Mise en route avec AWS Client VPN - AWS Client VPN
PrérequisÉtape 1 : Générer des certificats et des clés de serveur et clientÉtape 2 : Créer un point de terminaison Client VPNÉtape 3 : Associer un réseau cibleÉtape 4 : Ajouter une règle d'autorisation pour le VPCÉtape 5 : Fournir l'accès à Internet.Étape 6 : Vérifier les exigences requises pour les groupes de sécuritéÉtape 7 : Télécharger le fichier de configuration du point de terminaison Client VPNÉtape 8 : Se connecter au point de terminaison VPN client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en route avec AWS Client VPN

Dans ce didacticiel, vous allez créer un point de terminaison Client VPN qui :

  • Fournit à tous les clients l'accès à un VPC unique.

  • Fournit à tous les clients l'accès à Internet.

  • Utilise l'authentification mutuelle.

Le diagramme suivant représente la configuration de votre VPC et de votre point de terminaison Client VPN à la fin de ce didacticiel.

Client VPN accédant à Internet

Prérequis

Avant de commencer ce didacticiel de démarrage, assurez-vous de disposer des éléments suivants :

  • Les autorisations requises pour travailler avec les points de terminaison Client VPN.

  • Les autorisations requises pour importer des certificats dans AWS Certificate Manager.

  • VPC avec au moins un sous-réseau et une passerelle Internet. La table de routage associée à votre sous-réseau doit avoir une route vers la passerelle Internet.

Étape 1 : Générer des certificats et des clés de serveur et client

Ce didacticiel utilise l'authentification mutuelle. Avec l'authentification mutuelle, le VPN Client utilise des certificats pour procéder à l'authentification entre le client et le serveur. Vous devrez créer un certificat et une clé de serveur, et au moins un certificat client et une clé. Au minimum, le certificat de serveur devra être importé dans AWS Certificate Manager (ACM) et spécifié lorsque vous créez le point de terminaison Client VPN. L'importation du certificat client dans ACM est facultative.

Si vous ne disposez pas déjà de certificats à utiliser à cette fin, ils peuvent être créés à l'aide de l'utilitaire OpenVPN easy-rsa. Pour obtenir une présentation détaillée des étapes requises pour générer les certificats et les clés de serveur et client à l'aide de l'utilitaire Easy RSA OpenVPN et les importer dans ACM, consultez Authentification mutuelle.

Note

Le certificat de serveur doit être provisionné ou importé dans AWS Certificate Manager (ACM) dans la même région AWS où vous créez le point de terminaison Client VPN.

Étape 2 : Créer un point de terminaison Client VPN

Le point de terminaison VPN Client est la ressource que vous créez et configurez pour activer et gérer des sessions VPN Client. Il s'agit du point de terminaison pour toutes les sessions VPN client.

Pour créer un point de terminaison Client VPN

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN), puis choisissez Create Client VPN Endpoint (Créer un point de terminaison Client VPN).

  3. (Facultatif) Fournissez une balise de nom et une description pour le point de terminaison Client VPN.

  4. Pour CIDR IPv4 client, spécifiez une plage d'adresses IP, en notation CIDR, à partir de laquelle attribuer des adresses IP client.

    Note

    La plage d'adresses ne peut pas chevaucher le réseau cible, la plage d'adresses VPC ou les routes qui seront associées au point de terminaison Client VPN. La plage d'adresses du client doit être au minimum /22 et ne doit pas dépasser la taille de bloc CIDR /12. Vous ne pouvez pas modifier la plage d'adresses client après avoir créé le point de terminaison Client VPN.

  5. Pour Server certificate ARN (ARN du certificat de serveur), sélectionnez l'ARN du certificat de serveur que vous avez généré lors de l'Étape 1.

  6. Sous Authentication options (Options d'authentification), choisissez Use mutual authentication (Utiliser l'authentification mutuelle), puis pour Client certificate ARN (ARN de certificat client), sélectionnez l'ARN du certificat à utiliser comme certificat client.

    Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser l'ARN du certificat du serveur à la fois pour les certificats de serveur et de client. Dans ce scénario, tout certificat client correspondant au certificat de serveur peut être utilisé pour s'authentifier.

