditentukan. Secara default, tidak ada aturan otorisasi dan Anda harus mengonfigurasi aturan otorisasi untuk memungkinkan pengguna mengakses sumber daya dan jaringan.
**Klien**
Pengguna akhir yang terhubung ke titik akhir Client VPN membuat sesi VPN. Pengguna akhir harus mengunduh klien OpenVPN dan menggunakan file konfigurasi Client VPN yang Anda buat untuk membuat sesi VPN.
**Rentang CIDR klien**
Rentang alamat IP tempat untuk menetapkan alamat IP klien. Setiap koneksi ke titik akhir Client VPN ditetapkan dalam alamat IP yang unik dari rentang CIDR klien. Untuk IPv4 lalu lintas, Anda memilih rentang CIDR klien, misalnya,`10.2.0.0/16`. Untuk IPv6 lalu lintas, AWS Client VPN secara otomatis menetapkan rentang CIDR klien.
**Port Client VPN**
AWS Client VPN mendukung port 443 dan 1194 untuk TCP dan UDP. Port default adalah 443.
**Antarmuka jaringan Client VPN**
Ketika Anda mengaitkan subnet dengan titik akhir Client VPN Anda, kami membuat antarmuka jaringan Client VPN di subnet tersebut. Lalu lintas yang dikirim ke VPC dari titik akhir Client VPN dikirim melalui antarmuka jaringan Client VPN. Untuk IPv4 lalu lintas, terjemahan alamat jaringan sumber (SNAT) diterapkan, di mana alamat IP sumber dari rentang CIDR klien diterjemahkan ke alamat IP antarmuka jaringan Client VPN. Untuk IPv6 lalu lintas, SNAT tidak diterapkan, memberikan visibilitas yang ditingkatkan ke alamat IP pengguna yang terhubung.
**Pencatatan koneksi**
Anda dapat mengaktifkan pencatatan koneksi untuk titik akhir Client VPN Anda ke kejadian koneksi log. Anda dapat menggunakan informasi ini untuk menjalankan forensik, menganalisis bagaimana titik akhir Client VPN digunakan, atau men-debug masalah koneksi.
**Portal layanan mandiri**
Client VPN menyediakan portal swalayan sebagai halaman web untuk pengguna akhir untuk mengunduh versi terbaru AWS VPN Desktop Client dan versi terbaru dari file konfigurasi titik akhir Client VPN, yang berisi pengaturan yang diperlukan untuk terhubung ke titik akhir mereka. Administrator titik akhir Client VPN dapat mengaktifkan atau menonaktifkan portal swalayan untuk titik akhir Client VPN. Portal swalayan adalah layanan Global yang didukung oleh tumpukan layanan di Wilayah berikut: AS Timur (Virginia N.), Asia Pasifik (Tokyo), Eropa (Irlandia), dan AWS GovCloud (AS-Barat).
**Jenis alamat IP titik akhir**
Jenis alamat IP untuk titik akhir Client VPN, yang dapat berupa IPv4 IPv6, atau dual-stack (keduanya IPv4 dan). IPv6
**Jenis alamat IP lalu lintas**
Jenis alamat IP untuk lalu lintas yang mengalir melalui titik akhir Client VPN, yang dapat berupa IPv4 IPv6, atau dual-stack (keduanya IPv4 dan). IPv6 Ini menentukan jenis lalu lintas dalam (muatan aktual atau lalu lintas asli yang di-tunneled melalui koneksi VPN), rentang CIDR klien, asosiasi subnet, rute, dan aturan per titik akhir.
## Bekerja dengan Client VPN
Anda dapat bekerja dengan Client VPN menggunakan salah satu dari cara berikut ini:
**Konsol Manajemen AWS**
Konsol ini menyediakan antarmuka pengguna berbasis web untuk Client VPN.
Konsol menyediakan antarmuka pengguna berbasis web untuk Client VPN dengan dua metode pengaturan:
+ Pengaturan mulai cepat: Pembuatan titik akhir yang disederhanakan dengan default yang direkomendasikan AWS
+ Pengaturan standar: Kontrol penuh atas semua opsi konfigurasi
Jika Anda telah mendaftar Akun AWS, Anda dapat masuk ke konsol [Amazon VPC](https://console.aws.amazon.com/vpc/) dan memilih Client VPN di panel navigasi.
