As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhe com de AWS Client VPN
Os tópicos a seguir explicam as principais tarefas administrativas necessárias para trabalhar com a Client VPN:
+ **Acesse o portal de autoatendimento**: configure o acesso ao portal de autoatendimento da Client VPN para que os próprios clientes possam baixar o arquivo de configuração do endpoint da Client VPN. Para obter informações sobre como acessar o portal de autoatendimento, consulte [Acesso ao portal de autoatendimento do AWS Client VPN](cvpn-self-service-portal.md).
+ **Regras de autorização**: adicione regras de autorização para controlar o acesso do cliente às redes especificadas. Para obter informações sobre como adicionar regras de autorização, consulte [AWS Client VPN regras de autorização](cvpn-working-rules.md).
+ **Listas de revogação de certificados de cliente**: use listas de revogação de certificados de cliente para revogar o acesso a um endpoint da Client VPN. Para obter informações sobre listas de revogação de certificados de cliente, consulte [AWS Client VPN listas de revogação de certificados de clientes](cvpn-working-certificates.md).
+ **Conexões do cliente**: visualize ou encerre uma conexão do cliente com um endpoint da Client VPN. Para obter informações sobre como visualizar ou encerrar uma conexão de cliente, consulte [Conexões de cliente do AWS Client VPN](cvpn-working-connections.md).
+ **Banner de login do cliente**: adicione um banner de texto em uma aplicação de desktop da Client VPN. É possível utilizar do banner de texto de modo a atender às suas necessidades regulamentares e de conformidade. Para obter informações sobre banners de login, consulte [banners de login do cliente do AWS Client VPN](cvpn-working-login-banner.md).
+ **Aplicação de rotas do cliente**: impõe rotas definidas pelo administrador a dispositivos conectados por meio da VPN. Para ter mais informações sobre a aplicação de rotas do cliente, consulte [AWS Client VPN Aplicação da rota do cliente](cvpn-working-cre.md).
+ **Endpoints da Client VPN**: configure os endpoints da Client VPN para gerenciar e controlar todas as sessões VPN. Para obter informações sobre como configurar endpoints, consulte [AWS Client VPN endpoints](cvpn-working-endpoints.md).
+ **Logs de conexão**: habilite o log de conexão para endpoints da Client VPN novos ou existentes para começar a capturar logs de conexão. Para obter informações sobre o log de conexão, consulte [Logs de conexão do AWS Client VPN](cvpn-working-with-connection-logs.md).
+ **Exportação do arquivo de configuração do cliente**: configure o arquivo de configuração do cliente que os clientes da Client VPN precisam para estabelecer conexões VPN. Depois de configurar o arquivo, baixe-o (exporte-o) para distribui-lo aos clientes. Para obter mais informações sobre como exportar um arquivo de configuração do cliente, consulte [AWS Client VPN exportação do arquivo de configuração do endpoint](cvpn-working-endpoint-export.md).
+ **Rotas**: configure regras de autorização para cada rota da Client VPN para especificar quais clientes têm acesso à rede de destino. Para obter informações sobre como configurar regras de autorização, consulte [AWS Client VPN regras de autorização](cvpn-working-rules.md).
+ **Redes de destino**: associe as redes de destino a um endpoint da Client VPN para permitir que os clientes se conectar a ele e estabeleçam uma conexão VPN. Para obter informações sobre redes de destino, consulte [Redes de destino do AWS Client VPN](cvpn-working-target.md).
+ **Duração máxima da sessão VPN**: defina opções para a duração máxima da sessão VPN de modo a atender aos requisitos de segurança e conformidade. Para obter informações sobre a duração máxima da sessão VPN, consulte [AWS Client VPN tempo limite máximo de duração da sessão de VPN](cvpn-working-max-duration.md).
# Acesso ao portal de autoatendimento do AWS Client VPN
Se você ativou o portal de autoatendimento para o endpoint da Client VPN, é possível fornecer um URL do portal de autoatendimento para seus clientes. Os clientes podem acessar o portal no navegador da Web e usar as credenciais baseadas em usuário para fazer login. No portal, os clientes podem baixar o arquivo de configuração de endpoint do cliente VPN e a versão mais recente do cliente fornecido pela AWS.
As seguintes regras se aplicam:
+ O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.
+ O arquivo de configuração disponível no portal de autoatendimento é o mesmo que você exportou usando o console da Amazon VPC ou a CLI AWS CLI. Caso seja necessário personalizar o arquivo de configuração antes de distribuí-lo aos clientes, essa distribuição deverá ser feita por você.
+ É necessário habilitar a opção do portal de autoatendimento para o endpoint da Client VPN ou os clientes não conseguirão acessar o portal. Se esta opção não estiver ativada, você poderá modificar o endpoint da Client VPN para ativá-lo.
Depois de habilitar a opção do portal de autoatendimento, forneça um dos seguintes URLs aos clientes:
+ `https://self-service.clientvpn.amazonaws.com/`
Se os clientes acessarem o portal usando esse URL, será necessário inserir o ID do endpoint da Client VPN antes que eles possam fazer login.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/`
Substitua ** no URL anterior pelo ID do endpoint da Client VPN, por exemplo, `cvpn-endpoint-0123456abcd123456`.
Também é possível visualizar o URL do portal de autoatendimento na saída do comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) da AWS CLI. Como alternativa, o URL está disponível na guia **Details** (Detalhes) na página **Client VPN Endpoints** (Endpoints da VPN do cliente) no console da Amazon VPC.
Para obter mais informações sobre como configurar o portal de autoatendimento para uso com a autenticação federada, consulte [Suporte para o portal de autoatendimento](federated-authentication.md#saml-self-service-support).
# AWS Client VPN regras de autorização
Regras de autorização atuam como regras de firewall que concedem acesso a redes. Adicionando regras de autorização, você concede acesso à rede especificada a clientes específicos. Você deve ter uma regra de autorização para cada rede à qual deseja conceder acesso. É possível adicionar regras de autorização a um endpoint da Client VPN usando o console e a AWS CLI.
**nota**
O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte o tópico sobre solução de problemas [Solução de problemas AWS Client VPN: as regras de autorização para grupos do Active Directory não funcionam conforme o esperado](ad-group-auth-rules.md) e [Prioridade de rota](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) no *Guia do usuário do Amazon VPC* para obter mais detalhes.
## Pontos-chave para entender as regras de autorização
Os seguintes pontos explicam alguns dos comportamentos das regras de autorização:
+ Para permitir o acesso a uma rede de destino, é necessário adicionar explicitamente uma regra de autorização. O comportamento padrão é negar acesso.
+ Você não pode adicionar uma regra de autorização para *restringir* acesso a uma rede de destino.
+ O CIDR `0.0.0.0/0` é tratado como um caso especial. Ele é processado por último, independentemente da ordem na qual as regras de autorização foram criadas.
+ O CIDR `0.0.0.0/0` pode ser considerado como “qualquer destino” ou “qualquer destino não definido por outras regras de autorização”.
+ A correspondência de prefixo mais longo é a regra que tem precedência.
**Topics**
+ [Principais pontos](#key-points-summary)
+ [Cenários de exemplo](#auth-rule-example-scenarios)
+ [Adicionar uma regra de autorização](cvpn-working-rule-authorize-add.md)
+ [Remover uma regra de autorização](cvpn-working-rule-remove.md)
+ [Visualizar regras de autorização](cvpn-working-rule-view.md)
## Cenários de exemplo para regras de autorização da Client VPN
Esta seção descreve como as regras de autorização funcionam para AWS Client VPN. Ela inclui pontos-chave para entender as regras de autorização, um exemplo de arquitetura e uma discussão sobre cenários que correspondem à arquitetura de exemplo.
**Cenários**
+ [Exemplo de arquitetura para cenários de regras de autorização](#example-arch-auth-rules)
+ [Acesso a um único destino](#auth-rules1)
+ [Use qualquer CIDR de destino (0.0.0.0/0)](#auth-rules2)
+ [Correspondência de prefixo de IP mais longo](#auth-rules3)
+ [Sobrepor CIDR (mesmo grupo)](#auth-rules4)
+ [Regra 0.0.0.0/0 adicional](#auth-rules5)
+ [Adicionar regra para 192.168.0.0/24](#auth-rules6)
+ [Autenticação federada do SAML](#auth-rules7)
+ [Acesso para todos os grupos de usuários](#auth-rules8)
### Exemplo de arquitetura para cenários de regras de autorização
O diagrama a seguir mostra a arquitetura de exemplo usada para os cenários encontrados nesta seção.
![\[Exemplo de arquitetura da Client VPN\]](http://docs.aws.amazon.com/pt_br/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### Acesso a um único destino
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ O grupo de engenharia somente pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento somente pode acessar `10.0.0.0/16`.
+ O grupo de gerentes somente pode acessar `192.168.0.0/24`.
+ Qualquer outro tráfego é descartado pelo endpoint da VPN cliente.
**nota**
Nesse cenário, nenhum grupo de usuários tem acesso à Internet pública.
### Use qualquer CIDR de destino (0.0.0.0/0)
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de engenharia somente pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento só pode acessar `10.0.0.0/16`.
+ O grupo de gerentes pode acessar a Internet pública *e* `192.168.0.0/24`, mas não pode acessar `172.16.0.0/24` nem `10.0.0/16`.
**nota**
Nesse cenário, como nenhuma regra está se referindo a `192.168.0.0/24`, o acesso a essa rede também é fornecido pela regra `0.0.0.0/0`.
Uma regra com `0.0.0.0/0` é sempre avaliada por último, independentemente da ordem em que as regras foram criadas. Por esse motivo, lembre-se de que as regras avaliadas antes de `0.0.0.0/0` desempenham um papel na determinação das redes às quais `0.0.0.0/0` concede acesso.
### Correspondência de prefixo de IP mais longo
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
**Comportamento resultante**
+ O grupo de engenharia só pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na VPC de desenvolvimento, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na VPC de desenvolvimento.
**nota**
Aqui, você vê como uma regra com um prefixo de IP mais longo tem precedência sobre uma regra com um prefixo de IP mais curto. Se você quiser que o grupo de desenvolvimento tenha acesso a `10.0.2.119/32`, é necessário adicionar mais uma regra que conceda à equipe de desenvolvimento acesso a `10.0.2.119/32`.
