Erste Schritte mit AWS-Client-VPN - AWS Client VPN
VoraussetzungenSchritt 1: Erstellen von Server- und Client-ZertifikatenSchritt 2: Erstellen eines Client VPN-EndpunktsSchritt 3: Zuordnen eines ZielnetzwerksSchritt 4: Hinzufügen einer Autorisierungsregel für die VPCSchritt 5: Erteilen des Zugriffs auf das Internet.Schritt 6: Überprüfen der Sicherheitsgruppen-AnforderungenSchritt 7: Herunterladen der Konfigurationsdatei für den Client-VPN-EndpunktSchritt 8: Herstellen einer Verbindung zum Client-VPN-Endpunkt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS-Client-VPN

In diesem Tutorial erstellen Sie einen Client-VPN-Endpunkt, der folgende Funktionen erfüllt:

Das folgende Diagramm zeigt die Konfiguration Ihrer VPC und des Client VPN-Endpunkts nach Abschluss dieses Tutorials.

Client VPN beim Zugriff auf das Internet

Voraussetzungen

Stellen Sie vor Beginn dieses Erste-Schritte-Tutorials sicher, dass Sie über Folgendes verfügen:

  • Die für die Arbeit mit Client VPN-Endpunkten erforderlichen Berechtigungen.

  • Die Berechtigungen, die zum Importieren von Zertifikaten in AWS Certificate Manager erforderlich sind.

  • Eine VPC mit mindestens einem Subnetz und einem Internet-Gateway. Die mit Ihrem Subnetz verknüpfte Routing-Tabelle muss über eine Route zum Internet-Gateway verfügen.

Schritt 1: Erstellen von Server- und Client-Zertifikaten

Dieses Tutorial verwendet die gegenseitige Authentifizierung. Bei der gegenseitigen Authentifizierung verwendet Client VPN Zertifikate zur Authentifizierung zwischen den Clients und dem Client-VPN-Endpunkt. Sie benötigen ein Serverzertifikat und einen Serverschlüssel sowie mindestens ein Client-Zertifikat und -einen Client-Schlüssel. Zumindest muss das Serverzertifikat in AWS Certificate Manager (ACM) importiert und beim Erstellen des Client-VPN-Endpunkts angegeben werden. Das Importieren des Client-Zertifikats in ACM ist optional.

Wenn Sie noch keine Zertifikate haben, die Sie für diesen Zweck verwenden können, können diese über das OpenVPN-Dienstprogramm easy-rsa erstellt werden. Ausführliche Schritte zum Generieren der Server- und Client-Zertifikate und Schlüssel unter Verwendung des OpenVPN-Dienstprogramms easy-rsa sowie zu deren Import in ACM finden Sie unter Gegenseitige Authentifizierung.

Anmerkung

Das Serverzertifikat muss mit AWS Certificate Manager (ACM) in derselben AWS-Region bereitgestellt werden, in der Sie den Client-VPN-Endpunkt erstellen, oder dorthin importiert werden.

Schritt 2: Erstellen eines Client VPN-Endpunkts

Ein Client VPN-Endpunkt ist die Ressource, die Sie erstellen und konfigurieren, um Client VPN-Sitzungen zu aktivieren und zu verwalten. Es handelt sich hier um den Beendigungspunkt für alle Client-VPN-Sitzungen.

So erstellen Sie einen Client VPN-Endpunkt

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client-VPN-Endpunkte) und dann Create Client VPN Endpoint (Client-VPN-Endpunkt erstellen) aus.

  3. (Optional) Geben Sie ein Namens-Tag und eine Beschreibung für den Client-VPN-Endpunkt ein.

  4. Geben Sie für Client IPv4-CIDR den IP-Adressbereich, in CIDR-Notation, ein, aus dem die Client-IP-Adressen zugewiesen werden.

    Anmerkung

    Der IP-Adressbereich darf sich nicht mit dem Zielnetzwerk-Adressbereich, dem VPC-Adressbereich oder einer der Routen überschneiden, die dem Client-VPN-Endpunkt zugeordnet werden. Der Client-Adressbereich muss eine CIDR-Blockgröße von mindestens /22 und maximal /12 aufweisen. Sie können den Client-Adressbereich nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.

  5. Wählen Sie für Server certificate ARN (Serverzertifikats-ARN) den ARN des Serverzertifikats aus, das Sie in Schritt 1 erstellt haben.

  6. Wählen Sie unter Authentication options (Authentifizierungsoptionen) Use mutual authentication (Wechselseitige Authentifizierung verwenden) und dann für Client certificate ARN (Client-Zertifikats-ARN) den ARN des Zertifikats aus, das Sie als Client-Zertifikat verwenden möchten.

    Wenn das Server- und das Client-Zertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats sowohl für die Client- als auch für die Serverzertifikate verwenden. In diesem Szenario kann jedes Client-Zertifikat, das dem Serverzertifikat entspricht, zur Authentifizierung verwendet werden.

