Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Integrazione Transit Gateway con Client VPN
<a name="cvpn-tgw"></a>

È possibile collegare un endpoint Client VPN in modo nativo a un Transit Gateway per un accesso remoto sicuro a più VPCs reti locali e ad altre risorse connesse al Transit Gateway. Ciò elimina la necessità di creare endpoint VPN separati per ogni VPC o di gestire routing complessi tramite intermedi. VPCs

**Topics**
+ [Panoramica di](#cvpn-tgw-overview)
+ [Vantaggi](#cvpn-tgw-benefits)
+ [Come funziona l'integrazione Transit Gateway](#cvpn-tgw-how-it-works)
+ [Prerequisiti](#cvpn-tgw-prerequisites)
+ [Creare un endpoint VPN Transit Gateway Client](#cvpn-tgw-create)
+ [Gestisci i percorsi](#cvpn-tgw-routes)
+ [Configurazione dell’autorizzazione](#cvpn-tgw-authorization)
+ [Gestisci le zone di disponibilità](#cvpn-tgw-manage-azs)
+ [Accesso al Transit Gateway su più account](#cvpn-tgw-cross-account)
+ [Considerazioni e limitazioni](#cvpn-tgw-limitations)

## Panoramica di
<a name="cvpn-tgw-overview"></a>

Quando si associa un Transit Gateway a un endpoint Client VPN, i client VPN connessi possono accedere a tutte le risorse connesse al Transit Gateway se nell'endpoint Client VPN sono configurati percorsi e regole di autorizzazione appropriati.

Gli endpoint associati al Transit Gateway conservano l'indirizzo IP di origine del client. La traduzione degli indirizzi di rete di origine (SNAT) non viene applicata, il che offre una maggiore visibilità sul traffico client.

**Importante**  
Non è possibile combinare associazioni di sottoreti VPC e associazioni Transit Gateway in un singolo endpoint Client VPN. Scegli un tipo di associazione quando crei l'endpoint.

## Vantaggi
<a name="cvpn-tgw-benefits"></a>

L'integrazione di Transit Gateway con Client VPN offre i seguenti vantaggi:
+ **Gestione semplificata**: elimina la necessità di endpoint VPN separati per VPC. Non è necessario creare un intermedio VPCs esclusivamente per la terminazione della VPN.
+ **Routing centralizzato**: sfrutta Transit Gateway come hub di routing centrale. Semplifica la gestione dei percorsi attraverso la rete.
+ **Visibilità migliorata**: conserva gli indirizzi IP di origine del client (senza SNAT). Fornisce supporto per i log di flusso per Client VPN.
+ **Scalabilità**: aggiungine facilmente nuovi VPCs al Transit Gateway a cui è possibile accedere tramite Client VPN. Scalabilità per supportare grandi unità di lavoro e unità aziendali remote.
+ **Sicurezza centralizzata**: implementa politiche di sicurezza coerenti su tutte le reti connesse. Mantieni percorsi di controllo completi.

## Come funziona l'integrazione Transit Gateway
<a name="cvpn-tgw-how-it-works"></a>

Di seguito viene descritto come Client VPN funziona con Transit Gateway:

1. **Creazione di endpoint**: si crea un endpoint Client VPN e si specifica l'ID Transit Gateway.

1. **Creazione di allegati**: crea AWS automaticamente un allegato Transit Gateway di tipo `client-vpn` per l'endpoint.

1. **Selezione della zona di disponibilità**: l'utente specifica quali zone di disponibilità utilizzare o AWS seleziona automaticamente 2 zone di disponibilità.

1. **Configurazione del percorso**: aggiungi percorsi alla tabella di routing degli endpoint Client VPN per indirizzare il traffico client verso le reti di destinazione attraverso il Transit Gateway.

1. **Flusso di connessione client**: quando un client si connette, il traffico fluisce dal client attraverso l'endpoint Client VPN al Transit Gateway e quindi alla rete di destinazione in base alle tabelle di routing del Transit Gateway.

![\[Flusso di traffico Transit Gateway con Client VPN\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/cvpn-tgw-traffic-flow.png)


## Prerequisiti
<a name="cvpn-tgw-prerequisites"></a>

Prima di creare un endpoint Client VPN associato a Transit Gateway, verifica i seguenti requisiti.