### Sobrepor CIDR (mesmo grupo)
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede menor na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia tem acesso a `172.16.0.0/24`, inclusive à sub-rede mais específica `172.16.0.128/25`.
### Regra 0.0.0.0/0 adicional
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede menor na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a qualquer destino | S-xxxxx14 | Falso | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `192.168.0.0/24` e `172.16.0.0/24`, inclusive a sub-rede mais específica `172.16.0.128/25`.
**nota**
Observe que os grupos de engenharia e de gerentes agora podem acessar `192.168.0.0/24`. Isso ocorre porque os dois grupos têm acesso a `0.0.0.0/0` (qualquer destino) *e* nenhuma outra regra está fazendo referência a `192.168.0.0/24`.
### Adicionar regra para 192.168.0.0/24
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a qualquer destino | S-xxxxx14 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `172.16.0.0/24` e `172.16.0.128/25`.
**nota**
Observe que a adição da regra para o grupo de gerentes acessar`192.168.0.0/24` faz com que o grupo de desenvolvimento não tenha mais acesso a essa rede de destino.
### Autenticação federada do SAML
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | Engenharia | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | Desenvolvedores | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | Gerentes | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ Os usuários autenticados via SAML com o atributo de grupo “Engenharia” podem acessar somente `172.16.0.0/24`.
+ Os usuários autenticados via SAML com o atributo de grupo “Desenvolvedores” podem acessar somente `10.0.0.0/16`.
+ Os usuários autenticados via SAML com o atributo de grupo “Gerentes” podem acessar somente `192.168.0.0/24`.
+ Qualquer outro tráfego é descartado pelo endpoint da VPN cliente.
**nota**
Ao usar a autenticação federada SAML, o campo “ID do grupo” corresponde ao valor do atributo SAML que identifica a associação do usuário ao grupo. Esse atributo é configurado no seu provedor de identidades SAML e transmitido ao Client VPN durante a autenticação.
### Acesso para todos os grupos de usuários
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a todas as redes | S-xxxxx14 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
| Fornecer acesso a todos os grupos | N/D | Verdadeiro | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `172.16.0.0/24` e `172.16.0.128/25`.
+ Qualquer outro grupo de usuários, por exemplo, “grupo de administradores”, pode acessar a Internet pública, mas nenhuma outra rede de destino definida nas outras regras.
# Adicionar uma regra de autorização a um AWS Client VPN endpoint
É possível adicionar uma regra de autorização para conceder ou restringir o acesso a um endpoint da Client VPN usando o Console de gerenciamento da AWS. Uma regra de autorização pode ser adicionada a um endpoint da Client VPN usando o console da Amazon VPC ou a linha de comando ou a API.
**Para adicionar uma regra de autorização a um endpoint do Client VPN usando Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente ao qual a regra de autorização deve ser adicionada, escolha **Authorization rules** (Regras de autorização) e **Add authorization rule** (Adicionar regra de autorização).
1. Em **Destination network to enable access** (Rede de destino para habilitar o acesso), insira o endereço IP, em notação CIDR, da rede que você deseja que os usuários acessem (por exemplo, o bloco CIDR da VPC).
1. Especifique quais clientes têm permissão para acessar a rede especificada. Em **For grant access to (Para conceder acesso a)**, siga um destes procedimentos:
+ Para conceder acesso a todos os clientes, escolha **Allow access to all users (Permitir acesso a todos os usuários)**.
+ Para restringir o acesso a clientes específicos, escolha **Permitir acesso a usuários em um grupo de acesso específico** e, em **ID do grupo de acesso**, insira o ID do grupo ao qual conceder acesso. Por exemplo, o identificador de segurança (SID) de um grupo do Active Directory ou o ID/name de um grupo definido em um provedor de identidade (IdP) baseado em SAML.
+ (Active Directory) Para obter o SID, você pode usar o ADGroup cmdlet [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) do Microsoft Powershell, por exemplo:
```
Get-ADGroup -Filter 'Name -eq ""'
```
Como alternativa, abra a ferramenta Usuários e Computadores do Active Directory, visualize as propriedades do grupo, acesse a guia Editor de atributos e obtenha o valor de `objectSID`. Se necessário, primeiro selecione **View (Visualizar)**, **Advanced Features (Recursos avançados)** para habilitar a guia Editor de atributos.
+ (Autenticação federada baseada em SAML) O grupo ID/name deve corresponder às informações de atributos do grupo retornadas na declaração SAML.
1. Em **Descrição**, insira uma breve descrição da regra de autorização.
1. Escolha **Adicionar regra de autorização**.
**Adicionar uma regra de autorização a um endpoint da Client VPN (AWS CLI)**
Use o comando [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
# Remover uma regra de autorização de um AWS Client VPN endpoint
É possível remover regras de autorização de um endpoint específico da Client VPN usando o console e o AWS CLI.
**Para remover regras de autorização (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN ao qual a regra de autorização foi adicionada e escolha **Regras de autorização**.
1. Selecione a regra de autorização a ser excluída, escolha **Remover regra de autorização** e escolha **Remover regra de autorização **novamente para confirmar a exclusão.
**Para remover regras de autorização (AWS CLI)**
Use o comando [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).
# Visualizar regras de autorização do AWS Client VPN
É possível visualizar regras de autorização de um endpoint específico da Client VPN usando o console e a AWS CLI.
**Para visualizar regras de autorização (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente para o qual deseja visualizar regras de autorização e escolha **Authorization rules** (Regras de autorização).
**Para visualizar regras de autorização (AWS CLI)**
Use o comando [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).
# AWS Client VPN listas de revogação de certificados de clientes
As listas de revogação de certificados de cliente da Client VPN são usadas para revogar o acesso a um endpoint da Client VPN para certificados de cliente específicos. Você pode gerar uma lista de revogação ou importar uma lista existente. Também é possível exportar sua lista atual como um arquivo de lista de revogação. A geração de uma lista é realizada usando o software OpenVPN em um Linux/macOS ou no Windows. A importação e a exportação podem ser feitas usando o console Amazon VPC ou usando a CLI. AWS
Para obter mais informações sobre como gerar os certificados e as chaves de servidor e cliente, consulte [Autenticação mútua em AWS Client VPN](mutual.md)
**nota**
Se uma lista de revogação de certificados de cliente tiver expirado, não será possível estabelecer conexão com o endpoint do Client VPN. Você precisará criar outra e importá-la para o endpoint do Client VPN.
É possível adicionar somente um número limitado de entradas a uma lista de revogação de certificados de cliente. Para obter mais informações sobre o número de entradas que você pode adicionar a uma lista de revogação, consulte [Cotas da Client VPN](limits.md#quotas-endpoints).
**Topics**
+ [Gerar uma lista de revogação de certificados de cliente](cvpn-working-certificates-generate.md)
+ [Importar uma lista de revogação de certificados de cliente](cvpn-working-certificates-import.md)
+ [Exportar uma lista de revogação de certificados de cliente](cvpn-working-certificates-export.md)
# Gere uma lista de revogação de certificados de AWS Client VPN clientes
Você pode gerar uma lista de revogação de certificados do Client VPN em um sistema operacional Linux/macOS ou Windows. A lista de revogação é usada para revogar o acesso a um endpoint da Client VPN para certificados específicos. Para obter mais informações sobre listas de revogação de certificados de cliente, consulte [Listas de revogação de certificados de cliente](cvpn-working-certificates.md).
------
#### [ Linux/macOS ]
No procedimento a seguir, gere uma lista de revogação de certificados de cliente usando o utilitário de linha de comando OpenVPN easy-rsa.
**Para gerar uma lista de revogação de certificados de cliente usando o OpenVPN easy-rsa**
1. Faça login no servidor que hospeda a instalação de easyrsa usada para gerar o certificado.
1. Navegue até a pasta `easy-rsa/easyrsa3` no seu repositório local.
```
$ cd easy-rsa/easyrsa3
```
1. Revogar o certificado de cliente e gerar a lista de revogação de cliente.
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
Digite `yes` quando solicitado.
------
#### [ Windows ]
O procedimento a seguir usa o software OpenVPN para gerar uma lista de revogação de cliente. Ele pressupõe que você seguiu as [etapas para usar o software OpenVPN](mutual.md) para gerar os certificados e as chaves de cliente e servidor.
**Para gerar uma lista de revogação de certificados de cliente usando o EasyRSA versão 3.x.x**
1. Abra um prompt de comando e navegue até o diretório EasyRSA-3.x.x, o que dependerá de onde ele estiver instalado no sistema.
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
1. Execute o arquivo `EasyRSA-Start.bat` para iniciar o shell EasyRSA.
```
C:\> .\EasyRSA-Start.bat
```
1. No shell EasyRSA, revogue o certificado do cliente.
```
# ./easyrsa revoke client_certificate_name
```
1. Digite `yes` quando solicitado.
1. Gere a lista de revogação de clientes.
```
# ./easyrsa gen-crl
```
1. A lista de revogação de cliente será criada neste local:
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```
**Para gerar uma lista de revogação de certificados de cliente usando versões anteriores do EasyRSA**
1. Abra um prompt de comando e navegue até o diretório OpenVPN.
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
1. Execute o arquivo `vars.bat`.
```
C:\> vars
```
1. Revogar o certificado de cliente e gerar a lista de revogação de cliente.
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```
------
# Importar uma lista de revogação de certificados de AWS Client VPN cliente
Você deve ter um arquivo de lista de revogação de certificados de cliente da Client VPN para importar. Para obter mais informações sobre como gerar uma lista de revogação de certificados de cliente, consulte [Gere uma lista de revogação de certificados de AWS Client VPN clientes](cvpn-working-certificates-generate.md).
É possível importar uma lista de revogação de certificados de cliente usando o console e a AWS CLI.
**Para importar uma lista de revogação de certificados de cliente (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN para o qual você deseja importar a lista de revogação de certificados de cliente.
1. Escolha **Actions (Ações)** e **Import Client Certificate CRL (Importar CRL de certificados de cliente)**.
1. Em **Certificate Revocation List** (Lista de revogação de certificado), insira o conteúdo do arquivo de lista de revogação de certificados de cliente e escolha **Import client certificate CRL** (Importar CRL de certificados de cliente).
