Création d'un AWS Client VPN point de terminaison - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un AWS Client VPN point de terminaison

Créez un AWS Client VPN point de terminaison pour permettre à vos clients d'établir une session VPN à l'aide de la console Amazon VPC ou du VPN AWS CLI. Le VPN client prend en charge toutes les combinaisons de type de point de terminaison (tunnel partagé et tunnel complet) et de type de trafic (IPv4 IPv6, et double pile) lors de la création initiale.

Avant de créer un point de terminaison, familiarisez-vous avec les exigences. Pour de plus amples informations, veuillez consulter Exigences relatives à la création de points de terminaison VPN pour clients.

Pour créer un point de terminaison Client VPN à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN), puis choisissez Create Client VPN Endpoint (Créer un point de terminaison Client VPN).

  3. (Facultatif) Fournissez une balise de nom et une description pour le point de terminaison Client VPN.

  4. Pour le type d'adresse IP du point de terminaison, choisissez le type d'adresse IP du point de terminaison :

    • IPv4: Le point de terminaison utilise IPv4 des adresses pour le trafic du tunnel VPN externe.

    • IPv6: Le point de terminaison utilise IPv6 des adresses pour le trafic du tunnel VPN externe.

    • Double pile : le point de terminaison utilise à la fois des IPv6 adresses IPv4 et des adresses pour le trafic du tunnel VPN externe.

  5. Pour le type d'adresse IP de trafic, choisissez le type d'adresse IP pour le trafic passant par le point de terminaison :

    • IPv4: le point de terminaison prend uniquement en charge IPv4 le trafic.

    • IPv6: le point de terminaison prend uniquement en charge IPv6 le trafic.

    • Double pile : le point de terminaison prend en charge à la fois le IPv6 trafic IPv4 et le trafic.

  6. Pour le IPv4 CIDR client, spécifiez une plage d'adresses IP, en notation CIDR, à partir de laquelle attribuer les adresses IP des clients. Par exemple, 10.0.0.0/22. Cela est nécessaire si vous avez sélectionné IPv4 Dual-Stack pour le type d'adresse IP de trafic.

    Note

    • La plage d'adresses ne peut pas chevaucher la plage d’adresses du réseau cible, la plage d'adresses VPC ou les routes qui seront associées au point de terminaison VPN client. La plage d'adresses du client doit être au minimum /22 et ne doit pas dépasser la taille de bloc CIDR /12. Vous ne pouvez pas modifier la plage d'adresses client après avoir créé le point de terminaison VPN client.

    • Lorsque vous sélectionnez le type IPv6 d'adresse IP du point de terminaison, le champ IPv4 CIDR du client est désactivé. Le point de terminaison Client VPN alloue les IPv6 adresses des clients à partir d'un sous-réseau associé, et vous pouvez associer le sous-réseau après avoir créé le point de terminaison.

    Note

    Pour IPv6 le trafic, il n'est pas nécessaire de spécifier une plage d'adresses CIDR client. Amazon attribue automatiquement des plages d' IPv6 adresses CIDR aux clients.

  7. Pour ARN du certificat du serveur), spécifiez l'ARN du certificat TLS que le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point de terminaison VPN Client auquel ils se connectent.

    Note

    Le certificat de serveur doit être présent AWS Certificate Manager (ACM) dans la région où vous créez le point de terminaison VPN du Client. Le certificat peut être provisionné avec ACM ou importé dans ACM.

    Pour connaître les étapes de mise en service ou d'importation d'un certificat dans ACM, consultez la section AWS Certificate Manager Certificats du guide de l'AWS Certificate Manager utilisateur.

  8. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une connexion VPN. Vous devez sélectionner une méthode d'authentification.

    • Pour utiliser l'authentification basée sur l'utilisateur, sélectionnez Utiliser l'authentification basée sur l'utilisateur, puis choisissez l'une des options suivantes :

      • Authentification Active Directory : choisissez cette option pour l'authentification Active Directory. Pour le répertoire ID, spécifiez l'ID d'Active Directory à utiliser.

      • Authentification fédérée : choisissez cette option pour l'authentification fédérée basée sur SAML.

        Pour l'ARN du fournisseur SAML, spécifiez l'ARN du fournisseur d'identité SAML IAM.

        (Facultatif) Pour ARN du fournisseur SAML en libre-service, spécifiez l'ARN du fournisseur d'identité SAML IAM que vous avez créé pour prendre en charge le portail en libre-service, le cas échéant.

    • Pour utiliser l'authentification mutuelle par certificat, sélectionnez Utiliser l'authentification mutuelle, puis pour l'ARN du certificat client, spécifiez l'ARN du certificat client fourni dans AWS Certificate Manager (ACM).

      Note

      Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser l'ARN du certificat du serveur pour le serveur et le client. Si le certificat client a été émis par une autre autorité de certification (CA), l'ARN du certificat client doit être spécifié.

