Création d'un AWS Client VPN point de terminaison - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un AWS Client VPN point de terminaison

Créez un point de terminaison VPN client pour permettre à vos clients d'établir une session VPN à l'aide de la console Amazon VPC ou du. AWS CLI

Avant de créer un point de terminaison, familiarisez-vous avec les exigences. Pour de plus amples informations, veuillez consulter Exigences relatives à la création de points de terminaison VPN pour le Client.

Pour créer un point de terminaison Client VPN à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN), puis choisissez Create Client VPN Endpoint (Créer un point de terminaison Client VPN).

  3. (Facultatif) Fournissez une balise de nom et une description pour le point de terminaison Client VPN.

  4. Pour le IPv4 CIDR client, spécifiez une plage d'adresses IP, en notation CIDR, à partir de laquelle attribuer les adresses IP des clients. Par exemple, 10.0.0.0/22.

    Note

    La plage d'adresses ne peut pas chevaucher la plage d’adresses du réseau cible, la plage d'adresses VPC ou les routes qui seront associées au point de terminaison VPN client. La plage d'adresses du client doit être au minimum /22 et ne doit pas dépasser la taille de bloc CIDR /12. Vous ne pouvez pas modifier la plage d'adresses client après avoir créé le point de terminaison VPN client.

  5. Pour ARN du certificat du serveur), spécifiez l'ARN du certificat TLS que le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point de terminaison VPN Client auquel ils se connectent.

    Note

    Le certificat de serveur doit être présent AWS Certificate Manager (ACM) dans la région où vous créez le point de terminaison VPN du Client. Le certificat peut être provisionné avec ACM ou importé dans ACM.

    Pour connaître les étapes de mise en service ou d'importation d'un certificat dans ACM, consultez la section AWS Certificate Manager Certificats du guide de l'AWS Certificate Manager utilisateur.

  6. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une connexion VPN. Vous devez sélectionner une méthode d'authentification.

    • Pour utiliser l'authentification basée sur l'utilisateur, sélectionnez Utiliser l'authentification basée sur l'utilisateur, puis choisissez l'une des options suivantes :

      • Authentification Active Directory : choisissez cette option pour l'authentification Active Directory. Pour le répertoire ID, spécifiez l'ID d'Active Directory à utiliser.

      • Authentification fédérée : choisissez cette option pour l'authentification fédérée basée sur SAML.

        Pour l'ARN du fournisseur SAML, spécifiez l'ARN du fournisseur d'identité SAML IAM.

        (Facultatif) Pour ARN du fournisseur SAML en libre-service, spécifiez l'ARN du fournisseur d'identité SAML IAM que vous avez créé pour prendre en charge le portail en libre-service, le cas échéant.

    • Pour utiliser l'authentification mutuelle par certificat, sélectionnez Utiliser l'authentification mutuelle, puis pour l'ARN du certificat client, spécifiez l'ARN du certificat client fourni dans AWS Certificate Manager (ACM).

      Note

      Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser l'ARN du certificat du serveur pour le serveur et le client. Si le certificat client a été émis par une autre autorité de certification (CA), l'ARN du certificat client doit être spécifié.

  7. (Facultatif) Pour la journalisation des connexions, spécifiez si vous souhaitez enregistrer les données relatives aux connexions des clients à l'aide d'Amazon CloudWatch Logs. Activez Enable log details on client connections (Activer les détails du journal sur les connexions clientes). Pour Nom du groupe de CloudWatch journaux, entrez le nom du groupe de journaux à utiliser. Pour le nom du flux de journal des CloudWatch journaux, entrez le nom du flux de journal à utiliser ou laissez cette option vide pour nous permettre de créer un flux de journal pour vous.

  8. (Facultatif) Pour le gestionnaire de connexion client, activez Enable client connect handler (Activer le gestionnaire de connexion client) pour exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au point de terminaison VPN client. Pour le gestionnaire de connexion client ARN, spécifiez le Amazon Resource Name (ARN) de la fonction de type Lambda contenant la logique qui autorise ou rejette les connexions.