**Para importar uma lista de revogação de certificados de cliente (AWS CLI)**
Use o certificate-revocation-list comando [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).
```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```
# Exportar uma AWS Client VPN lista de revogação de certificados de cliente
É possível exportar listas de revogação de certificados de cliente da Client VPN usando o console e o AWS CLI.
**Para exportar uma lista de revogação de certificados de cliente (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN para o qual você deseja exportar a lista de revogação de certificados de cliente.
1. Escolha **Actions** (Ações), **Export Client Certificate CRL** (Exportar CRL de certificados de cliente) e **Export Client Certificate CRL** (Exportar CRL de certificados de cliente).
**Para exportar uma revogação de certificado de cliente (AWS CLI)**
Use o certificate-revocation-list comando [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).
# Conexões de cliente do AWS Client VPN
As conexões do AWS Client VPN são sessões de VPN ativas estabelecidas por clientes em um endpoint específico da Client VPN, bem como as conexões encerradas nos últimos 60 minutos para esse endpoint. Uma conexão é estabelecida quando um cliente se conecta com êxito a um endpoint da Client VPN. O encerramento de uma sessão encerra a conexão do cliente ao endpoint da Client VPN.
É possível visualizar e encerrar as conexões da Client VPN. A visualização das informações de conexão retorna informações como o endereço IP atribuído pelo intervalo de blocos CIDR do cliente, o ID do endpoint e o timestamp. O encerramento de uma sessão encerra a conexão do cliente ao endpoint da Client VPN. A visualização e o encerramento das sessões podem ser feitos usando o console da Amazon VPC ou a CLI da AWS. Se você não conseguir se conectar ao endpoint, e dependendo do erro, consulte [Solução de problemas do AWS Client VPN](troubleshooting.md) para ver as etapas a serem seguidas para resolver o problema.
**Topics**
+ [Visualizar conexões de clientes](cvpn-working-connections-view.md)
+ [Encerrar uma conexão de cliente](cvpn-working-connections-disassociate.md)
# Visualizar conexões com AWS Client VPN de clientes
É possível visualizar as conexões ativas da Client VPN usando o Amazon VPC Console ou a CLI da AWS.
**Para visualizar conexões de clientes Client VPN (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN para o qual você deseja visualizar conexões de clientes.
1. Escolha a guia **Connections (Conexões)**. A guia **Connections (Conexões)** lista todas as conexões de clientes ativas e encerradas.
**Para visualizar conexões de clientes da Client VPN (AWS CLI)**
Use o comando [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html).
# Encerrar uma conexão de AWS Client VPN cliente
Você pode encerrar uma conexão de cliente Client VPN usando o console Amazon VPC ou a AWS CLI.
**Para encerrar uma conexão de cliente Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN ao qual o cliente está conectado e escolha **Conexões**..
1. Selecione a conexão a ser encerrada, escolha **Encerrar conexão** e depois **Encerrar conexão** novamente para confirmar o encerramento.
**Para encerrar uma conexão de cliente da Client VPN (AWS CLI)**
Use o comando [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html).
# banners de login do cliente do AWS Client VPN
O AWS Client VPN fornece a opção de exibir um banner de texto em aplicações de desktop do cliente VPN fornecidas pela AWS quando uma sessão VPN é estabelecida. É possível definir o conteúdo do banner de texto de modo a atender às suas necessidades regulamentares e de conformidade. É possível usar no máximo 1.400 caracteres codificados em UTF-8.
**nota**
Quando um banner de login do cliente for habilitado, ele será exibido somente em sessões VPN recém-criadas. As sessões VPN existentes não serão interrompidas, mas o banner será exibido quando uma sessão existente for restabelecida.
## Criação de banners
Os banners de login são inicialmente criados e ativados durante a criação do endpoint da Client VPN. Para conhecer as etapas para ativar um banner de login do cliente durante a criação de um endpoint da Client VPN, consulte [Crie um AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
**Topics**
+ [Criação de banners](#configure-login-banner-endpoint-creation)
+ [Configurar um banner de login do cliente para um endpoint existente](configure-login-banner-existing-endpoint.md)
+ [Desativar um banner de login do cliente para um endpoint](disable-login-banner.md)
+ [Modificar o texto do banner existente](modify-banner-text.md)
+ [Visualizar banner de login configurado atualmente](display-login-banner.md)
# Configurar um banner de login do cliente para um AWS Client VPN endpoint existente
Realize as etapas a seguir para configurar um banner de login do cliente para um endpoint do cliente VPN existente.
**Habilitar banner de login do cliente em um endpoint do cliente VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint do cliente VPN que deseja modificar, escolha **Actions** (Ações) e escolha **Modify Client VPN Endpoint** (Modificar endpoint do cliente VPN).
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Ative **Enable client login banner** (Habilitar o banner de login do cliente).
1. Para **o texto do banner de login do cliente**, insira o texto que será exibido em um banner nos clientes AWS fornecidos quando uma sessão de VPN for estabelecida. Use apenas caracteres codificados UTF-8, com um máximo de 1400 caracteres permitidos.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Habilitar banner de login do cliente em um endpoint do cliente VPN (AWS CLI)**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Desativar um banner de login do cliente para um endpoint existente AWS Client VPN
Use as etapas a seguir para desativar um banner de login do cliente para um endpoint da VPN do cliente existente.
**Desativar o banner de login do cliente em um endpoint da VPN do cliente (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Desabilite a opção **Habilitar o banner de login do cliente?**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Desativar o banner de login do cliente em um endpoint da VPN do cliente (AWS CLI)**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Modificar o texto do banner existente em um AWS Client VPN endpoint
Use as etapas a seguir para modificar o texto existente em um banner de login do cliente Client VPN.
**Modificar o texto do banner existente em um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
1. Em **Enable client login banner?** (Habilitar banner de login do cliente?), verifique se essa opção está ativada.
1. Para o **texto do banner de login do cliente**, substitua o texto existente pelo novo texto que você deseja exibir em um banner nos clientes AWS fornecidos quando uma sessão de VPN for estabelecida. Use apenas caracteres codificados UTF-8, com um máximo de 1400 caracteres.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Modificar banner de login do cliente em um endpoint do cliente VPN (AWS CLI)**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Exibir um banner de AWS Client VPN login atualmente configurado
Use as etapas a seguir para visualizar um banner de login do cliente Client VPN atualmente configurado.
**Visualizar banner de login atual para um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN que deseja visualizar.
1. Verifique se a guia **Details** (Detalhes) está selecionada.
1. Visualize o texto do banner de login configurado atualmente ao lado de **Client login banner text** (Texto do banner de login do cliente).
**Visualizar banner de login configurado atualmente para um endpoint do cliente VPN (AWS CLI)**
Use o comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# AWS Client VPN Aplicação da rota do cliente
A aplicação de rotas do cliente ajuda a impor rotas definidas pelo administrador a dispositivos conectados por meio da VPN. Esse recurso ajuda a melhorar sua postura de segurança, garantindo que o tráfego de rede proveniente de um cliente conectado não seja enviado inadvertidamente para fora do túnel VPN.
A aplicação de rotas do cliente monitora a tabela de roteamento principal do dispositivo conectado e garante que o tráfego de saída da rede vá para um túnel VPN, de acordo com as rotas de rede configuradas no endpoint da VPN do cliente. Isso inclui modificar as tabelas de roteamento em um dispositivo se forem detectadas rotas conflitantes com o túnel VPN. O Client Route Enforcement oferece suporte a ambas IPv4 e famílias de IPv6 endereços.
## Requisitos
O Client Route Enforcement só funciona com as seguintes versões AWS fornecidas do Client VPN:
+ Windows versão 5.2.0 ou superior (IPv4 suporte)
+ macOS versão 5.2.0 ou superior (suporte) IPv4
+ Ubuntu versão 5.2.0 ou superior (IPv4 suporte)
+ Windows versão 5.3.0 ou superior (IPv6 suporte)
+ macOS versão 5.3.0 ou superior (suporte) IPv6
+ Ubuntu versão 5.3.0 ou superior (IPv6 suporte)
Para endpoints de pilha dupla, a configuração Client Route Enforcement se aplica a ambos IPv4 e às pilhas simultaneamente. IPv6 Não é possível habilitar a aplicação de rotas do cliente apenas para uma pilha.
## Conflitos de roteamento
Enquanto um cliente está conectado à VPN, é feita uma comparação entre a tabela de rotas local do cliente e as rotas de rede do endpoint. Um conflito de roteamento ocorrerá se houver sobreposição de rede entre duas entradas da tabela de rotas. Veja exemplo de redes sobrepostas:
+ `172.31.0.0/16`
+ `172.31.1.0/24`
Neste exemplo, esses blocos CIDR representam um conflito de roteamento. Por exemplo, `172.31.0.0/16` pode ser o CIDR do túnel VPN. Como `172.31.1.0/24` é mais específico porque tem um prefixo mais longo, normalmente tem precedência e possivelmente redireciona o tráfego de VPN dentro do intervalo de IP `172.31.1.0/24` para outro destino. Isso pode provocar um comportamento de roteamento indesejado. No entanto, quando a aplicação de rotas do cliente estiver habilitada, o último CIDR será removido. Ao usar esse recurso, é necessário levar em consideração possíveis conflitos de roteamento.
As conexões VPN de túnel completo direcionam todo o tráfego da rede por meio da conexão VPN. Por isso, os dispositivos conectados à VPN não poderão acessar os recursos da rede local (LAN) se o recurso de aplicação de rotas do cliente estiver habilitado. Se for necessário acesso à LAN local, considere usar o modo de túnel dividido em vez do modo de túnel completo. Para ter mais informações sobre túnel dividido, consulte [Client VPN de túnel dividido](split-tunnel-vpn.md).
## Considerações
As informações a seguir devem ser levadas em consideração antes de ativar a aplicação de rotas do cliente.
+ No momento da conexão, se um conflito de roteamento for detectado, o recurso atualizará a tabela de rotas do cliente para direcionar o tráfego ao túnel VPN. As rotas que existiam antes do estabelecimento da conexão e que foram excluídas por esse recurso serão restauradas.