  9. (Facultatif) Pour la journalisation des connexions, spécifiez si vous souhaitez enregistrer les données relatives aux connexions des clients à l'aide d'Amazon CloudWatch Logs. Activez Enable log details on client connections (Activer les détails du journal sur les connexions clientes). Pour Nom du groupe de CloudWatch journaux, entrez le nom du groupe de journaux à utiliser. Pour le nom du flux de journal des CloudWatch journaux, entrez le nom du flux de journal à utiliser ou laissez cette option vide pour nous permettre de créer un flux de journal pour vous.

  10. (Facultatif) Pour le gestionnaire de connexion client, activez Enable client connect handler (Activer le gestionnaire de connexion client) pour exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au point de terminaison VPN client. Pour le gestionnaire de connexion client ARN, spécifiez le Amazon Resource Name (ARN) de la fonction de type Lambda contenant la logique qui autorise ou rejette les connexions.

  11. (Facultatif) Spécifiez les serveurs DNS à utiliser pour la résolution DNS. Pour utiliser des serveurs DNS personnalisés, pour l'adresse IP du serveur DNS 1 et l'adresse IP du serveur DNS 2, spécifiez les IPv4 adresses des serveurs DNS à utiliser. Pour les IPv6 points de terminaison à double pile, vous pouvez également spécifier les adresses du serveur DNS IPv6 1 et du serveur DNS IPv6 2. Pour utiliser un serveur DNS de VPC, pour les champs Adresse IP serveur DNS 1) ou Adresse IP serveur DNS 2, spécifiez les adresses IP et ajouter l'adresse IP du serveur DNS VPC.

    Note

    Assurez-vous que les serveurs DNS peuvent être atteints par les clients.

  12. (Facultatif) Par défaut, le point de terminaison VPN client utilise le protocole de transport UDP. Pour utiliser le protocole de transport TCP à la place, pour Protocole de transport, sélectionnez TCP.

    Note

    UDP offre généralement des performances supérieures à TCP. Vous ne pouvez pas modifier le protocole de transport après avoir créé le point de terminaison VPN Client.

  13. (Facultatif) Pour que le point de terminaison soit un point de terminaison de Client VPN à tunel partagé, sélectionnez Enable split-tunnel (Activer le tunnel partagé). Cette fonctionnalité est désactivée par défaut sur un point de terminaison Client VPN.

  14. (Facultatif) Pour le champ ID du VPC, choisir le VPC à associer au point de terminaison VPN Client. Pour Groupe de sécurité IDs, choisissez un ou plusieurs groupes de sécurité du VPC à appliquer au point de terminaison VPN du Client.

  15. (Facultatif) Pour le champ Port VPN, choisir le numéro de port VPN. La valeur par défaut est 443.

  16. (Facultatif) Pour générer une URL de portail libre-service pour les clients, activez Enable self-service portal (Activer le portail en libre-service).

  17. (Facultatif) Pour Session timeout hours (Durée de la session en heures), choisissez la durée maximale de session VPN souhaitée en heures parmi les options disponibles, ou laissez la durée par défaut de 24 heures.

  18. (Facultatif) Pour Déconnecter en cas d'expiration de session, indiquez si vous souhaitez mettre fin à la session lorsque la durée maximale de session est atteinte. Le choix de cette option nécessite que les utilisateurs se reconnectent manuellement au point de terminaison lorsque la session expire ; sinon, le Client VPN essaiera automatiquement de se reconnecter.

  19. (Facultatif) Spécifiez si le texte de la bannière de connexion client doit être activé. Activez Enable client login banner (Activer la bannière de connexion cliente). Ensuite, pour Client Login Banner Text (Texte de la bannière de connexion client), saisissez le texte qui sera affiché dans une bannière sur les clients fournis par AWS lorsqu'une session VPN sera établie. Caractères codés UTF-8 uniquement. 1 400 caractères maximum.

  20. Sélectionnez Create Client VPN endpoint (Créer un point de terminaison VPN client).

Après avoir créé le point de terminaison VPN Client, procédez comme suit pour terminer la configuration et permettre aux clients de se connecter :

  • L'état initial du point de terminaison VPN Client est pending-associate. Les clients peuvent uniquement se connecter au point de terminaison VPN Client une fois que vous avez associé le premier réseau cible.

  • Créez une règle d'autorisation de manière à spécifier les clients qui ont accès au réseau.

  • Télécharger et préparez le fichier de configuration du point de terminaison VPN Client à distribuer à vos clients.

  • Demandez à vos clients d'utiliser le client AWS fourni ou une autre application cliente basée sur OpenVPN pour se connecter au point de terminaison VPN du Client. Pour plus d’informations, consultez le Guide de l’utilisateur AWS Client VPN.

Pour créer un point de terminaison Client VPN à l'aide du AWS CLI

Utilisez la commande create-client-vpn-endpoint.

Exemple de création d'un IPv4 point de terminaison :

aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Exemple de création d'un IPv6 point de terminaison :

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

Exemple de création d'un point de terminaison à double pile :

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false