Was ist AWS Client VPN? - AWS Client VPN

Was ist AWS Client VPN?

AWS Client VPN ist ein verwalteter clientbasierter VPN-Service, der Ihnen einen sicheren Zugriff auf Ihre AWS-Ressourcen sowie auf Ressourcen in Ihrem Netzwerk vor Ort ermöglicht. Mit Client-VPN können Sie von jedem Standort aus über einen OpenVPN-basierten VPN-Client auf Ihre Ressourcen zugreifen.

Funktionen von Client-VPN

Client-VPN bietet die folgenden Funktionen und Funktionalitäten:

  • Sichere Verbindungen: Informationen über OpenVPN-Prozesse. — Der Service bietet eine sichere TLS-Verbindung von jedem Standort aus über den OpenVPN-Client.

  • Managed Service – Hierbei handelt es sich um einen AWS Managed Service, der den betrieblicher Aufwand für die Bereitstellung und Verwaltung einer Drittanbieter-RAS-VPN-Lösung eliminiert.

  • Hohe Verfügbarkeit und Elastizität — Skaliert automatisch entsprechend der Anzahl der Benutzer, die sich mit Ihren AWS-Ressourcen und On-Premise-Ressourcen verbinden.

  • Authentifizierung: Unterstützt wird die Client-Authentifizierung mithilfe von Active Directory, die Verbundauthentifizierung und die zertifikatbasierte Authentifizierung.

  • Granular control (Detaillierte Kontrolle) – Mit dieser Funktion können Sie benutzerdefinierte Sicherheitskontrollen implementieren, indem Sie netzwerkbasierte Zugriffsregeln definieren. Diese Regeln können unter Berücksichtigung der Granularität von Active Directory-Gruppen konfiguriert werden. Sie können die Zugriffskontrolle auch mit Sicherheitsgruppen implementieren.

  • Anwenderfreundlichkeit – Sie können mithilfe eines einzelnen VPN-Tunnels auf Ihre AWS-Ressourcen und Ressourcen vor Ort zugreifen.

  • Verwaltbarkeit – Sie können Verbindungsprotokolle anzeigen, die Einzelheiten zu Client-Verbindungsversuchen zur Verfügung stellen. Sie können aktive Client-Verbindungen auch verwalten, und zwar mit der Möglichkeit, diese Verbindungen zu beenden.

  • Umfassende Integration – Es besteht eine Integration in vorhandene AWS-Services, einschließlich AWS Directory Service und Amazon VPC.

Komponenten im Client-VPN

Die wichtigsten Komponenten im Client-VPN sind folgende:

Client-VPN-Endpunkt

Der Client-VPN-Endpunkt ist die Ressource, die Sie erstellen und so konfigurieren, dass Client-VPN-Sitzungen aktiviert und verwaltet werden. Es ist die Ressource, in der alle Client-VPN-Sitzungen beendet werden.

Ziel-Netzwerk

Ein Ziel-Netzwerk ist das Netzwerk, das Sie mit einem Client-VPN-Endpunkt verknüpfen. Ein Subnetz aus einer VPC ist ein Ziel-Netzwerk. Durch Verknüpfen eines Subnetzes mit einem Client-VPN-Endpunkt können Sie VPN-Sitzungen einrichten. Sie können mehrere Subnetze mit einem Client-VPN-Endpunkt verknüpfen, um eine hohe Verfügbarkeit zu gewährleisten. Alle Subnetze müssen sich in derselben VPC befinden. Jedes Subnetz muss einer anderen Availability Zone angehören.

Route

Jeder Client-VPN-Endpunkt verfügt über eine Routing-Tabelle zur Beschreibung der verfügbaren Ziel-Netzwerk-Routen. Jede Route in der Routing-Tabelle gibt den Pfad für den Datenverkehr zu bestimmten Ressourcen oder zu Netzwerken an.

Autorisierungsregeln

Eine Autorisierungsregel beschränkt die Benutzer, die auf ein Netzwerk zugreifen können. Sie können für ein bestimmtes Netzwerk die Active Directory- oder Identitätsanbietergruppe konfigurieren, die Zugriff erhalten soll. Nur Benutzer, die dieser Gruppe angehören, können auf das angegebene Netzwerk zugreifen. Standardmäßig gibt es keine Autorisierungsregeln. Sie müssen Autorisierungsregeln konfigurieren, damit Benutzer auf Ressourcen und Netzwerke zugreifen können.

Client

Dies ist der Endbenutzer, der eine Verbindung mit dem Client-VPN-Endpunkt herstellt, um eine VPN-Sitzung einzurichten. Die Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client-VPN-Konfigurationsdatei verwenden, die Sie zum Einrichten einer VPN-Sitzung erstellt haben.

CIDR-Bereich des Clients

Ein IP-Adressbereich, aus dem Client-IP-Adressen zugewiesen werden sollen. Jeder Verbindung zum Client-VPN-Endpunkt wird eine eindeutige IP-Adresse aus dem Client-CIDR-Bereich zugewiesen. Sie wählen den Client-CIDR-Bereich, zum Beispiel 10.2.0.0/16.

Client-VPN-Ports

AWS Client VPN unterstützt die Ports 443 und 1194 sowohl für TCP als auch für UDP. Der Standard ist Port 443.