+ Esse recurso é utilizado somente na tabela de roteamento principal e não em outros mecanismos de roteamento. Por exemplo, ele não é utilizado no seguinte:
+ roteamento baseado em políticas;
+ roteamento com escopo de interface.
+ A aplicação de rotas do cliente protege o túnel VPN enquanto ele está aberto. Não há proteção depois que o túnel é desconectado ou enquanto o cliente está se reconectando.
### Impacto das diretivas do OpenVPN na aplicação de rotas do cliente
Algumas diretivas personalizadas no arquivo de configuração do OpenVPN têm interações específicas com a aplicação de rotas do cliente:
+ A diretiva `route`
+ Ao adicionar rotas a um gateway de VPN. Por exemplo, adicionar a rota `192.168.100.0 255.255.255.0` a um gateway de VPN.
As rotas adicionadas a um gateway de VPN são monitoradas pela aplicação de rotas do cliente da mesma forma que qualquer outra rota de VPN. Quaisquer rotas conflitantes dentro delas serão detectadas e removidas.
+ Ao adicionar rotas a um gateway não VPN. Por exemplo, adicionar a rota `192.168.200.0 255.255.255.0 net_gateway`.
As rotas adicionadas a um gateway não VPN são excluídas da aplicação de rotas do cliente, pois elas contornam o túnel VPN. Rotas conflitantes são permitidas dentro delas. No exemplo acima, a rota será excluída do monitoramento pela aplicação de rotas do cliente.
+ Semelhante às IPv4 rotas, IPv6 as rotas adicionadas a um gateway VPN são monitoradas pelo Client Route Enforcement, enquanto as rotas adicionadas a um gateway não VPN são excluídas do monitoramento.
### Rotas ignoradas
As rotas para as seguintes IPv4 redes serão ignoradas pelo Client Route Enforcement:
+ `127.0.0.0/8`: reservada para o host local.
+ `169.254.0.0/16`: reservada para endereços locais de link.
+ `224.0.0.0/4`: reservada para multicast.
+ `255.255.255.255/32`: reservado para transmissão.
As rotas para as seguintes IPv6 redes serão ignoradas pelo Client Route Enforcement:
+ `::1/128`: reservado para loopback.
+ `fe80::/10`: reservada para endereços locais de link.
+ `ff00::/8`: reservada para multicast.
**Topics**
+ [Requisitos](#requirements-cre)
+ [Conflitos de roteamento](#route-conflict-cre)
+ [Considerações](#considerations-cre)
+ [Ativar a aplicação de rotas do cliente](activate-cre.md)
+ [Desativar a aplicação de rotas do cliente](deactivate-cre.md)
+ [Solucionar problemas de imposição de rotas IPv6 do cliente](cre-ipv6-troubleshooting.md)
# Ativar o Client Route Enforcement para um AWS Client VPN endpoint
É possível ativar a aplicação de rotas do cliente em endpoints existentes do Client VPN usando o console ou a AWS CLI.
**Como ativar a aplicação de rotas do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Client VPN endpoints** (Endpoints da VPN do cliente).
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Ações** e **Modificar endpoint da VPN do cliente**.
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Ative a **aplicação de rotas do cliente**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Como ativar a aplicação de rotas do cliente usando a AWS CLI**
+ Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Desative o Client Route Enforcement a partir de um endpoint AWS Client VPN
É possível desativar a aplicação de rotas do cliente em endpoints do Client VPN usando o console ou a AWS CLI.
**Como desativar a aplicação de rotas do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Client VPN endpoints** (Endpoints da VPN do cliente).
1. Selecione o endpoint da VPN do cliente que você deseja modificar, escolha **Ações** e **Modificar endpoint da VPN do cliente**.
1. Role a página para baixo até a seção **Other parameters** (Outros parâmetros).
1. Desative a **aplicação de rotas do cliente**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Para desativar o Client Route Enforcement usando o AWS CLI**
+ Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
# Solucionar problemas de imposição de rotas IPv6 do cliente
Se você encontrar problemas com o IPv6 Client Route Enforcement, considere as seguintes etapas de solução de problemas:
Verificar a versão do cliente
Certifique-se de usar o AWS VPN Client versão 5.3.0 ou superior, que é necessária para o suporte IPv6 do Client Route Enforcement.
Verificar a configuração do endpoint.
Verifique se o endpoint tem o Client Route Enforcement ativado e se está configurado para tráfego IPv6 de pilha dupla.
Examinar logs do cliente
Analise os registros do AWS VPN Client para ver se há mensagens de erro relacionadas à fiscalização da rota IPv6 do cliente. Procure entradas contendo "IPv6" e “Client Route Enforcement” ou “CRM”.
Inspecionar tabela de roteamento
Use o comando apropriado para seu sistema operacional para visualizar a tabela de IPv6 roteamento:
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
Verificar se há rotas conflitantes
Procure todas IPv6 as rotas que possam entrar em conflito com as rotas da VPN. Preste especial atenção às rotas com o mesmo destino, mas com gateways diferentes.
Verifique o suporte do ISP IPv6
Certifique-se de que seu provedor de serviços de Internet (ISP) ofereça suporte IPv6 adequado.
Se você continuar enfrentando problemas com o IPv6 Client Route Enforcement depois de tentar essas etapas de solução de problemas, entre em contato com o AWS Support para obter mais assistência.
# AWS Client VPN endpoints
Todas as AWS Client VPN sessões estabelecem comunicação com um endpoint Client VPN. É possível gerenciar o endpoint da Client VPN para criar, modificar, visualizar e excluir sessões de VPN do cliente com esse endpoint. Os endpoints podem ser criados e modificados usando o console Amazon VPC ou usando a CLI da AWS .
## Requisitos para criar endpoints da Client VPN
**Importante**
Um endpoint Client VPN deve ser criado na mesma AWS conta na qual a rede de destino pretendida é provisionada. Você também precisará gerar um certificado do servidor e, se necessário, um certificado do cliente. Para obter mais informações, consulte [Autenticação do cliente em AWS Client VPN](client-authentication.md).
Antes de começar, faça o seguinte:
+ Revise as regras e as limitações em [Regras e melhores práticas de uso AWS Client VPN](what-is-best-practices.md).
+ Gere o certificado do servidor e, se necessário, o certificado do cliente. Para obter mais informações, consulte [Autenticação do cliente em AWS Client VPN](client-authentication.md).
## Tipos de endereço IP
AWS Client VPN suporta configurações IPv4 -only, IPv6 -only e dual-stack para conectividade de terminais e roteamento de tráfego. A orientação a seguir ajuda você a selecionar o tipo de endereço IP apropriado com base nos recursos do dispositivo cliente, na infraestrutura de rede e nos requisitos da aplicação.
### Tipo de endereço do endpoint
O tipo de endereço do endpoint determina quais protocolos IP seu endpoint do Client VPN aceita para conexões de cliente. Essa configuração não poderá ser alterada após a criação do endpoint.
**Escolha IPv4 -somente quando:**
+ Seus dispositivos cliente oferecem suporte apenas a conexões IPv4 VPN
+ Suas ferramentas de segurança são otimizadas para inspeção IPv4 de tráfego
**Escolha IPv6 -somente quando:**
+ Todos os dispositivos cliente oferecem suporte total às IPv6 conexões
+ Você está em redes onde os IPv4 endereços estão esgotados
**Escolha pilha dupla quando:**
+ Você tiver uma combinação de dispositivos cliente com recursos de IP variados.
+ Você está gradualmente fazendo a transição de para IPv4 IPv6
### Tipo de endereço IP de tráfego
O tipo de endereço IP do tráfego controla como o Client VPN roteia o tráfego entre clientes e seus recursos de VPC, independentemente dos protocolos compatíveis do endpoint.
**Direcione o tráfego como IPv4 quando:**
+ Suporte somente para aplicativos de destino em sua VPC IPv4
+ Você tem grupos IPv4 de segurança e rede complexos ACLs
+ Você estiver se conectando com sistemas legados.
**Direcione o tráfego como IPv6 quando:**
+ Sua infraestrutura de VPC é principalmente IPv6
+ Você quiser preparar sua arquitetura de rede para o futuro.
+ Você tem aplicativos modernos criados para IPv6
## Modificação do endpoint
**nota**
Os endpoints Client VPN criados usando a configuração de início rápido podem ser modificados usando os mesmos procedimentos dos endpoints criados com a configuração padrão. Todas as opções de configuração estão disponíveis, independentemente do método de configuração usado durante a criação.
Após a criação de um Client VPN, é possível modificar qualquer uma das seguintes configurações:
+ A descrição
+ O certificado de servidor
+ As opções de registro em log da conexão do cliente
+ A opção do manipulador de conexão do cliente
+ Os servidores DNS
+ A opção de túnel dividido
+ Rotas (ao usar a opção de túnel dividido)
+ Lista de revogação de certificados (CRL)
+ Regras de autorização
+ A VPC e as associações do grupo de segurança
+ O número da porta VPN
+ A opção do portal de autoatendimento
+ Duração máxima da sessão VPN
+ Habilitar ou desabilitar a reconexão automática no tempo limite da sessão
+ Habilitar ou desabilitar o texto do banner de login do cliente
+ Texto do banner de login do cliente
**nota**
As modificações nos endpoints da Client VPN, incluindo alterações na lista de revogação de certificados (CRL), entrarão em vigor até quatro horas depois que a solicitação for aceita pelo serviça Client VPN.
Você não pode modificar o intervalo IPv4 CIDR do cliente, as opções de autenticação, o certificado do cliente ou o protocolo de transporte após a criação do endpoint do Client VPN.
