View a markdown version of this page

Integração do Transit Gateway com o Client VPN - AWS Client VPN
Visão geral doBenefíciosComo funciona a integração do Transit GatewayPré-requisitosCrie um endpoint VPN do Transit Gateway ClientGerenciar rotasConfigurar autorizaçãoGerenciar zonas de disponibilidadeAcesso entre contas ao Transit GatewayConsiderações e limitações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integração do Transit Gateway com o Client VPN

Você pode conectar um endpoint Client VPN nativamente a um Transit Gateway para obter acesso remoto seguro a várias VPCs redes locais e outros recursos conectados ao Transit Gateway. Isso elimina a necessidade de criar endpoints de VPN separados para cada VPC ou gerenciar roteamento complexo por meio de intermediários. VPCs

Visão geral do

Quando você associa um Transit Gateway a um endpoint Client VPN, os clientes VPN conectados podem acessar todos os recursos conectados ao Transit Gateway se as rotas e regras de autorização apropriadas estiverem configuradas no endpoint Client VPN.

Os endpoints associados ao Transit Gateway preservam o endereço IP de origem do cliente. A tradução do endereço de rede de origem (SNAT) não é aplicada, o que fornece maior visibilidade do tráfego do cliente.

Importante

Você não pode misturar associações de sub-rede VPC e associações de Transit Gateway em um único endpoint Client VPN. Escolha um tipo de associação ao criar o endpoint.

Benefícios

A integração do Transit Gateway com o Client VPN oferece os seguintes benefícios:

  • Gerenciamento simplificado — elimine a necessidade de endpoints de VPN separados por VPC. Não é necessário criar um intermediário VPCs apenas para a terminação da VPN.

  • Roteamento centralizado — Aproveite o Transit Gateway como um hub de roteamento central. Simplifique o gerenciamento de rotas em toda a sua rede.

  • Visibilidade aprimorada — Preserve os endereços IP de origem do cliente (sem SNAT). Fornece suporte a registros de fluxo para Client VPN.

  • Escalabilidade — Adicione facilmente novidades VPCs ao seu Transit Gateway, que pode ser acessado por meio do Client VPN. Dimensione para oferecer suporte a grandes forças de trabalho remotas e unidades de negócios.

  • Segurança centralizada — implemente políticas de segurança consistentes em todas as redes conectadas. Mantenha trilhas de auditoria abrangentes.

Como funciona a integração do Transit Gateway

A seguir, descrevemos como o Client VPN funciona com o Transit Gateway:

  1. Criação de endpoint — Você cria um endpoint Client VPN e especifica o ID do Transit Gateway.

  2. Criação de anexo — cria AWS automaticamente um anexo do tipo Transit Gateway client-vpn para o endpoint.

  3. Seleção da zona de disponibilidade — Você especifica quais zonas de disponibilidade usar ou AWS seleciona duas zonas de disponibilidade automaticamente.

  4. Configuração da rota — Você adiciona rotas à tabela de rotas do endpoint do Client VPN para direcionar o tráfego do cliente para as redes de destino por meio do Transit Gateway.

  5. Fluxo de conexão do cliente — Quando um cliente se conecta, o tráfego flui do cliente pelo endpoint do Client VPN para o Transit Gateway e, em seguida, para a rede de destino com base nas tabelas de rotas do Transit Gateway.

Fluxo de tráfego do Transit Gateway com Client VPN

Pré-requisitos

Antes de criar um endpoint Client VPN associado ao Transit Gateway, verifique os seguintes requisitos.

Requisitos do Transit Gateway

  • Um Transit Gateway existente na mesma região do endpoint do Client VPN.

  • Para acesso entre contas, o Transit Gateway deve ser compartilhado com sua conta por meio AWS Resource Access Manager de.

  • O Transit Gateway deve ter um bloco IPv4 CIDR atribuído. Se você planeja usar nossa configuração IPv6 de pilha dupla, atribua também um IPv6 bloco CIDR.

Requisitos de rede

  • O intervalo CIDR do cliente não deve se sobrepor aos intervalos CIDR VPCs anexados ao Transit Gateway.

  • As zonas de disponibilidade selecionadas devem ser suportadas pelo Transit Gateway.

  • As rotas de retorno devem ser configuradas nas tabelas de rotas da VPC para direcionar o tráfego destinado ao intervalo CIDR do cliente para o Transit Gateway.

Requisitos de certificado

  • Um certificado de servidor provisionado em AWS Certificate Manager (ACM) na mesma região do endpoint do Client VPN.

  • Se você usa autenticação mútua, um certificado de cliente provisionado no ACM.

Crie um endpoint VPN do Transit Gateway Client

Você pode criar um endpoint Client VPN associado a um Transit Gateway usando o console ou o. AWS CLI

Para criar um endpoint VPN do Transit Gateway Client (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN. e escolha Criar endpoint da cliente VPN.

  3. (Opcional) Em Tag de nome e Descrição, insira um nome e uma descrição para o endpoint.