  7. Vous pouvez conserver le reste des paramètres par défaut, puis sélectionner Créer un point de terminaison Client VPN.

Après avoir créé le point de terminaison Client VPN, son état est pending-associate. Les clients peuvent établir une connexion VPN seulement après que vous avez associé au moins un réseau cible.

Pour plus d'informations sur les options que vous pouvez spécifier pour un point de terminaison Client VPN, consultez Créer un point de terminaison VPN Client.

Étape 3 : Associer un réseau cible

Pour permettre aux clients d’établir une session VPN, vous associez un réseau cible au point de terminaison Client VPN. Un réseau cible est un sous-réseau dans un VPC.

Pour associer un réseau cible à un point de terminaison Client VPN

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisir Points de terminaison VPN Client.

  3. Sélectionnez le point de terminaison Client VPN que vous avez créé dans la procédure précédente, puis choisissez (Target netwok associations (Associations de réseau cible), Associate target network (Associer le réseau cible).

  4. Pour VPC, choisissez le VPC dans lequel le sous-réseau est situé.

  5. Pour Choose a subnet to associate (Choisir un sous-réseau à associer), choisissez le sous-réseau à associer au point de terminaison Client VPN.

  6. Choisissez Associate target network (Associer le réseau cible).

  7. Si les règles d'autorisation le permettent, une association de sous-réseau suffit pour que les clients puissent accéder à l'ensemble du réseau d'un VPC. Vous pouvez associer des sous-réseaux supplémentaires pour fournir une haute disponibilité au cas où une zone de disponibilité tombe en panne.

Lorsque vous associez le premier sous-réseau au point de terminaison Client VPN, ce qui suit se produit :

  • L'état du point de terminaison Client VPN devient available. Les clients peuvent désormais établir une connexion VPN, mais ils ne peuvent pas accéder aux ressources du VPC tant que vous n'avez pas ajouté les règles d’autorisation.

  • La route locale du VPC est automatiquement ajoutée à la table de routage du point de terminaison Client VPN.

  • Le groupe de sécurité par défaut du VPC est automatiquement appliqué au point de terminaison du VPN client.

Étape 4 : Ajouter une règle d'autorisation pour le VPC

Pour que les clients puissent accéder au VPC, il doit y avoir une route vers le VPC dans la table de routage du point de terminaison Client VPN et une règle d'autorisation. L'itinéraire a déjà été ajouté automatiquement à l'étape précédente. Dans ce didacticiel, nous accordons l'accès à tous les utilisateurs.

Pour ajouter une règle d'autorisation pour le VPC

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisir Points de terminaison VPN Client.

  3. Sélectionnez le point de terminaison VPN client auquel ajouter la règle d'autorisation. Choisissez Authorization rules (Règles d'autorisation), puis choisissez Ajouter une règle d'autorisation.

  4. Pour Destination network to enable access (Réseau de destination pour autoriser l'accès), entrez le CIDR du réseau pour lequel vous souhaitez autoriser l'accès. Par exemple, pour autoriser l'accès à l'ensemble du VPC, spécifiez le bloc CIDR IPv4 du VPC.

  5. Pour Accorder l'accès à, choisissez Autoriser l'accès à tous les utilisateurs.

  6. (Facultatif) Pour Description, saisissez une brève description de la règle d'autorisation.

  7. Choisir Ajouter une règle d’autorisation.

Étape 5 : Fournir l'accès à Internet.

Vous pouvez fournir l'accès à des réseaux supplémentaires connectés au VPC, comme des services AWS, des VPC appairés, des réseaux sur site et Internet. Pour chaque réseau supplémentaire, vous ajoutez une route vers le réseau dans la table de routage du point de terminaison VPN client et vous configurez une règle d'autorisation pour accorder l'accès aux clients.

Pour ce tutoriel, nous souhaitons accorder à tous les utilisateurs l'accès à Internet et au VPC. Vous avez déjà configuré l'accès au VPC. Cette étape concerne donc l'accès à Internet.

Pour fournir l'accès à Internet.