Quando você modifica qualquer um dos seguintes parâmetros em um endpoint da Client VPN, a conexão é redefinida:
+ O certificado de servidor
+ Os servidores DNS
+ A opção de túnel dividido (ligar ou desligar a compatibilidade)
+ Rotas (quando você usa a opção de túnel dividido)
+ Lista de revogação de certificados (CRL)
+ Regras de autorização
+ O número da porta VPN
**Topics**
+ [Requisitos para criar endpoints da Client VPN](#cvpn-working-create-req)
+ [Tipos de endereço IP](#cvpn-ip-address-types)
+ [Modificação do endpoint](#cvpn-endpoints-modify-req)
+ [Crie um endpoint do](cvpn-working-endpoint-create.md)
+ [Visualizar endpoints do](cvpn-working-endpoint-view.md)
+ [Modificar um endpoint do](cvpn-working-endpoint-modify.md)
+ [Excluir um endpoint](cvpn-working-endpoint-delete.md)
# Crie um AWS Client VPN endpoint
Crie um AWS Client VPN endpoint para permitir que seus clientes estabeleçam uma sessão de VPN usando o console Amazon VPC ou AWS CLI o .Client VPN suporta todas as combinações de tipo de endpoint (túnel dividido e túnel completo) com tipo de tráfego (,, e pilha dupla) durante a criação inicial. IPv4 IPv6
Antes de criar um endpoint, familiarize-se com os requisitos. Para obter mais informações, consulte [Requisitos para criar endpoints da Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req).
**Com criar um endpoint do Client VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN.** e escolha **Criar endpoint da cliente VPN**.
1. Em “Escolher método de configuração”, selecione uma das seguintes opções:
+ Início rápido — Crie um endpoint com os padrões recomendados pela AWS
+ Padrão - defina manualmente todas as configurações do endpoint
**Configuração de início rápido:**
1. Para “Escolher método de configuração”, selecione Início rápido.
1. Em “Client IPv4 CIDR”, insira o intervalo de endereços IP a partir do qual atribuir endereços IP do cliente. A AWS recomenda usar um bloco CIDR /22 (por exemplo, 10.0.0.0/22).
1. Para “VPC”, selecione a VPC a ser associada ao endpoint Client VPN.
1. Para “Sub-redes”, selecione uma ou mais sub-redes na VPC. Essas sub-redes serão usadas para associações de rede de destino.
1. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.
1. Escolha “Create Client VPN endpoint”.
A AWS cria automaticamente os seguintes recursos:
+ Regra de autorização que permite que todos os usuários acessem o CIDR da VPC
+ Associação de rede de destino com as sub-redes VPC selecionadas
+ Entradas da tabela de rotas para o CIDR da VPC
Depois que o endpoint for criado, você poderá baixar o arquivo de configuração do cliente na página de detalhes do endpoint e distribuí-lo aos seus usuários junto com o certificado e a chave do cliente.
**Configuração padrão:**
1. Para “Escolher método de configuração”, selecione Padrão.
1. (Opcional) Forneça uma etiqueta de nome e uma descrição para o endpoint da VPN do cliente.
1. Em **Tipo de endereço IP do endpoint**, escolha o tipo de endereço IP do endpoint.
+ **IPv4**: o endpoint usa IPv4 endereços para o tráfego externo do túnel VPN.
+ **IPv6**: o endpoint usa IPv6 endereços para o tráfego externo do túnel VPN.
+ **Dual-stack**: o endpoint usa IPv6 endereços IPv4 e ambos para o tráfego externo do túnel VPN.
1. Em **Tipo de endereço IP do tráfego**, escolha o tipo de endereço IP do tráfego que flui pelo endpoint.
+ **IPv4**: o endpoint oferece suporte somente ao IPv4 tráfego.
+ **IPv6**: o endpoint oferece suporte somente ao IPv6 tráfego.
+ **Dual-stack**: o endpoint oferece suporte tanto ao tráfego quanto ao tráfego. IPv4 IPv6
1. Para o ** IPv4 CIDR do cliente**, especifique um intervalo de endereços IP, na notação CIDR, a partir do qual atribuir endereços IP do cliente. Por exemplo, .`10.0.0.0/22` Isso é necessário se você IPv4 selecionou ou Dual-Stack para o tipo de endereço IP de tráfego.
**nota**
O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de endereços da VPC nem a nenhuma das rotas que serão associadas ao endpoint da VPN do cliente. O intervalo de endereços do cliente deve ser de, no mínimo, /22 e não maior que o tamanho do bloco CIDR /12. Não é possível alterar o intervalo de endereços do cliente depois de criar o endpoint da VPN do cliente.
Quando você seleciona IPv6 como o tipo de endereço IP do endpoint, o campo IPv4 CIDR do cliente é desativado. O endpoint Client VPN aloca IPv6 endereços de clientes de uma sub-rede associada, e você pode associar a sub-rede depois de criar o endpoint.
**nota**
Para IPv6 tráfego, você não precisa especificar um intervalo CIDR do cliente. A Amazon atribui automaticamente intervalos de IPv6 CIDR aos clientes.
1. Para **ARN do certificado de servidor**, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.
**nota**
O certificado do servidor deve estar presente AWS Certificate Manager(ACM) na região em que você está criando o endpoint do Client VPN. O certificado pode ser provisionado com o ACM ou importado para o ACM.
Se quiser ver as etapas para provisionar ou importar um certificado para o ACM, consulte [Certificados do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia de usuário do AWS Certificate Manager*.
1. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Você deve selecionar um método de autenticação.
+ Para utilizar a autenticação baseada no usuário, selecione **Utilizar autenticação baseada no usuário** e, depois, escolha uma das seguintes opções:
+ **Autenticação do Active Directory**: escolha esta opção para autenticação do Active Directory. Em **ID do diretório**, especifique o ID do Active Directory a ser usado.
+ **Autenticação federada**: escolha esta opção para autenticação federada baseada em SAML.
Em **ARN do provedor SAML**, especifique o ARN do provedor de identidade SAML do IAM.
(Opcional) Em **ARN do provedor SAML de autoatendimento**, especifique o ARN do provedor de identidade SAML do IAM que você criou para [oferecer compatibilidade com o portal de autoatendimento](federated-authentication.md#saml-self-service-support), se aplicável.
+ Para usar a autenticação de certificado mútuo, selecione **Usar autenticação mútua** e, em seguida, para **ARN do certificado do cliente**, especifique o ARN do certificado do cliente que está provisionado no (ACM).AWS Certificate Manager
**nota**
Se os certificados de servidor e cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor para ambos, servidor e cliente. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação diferente, o ARN do certificado do cliente deverá ser especificado.
1. (Opcional) Para **registro de conexão**, especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Ative **Enable log details on client connections** (Habilitar detalhes de log nas conexões de cliente). Em **Nome do grupo de CloudWatch registros** de registros, insira o nome do grupo de registros a ser usado. Em **Nome do fluxo de CloudWatch registros**, insira o nome do fluxo de registros a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de registros para você.
1. (Opcional) Em **Client Connect Handler** (Manipulador de conexão do cliente), ative **Enable client connect handler** (Habilitar o manipulador de conexão do cliente) para executar o código personalizado que permite ou nega uma nova conexão com o endpoint da VPN do cliente. Em **Client Connect Handler ARN (ARN do manipulador de conexão do cliente)**, especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.
1. (Opcional) Especifique quais servidores DNS devem ser usados para a resolução de DNS. Para usar servidores DNS personalizados, para o endereço IP **do Servidor DNS 1 e o endereço IP** **do Servidor DNS 2**, especifique os IPv4 endereços dos servidores DNS a serem usados. **Para endpoints de pilha dupla IPv6 ou de pilha dupla, você também pode especificar os endereços do Servidor **DNS IPv6 1 e do Servidor** DNS 2. IPv6 ** Para usar o servidor DNS da VPC, em **DNS Server 1 IP address (Endereço IP do servidor DNS 1)** ou **DNS Server 2 IP address (Endereço IP do servidor DNS 2)**, especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.
**nota**
Verifique se os servidores DNS possam ser acessados pelos clientes.
1. (Opcional) Por padrão, o servidor da VPN do cliente usa o protocolo de transporte `UDP`. Para usar o protocolo de transporte `TCP`, em **Transport Protocol (Protocolo de transporte)**, selecione **TCP**.
**nota**
Em geral, o UDP oferece melhor performance que o TCP. Não é possível alterar o protocolo de transporte depois de criar o endpoint da Client VPN.
1. (Opcional) Para que o endpoint seja um endpoint de VPN do cliente de túnel dividido, ative **Enable split-tunnel** (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint da Client VPN está desabilitado.
1. (Opcional) Em **VPC ID (ID da VPC)**, selecione a VPC a ser associada ao endpoint da Client VPN. Em **Security Group IDs**, escolha um ou mais dos grupos de segurança da VPC para aplicar ao endpoint do Client VPN.
1. (Opcional) Em **VPN port (Porta VPN)**, selecione o número da porta VPN. O padrão é 443.
1. (Opcional) Para gerar um [URL do portal de autoatendimento](cvpn-self-service-portal.md) para clientes, ative **Enable self-service portal** (Habilitar portal de autoatendimento).
1. (Opcional) Em **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.
1. (Opcional) Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente.
1. (Opcional) Especifique se deseja habilitar o texto do banner de login do cliente. Ative **Enable client login banner** (Habilitar o banner de login do cliente). Em **Client login banner text** (Texto do banner de login do cliente), insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.
1. Selecione **Create Client VPN endpoint** (Criar endpoint da VPN do cliente).
Depois de criar o endpoint da Client VPN, faça o seguinte para concluir a configuração e permitir que os clientes se conectem:
+ O estado inicial do endpoint da Client VPN é `pending-associate`. Os clientes poderão se conectar ao endpoint da Client VPN somente depois que você associar a primeira [rede de destino](cvpn-working-target-associate.md).
+ Crie uma [regra de autorização](cvpn-working-rules.md) para especificar quais clientes têm acesso à rede.
+ Baixe e prepare o [arquivo de configuração](cvpn-working-endpoint-export.md) do endpoint da Client VPN para distribuir aos seus clientes.
+ Instrua seus clientes a usar o cliente AWS fornecido ou outro aplicativo cliente baseado em OpenVPN para se conectar ao endpoint do Client VPN. Para obter mais informações, consulte o [Guia do usuário do AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).
**Para criar um endpoint Client VPN usando o AWS CLI**
Use o comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).
Exemplo de criação de um IPv4 endpoint:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
Exemplo de criação de um IPv6 endpoint:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
Exemplo de criação de endpoint de pilha dupla:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# Visualizar endpoints do AWS Client VPN
É possível visualizar informações sobre endpoints da Client VPN ao usar o Amazon VPC Console ou o AWS CLI.