**AWS Command Line Interface (AWS CLI)**
AWS CLI Ini menyediakan akses langsung ke publik Client VPN APIs. Hal ini didukung di Windows, macOS, dan Linux. Untuk informasi selengkapnya tentang memulai AWS CLI, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/). Untuk informasi selengkapnya tentang perintah untuk Client VPN, lihat [bagian EC2](https://docs.aws.amazon.com/cli/latest/reference/ec2/) dari Referensi Baris *Perintah Amazon EC2*.
**AWS Tools for Windows PowerShell**
AWS menyediakan perintah untuk serangkaian AWS penawaran yang luas bagi mereka yang membuat skrip di lingkungan. PowerShell Untuk informasi lebih lanjut tentang memulai dengan AWS Tools for Windows PowerShell, lihat [AWS Tools for Windows PowerShell Panduan Pengguna](https://docs.aws.amazon.com/powershell/latest/userguide/). Untuk informasi selengkapnya tentang cmdlets untuk Client VPN, lihat [AWS Tools for Windows PowerShell Referensi Cmdlet](https://docs.aws.amazon.com/powershell/latest/reference/).
**API Kueri**
Client VPN HTTPS Query API memberi Anda akses terprogram ke Client VPN dan AWS. API Kueri HTTPS memungkinkan Anda menerbitkan permintaan HTTPS secara langsung ke layanan. Saat Anda menggunakan API HTTPS, Anda harus menyertakan kode untuk menandatangani permintaan secara digital menggunakan kredensial Anda. Untuk informasi selengkapnya, lihat [AWS Client VPN tindakan](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-cvpn.html).
## Harga untuk Client VPN
Anda dikenakan biaya untuk setiap asosiasi titik akhir dan setiap koneksi VPN setiap jam. Tidak ada biaya tambahan untuk menggunakan IPv6 atau dual-stack endpoint; mereka dibebankan pada tingkat yang sama dengan endpoint. IPv4 Untuk informasi selengkapnya, lihat [harga AWS Client VPN](https://aws.amazon.com/vpn/pricing/#AWS_Client_VPN_pricing).
Anda dikenakan biaya untuk transfer data dari Amazon EC2 ke internet. Untuk informasi selengkapnya, lihat [Transfer Data](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer) pada usia Harga Sesuai Permintaan Amazon EC2.
Jika Anda mengaktifkan pencatatan koneksi untuk titik akhir Client VPN, Anda harus membuat grup CloudWatch log Log di akun Anda. Biaya berlaku untuk penggunaan grup log. Untuk informasi selengkapnya, lihat [ CloudWatch harga Amazon](https://aws.amazon.com/cloudwatch/pricing/) (di bawah **Tingkat berbayar**, pilih **Log**).
Jika Anda mengaktifkan handler koneksi klien untuk klien titik akhir Client VPN, Anda harus mengaktifkan dan memanggil fungsi Lambda. Biaya berlaku untuk aktivasi fungsi Lambda. Untuk informasi selengkapnya, lihat [AWS Lambda harga](https://aws.amazon.com/lambda/pricing/).
Titik akhir Client VPN dikaitkan dengan jaringan target, yang merupakan subnet dalam VPC. Jika VPC ini memiliki Internet Gateway, kami mengaitkan alamat IP Elastis dengan antarmuka jaringan elastis Client VPN (). ENIs Alamat IP Elastis ini dikenakan biaya sebagai IPv4 alamat publik yang sedang digunakan. Untuk informasi selengkapnya, lihat tab IPv4 Alamat Publik di halaman [harga VPC](https://aws.amazon.com/vpc/pricing/).
**catatan**
Titik akhir Client VPN memerlukan alamat IP Elastis ketika dikaitkan dengan subnet VPC yang memiliki Internet Gateway karena EIPs ini memungkinkan konektivitas internet langsung untuk klien VPN. Saat menghubungkan melalui titik akhir Client VPN, mereka memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya internet. Elastis IPs melayani tujuan ini dengan menyediakan titik akhir yang konsisten dan menghadap publik. Ini EIPs melekat pada antarmuka jaringan elastis Client VPN (ENIs) dan sangat penting untuk menjaga akses internet yang stabil dan aman untuk klien VPN sambil memastikan perutean lalu lintas yang tepat. Karena alamat IP Elastis ini dialokasikan dan digunakan secara aktif untuk layanan Client VPN, AWS menagihnya sebagai IPv4 alamat publik yang sedang digunakan, mengikuti model penetapan harga standar untuk dialokasikan dan terkait. EIPs
# Aturan dan praktik terbaik untuk menggunakan AWS Client VPN
Bagian berikut menjelaskan aturan dan praktik terbaik untuk menggunakan AWS Client VPN:
**Topics**
+ [Persyaratan jaringan dan bandwidth](#bp-nw)
+ [Konfigurasi subnet dan VPC](#bp-subnet)
+ [Otentikasi dan keamanan](#bp-auth)
+ [Koneksi dan persyaratan DNS](#bp-dns)
+ [Keterbatasan dan pembatasan](#bp-limits)
## Persyaratan jaringan dan bandwidth
+ AWS Client VPN adalah layanan yang dikelola sepenuhnya yang secara otomatis menskalakan untuk mengakomodasi koneksi pengguna tambahan dan persyaratan bandwidth. Setiap koneksi pengguna memiliki bandwidth dasar maksimum 50 Mbps.