  7. Behalten Sie die übrigen Standardeinstellungen bei und wählen Sie Create Client VPN endpoint (Client-VPN-Endpunkt erstellen) aus.

Nachdem Sie den Client VPN-Endpunkt erstellt haben, lautet sein Status pending-associate. Clients können nur eine VPN-Verbindung herstellen, nachdem Sie mindestens ein Zielnetzwerk verknüpft haben.

Weitere Informationen zu den Optionen, die Sie für einen eines Client VPN-Endpunkt angeben können, finden Sie unter Erstellen eines Client VPN-Endpunkts.

Schritt 3: Zuordnen eines Zielnetzwerks

Damit Clients eine VPN-Sitzung erstellen können, ordnen Sie dem Client-VPN-Endpunkt ein Zielnetzwerk zu. Ein Zielnetzwerk ist ein Subnetz in einer VPC.

Zuordnen eines Zielnetzwerks zu einem Client-VPN-Endpunkt

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den im vorherigen Verfahren erstellten Client-VPN-Endpunkt und anschließend Target network associations (Zielnetzwerkzuordnungen), Associate target network (Zielnetzwerk zuordnen) aus.

  4. Wählen Sie für VPC die VPC aus, in der sich das Subnetz befindet.

  5. Wählen Sie für Choose a subnet to associate (Zuzuordnendes Subnetz auswählen) das Subnetz aus, das dem Client-VPN-Endpunkt zugeordnet werden soll.

  6. Wählen Sie Associate target network (Zielnetzwerk zuordnen) aus.

  7. Wenn es die Autorisierungsregeln zulassen, genügt eine Subnetz-Zuordnung, damit Clients auf das gesamte Netzwerk einer VPC zugreifen können. Sie können zusätzliche Subnetze verknüpfen, um eine hohe Verfügbarkeit zu gewährleisten, falls eine Availability Zone beschädigt wird.

Wenn Sie dem Client VPN-Endpunkt das erste Subnetz zuordnen, geschieht Folgendes:

  • Der Status des Client VPN-Endpunkts ändert sich in available. Clients können jetzt eine VPN-Verbindung herstellen, aber sie können erst auf Ressourcen in der VPC zugreifen, wenn Sie die Autorisierungsregeln hinzugefügt haben.

  • Die lokale Route der VPC wird der Client VPN-Endpunkt-Routing-Tabelle automatisch hinzugefügt.

  • Die Standard-Sicherheitsgruppe der VPC wird für den Client-VPN-Endpunkt automatisch angewendet.

Schritt 4: Hinzufügen einer Autorisierungsregel für die VPC

Damit Clients auf die VPC zugreifen können, muss es eine Route zur VPC in der Routing-Tabelle des Client-VPN-Endpunkts sowie eine Autorisierungsregel geben. Die Route wurde bereits im vorherigen Schritt automatisch hinzugefügt. In diesem Tutorial soll allen Benutzern Zugriff auf die VPC gewährt werden.

So fügen Sie eine Autorisierungsregel für die VPC hinzu

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den Client-VPN-Endpunkt aus, zu dem die Autorisierungsregel hinzugefügt werden soll. Wählen Sie Authorization rules (Autorisierungsregeln) und dann Add authorization rule (Autorisierungsregel hinzufügen) aus.

  4. Geben Sie unter Destination network to enable access (Zielnetzwerk, für das Zugriff erlaubt werden soll) den CIDR des Netzwerks ein, für das sie den Zugriff erlauben möchten. Wenn Sie beispielsweise den Zugriff auf die gesamte VPC erlauben möchten, geben Sie den IPv4-CIDR-Block der VPC an.

  5. Wählen Sie unter Grant access to (Zugriff gewähren für) die Option Allow access to all users (Zugriff für alle Benutzer gewähren) aus.

  6. Geben Sie unter Description (Beschreibung) eine kurze Beschreibung der Autorisierungsregel ein.

  7. Wählen Sie Add authorization rule (Autorisierungsregel hinzufügen) aus.

Schritt 5: Erteilen des Zugriffs auf das Internet.

Sie können den Zugriff auf zusätzliche Netzwerke, die mit der VPC verbunden sind, wie z. B. AWS-Dienste, per Peering verbundene VPCs und On-Premises-Netzwerke, erteilen. Für jedes zusätzliche Netzwerk fügen Sie dem Netzwerk in der Routing-Tabelle des Client-VPN-Endpunkts eine Route hinzu und konfigurieren eine Autorisierungsregel, um Clients Zugriff zu gewähren.

In diesem Tutorial soll allen Benutzern Zugriff auf das Internet sowie auf die VPC gewährt werden. Sie haben bereits den Zugriff auf die VPC konfiguriert, daher wird in diesem Schritt Zugriff auf das Internet erteilt.

So erteilen Sie Zugriff auf das Internet

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den Client-VPN-Endpunkt aus, den Sie für dieses Tutorial erstellt haben. Wählen Sie Route Table (Routing-Tabelle) und dann Create Route (Route erstellen) aus.