**Como visualizar endpoints da VPN do cliente (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN a ser visualizado.
1. Use as guias **Detalhes**, **Associações de rede de destino**, **Grupos de segurança**, **Regras de autorização**, **Tabela de rotas**, **Conexões** e **Tags** para visualizar informações sobre os endpoints existentes do Client VPN.
Você também pode usar filtros para ajudar a refinar a pesquisa.
**Como visualizar endpoints da VPN do cliente (AWS CLI)**
Use o comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# Modificar um endpoint do AWS Client VPN
É possível modificar um endpoint da Client VPN usando o Amazon VPC Console ou o AWS CLI. Para obter mais informações sobre os campos da Client VPN que podem ser modificados, consulte [Modificação do endpoint](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).
## Limitações
As seguintes limitações são aplicáveis ao modificar um endpoint:
+ As modificações nos endpoints da Client VPN, incluindo alterações na lista de revogação de certificados (CRL), entrarão em vigor até quatro horas depois que a solicitação for aceita pelo serviça Client VPN.
+ Não é possível modificar o intervalo CIDR IPv4 do cliente, as opções de autenticação, o certificado do cliente nem o protocolo de transporte após a criação do endpoint da Client VPN.
+ É possível modificar os endpoints IPv4 existentes para pilha dupla para os tipos de IP de endpoint e IP de tráfego. Se você precisar somente de IPv6 para IP de endpoint e IP de tráfego, deverá criar outro endpoint.
+ O Client VPN não permite modificar o tipo de endpoint (IPv4, IPv6 e pilha dupla) ou do tipo de tráfego (IPv4, IPv6 e pilha dupla) após a criação.
+ O Client VPN que tem uma combinação específica de tipo de endpoint e tipo de tráfego não pode ser alterado. Não é possível alterá-la para nenhuma outra combinação. O endpoint deve ser excluído e recriado com a configuração desejada.
+ Não é possível usar a comunicação de cliente para cliente para tráfego IPv6.
## Modificar um endpoint do Client VPN
É possível modificar um endpoint do Client VPN usando tanto o console quanto a AWS CLI.
**Como modificar um endpoint do Client VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente a ser modificado, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
1. Em **Description (Descrição)**, digite uma breve descrição do endpoint da Client VPN.
1. Em **Tipo de endereço IP do endpoint**, você pode modificar um endpoint IPv4 existente para pilha dupla. Essa opção está disponível somente para endpoints IPv4.
1. Em **Tipo de endereço IP do tráfego**, você pode modificar um endpoint IPv4 existente para pilha dupla. Essa opção está disponível somente para endpoints IPv4.
1. Para **ARN do certificado de servidor**, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.
**nota**
O certificado de servidor deve estar presente no AWS Certificate Manager (ACM) na região em que o endpoint do cliente VPN está sendo criado. O certificado pode ser provisionado com o ACM ou importado para o ACM.
1. Especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Em **Enable log details on client connections** (Habilitar detalhes de log em conexões de cliente), siga um destes procedimentos:
+ Para ativar o log de conexão de cliente, ative **Enable log details on client connections** (Habilitar detalhes de log em conexões de cliente). Em **CloudWatch Logs log group name** (Nome do grupo de logs do CloudWatch Logs), selecione o nome do grupo de logs a ser usado. Em **CloudWatch Logs log stream name** (Nome do stream de logs do CloudWatch Logs), selecione o nome do fluxo de logs a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de logs para você.
+ Para desabilitar o log de conexão de cliente, desabilite a opção **Habilitar detalhes de log em conexões de cliente**.
1. Em **Client connect handler** (Manipulador de conexão de cliente), ative **Enable client connect handler** (Habilitar manipulador de conexão de cliente) para ativar o [manipulador de conexão de cliente](connection-authorization.md). Em **Client Connect Handler ARN (ARN do manipulador de conexão do cliente)**, especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.
1. Habilite ou desabilite a opção **Habilitar servidores DNS**. Para usar servidores de DNS personalizados, em **Endereço IP do servidor de DNS 1** e **Endereço IP do servidor de DNS 2**, especifique os endereços IPv4 dos servidores de DNS a serem usados. Para endpoints IPv6 ou de pilha dupla, também é possível especificar endereços de **Servidor de DNS IPv6 1** e **Servidor de DNS IPv6 2**. Para usar o servidor DNS da VPC, em **DNS Server 1 IP address (Endereço IP do servidor DNS 1)** ou **DNS Server 2 IP address (Endereço IP do servidor DNS 2)**, especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.
**nota**
Verifique se os servidores DNS possam ser acessados pelos clientes.
1. Habilite ou desabilite a opção **Habilitar túnel dividido**. Por padrão, o túnel dividido em um endpoint da VPN está desativado.
1. Em **VPC ID** (ID da VPC), escolha a VPC a ser associada ao endpoint da VPN do cliente. Em **Security Group IDs (IDs de grupo de segurança)**, selecione um ou mais grupos de segurança da VPC a serem aplicados ao endpoint da Client VPN.
1. Em **VPN port (Porta VPN)**, selecione o número da porta VPN. O padrão é 443.
1. Para gerar um [URL do portal de autoatendimento](cvpn-self-service-portal.md) para clientes, ative **Enable self-service portal** (Habilitar portal de autoatendimento).
1. Em **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.
1. Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente.
1. Habilite ou desabilite a opção **Habilitar o banner de login do cliente**. Se quiser usar o banner de login do cliente, insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Como modificar um endpoint do Client VPN usando a AWS CLI**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).
Exemplo de modificação de um endpoint IPv4 para pilha dupla:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# Excluir um endpoint do AWS Client VPN
Você deverá desassociar todas as redes de destino para excluir um endpoint da VPN do cliente. Ao excluir um endpoint da Client VPN, seu estado é alterado para `deleting` e os clientes não podem mais se conectar a ele.
É possível excluir um endpoint da Client VPN usando o console ou a AWS CLI.
**Para excluir um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Escolha o endpoint da VPN do cliente a ser excluído. Escolha **Actions** (Ações), **Delete Client VPN endpoint** (Excluir endpoint da VPN do cliente).
1. Insira *delete* (excluir) na janela de confirmação e escolha** Delete** (Excluir).
**Para excluir um endpoint da Client VPN (AWS CLI)**
Use o comando [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).
# Logs de conexão do AWS Client VPN
É possível habilitar o registro em log de conexão para um endpoint da Client VPN, novo ou existente, e começar a capturar logs de conexão. Os logs de conexão mostram a sequência de eventos de log para o endpoint da Client VPN. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um stream de logs, o serviço da Client VPN criará um para você. Em seguida, o log de conexão registra as seguintes informações: solicitações de conexão do cliente, resultados da conexão do cliente (bem-sucedidos ou malsucedidos), motivos dos resultados malsucedidos da conexão e o horário de encerramento do cliente no endpoint.
Antes de começar, é preciso ter um grupo de logs do CloudWatch Logs na sua conta. Para obter mais informações, consulte [Como trabalhar com grupos de logs e streams de log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs*. Aplicam-se cobranças ao uso do CloudWatch Logs. Para obter mais informações, consulte [Preço do Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
Os logs de conexão da Client VPN podem ser criados usando o Amazon VPC Console ou a CLI da AWS.
**Topics**
+ [Habilitar o registro em log de conexão para um novo endpoint do](create-connection-log-new.md)
+ [Habilitar o registro em log de conexão para um endpoint do existente](create-connection-log-existing.md)
+ [Visualizar logs de conexão](view-connection-logs.md)
+ [Desativar o log de conexão](disable-connection-logs.md)
# Ativar o registro de conexão para um novo AWS Client VPN endpoint
É possível habilitar o registro em log de conexão ao criar um endpoint da Client VPN usando o console ou a linha de comando.
**Como habilitar o registro em log de conexão para um novo endpoint da Client VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Client VPN Endpoints** (Endpoints da VPN do cliente) e **Create Client VPN Endpoint** (Criar endpoint da VPN do cliente).
1. Conclua as opções até chegar à seção **Geração de logs de conexão** . Para saber mais sobre essas opções, consulte [Crie um AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Em **Connection logging** (Log de conexão), ative **Enable log details on client connections** (Habilitar detalhes de log nas conexões de cliente).
1. Em **Nome do grupo de CloudWatch registros** de registros, escolha o nome do grupo de CloudWatch registros de registros.
1. (Opcional) Em **Nome do fluxo de CloudWatch registros**, escolha o nome do fluxo de CloudWatch registros.
1. Selecione **Create Client VPN endpoint** (Criar endpoint da VPN do cliente).
**Para habilitar o registro de conexão para um novo endpoint do Client VPN usando o AWS CLI**
Use o [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)comando e especifique o `--connection-log-options` parâmetro. É possível especificar as informações de logs de conexão no formato JSON, conforme mostrado no exemplo a seguir.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# Ativar o registro de conexão para um AWS Client VPN endpoint existente
É possível habilitar o registro em log de conexão para um endpoint da Client VPN existente usando o console ou a linha de comando.
**Como habilitar o registro em log de conexão para um endpoint da Client VPN existente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
1. Em **Connection logging** (Log de conexão), ative **Enable log details on client connections** (Habilitar detalhes de log nas conexões de cliente).
1. Em **Nome do grupo de CloudWatch registros** de registros, escolha o nome do grupo de CloudWatch registros de registros.
1. (Opcional) Em **Nome do fluxo de CloudWatch registros**, escolha o nome do fluxo de CloudWatch registros.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Para habilitar o registro de conexão para um endpoint Client VPN existente usando o AWS CLI**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) e especifique o parâmetro `--connection-log-options`. É possível especificar as informações de logs de conexão no formato JSON, conforme mostrado no exemplo a seguir.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# Visualizar logs de conexão do AWS Client VPN
É possível visualizar os logs de conexão da Client VPN usando o console do CloudWatch Logs.
**Como visualizar os logs de conexão usando o console**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Grupos de logs** e o grupo de log que contém seus logs de conexão.
1. Selecione o stream de logs para o endpoint da Client VPN.
**nota**
A coluna **Timestamp** exibe a hora em que o registro em log de conexão foi publicado no CloudWatch Logs, não a hora da conexão.
