As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que AWS Client VPNé
AWS Client VPN é um serviço VPN gerenciado baseado em cliente que permite que você acesse com segurança seus AWS recursos e recursos em sua rede local. com a Client VPN, você pode acessar seus recursos de qualquer local usando um cliente de VPN com base no OpenVPN.
**Topics**
+ [Recursos da Client VPN](#what-is-features)
+ [Componentes do VPN do Cliente](#what-is-components)
+ [Trabalhar com o Cliente VPN](#what-is-access)
+ [Definição de preço para Client VPN](#what-is-pricing)
+ [Regras e práticas recomendadas](what-is-best-practices.md)
## Recursos da Client VPN
O VPN do Cliente oferece os seguintes recursos e funcionalidades:
+ **Conexões seguras**: estabelece conexões TLS criptografadas de qualquer local por meio do cliente OpenVPN, garantindo a privacidade e a integridade dos dados.
+ **Serviço gerenciado**: elimina a carga operacional da implantação e da manutenção de soluções de VPN com acesso remoto de terceiros por meio do gerenciamento completo da AWS.
+ **Alta disponibilidade e elasticidade:** escala dinamicamente, sem intervenção manual, para atender a um número variável de usuários que se conectam aos seus recursos on-premises e da AWS.
+ **Autenticação**: permite vários métodos de autenticação, como integração com o Active Directory, autenticação federada e autenticação baseada em certificado, para tornar o gerenciamento de identidade flexível.
+ **Controle granular**: implementa controles de segurança precisos por meio de regras de acesso baseadas em rede configuráveis em nível de grupo do Active Directory e controle de acesso baseado em grupo de segurança.
+ **Facilidade de uso**: oferece acesso unificado a recursos on-premises e da AWS por meio de um único túnel VPN, simplificando a experiência do usuário final.
+ **Capacidade de gerenciamento**: oferece visibilidade abrangente por meio de logs de conexão detalhados e recursos de gerenciamento em tempo real, como capacidade de monitorar e encerrar conexões ativas de clientes quando necessário.
+ **Integração profunda** — Integra-se perfeitamente aos serviços existentes da AWS, incluindo o AWS Directory Service Amazon VPC, aprimorando os recursos de conectividade da sua infraestrutura de nuvem.
+ **IPv6 suporte** — Permite IPv6 conectividade total para endpoints Client VPN, oferecendo suporte a conexões com IPv6 recursos em sua rede VPCs e de clientes para atender aos requisitos de rede modernos. IPv6
## Componentes do VPN do Cliente
Veja a seguir os principais conceitos de VPN do Cliente:
**Endpoint do cliente VPN**
O endpoint do cliente VPN é o recurso que você cria e configura para habilitar e gerenciar sessões do cliente VPN. É o ponto de término de todas as sessões da VPN do cliente.
**Rede de destino**
Uma rede de destino é a rede que você associa a um endpoint do cliente VPN. Uma sub-rede de uma VPC é uma rede de destino. Associar uma sub-rede a um endpoint do cliente VPN permite estabelecer sessões de VPN. É possível associar várias sub-redes a um endpoint do cliente VPN para alta disponibilidade. Todas as sub-redes devem ser provenientes da mesma VPC. Cada sub-rede deve pertencer a uma Zona de disponibilidade diferente.
**Rota**
Cada endpoint do cliente VPN tem uma tabela de rotas que descreve as rotas de redes de destino disponíveis. Cada rota na tabela de rotas especifica o caminho do tráfego para recursos ou redes específicos.
**Regras de autorização**
Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, configure o grupo do provedor de identidade (IdP) ou do Active Directory que tem permissão de acesso. Somente os usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização, e você deve configurá-las para permitir que os usuários acessem recursos e redes.
**Cliente**
O usuário final que se conecta ao endpoint do cliente VPN para estabelecer uma sessão de VPN. Para estabelecerem uma sessão de VPN, os usuários finais precisam baixar um cliente OpenVPN e usar o arquivo de configuração do VPN do Cliente que você criou.
**Intervalo CIDR do cliente**
Um intervalo de endereços IP do qual devem ser atribuídos endereços IP do cliente. Cada conexão com o endpoint do cliente VPN recebe um endereço IP exclusivo do intervalo CIDR do cliente. Para IPv4 tráfego, você escolhe o intervalo CIDR do cliente, por exemplo,`10.2.0.0/16`. Para IPv6 tráfego, atribui AWS Client VPN automaticamente o intervalo CIDR do cliente.
**Portas VPN do cliente**
AWS Client VPN suporta as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.