Bandwidth aktual yang Anda alami saat terhubung melalui titik akhir Client VPN dapat bervariasi berdasarkan beberapa faktor. Faktor-faktor ini termasuk ukuran paket, komposisi lalu lintas (campuran TCP/UDP), kebijakan jaringan (pembentukan atau pelambatan) pada jaringan perantara, kondisi internet, persyaratan khusus aplikasi, dan jumlah total koneksi pengguna bersamaan. Jika Anda mencapai batas bandwidth maksimum, Anda dapat meminta peningkatan melalui AWS Support.
+ Rentang CIDR klien tidak dapat tumpang tindih dengan CIDR lokal dari VPC tempat subnet terkait berada, atau setiap rute secara manual ditambahkan ke tabel rute titik akhir Client VPN.
+ Rentang CIDR klien harus memiliki ukuran blok minimal /22 dan tidak boleh lebih besar dari /12.
+ Sebagian alamat di rentang CIDR klien digunakan untuk mendukung model ketersediaan titik akhir Client VPN, dan tidak dapat ditugaskan kepada klien. Oleh karena itu, kami rekomendasikan Anda menetapkan blok CIDR yang berisi dua kali jumlah alamat IP yang diperlukan untuk mengaktifkan jumlah maksimum koneksi bersamaan bahwa Anda berencana untuk mendukung titik akhir Client VPN.
+ Rentang CIDR klien tidak dapat diubah setelah Anda membuat titik akhir Client VPN.
+ Client VPN mendukung IPv4, IPv6, dan dual-stack (keduanya IPv4 dan IPv6) lalu lintas. Untuk detail lebih lanjut tentang IPv6 dukungan, lihat[IPv6 pertimbangan untuk AWS Client VPNIPv6 pertimbangan](ipv6-considerations.md).
+
+ Alamat IP sumber diterjemahkan ke alamat IP titik akhir Client VPN.
+ Nomor port sumber asli dari klien tetap tidak berubah.
+ Client VPN melakukan Port Address Translation (PAT) hanya ketika pengguna bersamaan terhubung ke target yang sama. Terjemahan port otomatis dan diperlukan untuk mendukung beberapa koneksi simultan melalui titik akhir VPN yang sama.
+ Untuk terjemahan IP sumber, alamat IP sumber diterjemahkan ke alamat IP VPN Klien.
+ Untuk terjemahan port sumber untuk koneksi klien tunggal, nomor port sumber asli mungkin tetap tidak berubah.
+ Untuk terjemahan port sumber untuk beberapa klien yang terhubung ke tujuan yang sama (alamat IP target dan port yang sama), Client VPN melakukan terjemahan port untuk memastikan koneksi unik.
Misalnya, ketika dua klien, klien 1 dan klien 2, terhubung ke server tujuan dan port yang sama melalui titik akhir Client VPN:
+ Port asli untuk klien 1 - misalnya, `9999` - mungkin diterjemahkan ke port yang berbeda - misalnya, port`4306`.
+ Port asli untuk klien 2 - misalnya, `9999` - dapat diterjemahkan ke port unik yang berbeda bentuk klien 1 - misalnya, port`63922`.
+ Untuk IPv6 lalu lintas, Client VPN tidak melakukan Network Address Translation (NAT). Ini memberikan visibilitas yang ditingkatkan ke IPv6 alamat pengguna yang terhubung.
## Konfigurasi subnet dan VPC
+ Subnet yang terkait dengan titik akhir Client VPN harus berada dalam VPC yang sama.
+ Anda tidak dapat mengaitkan beberapa subnet dari Availability Zone yang sama dengan titik akhir Client VPN.
+ Titik Akhir Client VPN tidak mendukung asosiasi subnet di penghunian khusus VPC.
+ Untuk IPv6 lalu lintas tumpukan ganda, subnet terkait harus memiliki IPv6 atau rentang CIDR tumpukan ganda.