Para obter mais informações sobre como pesquisar dados de log, consulte [Pesquisar dados de log usando padrões de filtro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) no *Guia do usuário do Amazon CloudWatch Logs*.
# Desativar o log de conexão do AWS Client VPN
É possível desativar o log de conexão de um endpoint da VPN do cliente usando o console ou a linha de comando. Quando você desativa o log de conexão, os logs de conexão existentes no CloudWatch Logs não são excluídos.
**Como desativar o log de conexão usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
1. Em **Log de conexão**, desabilite a opção **Habilitar detalhes de log nas conexões de cliente**.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Como desativar o log de conexão usando a AWS CLI**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) e especifique o parâmetro `--connection-log-options`. Verifique se `Enabled` está definido como `false`.
# AWS Client VPN exportação do arquivo de configuração do endpoint
O arquivo de configuração do AWS Client VPN endpoint é o arquivo que os clientes (usuários) usam para estabelecer uma conexão VPN com o endpoint Client VPN. Você deve baixar (exportar) esse arquivo e distribuí-lo a todos os clientes que precisam de acesso à VPN. Como alternativa, se você habilitou o portal de autoatendimento para o endpoint da Client VPN, os clientes podem fazer login no portal e baixar o arquivo de configuração. Para obter mais informações, consulte [Acesso ao portal de autoatendimento do AWS Client VPN](cvpn-self-service-portal.md).
Se o endpoint da Client VPN usar a autenticação mútua, será necessário [adicionar o certificado de cliente e a chave privada do cliente ao arquivo de configuração .ovpn do](add-config-file-cert-key.md) qual foi feito download. Depois de adicionar as informações, os clientes poderão importar o arquivo .ovpn para o software-cliente OpenVPN.
**Importante**
Se você não adicionar o certificado de cliente e as informações da chave privada do cliente ao arquivo, os clientes que se autenticam usando a autenticação mútua não poderão se conectar ao endpoint da Client VPN.
Por padrão, a opção “remote-random-hostname” na configuração do cliente OpenVPN habilita o DNS curinga. Como o DNS curinga está habilitado, o cliente não armazena em cache o endereço IP do endpoint, e você não poderá executar ping no nome DNS do endpoint.
Se o endpoint da Client VPN usar a autenticação do Active Directory e se você habilitar a autenticação multifator (MFA) no diretório após distribuir o arquivo de configuração do cliente, será necessário baixar um novo arquivo e redistribuí-lo aos clientes. Os clientes não podem usar o arquivo de configuração anterior para se conectar ao endpoint da Client VPN.
**Topics**
+ [Exportar o arquivo do de configuração do cliente](export-client-config-file.md)
+ [Adicione o certificado de cliente e as informações principais para autenticação mútua](add-config-file-cert-key.md)
# Exportar o arquivo de configuração do AWS Client VPN cliente
É possível exportar a configuração do cliente Client VPN usando o console ou o AWS CLI.
**Para exportar configuração do cliente (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN cuja configuração do cliente deve ser transferida por download e escolha **Baixar a configuração do cliente**.
**Para exportar configuração do cliente (AWS CLI)**
Use o comando [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) e especifique o nome do arquivo de saída.
```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```
# Adicione o certificado AWS Client VPN do cliente e as principais informações para autenticação mútua
Se o endpoint da Client VPN usar a autenticação mútua, será necessário adicionar o certificado de cliente e a chave privada do cliente ao arquivo de configuração .ovpn do qual foi feito download.
Você não pode modificar o certificado de cliente ao usar a autenticação mútua.
**Como adicionar o certificado de cliente e as informações de chave (autenticação mútua)**
É possível usar uma das opções a seguir:
(Opção 1) Distribuir o certificado e a chave do cliente aos clientes junto com o arquivo de configuração do endpoint da Client VPN. Nesse caso, especifique o caminho para o certificado e a chave no arquivo de configuração. Abra o arquivo de configuração usando o editor de texto de sua preferência e adicione o seguinte ao final desse arquivo. */path/*Substitua pela localização do certificado e da chave do cliente (a localização é relativa ao cliente que está se conectando ao endpoint).
```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```
(Opção 2) Adicionar o conteúdo do certificado do cliente entre as tags ```` e o conteúdo da chave privada entre as tags ```` ao arquivo de configuração. Se você escolher essa opção, somente o arquivo de configuração será distribuído aos clientes.
Se você gerou certificados de clientes separados e chaves para cada usuário que se conectará ao endpoint da Client VPN, repita essa etapa para cada usuário.
Veja a seguir um exemplo do formato de um arquivo configuração da Client VPN que inclui o certificado e a chave do cliente.
```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
Contents of CA
Contents of client certificate (.crt) file
Contents of private key (.key) file
reneg-sec 0
```
# AWS Client VPN rotas
Cada AWS Client VPN endpoint tem uma tabela de rotas que descreve as rotas de rede de destino disponíveis. Cada rota na tabela de rotas determina para onde o tráfego de rede é direcionado. Você deve configurar regras de autorização para cada rota do endpoint da Client VPN para especificar quais clientes têm acesso à rede de destino.
Quando você associa uma sub-rede de uma VPC a um endpoint da Client VPN, uma rota para essa VPC é automaticamente adicionada à tabela de rotas do endpoint da Client VPN. Para permitir o acesso a redes adicionais, como redes locais com peering VPCs, a rede local (para permitir que os clientes se comuniquem entre si) ou a Internet, você deve adicionar manualmente uma rota à tabela de rotas do endpoint do Client VPN.
**nota**
Se você estiver associando várias sub-redes ao endpoint do cliente VPN, certifique-se de criar uma rota para cada sub-rede, conforme descrito aqui [Solução de problemas AWS Client VPN: o acesso a uma VPC emparelhada, ao Amazon S3 ou à Internet é intermitente](intermittent-access.md). Cada sub-rede associada deve ter um conjunto idêntico de rotas.
## Considerações sobre o uso do túnel dividido em endpoints da Client VPN
Quando você usa túnel dividido em um endpoint da Client VPN, todas as rotas que estão nas tabelas de rotas da Client VPN são adicionadas à tabela de rotas do cliente quando a VPN é estabelecida. Se você adicionar uma rota após a VPN ser estabelecida, deverá redefinir a conexão para que a nova rota seja enviada ao cliente.
É recomendável contabilizar o número de rotas que o dispositivo cliente pode manipular antes de modificar a tabela de rotas do endpoint da Client VPN.
**Topics**
+ [Considerações sobre o uso do túnel dividido em endpoints da Client VPN](#split-tunnel-routes)
+ [Criar uma rota de endpoint](cvpn-working-routes-create.md)
+ [Visualizar rotas de endpoint](cvpn-working-routes-view.md)
+ [Excluir uma rota de endpoint](cvpn-working-routes-delete.md)
# Criar uma rota de endpoint do AWS Client VPN
Ao criar uma rota de endpoint da Client VPN, você especifica como o tráfego da rede de destino deve ser direcionado.
Para permitir que os clientes acessem a Internet, adicione uma rota de destino `0.0.0.0/0`.
É possível adicionar rotas a um endpoint da Client VPN usando o console e a AWS CLI
**Como criar uma rota de endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente ao qual você deseja adicionar a rota, escolha **Route table** (Tabela de rotas) e **Create route** (Criar rota).
1. Em **Route destination (Destino da rota)**, especifique o intervalo CIDR IPv4 da rede de destino. Por exemplo:
+ Para adicionar uma rota à VPC do endpoint da VPN do cliente, insira o intervalo CIDR IPv4 da VPC.
+ Para adicionar uma rota para acesso à Internet, insira `0.0.0.0/0`.
+ Para adicionar uma rota a uma VPC emparelhada, insira o intervalo CIDR IPv4 da VPC emparelhada.
+ Para adicionar uma rota para uma rede on-premises, insira o intervalo CIDR IPv4 da conexão de VPN de local a local AWS.
1. Em **Subnet ID for target network association** (ID de sub-rede da associação de rede de destino), selecione a sub-rede associada ao endpoint da VPN do cliente.
Como alternativa, se você estiver adicionando uma rota à rede local do endpoint da VPN do cliente, selecione `local`.
1. (Opcional) Em **Description** (Descrição), insira uma breve descrição da rota.
1. Escolha **Create route (Criar rota)**.
**Para criar uma rota de endpoint da Client VPN (AWS CLI)**
Use o comando [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html).
# Visualizar rotas de endpoint do AWS Client VPN
É possível visualizar as rotas de um endpoint específico da Client VPN usando o console ou a AWS CLI.
**Para visualizar rotas do endpoint da Client VPN (console)**
1. No painel de navegação, escolha **Endpoints da Client VPN**.
1. Selecione o endpoint da VPN do cliente cujas rotas você deseja visualizar e escolha **Route table** (Tabela de rotas).
**Para visualizar rotas do endpoint da Client VPN (AWS CLI)**
Use o comando [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html) .
# Excluir uma rota de endpoint do AWS Client VPN
É possível apenas excluir rotas da Client VPN adicionadas manualmente. Não é possível excluir rotas que foram adicionadas automaticamente quando você associou uma sub-rede ao endpoint da Client VPN. Para excluir rotas que foram adicionadas automaticamente, você deve desassociar a sub-rede que iniciou sua criação do endpoint da Client VPN.
É possível excluir uma rota de um endpoint da Client VPN usando o console ou a AWS CLI.
**Como excluir uma rota de endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente do qual deseja excluir a rota e escolha **Route table** (Tabela de rotas).
1. Selecione a rota a ser excluída, escolha **Delete route** (Excluir rota) e **Delete route** (Excluir rota).
**Para excluir uma rota de endpoint da Client VPN (AWS CLI)**
Use o comando [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).
# Redes de destino do AWS Client VPN
Uma rede de destino é uma sub-rede em uma VPC. Um endpoint do AWS Client VPN deve ter pelo menos uma rede de destino para permitir que os clientes se conectar a ele e estabeleçam uma conexão VPN.
Para obter mais informações sobre os tipos de acesso que você pode configurar (como permitir que os clientes acessem a Internet), consulte [Cenários e exemplos da Client VPN](how-it-works.md#scenario).
