Crie um endpoint do AWS Client VPN - AWS Client VPN

Crie um endpoint do AWS Client VPN

Crie um endpoint do AWS Client VPN para permitir que seus clientes estabeleçam uma sessão de VPN usando o console da Amazon VPC ou a AWS CLI. O Client VPN permite todas as combinações de tipo de endpoint (túnel dividido e túnel completo) com tipo de tráfego (IPv4, IPv6 e de pilha dupla) durante a criação inicial.

Antes de criar um endpoint, familiarize-se com os requisitos. Para obter mais informações, consulte Requisitos para criar endpoints da Client VPN.

Com criar um endpoint do Client VPN usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN. e escolha Criar endpoint da cliente VPN.

  3. (Opcional) Forneça uma etiqueta de nome e uma descrição para o endpoint da VPN do cliente.

  4. Em Tipo de endereço IP do endpoint, escolha o tipo de endereço IP do endpoint.

    • IPv4: o endpoint usa endereços IPv4 para o tráfego do túnel VPN externo.

    • IPv6: o endpoint usa endereços IPv6 para o tráfego do túnel VPN externo.

    • Pilha dupla: o endpoint usa endereços IPv4 e IPv6 para o tráfego do túnel VPN externo.

  5. Em Tipo de endereço IP do tráfego, escolha o tipo de endereço IP do tráfego que flui pelo endpoint.

    • IPv4: o endpoint só permite tráfego IPv4.

    • IPv6: o endpoint só permite tráfego IPv6.

    • Pilha dupla: o endpoint permite tráfego IPv4 e IPv6.

  6. Em CIDR IPv4 do cliente, especifique um intervalo de endereço IP, em notação CIDR, para atribuir endereços IP do cliente. Por exemplo, 10.0.0.0/22. Isso é necessário se você selecionou IPv4 ou pilha dupla para o tipo de endereço IP do tráfego.

    nota

    • O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de endereços da VPC nem a nenhuma das rotas que serão associadas ao endpoint da VPN do cliente. O intervalo de endereços do cliente deve ser de, no mínimo, /22 e não maior que o tamanho do bloco CIDR /12. Não é possível alterar o intervalo de endereços do cliente depois de criar o endpoint da VPN do cliente.

    • Quando você seleciona IPv6 como o tipo de endereço IP do endpoint, o campo “CIDR IPv4 do cliente” é desabilitado. O endpoint do Client VPN aloca endereços IPv6 do cliente de uma sub-rede associada, e você pode associar a sub-rede depois de criar o endpoint.

    nota

    Para tráfego IPv6, não é necessário especificar um intervalo CIDR de cliente. A Amazon atribui automaticamente intervalos CIDR IPv6 aos clientes.

  7. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.

    nota

    O certificado de servidor deve estar presente no AWS Certificate Manager (ACM) na região em que o endpoint do cliente VPN está sendo criado. O certificado pode ser provisionado com o ACM ou importado para o ACM.

    Se quiser ver as etapas para provisionar ou importar um certificado para o ACM, consulte Certificados do AWS Certificate Manager no Guia de usuário do AWS Certificate Manager.

  8. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Você deve selecionar um método de autenticação.

    • Para utilizar a autenticação baseada no usuário, selecione Utilizar autenticação baseada no usuário e, depois, escolha uma das seguintes opções:

      • Autenticação do Active Directory: escolha esta opção para autenticação do Active Directory. Em ID do diretório, especifique o ID do Active Directory a ser usado.

      • Autenticação federada: escolha esta opção para autenticação federada baseada em SAML.

        Em ARN do provedor SAML, especifique o ARN do provedor de identidade SAML do IAM.

        (Opcional) Em ARN do provedor SAML de autoatendimento, especifique o ARN do provedor de identidade SAML do IAM que você criou para oferecer compatibilidade com o portal de autoatendimento, se aplicável.

    • Para usar a autenticação de certificado mútua, selecione Use mutual authentication (Usar autenticação mútua) e, em Client certificate ARN (ARN do certificado de cliente), especifique o ARN do certificado de cliente provisionado no AWS Certificate Manager (ACM).

      nota

      Se os certificados de servidor e cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor para ambos, servidor e cliente. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação diferente, o ARN do certificado do cliente deverá ser especificado.