  9. (Facultatif) Spécifiez les serveurs DNS à utiliser pour la résolution DNS. Pour utiliser des serveurs DNS personnalisés, pour Adresse IP serveur DNS 1 et Adresse IP serveur DNS 2, spécifiez les adresses IP des serveurs DNS à utiliser. Pour utiliser un serveur DNS de VPC, pour les champs Adresse IP serveur DNS 1) ou Adresse IP serveur DNS 2, spécifiez les adresses IP et ajouter l'adresse IP du serveur DNS VPC.

    Note

    Assurez-vous que les serveurs DNS peuvent être atteints par les clients.

  10. (Facultatif) Par défaut, le point de terminaison VPN client utilise le protocole de transport UDP. Pour utiliser le protocole de transport TCP à la place, pour Protocole de transport, sélectionnez TCP.

    Note

    UDP offre généralement des performances supérieures à TCP. Vous ne pouvez pas modifier le protocole de transport après avoir créé le point de terminaison VPN Client.

  11. (Facultatif) Pour que le point de terminaison soit un point de terminaison de Client VPN à tunel partagé, sélectionnez Enable split-tunnel (Activer le tunnel partagé). Cette fonctionnalité est désactivée par défaut sur un point de terminaison Client VPN.

  12. (Facultatif) Pour le champ ID du VPC, choisir le VPC à associer au point de terminaison VPN Client. Pour Groupe de sécurité IDs, choisissez un ou plusieurs groupes de sécurité du VPC à appliquer au point de terminaison VPN du Client.

  13. (Facultatif) Pour le champ Port VPN, choisir le numéro de port VPN. La valeur par défaut est 443.

  14. (Facultatif) Pour générer une URL de portail libre-service pour les clients, activez Enable self-service portal (Activer le portail en libre-service).

  15. (Facultatif) Pour Session timeout hours (Durée de la session en heures), choisissez la durée maximale de session VPN souhaitée en heures parmi les options disponibles, ou laissez la durée par défaut de 24 heures.

  16. (Facultatif) Pour Déconnecter en cas d'expiration de session, indiquez si vous souhaitez mettre fin à la session lorsque la durée maximale de session est atteinte. Le choix de cette option nécessite que les utilisateurs se reconnectent manuellement au point de terminaison lorsque la session expire ; sinon, le Client VPN essaiera automatiquement de se reconnecter.

  17. (Facultatif) Spécifiez si le texte de la bannière de connexion client doit être activé. Activez Enable client login banner (Activer la bannière de connexion cliente). Ensuite, pour Client Login Banner Text (Texte de la bannière de connexion client), saisissez le texte qui sera affiché dans une bannière sur les clients fournis par AWS lorsqu'une session VPN sera établie. Caractères codés UTF-8 uniquement. 1 400 caractères maximum.

  18. Sélectionnez Create Client VPN endpoint (Créer un point de terminaison VPN client).

Après avoir créé le point de terminaison VPN Client, procédez comme suit pour terminer la configuration et permettre aux clients de se connecter :

  • L'état initial du point de terminaison VPN Client est pending-associate. Les clients peuvent uniquement se connecter au point de terminaison VPN Client une fois que vous avez associé le premier réseau cible.

  • Créez une règle d'autorisation de manière à spécifier les clients qui ont accès au réseau.

  • Télécharger et préparez le fichier de configuration du point de terminaison VPN Client à distribuer à vos clients.

  • Demandez à vos clients d'utiliser le client AWS fourni ou une autre application cliente basée sur OpenVPN pour se connecter au point de terminaison VPN du Client. Pour plus d’informations, consultez le Guide de l’utilisateur AWS Client VPN.

Pour créer un point de terminaison Client VPN à l'aide du AWS CLI

Utilisez la commande create-client-vpn-endpoint.