  4. Para o tipo de endereço IP de tráfego, escolha uma das seguintes opções:

    • IPv4— Especifique um intervalo IPv4 CIDR do cliente (por exemplo,10.0.0.0/22).

    • IPv6— atribui AWS automaticamente o intervalo IPv6 CIDR do cliente.

    • Pilha dupla — especifique um intervalo IPv4 CIDR do cliente. AWS atribui automaticamente o intervalo IPv6 CIDR do cliente.

  5. Para o certificado de servidor ARN, especifique o ARN para o certificado TLS provisionado no ACM.

  6. Escolha seu método de autenticação. Para obter mais informações, consulte Autenticação do cliente em AWS Client VPN.

  7. (Opcional) Para Registro de conexão, ative Ativar detalhes do registro nas conexões do cliente e especifique o grupo de CloudWatch registros e o fluxo de registros.

  8. Para Infraestrutura de rede, escolha Transit Gateway.

  9. Para Transit Gateway ID, selecione o Transit Gateway na lista suspensa.

  10. (Opcional) Para zonas de disponibilidade, selecione até 5 zonas de disponibilidade. Se você não selecionar Zonas de disponibilidade, seleciona AWS automaticamente 2.

  11. (Opcional) Defina configurações adicionais, como servidores DNS, protocolo de transporte, túnel dividido, porta VPN, tempo limite da sessão e banner de login.

  12. Selecione Create Client VPN endpoint (Criar endpoint da VPN do cliente).

nota

Após a criação, o estado do endpoint épending-associate. O anexo do Transit Gateway é criado automaticamente. Os clientes podem se conectar depois que o anexo estiver disponível.

Para criar um endpoint VPN do Transit Gateway Client ()AWS CLI

Use o comando create-client-vpn-endpoint com o parâmetro --transit-gateway-id.

O exemplo a seguir cria um endpoint Client VPN com zonas de disponibilidade específicas:

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone-list us-east-1a us-east-1b us-east-1c

Resultado do exemplo:

{
    "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
    "Status": {
        "Code": "pending-associate"
    },
    "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}

Para permitir a seleção AWS automática de duas zonas de disponibilidade, omita o --availability-zone-list parâmetro:

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE

Verifique o anexo do Transit Gateway

Depois de criar o endpoint, verifique se o anexo do Transit Gateway foi criado.

Para verificar o anexo do Transit Gateway (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Anexos do gateway de trânsito.

  3. Localize o anexo com Resource type = client-vpn e Resource ID que correspondam ao ID do endpoint do Client VPN.

  4. Verifique se o estado éavailable.

Para verificar o anexo do Transit Gateway (AWS CLI)

Use o comando describe-transit-gateway-attachments.

aws ec2 describe-transit-gateway-attachments \
    --filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn

Para visualizar a configuração do Transit Gateway para o endpoint, use o describe-client-vpn-endpointscomando:

aws ec2 describe-client-vpn-endpoints \
    --client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

A saída inclui um TransitGatewayConfiguration objeto com o ID do Transit Gateway e as zonas de disponibilidade associadas.

Gerenciar rotas

Importante

Para endpoints associados ao Transit Gateway, você não especifica uma ID de sub-rede de destino ao criar rotas. O tráfego é direcionado automaticamente por meio do anexo do Transit Gateway.

Para adicionar uma rota (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN, escolha Tabela de rotas e, em seguida, escolha Criar rota.

  4. Em Destino da rota, insira o intervalo CIDR de destino (por exemplo, 10.1.0.0/16 para uma VPC 0.0.0.0/0 ou para todo o tráfego).

  5. (Opcional) Em Descrição, insira uma descrição para a rota.

  6. Escolha Create route (Criar rota).

Para adicionar uma rota (AWS CLI)

Use o create-client-vpn-routecomando sem o --target-vpc-subnet-id parâmetro.

aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

Para adicionar várias rotas, execute o comando para cada intervalo CIDR de destino:

# Route to VPC 1
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

# Route to VPC 2
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.2.0.0/16

# Route to on-premises network
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 192.168.0.0/16
Para excluir uma rota (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN, escolha Tabela de rotas, selecione a rota e, em seguida, escolha Excluir rota.

  4. Escolha Excluir rota para confirmar.

Para excluir uma rota (AWS CLI)

Use o comando delete-client-vpn-route.

aws ec2 delete-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

Configurar autorização

Importante

A autorização baseada em grupo de segurança não é suportada para endpoints Client VPN associados ao Transit Gateway. Você deve usar regras de autorização baseadas em rede para controlar o acesso do cliente.

Para adicionar uma regra de autorização (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN, escolha Regras de autorização e, em seguida, escolha Adicionar regra de autorização.

  4. Para que a Rede de destino habilite o acesso, insira o intervalo CIDR de destino (por exemplo,10.1.0.0/16).

  5. Para Conceder acesso a, escolha uma das seguintes opções:

    • Permitir acesso a todos os usuários — Todos os clientes autenticados podem acessar a rede de destino.

    • Permitir acesso a usuários em um grupo de acesso específico — Insira o SID do grupo do Active Directory ou o nome do grupo IdP em ID do grupo de acesso.