+ Untuk titik akhir dual-stack, Anda tidak dapat mengaitkan lebih dari satu subnet per Availability Zone.
## Otentikasi dan keamanan
+ Portal layanan mandiri ini tidak tersedia untuk klien yang mengautentikasi menggunakan autentikasi bersama.
+ Jika otentikasi multi-faktor (MFA) dinonaktifkan untuk Direktori Aktif Anda, kata sandi pengguna tidak dapat menggunakan format berikut.
```
SCRV1:base64_encoded_string:base64_encoded_string
```
+ Sertifikat yang digunakan di AWS Client VPN harus mematuhi [Profil RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)](https://datatracker.ietf.org/doc/html/rfc5280), termasuk Ekstensi Sertifikat yang ditentukan dalam bagian 4.2 memo.
+ Nama pengguna dengan karakter khusus dapat menyebabkan kesalahan koneksi.
+ Panjang nama pengguna maksimum adalah 1024 byte. Koneksi dengan nama pengguna yang lebih panjang akan ditolak.
## Koneksi dan persyaratan DNS
+ Kami tidak menyarankan untuk menghubungkan ke titik akhir Client VPN menggunakan alamat IP. Karena Client VPN adalah layanan terkelola, Anda kadang-kadang akan melihat perubahan pada alamat IP yang diselesaikan oleh nama DNS. Selain itu, Anda akan melihat antarmuka jaringan Client VPN dihapus dan dibuat ulang di log Anda CloudTrail . Sebaiknya sambungkan ke titik akhir Client VPN menggunakan nama DNS yang disediakan.
+ Layanan Client VPN mengharuskan alamat IP yang terhubung dengan klien cocok dengan IP yang diselesaikan oleh nama DNS titik akhir Client VPN. Dengan kata lain, jika Anda menetapkan catatan DNS khusus untuk titik akhir Client VPN, lalu meneruskan lalu lintas ke alamat IP sebenarnya yang diselesaikan oleh nama DNS titik akhir, pengaturan ini tidak akan berfungsi menggunakan klien yang disediakan baru-baru ini. AWS Aturan ini ditambahkan untuk mengurangi serangan IP server seperti yang dijelaskan di sini:. [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)
+ Anda dapat menggunakan klien yang AWS disediakan untuk terhubung ke beberapa sesi DNS bersamaan. Namun, agar resolusi nama berfungsi dengan benar, server DNS dari semua koneksi harus memiliki catatan yang disinkronkan.
+ Layanan Client VPN mensyaratkan bahwa rentang alamat IP jaringan area lokal (LAN) perangkat klien berada dalam rentang alamat IP pribadi standar berikut:`10.0.0.0/8`,`172.16.0.0/12`,`192.168.0.0/16`, atau`169.254.0.0/16`. Jika rentang alamat LAN klien terdeteksi berada di luar rentang di atas, titik akhir Client VPN akan secara otomatis mendorong arahan OpenVPN “redirect-gateway block-local” ke klien, memaksa semua lalu lintas LAN ke VPN. Oleh karena itu, jika Anda memerlukan akses LAN selama koneksi VPN, disarankan agar Anda menggunakan rentang alamat konvensional yang tercantum di atas untuk LAN Anda. Aturan ini diberlakukan untuk mengurangi kemungkinan serangan net lokal seperti yang dijelaskan di sini:. [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)
+ Di Windows, ketika titik akhir terowongan penuh digunakan, semua lalu lintas DNS dipaksa melalui terowongan, terlepas dari jenis alamat IP titik akhir (IPv4 IPv6, atau tumpukan ganda). Agar DNS berfungsi, server DNS harus diatur dan dapat dijangkau di dalam terowongan.
## Keterbatasan dan pembatasan
+ Penerusan IP saat ini tidak didukung saat menggunakan aplikasi AWS Client VPN desktop. Penerusan IP didukung dari klien lain.
+ Client VPN tidak mendukung replikasi Multi-region di. AWS Managed Microsoft AD Titik akhir Client VPN harus berada di Wilayah yang sama dengan AWS Managed Microsoft AD sumber daya.
+ Anda tidak dapat membuat koneksi VPN dari komputer jika ada beberapa pengguna yang masuk ke sistem operasi.
+ Client-to-client Komunikasi tidak didukung untuk IPv6 klien. Jika IPv6 klien mencoba berkomunikasi dengan IPv6 klien lain, lalu lintas akan turun.
+ IPv6 dan titik akhir tumpukan ganda mengharuskan perangkat pengguna dan penyedia layanan internet (ISPs) mendukung konfigurasi IP yang sesuai.