**Interfaces de rede da Client VPN**
Quando você associa uma sub-rede ao endpoint do cliente VPN, criamos interfaces de rede do VPN do Cliente nessa sub-rede. O tráfego enviado para a VPC do endpoint do cliente VPN é enviado por meio de uma interface de rede do VPN do Cliente. Para o IPv4 tráfego, a tradução do endereço de rede de origem (SNAT) é aplicada, em que o endereço IP de origem do intervalo CIDR do cliente é traduzido para o endereço IP da interface de rede do Client VPN. Para IPv6 tráfego, o SNAT não é aplicado, fornecendo maior visibilidade do endereço IP do usuário conectado.
**Registro em log de conexão**
É possível habilitar o registro em log de conexão para o endpoint do cliente VPN a fim de registrar eventos de conexão. É possível usar essas informações para executar perícia, analisar como seu endpoint da cliente VPN está sendo usado ou depurar problemas de conexão.
**Portal de autoatendimento**
Um Cliente VPN fornece um portal de autoatendimento como uma página da Web para que os usuários finais baixem a versão mais recente do AWS VPN Desktop Client e a versão mais recente do arquivo de configuração do endpoint do Cliente VPN, que contém as configurações necessárias para se conectar ao endpoint. O administrador do endpoint da Client VPN pode habilitar ou desabilitar o portal de autoatendimento para o endpoint da Client VPN. O portal de autoatendimento é um serviço global apoiado por pilhas de serviços nas seguintes regiões: Leste dos EUA (Norte da Virgínia), Ásia-Pacífico (Tóquio), Europa (Irlanda) e AWS GovCloud (Oeste dos EUA).
**Tipo de endereço IP do endpoint**
O tipo de endereço IP do endpoint Client VPN, que pode ser IPv4 IPv6, ou de pilha dupla (ambos e). IPv4 IPv6
**Tipo de endereço IP de tráfego**
O tipo de endereço IP do tráfego que flui pelo endpoint do Client VPN, que pode ser IPv4 IPv6, ou de pilha dupla (ambos e). IPv4 IPv6 Isso determina o tipo de tráfego interno (a carga útil real ou o tráfego original que é encapsulado pela conexão VPN), intervalos CIDR do cliente, associação de sub-rede, rotas e regras por endpoint.
## Trabalhar com o Cliente VPN
É possível trabalhar com a Client VPN de qualquer uma das seguintes formas:
**Console de gerenciamento da AWS**
O console fornece uma interface de usuário baseada na Web para a Client VPN.
O console fornece uma interface de usuário baseada na web para o Client VPN com dois métodos de configuração:
+ Configuração de início rápido: criação simplificada de endpoints com padrões recomendados pela AWS
+ Configuração padrão: controle total sobre todas as opções de configuração
Se você se inscreveu em um Conta da AWS, você pode entrar no console da [Amazon VPC](https://console.aws.amazon.com/vpc/) e selecionar Client VPN no painel de navegação.
**AWS Command Line Interface (AWS CLI)**
AWS CLI Fornece acesso direto ao público do Client VPN APIs. É compatível com Windows, macOS e Linux. Para obter mais informações sobre como começar a usar o AWS CLI, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/). Para ter mais informações sobre os comandos para o Client VPN, consulte a seção [EC2](https://docs.aws.amazon.com/cli/latest/reference/ec2/) da *Referência de linha de comandos do Amazon EC2*.
**AWS Tools for Windows PowerShell**
AWS fornece comandos para um amplo conjunto de AWS ofertas para quem cria scripts no PowerShell ambiente. Para obter mais informações sobre os conceitos básicos do AWS Tools for Windows PowerShell, consulte o [Guia do usuário do AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/). Para obter mais informações sobre cmdlets para a cliente VPN, consulte [Referência de cmdlets do AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/).
**API de consulta**
A API de consulta HTTPS do Client VPN fornece acesso programático ao Client VPN e. AWS A API de consulta HTTPS permite que você execute solicitações HTTPS diretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte [Ações do AWS Client VPN](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-cvpn.html).
## Definição de preço para Client VPN
Você é cobrado por cada associação de endpoint e cada conexão VPN por hora. Não há custo adicional para usar nossos endpoints IPv6 de pilha dupla; eles são cobrados na mesma taxa que os endpoints. IPv4 Para obter mais informações, consulte [Preços do AWS Client VPN](https://aws.amazon.com/vpn/pricing/#AWS_Client_VPN_pricing).
Você é cobrado pela transferência de dados do Amazon EC2 para a Internet. Para obter mais informações, consulte a seção [Data Transfer](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer) (Transferência de dados) na página de definição de preços sob demanda do Amazon EC2.
Se você ativar o registro de conexão para seu endpoint do Client VPN, deverá criar um grupo de CloudWatch registros de registros em sua conta. Aplicam-se cobranças ao uso de grupos de log. Para obter mais informações, consulte os [ CloudWatch preços da Amazon](https://aws.amazon.com/cloudwatch/pricing/) (em **Nível pago**, escolha **Logs**).