Requisiti del Transit Gateway  
+ Un Transit Gateway esistente nella stessa regione dell'endpoint Client VPN.
+ Per l'accesso su più account, il Transit Gateway deve essere condiviso con il tuo account tramite AWS Resource Access Manager.
+ Al Transit Gateway deve essere assegnato un blocco IPv4 CIDR. Se prevedi di utilizzare una configurazione dual-stack, assegna anche un blocco IPv6 CIDR. IPv6 

Requisiti di rete  
+ L'intervallo CIDR del client non deve sovrapporsi agli intervalli CIDR VPCs collegati al Transit Gateway.
+ Le zone di disponibilità selezionate devono essere supportate dal Transit Gateway.
+ Le rotte di ritorno devono essere configurate nelle tabelle di routing VPC per indirizzare il traffico destinato all'intervallo CIDR del client verso il Transit Gateway.

Requisiti del certificato  
+ Un certificato server fornito in AWS Certificate Manager (ACM) nella stessa regione dell'endpoint Client VPN.
+ Se utilizzi l'autenticazione reciproca, un certificato client fornito in ACM.

## Creare un endpoint VPN Transit Gateway Client
<a name="cvpn-tgw-create"></a>

È possibile creare un endpoint Client VPN associato a un Transit Gateway utilizzando la console o il AWS CLI.

**Per creare un endpoint VPN Transit Gateway Client (console)**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione scegli **Client VPN Endpoints (Endpoint del client VPN)** e quindi scegli **Create Client VPN Endpoint (Crea un endpoint del client VPN).**

1. (Facoltativo) Per **Name tag** e **Descrizione**, immettete un nome e una descrizione per l'endpoint.

1. Per il **tipo di indirizzo IP del traffico**, scegli una delle seguenti opzioni:
   + **IPv4**— Specificare un intervallo IPv4 CIDR del client (ad esempio,`10.0.0.0/22`).
   + **IPv6**— assegna AWS automaticamente l'intervallo IPv6 CIDR del client.
   + **Dual stack**: specifica un intervallo CIDR del client IPv4. AWS assegna automaticamente l'intervallo CIDR del client IPv6 .

1. Per **Server certificate ARN**, specificare l'ARN per il certificato TLS fornito in ACM.

1. Scegliete il metodo di autenticazione. Per ulteriori informazioni, consulta [Autenticazione client in AWS Client VPN](client-authentication.md).

1. (Facoltativo) Per **la registrazione delle** connessioni, attiva **Abilita i dettagli di registro sulle connessioni client** e specifica il gruppo di log CloudWatch Logs e il log stream.

1. Per **Infrastruttura di rete**, scegli **Transit Gateway**.

1. Per **Transit Gateway ID**, seleziona Transit Gateway dall'elenco a discesa.

1. (Facoltativo) Per **le zone di disponibilità**, seleziona fino a 5 zone di disponibilità. Se non si selezionano zone di disponibilità, ne seleziona AWS automaticamente 2.

1. (Facoltativo) Configura impostazioni aggiuntive come server DNS, protocollo di trasporto, split-tunnel, porta VPN, timeout della sessione e banner di accesso.

1. Selezionare **Create Client VPN Endpoint** (Crea endpoint VPN client).

**Nota**  
Dopo la creazione, lo stato dell'endpoint è. `pending-associate` L'allegato Transit Gateway viene creato automaticamente. I client possono connettersi dopo che l'allegato diventa disponibile.

**Per creare un endpoint VPN Transit Gateway Client ()AWS CLI**  
Usa il comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) con il parametro `--transit-gateway-id`.

L'esempio seguente crea un endpoint Client VPN con zone di disponibilità specifiche:

```
aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone-list us-east-1a us-east-1b us-east-1c
```

Output di esempio:

```
{
    "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
    "Status": {
        "Code": "pending-associate"
    },
    "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}
```

Per consentire la selezione AWS automatica di 2 zone di disponibilità, ometti il `--availability-zone-list` parametro:

```
aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
```

### Verifica l'allegato Transit Gateway
<a name="cvpn-tgw-verify"></a>

Dopo aver creato l'endpoint, verifica che l'allegato Transit Gateway sia stato creato.

**Per verificare l'allegato Transit Gateway (console)**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Collegamenti del gateway di transito**.

1. Individua l'allegato con **Resource type** = `client-vpn` e **Resource ID** corrispondenti all'ID dell'endpoint Client VPN.