  4. Geben Sie für Route destination (Routing-Ziel), 0.0.0.0/0 ein. Geben Sie für Subnet ID for target network association (Subnetz-ID für die Zielnetzwerkzuordnung) die ID des Subnetzes ein, über das der Datenverkehr geleitet werden soll.

  5. Klicken Sie auf Create Route (Route erstellen).

  6. Wählen Sie Authorization rules (Autorisierungsregeln) und dann Add authorization rule (Autorisierungsregel hinzufügen) aus.

  7. Geben Sie für Destination network to enable access (Zielnetzwerk, für das Zugriff erteilt werden soll) 0.0.0.0/0 ein und wählen Sie Allow access to all users (Zugriff für alle Benutzer gewähren) aus.

  8. Wählen Sie Add authorization rule (Autorisierungsregel hinzufügen) aus.

Schritt 6: Überprüfen der Sicherheitsgruppen-Anforderungen

In diesem Tutorial wurden bei der Erstellung des Client-VPN-Endpunkts in Schritt 2 keine Sicherheitsgruppen angegeben. Somit wird automatisch die Standardsicherheitsgruppe für die VPC auf den Client-VPN-Endpunkt angewendet, wenn ein Zielnetzwerk zugeordnet wird. Folglich sollte die Standardsicherheitsgruppe für die VPC jetzt dem Client-VPN-Endpunkt zugeordnet werden.

Stellen Sie sicher, dass die folgenden Sicherheitsgruppen-Anforderungen erfüllt sind:

  • Die Sicherheitsgruppe, die dem Subnetz zugeordnet ist, durch das Sie den Datenverkehr leiten (in diesem Fall die Standard-VPC-Sicherheitsgruppe), lässt ausgehenden Datenverkehr zum Internet zu. Fügen Sie zu diesem Zweck eine Regel für ausgehenden Datenverkehr hinzu, die den gesamten Datenverkehr zum Ziel-0.0.0.0/0 zulässt.

  • Die Sicherheitsgruppen für die Ressourcen in Ihrer VPC verfügen über eine Regel, die den Zugriff von der Sicherheitsgruppe zulässt, die auf den Client-VPN-Endpunkt (in diesem Fall die Standard-VPC-Sicherheitsgruppe) angewendet wird. Auf diese Weise können Ihre Clients auf die Ressourcen in Ihrer VPC zugreifen.

Weitere Informationen finden Sie unter Sicherheitsgruppen.

Schritt 7: Herunterladen der Konfigurationsdatei für den Client-VPN-Endpunkt

Der nächste Schritt besteht darin, die Client-VPN-Endpunkt-Konfigurationsdatei herunterzuladen und vorzubereiten. Die Konfigurationsdatei enthält die Client-VPN-Endpunktdetails und die Zertifikatsinformationen, die für eine VPN-Verbindung erforderlich sind. Diese Datei stellen Sie den Endbenutzern, die eine Verbindung mit dem Client-VPN-Endpunkt benötigen, zur Verfügung. Die Endbenutzer verwenden die Datei zur Konfiguration ihrer VPN-Client-Anwendung.

So laden Sie die Client VPN-Endpunkt-Konfigurationsdatei herunter und bereiten sie vor

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den Client-VPN-Endpunkt aus, den Sie für dieses Tutorial erstellt haben, und wählen Sie Download client configuration (Client-Konfiguration herunterladen) aus.

  4. Suchen Sie das Client-Zertifikat und den Schlüssel, die in Schritt 1 generiert wurden. Das Client-Zertifikat und den Schlüssel finden Sie an den folgenden Speicherorten im geklonten OpenVPN Easy-RSA-Repository:

    • Client-Zertifikat — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • Client-Schlüssel — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. Öffnen Sie die Client-VPN-Endpunktkonfigurationsdatei mit Ihrem bevorzugten Texteditor. Fügen Sie der Datei die Tags <cert></cert> und <key></key> hinzu. Platzieren Sie den Inhalt des Client-Zertifikats und den Inhalt des privaten Schlüssels zwischen den entsprechenden Tags:

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. Speichern und schließen Sie die Client VPN-Endpunkt-Konfigurationsdatei.

  7. Verteilen Sie die Client-VPN-Endpunkt-Konfigurationsdatei an Ihre Endbenutzer.

Weitere Hinweise zur Client VPN-Endpunkt-Konfigurationsdatei finden Sie unter Exportieren und Konfigurieren der Client-Konfigurationsdatei.

Schritt 8: Herstellen einer Verbindung zum Client-VPN-Endpunkt

Sie können über den von AWS bereitgestellten Client oder eine andere OpenVPN-basierte Client-Anwendung und die soeben erstellte Konfigurationsdatei eine Verbindung mit dem Client-VPN-Endpunkt herstellen. Weitere Informationen finden Sie im AWS Client VPN-Benutzerhandbuch.