Se você habilitar o manipulador de conexão do cliente para o endpoint do cliente VPN, será necessário criar e invocar uma função do Lambda. Cobranças são aplicadas ao invocar funções do Lambda. Para obter mais informações, consulte [Preços do AWS Lambda](https://aws.amazon.com/lambda/pricing/).
Os Endpoints da Client VPN estão associados a uma rede de destino, que é uma sub-rede em uma VPC. Se essa VPC tiver um Internet Gateway, associaremos endereços IP elásticos às interfaces de rede elástica do Client VPN ()ENIs. Esses endereços IP elásticos são cobrados como IPv4 endereços públicos em uso. Para obter mais informações, consulte a guia IPv4 Endereço público na página de [preços da VPC](https://aws.amazon.com/vpc/pricing/).
**nota**
Os endpoints do Client VPN exigem endereços IP elásticos quando associados a uma sub-rede VPC que tenha um Internet Gateway, pois EIPs eles permitem a conectividade direta com a Internet para clientes VPN. Ao se conectarem por meio de um endpoint do Client VPN, eles precisam de um endereço IP público para se comunicar com os recursos da internet. A Elastic IPs atende a esse propósito fornecendo um endpoint consistente voltado para o público. Eles EIPs estão conectados às interfaces de rede elástica (ENIs) do Client VPN e são essenciais para manter o acesso estável e seguro à Internet para clientes VPN e, ao mesmo tempo, garantir o roteamento adequado do tráfego. Como esses endereços IP elásticos são alocados e usados ativamente para o serviço Client VPN, eles são AWS cobrados como IPv4 endereços públicos em uso, seguindo seu modelo de preços padrão para alocação e associação. EIPs
# Regras e melhores práticas de uso AWS Client VPN
As seguintes seções descrevem as regras e práticas recomendadas para utilizar o AWS Client VPN:
**Topics**
+ [Requisitos de rede e largura de banda](#bp-nw)
+ [Configuração de sub-rede e VPC](#bp-subnet)
+ [Autenticação e segurança](#bp-auth)
+ [Requisitos de conexão e DNS](#bp-dns)
+ [Limitações e restrições](#bp-limits)
## Requisitos de rede e largura de banda
+ AWS Client VPN é um serviço totalmente gerenciado que se expande automaticamente para acomodar conexões adicionais de usuários e requisitos de largura de banda. Cada conexão de usuário tem uma largura de banda básica máxima de 50 Mbps.
A largura de banda real que você experimenta ao se conectar por meio de um endpoint do Client VPN pode variar com base em vários fatores. Esses fatores incluem tamanho de pacote, composição do tráfego (combinação TCP/UDP), políticas de rede (modelagem ou controle de utilização) em redes intermediárias, condições da internet, requisitos específicos da aplicação e número total de conexões de usuários simultâneas. Se você estiver atingindo o limite máximo de largura de banda, é possível solicitar um aumento por meio do AWS Support.
+ Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint da Client VPN.
+ Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.
+ Uma parte dos endereços no intervalo de CIDR do cliente é usada para oferecer compatibilidade com o modelo de disponibilidade do endpoint do cliente VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer compatibilidade no endpoint do cliente VPN.
+ O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do cliente VPN.
+ O Client VPN oferece suporte a IPv4 IPv6, e tráfego de pilha dupla (ambos IPv4 e IPv6). Para obter mais detalhes sobre IPv6 suporte, consulte[Considerações sobre IPv6 para AWS Client VPNConsiderações sobre IPv6](ipv6-considerations.md).
+
+ O endereço IP de origem é convertido no endereço IP do endpoint do Client VPN.
+ O número da porta de origem original do cliente permanece inalterado.
+ O Client VPN executa a conversão de endereços de porta (PAT) somente quando usuários simultâneos estão se conectando com o mesmo destino. A conversão de portas é automática e necessária para atender a várias conexões simultâneas por meio do mesmo endpoint de VPN.
+ Na conversão do IP de origem, o endereço IP de origem é convertido no endereço IP do Client VPN.
+ Na conversão da porta de origem para conexões de um único cliente, o número da porta de origem original pode permanecer inalterado.
+ Na conversão da porta de origem para vários clientes que se conectam ao mesmo destino (o mesmo endereço IP e porta de destino), o Client VPN realiza a conversão de portas para garantir conexões exclusivas.
Por exemplo, quando dois clientes, cliente 1 e cliente 2, se conectam ao mesmo servidor e porta de destino por meio de um endpoint do Client VPN:
+ A porta original do cliente 1 (por exemplo, `9999`) pode ser convertida em uma porta diferente (por exemplo, porta `4306`).