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisir Points de terminaison VPN Client.

  3. Sélectionnez le point de terminaison VPN client que vous avez créé pour ce didacticiel. Choisissez Route Table (Table de routage), puis Create Route (Créer un routage).

  4. Pour Route destination (Destination de route), saisissez 0.0.0.0/0. Pour Subnet ID for target network association (ID de sous-réseau pour l’association de réseau cible), spécifiez l'ID du sous-réseau par lequel le trafic sera acheminé.

  5. Choisir Créer un acheminement.

  6. Choisissez Authorization rules (Règles d'autorisation), puis Add authorization rule (Ajouter une règle d'autorisation).

  7. Pour Destination network to enable access (Réseau de destination pour activer l'accès), entrez 0.0.0.0/0 et choisissez Allow access to all users (Autoriser l'accès à tous les utilisateurs).

  8. Choisir Ajouter une règle d’autorisation.

Étape 6 : Vérifier les exigences requises pour les groupes de sécurité

Dans ce didacticiel, aucun groupe de sécurité n'a été spécifié lors de la création du point de terminaison VPN client à l'étape 2. Cela signifie que le groupe de sécurité par défaut du VPC est automatiquement appliqué au point de terminaison VPN client lorsqu'un réseau cible est associé. Par conséquent, le groupe de sécurité par défaut pour le VPC doit désormais être associé au point de terminaison VPN client.

Vérifier les exigences suivantes pour les groupes de sécurité

  • Que le groupe de sécurité associé au sous-réseau via lequel vous acheminez le trafic (dans ce cas, le groupe de sécurité VPC par défaut) autorise le trafic sortant vers Internet. Pour ce faire, ajoutez une règle sortante qui autorise tout le trafic vers la destination 0.0.0.0/0.

  • Les groupes de sécurité pour les ressources de votre VPC disposent d'une règle qui autorise l'accès à partir du groupe de sécurité appliqué au point de terminaison Client VPN (dans ce cas, le groupe de sécurité VPC par défaut). Cela permet à vos clients d'accéder aux ressources de votre VPC.

Pour plus d’informations, consultez Groupes de sécurité.

Étape 7 : Télécharger le fichier de configuration du point de terminaison Client VPN

L'étape suivante consiste à télécharger et à préparer le fichier de configuration du point de terminaison VPN client. Le fichier de configuration inclut le point de terminaison VPN client et les informations de certificat requises pour établir une connexion VPN. Vous pouvez fournir ce fichier aux clients finaux qui ont besoin de se connecter au point de terminaison VPN client. L'utilisateur final utilise le fichier pour configurer son application cliente VPN.

Pour télécharger et préparer le fichier de configuration du point de terminaison Client VPN

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisir Points de terminaison VPN Client.

  3. Sélectionnez le point de terminaison Client VPN que vous avez créé pour ce didacticiel, puis Download client configuratoin (Télécharger la configuration client).

  4. Recherchez le certificat client et la clé générés lors de l'étape 1. le certificat et la clé de client sont disponibles aux emplacements suivants dans le référentiel cloné easy-rsa OpenVPN :

    • Certificat de client — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • Clé de client — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. Ouvrez le fichier de configuration du point de terminaison VPN Client à l'aide de votre éditeur de texte préféré. Ajoutez les balise <cert></cert> et <key></key> au fichier. Placez le contenu du certificat de client et le contenu de la clé privée entre les balises correspondantes, comme suit :

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. Enregistrez et fermez le fichier de configuration du point de terminaison Client VPN.

  7. Distribuez le fichier de configuration du point de terminaison VPN client à vos clients finaux.

Pour plus d’informations sur le fichier de configuration du point de terminaison Client VPN, consultez Exporter et configurer le fichier de configuration du client.

Étape 8 : Se connecter au point de terminaison VPN client

Vous pouvez vous connecter au point de terminaison VPN client à l'aide du client fourni par AWS ou d'une autre application cliente OpenVPN et du fichier de configuration que vous venez de créer. Pour de plus amples informations, veuillez consulter le Guide de l'utilisateur AWS Client VPN.