1. Verifica che lo **Stato** sia`available`.

**Per verificare l'allegato Transit Gateway (AWS CLI)**  
Utilizza il comando [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).

```
aws ec2 describe-transit-gateway-attachments \
    --filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
```

Per visualizzare la configurazione Transit Gateway per l'endpoint, usa il [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html)comando:

```
aws ec2 describe-client-vpn-endpoints \
    --client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```

L'output include un `TransitGatewayConfiguration` oggetto con l'ID Transit Gateway e le zone di disponibilità associate.

## Gestisci i percorsi
<a name="cvpn-tgw-routes"></a>

**Importante**  
Per gli endpoint associati a Transit Gateway, non si specifica un ID di sottorete di destinazione quando si creano i percorsi. Il traffico viene indirizzato automaticamente tramite l'allegato Transit Gateway.

**Per aggiungere un percorso (console)**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione scegli **Client VPN Endpoints (Endpoint del client VPN)**.

1. Seleziona l'endpoint Client VPN, scegli **Tabella di routing**, quindi scegli **Crea route**.

1. Per **Route destination**, inserisci l'intervallo CIDR di destinazione (ad esempio, `10.1.0.0/16` per un VPC `0.0.0.0/0` o per tutto il traffico).

1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il percorso.

1. Selezionare **Create Route (Crea route)**.

**Per aggiungere un percorso (AWS CLI)**  
Utilizzate il [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html)comando senza il `--target-vpc-subnet-id` parametro.

```
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16
```

Per aggiungere più route, esegui il comando per ogni intervallo CIDR di destinazione:

```
# Route to VPC 1
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

# Route to VPC 2
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.2.0.0/16

# Route to on-premises network
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 192.168.0.0/16
```

**Per eliminare una rotta (console)**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione scegli **Client VPN Endpoints (Endpoint del client VPN)**.

1. Seleziona l'endpoint Client VPN, scegli **Tabella Route**, seleziona il percorso, quindi scegli **Elimina percorso**.

1. Scegli **Elimina percorso** per confermare.

**Per eliminare un percorso (AWS CLI)**  
Utilizza il comando [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).

```
aws ec2 delete-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16
```

## Configurazione dell’autorizzazione
<a name="cvpn-tgw-authorization"></a>

**Importante**  
L'autorizzazione basata su gruppi di sicurezza non è supportata per gli endpoint Client VPN associati a Transit Gateway. È necessario utilizzare regole di autorizzazione basate sulla rete per controllare l'accesso dei client.

**Per aggiungere una regola di autorizzazione (console)**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione scegli **Client VPN Endpoints (Endpoint del client VPN)**.

1. Seleziona l'endpoint Client VPN, scegli **Regole di autorizzazione**, quindi scegli **Aggiungi regola di autorizzazione**.

1. Per **consentire l'accesso alla rete di destinazione**, inserisci l'intervallo CIDR di destinazione (ad esempio,`10.1.0.0/16`).

1. Per **Concedi l'accesso a**, scegli una delle seguenti opzioni:
   + **Consenti l'accesso a tutti gli utenti**: tutti i client autenticati possono accedere alla rete di destinazione.
   + **Consenti l'accesso agli utenti in un gruppo di accesso specifico**: inserisci il SID del gruppo Active Directory o il nome del gruppo IdP **nell'ID del gruppo di accesso**.

1. Scegliere **Add authorization rule (Aggiungi regola di autorizzazione)**.

**Per aggiungere una regola di autorizzazione ()AWS CLI**  
Utilizza il comando [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).

L'esempio seguente autorizza tutti gli utenti ad accedere alla `10.1.0.0/16` rete:

```
aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --authorize-all-groups
```

L'esempio seguente autorizza uno specifico gruppo di Active Directory:

```
aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
```

## Gestisci le zone di disponibilità
<a name="cvpn-tgw-manage-azs"></a>

È possibile modificare le zone di disponibilità per un endpoint Client VPN associato a Transit Gateway dopo la creazione.

**Per aggiungere una singola zona di disponibilità ()AWS CLI**  
Utilizzate il comando [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) con il `--availability-zone` parametro.

```
aws ec2 associate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone us-east-1c
```

**Per rimuovere una singola zona di disponibilità ()AWS CLI**  
Innanzitutto, utilizzate il comando [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) per trovare l'ID di associazione per la zona di disponibilità.

```
aws ec2 describe-client-vpn-target-networks \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```

Quindi utilizzate il comando [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) con l'ID dell'associazione.

```
aws ec2 disassociate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
```

## Accesso al Transit Gateway su più account
<a name="cvpn-tgw-cross-account"></a>

È possibile creare un endpoint Client VPN associato a un Transit Gateway di proprietà di un altro AWS account. A tale scopo, il proprietario del Transit Gateway deve condividere il Transit Gateway con il tuo account tramite AWS Resource Access Manager.