+ A porta original do cliente 2 (por exemplo, `9999`) pode ser convertida em uma porta exclusiva diferente do cliente 1 (por exemplo, porta `63922`).
+ Para IPv6 tráfego, o Client VPN não executa Network Address Translation (NAT). Isso fornece maior visibilidade do IPv6 endereço do usuário conectado.
## Configuração de sub-rede e VPC
+ As sub-redes associadas a um endpoint do cliente VPN deve estar na mesma VPC.
+ Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do cliente VPN.
+ Um endpoint do cliente VPN não é compatível com associações de sub-rede em uma VPC de locação dedicada.
+ Para tráfego de pilha dupla IPv6 ou de pilha dupla, as sub-redes associadas devem ter IPv6 intervalos CIDR de pilha dupla.
+ Para endpoints de pilha dupla, não é possível associar mais de uma sub-rede por zona de disponibilidade.
## Autenticação e segurança
+ O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.
+ Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, as senhas de usuário não poderão estar no formato a seguir.
```
SCRV1:base64_encoded_string:base64_encoded_string
```
+ Os certificados usados no AWS Client VPN devem seguir a [RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) bem como as extensões de certificado específicas na seção 4.2 do memorando.
+ Nomes de usuário com caracteres especiais podem causar erros de conexão.
+ O tamanho máximo do nome de usuário é de 1024 bytes. Conexões com nomes de usuário mais longos serão rejeitadas.
## Requisitos de conexão e DNS
+ Não é recomendável se conectar a um endpoint da Client VPN usando endereços IP. Como a Client VPN é um serviço gerenciado, você ocasionalmente verá alterações nos endereços IP aos quais o nome DNS resolve. Além disso, você verá as interfaces de rede do Client VPN excluídas e recriadas em seus CloudTrail registros. É recomendável se conectar ao endpoint da Client VPN usando o nome DNS fornecido.
+ O serviça Client VPN exige que o endereço IP ao qual o cliente está conectado corresponda ao IP para o qual o nome DNS do endpoint da Client VPN resolve. Em outras palavras, se você definir um registro DNS personalizado para o endpoint Client VPN e encaminhar o tráfego para o endereço IP real para o qual o nome DNS do endpoint é resolvido, essa configuração não funcionará usando clientes fornecidos recentemente. AWS Esta regra foi adicionada para mitigar um ataque de IP do servidor, conforme descrito aqui: [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/).
+ Você pode usar um cliente AWS fornecido para se conectar a várias sessões simultâneas de DNS. No entanto, para que a resolução de nomes funcione corretamente, os servidores de DNS de todas as conexões devem ter registros sincronizados.
+ O serviço da Client VPN exige que os intervalos de endereços IP da rede local (LAN) dos dispositivos clientes estejam dentro dos seguintes intervalos de endereços IP privados padrão: `10.0.0.0/8`, `172.16.0.0/12`, `192.168.0.0/16` ou `169.254.0.0/16`. Se for detectado que o intervalo de endereços da LAN do cliente está fora dos intervalos acima, o endpoint da Client VPN enviará automaticamente a diretiva OpenVPN “redirect-gateway block-local” para o cliente, forçando todo o tráfego da LAN para a VPN. Portanto, se você precisar de acesso à LAN durante as conexões VPN, é recomendável usar os intervalos de endereços convencionais listados acima para sua LAN. Esta regra é aplicada para mitigar as chances de um ataque local na rede, conforme descrito aqui:. [TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)
+ No Windows, quando um endpoint de túnel completo é usado, todo o tráfego DNS é forçado a passar pelo túnel, independentemente do tipo de endereço IP do endpoint (IPv4 IPv6ou pilha dupla). Para que o DNS funcione, um servidor de DNS deve estar configurado e acessível dentro do túnel.
## Limitações e restrições
+ Atualmente, o encaminhamento de IP não é suportado ao usar o aplicativo AWS Client VPN de desktop. O encaminhamento de IP é compatível com outros clientes.
+ A Client VPN não é compatível com a replicação de várias regiões no AWS Managed Microsoft AD. O endpoint do Client VPN deve estar na mesma região do AWS Managed Microsoft AD recurso.
+ Não será possível estabelecer uma conexão de VPN em um computador se houver vários usuários conectados ao sistema operacional.
+ Client-to-client a comunicação não é suportada por IPv6 clientes. Se um IPv6 cliente tentar se comunicar com outro IPv6 cliente, o tráfego será interrompido.
+ IPv6 e os endpoints de pilha dupla exigem que os dispositivos do usuário e os provedores de serviços de Internet (ISPs) suportem a configuração IP correspondente.