  6. Escolha Adicionar regra de autorização.

Para adicionar uma regra de autorização (AWS CLI)

Use o comando authorize-client-vpn-ingress.

O exemplo a seguir autoriza todos os usuários a acessar a 10.1.0.0/16 rede:

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --authorize-all-groups

O exemplo a seguir autoriza um grupo específico do Active Directory:

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Gerenciar zonas de disponibilidade

Você pode modificar as zonas de disponibilidade de um endpoint Client VPN associado ao Transit Gateway após a criação.

Para adicionar uma única zona de disponibilidade (AWS CLI)

Use o comando associate-client-vpn-target-network com o --availability-zone parâmetro.

aws ec2 associate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone us-east-1c
Para remover uma única zona de disponibilidade (AWS CLI)

Primeiro, use o comando describe-client-vpn-target-networks para encontrar o ID de associação para a Zona de Disponibilidade.

aws ec2 describe-client-vpn-target-networks \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

Em seguida, use o comando disassociate-client-vpn-target-network com o ID da associação.

aws ec2 disassociate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE

Acesso entre contas ao Transit Gateway

Você pode criar um endpoint Client VPN associado a um Transit Gateway de propriedade de uma AWS conta diferente. Para fazer isso, o proprietário do Transit Gateway deve compartilhar o Transit Gateway com sua conta por meio de AWS Resource Access Manager.

Pré-requisitos

  • Conta do proprietário do Transit Gateway — Um Transit Gateway existente e permissões para criar compartilhamentos de recursos no AWS Resource Access Manager.

  • Conta de endpoint Client VPN — Permissões para criar endpoints Client VPN e aceitar compartilhamentos de AWS Resource Access Manager recursos.

Na conta do endpoint do Client VPN, aceite o compartilhamento de recursos no AWS Resource Access Manager console ou usando o accept-resource-share-invitationcomando. Depois de aceitar o compartilhamento, o Transit Gateway aparece no menu suspenso ID do Transit Gateway quando você cria um endpoint Client VPN.

Considerações e limitações

Considere o seguinte ao usar a integração do Transit Gateway com o Client VPN:

  • Restrições de associação

    • Você não pode misturar associações de sub-rede VPC e associações do Transit Gateway em um único endpoint.

    • Cada endpoint deve usar exclusivamente um tipo de associação.

  • Grupos de segurança

    • A autorização baseada em grupo de segurança não é suportada para endpoints do Transit Gateway.

    • Use somente regras de autorização baseadas em rede.

  • Gerenciamento de rotas

    • A propagação automática de rotas do Transit Gateway não é suportada.

    • Você deve definir manualmente as rotas para as redes de destino.

  • Sobreposição de CIDR

    • O bloco CIDR do Client VPN não deve se sobrepor a outros anexos do Transit Gateway ou blocos CIDR do Transit Gateway.

    • O Transit Gateway não oferece suporte à sobreposição de intervalos CIDR em todos os anexos. VPCs

  • Limitação regional

    • O endpoint do Client VPN e o Transit Gateway devem estar na mesma AWS região.

    • O emparelhamento entre regiões do Transit Gateway não é suportado pelo Client VPN.

  • Zonas de disponibilidade

    • Você pode especificar até 5 zonas de disponibilidade por endpoint.

    • Se não for especificado, atribui AWS automaticamente duas zonas de disponibilidade.

    • Todas as zonas de disponibilidade especificadas devem ser suportadas pelo Client VPN e pelo Transit Gateway.

  • Roteamento de retorno

    • VPCs conectados ao Transit Gateway devem ter rotas de retorno configuradas para rotear o tráfego destinado ao Client VPN CIDR de volta ao Transit Gateway.

    • Sem o roteamento de retorno adequado, os clientes VPN não podem acessar recursos no VPCs.

      • Para IPv4: O CIDR do Client VPN é conhecido no momento da criação do endpoint.

      • Para IPv6: Você deve descrever a tabela de rotas do Transit Gateway para determinar o intervalo IPv6 CIDR atribuído ao endpoint do Client VPN (o maior intervalo CIDR na tabela de rotas do Transit Gateway associado ao endpoint do Client VPN), pois os intervalos do CIDR IPv6 do cliente são atribuídos automaticamente por. AWS Client VPN

  • Registros de conexão e fluxo

    • Os registros de fluxo do Transit Gateway podem ser habilitados para capturar informações sobre o tráfego IP que entra e sai de seus Transit Gateways. Os registros de conexão do Client VPN podem ser habilitados para capturar informações sobre eventos de conexão do Client VPN.

    • Você pode correlacionar um evento de log de fluxo do Transit Gateway a uma conexão VPN do Cliente comparando o IP e o carimbo de data/hora do cliente em um evento de log de fluxo do Transit Gateway com o mesmo IP e período de tempo do cliente nos registros de conexão do Client VPN.

  • Conectividade com a Internet

    • Para acessar a Internet por meio do Client VPN com Transit Gateway, sem túnel dividido, uma VPC conectada deve ter o NAT configurado.