Prerequisiti  
+ **Account proprietario di Transit Gateway**: un Transit Gateway esistente e autorizzazioni per creare condivisioni di risorse. AWS Resource Access Manager
+ **Account endpoint Client VPN**: autorizzazioni per creare endpoint Client VPN e accettare AWS Resource Access Manager condivisioni di risorse.

Nell'account endpoint Client VPN, accetta la condivisione delle risorse nella AWS Resource Access Manager console o utilizzando il [accept-resource-share-invitation](https://docs.aws.amazon.com/cli/latest/reference/ram/accept-resource-share-invitation.html)comando. Dopo aver accettato la condivisione, il Transit Gateway viene visualizzato nel menu a discesa Transit Gateway ID quando si crea un endpoint Client VPN.

## Considerazioni e limitazioni
<a name="cvpn-tgw-limitations"></a>

Considera quanto segue quando utilizzi l'integrazione Transit Gateway con Client VPN:
+ **Restrizioni di associazione**
  + Non è possibile combinare associazioni di sottoreti VPC e associazioni Transit Gateway in un singolo endpoint.
  + Ogni endpoint deve utilizzare esclusivamente un tipo di associazione.
+ **Gruppi di sicurezza**
  + L'autorizzazione basata su gruppi di sicurezza non è supportata per gli endpoint Transit Gateway.
  + Utilizza solo regole di autorizzazione basate sulla rete.
+ **Gestione degli itinerari**
  + La propagazione automatica delle rotte da Transit Gateway non è supportata.
  + È necessario definire manualmente i percorsi per le reti di destinazione.
+ **Sovrapposizione CIDR**
  + Il blocco CIDR Client VPN non deve sovrapporsi ad altri allegati Transit Gateway o blocchi CIDR Transit Gateway.
  + Transit Gateway non supporta intervalli CIDR sovrapposti tra quelli collegati. VPCs
+ **Limitazione regionale**
  + L'endpoint Client VPN e il Transit Gateway devono trovarsi nella stessa AWS regione.
  + Il peering transregionale Transit Gateway non è supportato per Client VPN.
+ **Zone di disponibilità**
  + È possibile specificare fino a 5 zone di disponibilità per endpoint.
  + Se non specificato, assegna AWS automaticamente 2 zone di disponibilità.
  + Tutte le zone di disponibilità specificate devono essere supportate sia da Client VPN che da Transit Gateway.
+ **Routing di ritorno**
  + VPCs connesso al Transit Gateway deve avere percorsi di ritorno configurati per reindirizzare il traffico destinato al Client VPN CIDR verso il Transit Gateway.
  + Senza un corretto routing di ritorno, i client VPN non possono accedere alle risorse di. VPCs
    + **Per IPv4**: Il CIDR Client VPN è noto al momento della creazione dell'endpoint.
    + **Per IPv6**: È necessario descrivere la tabella di routing Transit Gateway per determinare l'intervallo IPv6 CIDR assegnato all'endpoint Client VPN (l'intervallo CIDR più ampio nella tabella di routing del Transit Gateway associato all'endpoint Client VPN), poiché gli intervalli CIDR IPv6 client vengono assegnati automaticamente da. AWS Client VPN
+ **Registri di connessione e flusso**
  + [I log di flusso Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) possono essere abilitati per acquisire informazioni sul traffico IP in entrata e in uscita dai Transit Gateway. [I log di connessione Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html) possono essere abilitati per acquisire informazioni sugli eventi di connessione Client VPN.
  + È possibile correlare un evento del log di flusso Transit Gateway a una connessione Client VPN confrontando l'IP e il timestamp di un client in un evento del log di flusso Transit Gateway con lo stesso IP client e lo stesso periodo di tempo nei log di connessione Client VPN.
+ **Connettività Internet**
  + Per accedere a Internet tramite Client VPN with Transit Gateway, senza split tunnel, un VPC collegato deve avere un NAT configurato.
    + **Per IPv4**: configurare un gateway NAT per sostituire il client Client VPN IPs con un indirizzo IP pubblico.
    + **Per IPv6**: vedi Traffico [Internet centralizzato in uscita](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html#centralized-internet-outbound-traffic-with-ipv6) con. IPv6