Client-VPN-Netzwerkschnittstellen

Wenn Sie ein Subnetz mit Ihrem Client-VPN-Endpunkt verknüpfen, erstellen wir Client-VPN-Netzwerkschnittstellen in diesem Subnetz. Datenverkehr, der vom Client-VPN-Endpunkt an die VPC gesendet wird, wird über eine Client-VPN-Netzwerkschnittstelle gesendet. Anschließend wird die Quell-Netzwerkadressübersetzung (SNAT) angewendet, wobei die Quell-IP-Adresse aus dem CIDR-Bereich des Clients in die Client-VPN-Netzwerkschnittstellen-IP-Adresse übersetzt wird.

Verbindungsprotokollierung

Sie können die Verbindungsprotokollierung für Ihren Client-VPN-Endpunkt aktivieren, um Verbindungsereignisse zu protokollieren. Sie können diese Informationen verwenden, um Forensik auszuführen, zu analysieren, wie Ihr Client-VPN-Endpunkt verwendet wird, oder Verbindungsprobleme zu debuggen.

Arbeiten mit Client-VPN

Sie können Client-VPN auf folgende Art und Weise nutzen:

Amazon VPC-Konsole

Die Amazon VPC-Konsole bietet eine webbasierte Benutzeroberfläche für Client-VPN. Wenn Sie ein AWS-Konto registriert haben, können Sie sich in der Amazon VPC-Konsole anmelden und Client-VPN im Navigationsbereich auswählen.

AWS Command Line Interface (CLI)

Die AWS CLI ermöglicht den direkten Zugriff auf die öffentlichen Client-VPN-APIs. Sie wird unter Windows, macOS und Linux unterstützt. Weitere Informationen zu den ersten Schritten mit der AWS CLI finden Sie im Benutzerhandbuch für AWS Command Line Interface. Weitere Informationen über die Befehle für Client-VPN finden Sie im AWS CLI Command Reference.

AWS-Tools für Windows PowerShell

AWS bietet Befehle für zahlreiche AWS-Produkte für Benutzer, die Skripts in der PowerShell-Umgebung erstellen. Weitere Informationen zu den ersten Schritten mit AWS-Tools für Windows PowerShell finden Sie im AWS-Tools für Windows PowerShell-Benutzerhandbuch. Weitere Informationen über die cmdlets für Client-VPN finden Sie in der AWS-Tools für Windows PowerShell-Cmdlet-Referenz.

Abfrage-API

Die Client-VPN-HTTPS-Query-API bietet programmgesteuerten Zugriff auf Client-VPN und AWS. Mit der HTTPS-Query-API können Sie HTTPS-Anforderungen direkt an den Service richten. Wenn Sie die HTTPS-API nutzen, müssen Sie Code zur digitalen Signierung von Anfragen über Ihre Anmeldeinformationen einsetzen. Weitere Informationen finden Sie in der Client-VPN-API-Referenz.

Einschränkungen und Regeln von Client-VPN

Client-VPN unterliegt den folgenden Regeln und Einschränkungen:

  • Client-CIDR-Bereiche dürfen sich mit dem lokalen CIDR der VPC, in der sich das zugeordnete Subnetz befindet, oder mit Routen, die der Routing-Tabelle des Client-VPN-Endpunkts manuell hinzugefügt wurden, nicht überschneiden.

  • Client-CIDR-Bereiche müssen eine Blockgröße von mindestens /22 haben und dürfen nicht größer als /12 sein.

  • Ein Teil der Adressen im Client-CIDR-Bereich wird zur Unterstützung des Verfügbarkeitsmodells des Client-VPN-Endpunkts verwendet und kann Clients nicht zugewiesen werden. Wir empfehlen daher, dass Sie einen CIDR-Block zuweisen, der die doppelte Anzahl von IP-Adressen enthält, die erforderlich sind, um die maximale Anzahl gleichzeitiger Verbindungen zu ermöglichen, die Sie auf dem Client-VPN-Endpunkt zu unterstützen planen.

  • Der Client-CIDR-Bereich kann nicht mehr geändert werden, nachdem Sie den Client-VPN-Endpunkt erstellt haben.

  • Die Subnetze, die einem Client-VPN-Endpunkt zugeordnet sind, müssen sich in derselben VPC befinden.

  • Sie können nicht mehrere Subnetze derselben Availability Zone mit einem Client-VPN-Endpunkt verknüpfen.

  • Ein Client-VPN-Endpunkt unterstützt keine Subnetzzuordnungen in einer dedizierten Mandanten-VPC.

  • Client-VPN unterstützt nur IPv4-Datenverkehr.

  • Client-VPN ist nicht mit dem Health Insurance Portability and Accountability Act (HIPAA) oder den Federal Information Processing Standards (FIPS) konform.

  • Wenn Multi-Factor Authentication (MFA) für Ihr Active Directory deaktiviert ist, darf ein Benutzerpasswort nicht im folgenden Format vorliegen.

    SCRV1:<base64_encoded_string>:<base64_encoded_string>

Preisgestaltung für Client-VPN

Sie zahlen pro aktive Zuordnung und Client-VPN-Endpunkt auf Stundenbasis. Die Fakturierung erfolgt anteilig für jede Stunde.

Sie zahlen für jede Client-VPN-Verbindung pro Stunde. Die Fakturierung erfolgt anteilig für jede Stunde.

Weitere Informationen finden Sie unter AWS Client VPN-Preise.

Wenn Sie die Verbindungsprotokollierung für Ihren Client-VPN-Endpunkt aktivieren, müssen Sie eine CloudWatch Logs-Protokollgruppe in Ihrem Konto erstellen. Für die Verwendung von Protokollgruppen fallen Gebühren an. Weitere Informationen finden Sie unter Amazon CloudWatch – Preise.