## Requisitos de rede de destino da Client VPN
Ao criar uma rede de destino, as seguintes regras se aplicam:
+ A sub-rede deve ter um bloco CIDR com pelo menos uma máscara de bits /27, por exemplo 10.0.0.0/27. A sub-rede também deve ter sempre 20 endereços IP disponíveis, pelo menos.
+ O bloco CIDR da sub-rede não pode se sobrepor ao intervalo CIDR cliente do endpoint da Client VPN.
+ Se você associar mais de uma sub-rede a um endpoint da Client VPN, cada sub-rede deverá estar em uma zona de disponibilidade diferente. Recomendamos que você associe pelo menos duas sub-redes para fornecer redundância de zona de disponibilidade.
+ Se você especificou uma VPC ao criar o endpoint da Client VPN, a sub-rede deverá estar na mesma VPC. Se você ainda não associou uma VPC ao endpoint da Client VPN, poderá escolher qualquer sub-rede em qualquer VPC.
Todas as associações de sub-rede adicionais devem ser na mesma VPC. Para associar uma sub-rede de uma VPC diferente, primeiro você deve modificar o endpoint da Client VPN e alterar a VPC associada a ele. Para obter mais informações, consulte [Modificar um endpoint do AWS Client VPN](cvpn-working-endpoint-modify.md).
Quando você associa uma sub-rede a um endpoint da Client VPN, nós adicionamos automaticamente a rota local da VPC na qual a sub-rede associada está provisionada à tabela de rotas do endpoint da Client VPN.
**nota**
Depois que as redes de destino forem associadas, quando você adicionar ou remover CIDRs adicionais à VPC anexada, você deverá executar uma das seguintes operações para atualizar a rota local da tabela de rotas de endpoint da Client VPN:
Desassocie o endpoint da Client VPN da rede de destino e, em seguida, associe-o novamente.
Adicione manualmente a rota ou remova-a da tabela de rotas do endpoint da Client VPN.
Depois de associar a primeira sub-rede ao endpoint da Client VPN, o status do endpoint da Client VPN muda de `pending-associate` para `available`, e os clientes podem estabelecer uma conexão VPN.
**Topics**
+ [Requisitos para criar uma rede de destino](#cvpn-create-target-reqs)
+ [Associar uma rede de destino a um endpoint do](cvpn-working-target-associate.md)
+ [Aplicar um grupo de segurança a uma rede de destino](cvpn-working-target-apply.md)
+ [Visualizar redes de destino](cvpn-working-target-view.md)
+ [Desassociar uma rede de destino de um endpoint](cvpn-working-target-disassociate.md)
# Associar uma rede de destino a um AWS Client VPN endpoint
Você pode associar uma ou mais redes de destino (sub-redes) a um endpoint Client VPN usando o console Amazon VPC ou a CLI. AWS Antes de associar uma rede de destino a um endpoint da Client VPN, familiarize-se com os requisitos. Consulte [Requisitos para criar uma rede de destino](cvpn-working-target.md#cvpn-create-target-reqs).
**Como associar uma rede de destino a um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint de VPN do cliente ao qual deseja associar a rede de destino, escolha **Target network associations** (Associações da rede de destino) e **Associate target network** (Associar rede de destino).
1. Para **VPC**, selecione a VPC na qual a sub-rede está localizada. Se você especificou uma VPC ao criar o endpoint da Client VPN ou se tiver associações de sub-rede anteriores, ela deverá ser a mesma VPC.
1. Em **Choose a subnet to associate** (Escolher uma sub-rede para associar), escolha a sub-rede a ser associada ao endpoint da VPN do cliente.
1. Selecione**Associate target network** (Associar rede de destino).
**Para associar uma rede de destino a um endpoint da Client VPN (AWS CLI)**
Use o comando [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html).
# Aplique um grupo de segurança a uma rede de destino no AWS Client VPN
Ao criar um endpoint da Client VPN, você pode especificar os grupos de segurança a serem aplicados à rede de destino. Quando você associa a primeira rede de destino a um endpoint da Client VPN, aplicamos automaticamente o grupo de segurança padrão da VPC na qual a sub-rede associada está localizada. Para obter mais informações, consulte [Grupos de segurança](client-authorization.md#security-groups).
É possível alterar os grupos de segurança para o endpoint da Client VPN. As regras de grupo de segurança de que você precisa dependem do tipo de acesso VPN que você deseja configurar. Para obter mais informações, consulte [Cenários e exemplos da Client VPN](how-it-works.md#scenario).
**Para aplicar um grupo de segurança a uma rede de destino (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN ao qual aplicar os grupos de segurança.
1. Escolha **Security Groups** (Grupos de segurança) e **Apply Security Groups** (Aplicar grupos de segurança).
1. Selecione o (s) grupo (s) de segurança apropriado (s) em **Grupo de segurança IDs**.
1. Escolha **Apply Security Groups** (Aplicar grupos de segurança).
**Para aplicar um grupo de segurança a uma rede de destino (AWS CLI)**
Use o client-vpn-target-network comando [apply-security-groups-to-](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html).
# Visualizar redes de destino do AWS Client VPN
É possível visualizar os destinos associados a um endpoint da Client VPN usando o console ou a AWS CLI.
**Para visualizar redes de destino (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint de VPN do cliente apropriado e escolha **Target network associations** (Associações da rede de destino).
**Para visualizar redes de destino usando a AWS CLI**
Use o comando [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html).
# Desassociar uma rede de destino de um endpoint AWS Client VPN
Quando você desassocia uma rede de destino, todas as rotas que foram adicionadas manualmente à tabela de rotas do endpoint da Client VPN são excluídas, bem como a rota que foi criada automaticamente quando a associação de rede de destino foi feita (a rota local da VPC). Se você desassociar todas as redes de destino de um endpoint da Client VPN, os clientes não poderão mais estabelecer uma conexão VPN.
**Como desassociar uma rede de destino de um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint de VPN do cliente ao qual a rede de destino está associada e escolha **Target network associations** (Associações da rede de destino).
1. Selecione a rede de destino a ser desassociada, escolha **Disassociate** (Desassociar) e **Disassociate target network** (Desassociar rede de destino).
**Para desassociar uma rede de destino de um endpoint da Client VPN (AWS CLI)**
Use o comando [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html).
# AWS Client VPN tempo limite máximo de duração da sessão de VPN
AWS Client VPN fornece várias opções para a duração máxima da sessão de VPN, que é o tempo máximo permitido para uma conexão do cliente com o endpoint do Client VPN. É possível configurar uma duração máxima de sessão VPN menor para ajudar a atender aos requisitos de segurança e conformidade. Por padrão, a duração máxima da sessão VPN é 24 horas. Depois de definir a duração máxima da sessão, você pode controlar o que acontece com a sessão quando o tempo limite é atingido. A opção de desconexão no tempo limite da sessão permite que você encerre a sessão ou tente automaticamente uma reconexão com o endpoint. O encerramento de uma sessão permite que você tenha maior controle sobre a segurança do endpoint ao impor a duração máxima da sessão VPN. Se uma sessão for definida para terminar quando o tempo máximo for atingido, os usuários precisarão se reconectar e fornecer suas credenciais de autenticação para restabelecer a conexão VPN.
Quando opção “Desconectar-se no tempo limite da sessão” estiver definida para reconectar a sessão automaticamente e o tempo máximo da sessão for atingido, ocorrerá o seguinte:
+ Uma nova sessão será estabelecida automaticamente no caso de credenciais de usuário em cache (Active Directory) ou autenticação baseada em certificado (autenticação mútua). Para se desconectar totalmente e não se reconectar automaticamente, esses usuários devem se desconectar manualmente.
+ Uma nova sessão não será estabelecida automaticamente no caso da autenticação federada (SAML). Esses usuários devem se autenticar novamente após a expiração do tempo limite da sessão para restabelecer a conexão VPN.
**nota**
Quando o valor máximo da duração da sessão de VPN é reduzido em relação ao valor atual, todas as sessões ativas de VPN conectadas ao endpoint por um período maior do que a duração recém-definida são desconectadas.
Alterar a opção de desconexão no tempo limite da sessão aplica a nova configuração a todas as sessões abertas no momento.
## Configurar a sessão máxima de VPN durante a criação de um AWS Client VPN endpoint
Duração da sessão VPN é configurada durante a criação de um endpoint da Client VPN. Consulte [Crie um AWS Client VPN endpoint](cvpn-working-endpoint-create.md) para obter as etapas para criar um endpoint da Client VPN e definir a duração máxima da sessão.
**Topics**
+ [Configure a sessão VPN máxima durante a criação de um endpoint](#configure-max-duration-endpoint-creation)
+ [Visualizar a duração máxima da sessão VPN atual do](display-max-duration.md)
+ [Modificar a duração máxima da sessão VPN](modify-max-timeout.md)
# Exibir a duração máxima AWS Client VPN atual da sessão de VPN
Use as etapas a seguir para visualizar a duração máxima atual da sessão VPN da Client VPN.
**Visualizar a duração máxima da sessão do cliente VPN para um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN que deseja visualizar.
1. Verifique se a guia **Details** (Detalhes) está selecionada.
1. Veja a duração máxima da sessão VPN atual ao lado de **Horas de tempo limite da sessão** e veja se a opção **Desconectar no tempo limite** está habilitada ou desabilitada.
**Veja a duração máxima da sessão do cliente VPN atual para um endpoint do cliente VPN (AWS CLI)**
Use o comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).
# Modifique a duração máxima AWS Client VPN da sessão e o comportamento do tempo limite
Use as etapas a seguir para modificar a duração máxima de uma sessão VPN existente do Client VPN.
**Modificar uma duração máxima de sessão do cliente VPN existente para um endpoint da Client VPN (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Client VPN endpoints** (Endpoints da VPN do cliente).
1. Selecione o endpoint do cliente VPN que deseja modificar, escolha **Actions** (Ações) e escolha **Modify Client VPN Endpoint** (Modificar endpoint do cliente VPN).
1. Na sessão **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração de sessão VPN em horas.
1. Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja desconectar uma sessão quando o tempo limite máximo da sessão for atingido. Por padrão, isso é desativado na primeira vez que você modifica um endpoint.
1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).
**Modificar uma duração máxima de sessão VPN existente para um endpoint do cliente VPN (AWS CLI)**
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).