  9. (Opcional) Em Connection logging (Log de conexão), especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Ative Enable log details on client connections (Habilitar detalhes de log nas conexões de cliente). Em Nome do grupo de logs do CloudWatch Logs, insira o nome do grupo de logs a ser usado. Em Nome do stream de logs do CloudWatch Logs, insira o nome do stream de logs a ser usado ou deixe essa opção em branco para que possamos criar um stream de logs para você.

  10. (Opcional) Em Client Connect Handler (Manipulador de conexão do cliente), ative Enable client connect handler (Habilitar o manipulador de conexão do cliente) para executar o código personalizado que permite ou nega uma nova conexão com o endpoint da VPN do cliente. Em Client Connect Handler ARN (ARN do manipulador de conexão do cliente), especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.

  11. (Opcional) Especifique quais servidores DNS devem ser usados para a resolução de DNS. Para usar servidores de DNS personalizados, em Endereço IP do servidor de DNS 1 e Endereço IP do servidor de DNS 2, especifique os endereços IPv4 dos servidores de DNS a serem usados. Para endpoints IPv6 ou de pilha dupla, também é possível especificar endereços de Servidor de DNS IPv6 1 e Servidor de DNS IPv6 2. Para usar o servidor DNS da VPC, em DNS Server 1 IP address (Endereço IP do servidor DNS 1) ou DNS Server 2 IP address (Endereço IP do servidor DNS 2), especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.

    nota

    Verifique se os servidores DNS possam ser acessados pelos clientes.

  12. (Opcional) Por padrão, o servidor da VPN do cliente usa o protocolo de transporte UDP. Para usar o protocolo de transporte TCP, em Transport Protocol (Protocolo de transporte), selecione TCP.

    nota

    Em geral, o UDP oferece melhor performance que o TCP. Não é possível alterar o protocolo de transporte depois de criar o endpoint da Client VPN.

  13. (Opcional) Para que o endpoint seja um endpoint de VPN do cliente de túnel dividido, ative Enable split-tunnel (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint da Client VPN está desabilitado.

  14. (Opcional) Em VPC ID (ID da VPC), selecione a VPC a ser associada ao endpoint da Client VPN. Em Security Group IDs (IDs de grupo de segurança), selecione um ou mais grupos de segurança da VPC a serem aplicados ao endpoint da Client VPN.

  15. (Opcional) Em VPN port (Porta VPN), selecione o número da porta VPN. O padrão é 443.

  16. (Opcional) Para gerar um URL do portal de autoatendimento para clientes, ative Enable self-service portal (Habilitar portal de autoatendimento).

  17. (Opcional) Em Session timeout hours (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.

  18. (Opcional) Em Desconectar-se no tempo limite da sessão, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente.

  19. (Opcional) Especifique se deseja habilitar o texto do banner de login do cliente. Ative Enable client login banner (Habilitar o banner de login do cliente). Em Client login banner text (Texto do banner de login do cliente), insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.

  20. Selecione Create Client VPN endpoint (Criar endpoint da VPN do cliente).

Depois de criar o endpoint da Client VPN, faça o seguinte para concluir a configuração e permitir que os clientes se conectem:

  • O estado inicial do endpoint da Client VPN é pending-associate. Os clientes poderão se conectar ao endpoint da Client VPN somente depois que você associar a primeira rede de destino.

  • Crie uma regra de autorização para especificar quais clientes têm acesso à rede.

  • Baixe e prepare o arquivo de configuração do endpoint da Client VPN para distribuir aos seus clientes.

  • Instrua seus clientes a usar o cliente fornecido pela AWS ou outra aplicação de cliente baseada em OpenVPN para conectar-se ao endpoint do cliente VPN. Para obter mais informações, consulte o Guia do usuário do AWS Client VPN.

Como criar um endpoint do Client VPN usando a AWS CLI

Use o comando create-client-vpn-endpoint.

Exemplo de criação de um endpoint IPv4:

aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Exemplo de criação de um endpoint IPv6:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Exemplo de criação de endpoint de pilha dupla:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false