Memulai dengan AWS Client VPN - AWS Client VPN
PrasyaratLangkah 1: Menghasilkan server, sertifikat klien, dan kunciLangkah 2: Buat titik akhir Client VPNLangkah 3: Kaitkan jaringan targetLangkah 4: Tambahkan aturan otorisasi untuk VPCLangkah 5: Menyediakan akses ke internetLangkah 6: Verifikasi persyaratan grup keamananLangkah 7: Unduh file konfigurasi titik akhir Client VPNLangkah 8: Connect ke endpoint Client VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS Client VPN

Dalam tutorial ini Anda akan membuat endpoint Client VPN yang melakukan hal berikut:

  • Menyediakan semua klien dengan akses ke satu VPC.

  • Menyediakan semua klien dengan akses ke internet.

  • Menggunakan autentikasi mutual.

Diagram berikut merupakan konfigurasi VPC dan titik akhir Client VPN setelah Anda menyelesaikan tutorial ini.

Client VPN yang mengakses internet

Prasyarat

Sebelum Anda memulai tutorial memulai ini, pastikan Anda memiliki yang berikut:

  • Izin yang diperlukan untuk bekerja dengan titik akhir Client VPN.

  • Izin yang diperlukan untuk mengimpor sertifikat ke dalamAWS Certificate Manager.

  • Sebuah VPC setidaknya dengan satu subnet dan gateway internet. Tabel rute yang terhubung dengan subnet Anda harus memiliki rute ke gateway internet.

Langkah 1: Menghasilkan server, sertifikat klien, dan kunci

Tutorial ini menggunakan autentikasi mutual. Dengan otentikasi timbal balik, Client VPN menggunakan sertifikat untuk melakukan otentikasi antara klien dan titik akhir Client VPN. Anda harus memiliki sertifikat dan kunci server, dan setidaknya satu sertifikat dan kunci klien. Minimal, sertifikat server harus diimpor ke AWS Certificate Manager (ACM) dan ditentukan saat Anda membuat titik akhir Client VPN. Mengimpor sertifikat klien ke ACM adalah opsional.

Jika Anda belum memiliki sertifikat untuk digunakan untuk tujuan ini, sertifikat tersebut dapat dibuat menggunakan utilitas easy-rsa OpenVPN. Untuk langkah-langkah mendetail untuk menghasilkan sertifikat dan kunci server dan klien menggunakan utilitas easy-rsa OpenVPN, dan mengimpornya ke ACM, lihat. Autentikasi bersama

catatan

Sertifikat server harus disediakan dengan atau diimpor ke AWS Certificate Manager (ACM) di AWS Wilayah yang sama tempat Anda akan membuat titik akhir Client VPN.

Langkah 2: Buat titik akhir Client VPN

Titik akhir Client VPN adalah sumber daya yang Anda buat dan konfigurasikan untuk mengaktifkan dan mengelola sesi Client VPN. Ini adalah titik terminasi untuk semua sesi VPN klien.

Untuk membuat titik akhir Client VPN

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Endpoint Client VPN dan kemudian pilih Create Client VPN endpoint.

  3. (Opsional) Berikan tag nama dan deskripsi untuk titik akhir Client VPN.

  4. Untuk Client IPv4 CIDR, tentukan rentang alamat IP, dalam notasi CIDR, untuk menetapkan alamat IP klien.

    catatan

    Rentang alamat tidak dapat tumpang tindih dengan rentang alamat jaringan target, rentang alamat VPC, atau rute apa pun yang akan dikaitkan dengan titik akhir Client VPN. Rentang alamat klien harus minimal /22 dan tidak lebih besar dari/12 ukuran blok CIDR. Anda tidak dapat mengubah rentang alamat klien setelah Anda membuat titik akhir Client VPN.

  5. Untuk ARN sertifikat Server, pilih ARN dari sertifikat server yang Anda buat di Langkah 1.

  6. Di bawah Opsi otentikasi, pilih Gunakan otentikasi timbal balik, dan kemudian untuk ARN sertifikat klien, pilih ARN dari sertifikat yang ingin Anda gunakan sebagai sertifikat klien.

    Jika sertifikat server dan klien ditandatangani oleh otoritas sertifikat (CA) yang sama, Anda memiliki opsi untuk menentukan sertifikat server ARN untuk sertifikat klien dan server. Dalam skenario ini, sertifikat klien apa pun yang sesuai dengan sertifikat server dapat digunakan untuk mengautentikasi.

  7. Simpan sisa pengaturan default, dan pilih Create Client VPN endpoint.

Setelah Anda membuat titik akhir Client VPN, statusnya adalah pending-associate. Klien hanya dapat membuat koneksi VPN setelah Anda mengaitkan setidaknya satu jaringan target.

Untuk informasi selengkapnya tentang opsi yang dapat Anda tentukan untuk titik akhir Client VPN, lihatBuat titik akhir Client VPN.

Langkah 3: Kaitkan jaringan target

Untuk memungkinkan klien membuat sesi VPN, Anda mengaitkan jaringan target dengan titik akhir Client VPN. Jaringan target adalah subnet dalam VPC.

Untuk mengaitkan jaringan target dengan titik akhir Client VPN

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN yang Anda buat pada prosedur sebelumnya, lalu pilih Asosiasi jaringan target, Jaringan target asosiasi.

  4. Untuk VPC, pilih VPC tempat subnet berada.

  5. Untuk Pilih subnet untuk diasosiasikan, pilih subnet yang akan dikaitkan dengan titik akhir Client VPN.

  6. Pilih Jaringan target asosiasi.

  7. Jika aturan otorisasi mengizinkannya, satu asosiasi subnet cukup bagi klien untuk mengakses seluruh jaringan VPC. Anda dapat mengaitkan subnet tambahan untuk menyediakan ketersediaan tinggi jika Availability Zone menjadi terganggu.

Ketika Anda menghubungkan subnet pertama dengan titik akhir Client VPN, hal berikut ini akan terjadi:

  • Status titik akhir Client VPN berubah menjadi available. Klien sekarang dapat membuat koneksi VPN, tetapi mereka tidak dapat mengakses sumber daya apa pun di VPC sampai Anda menambahkan aturan otorisasi.

  • Rute lokal VPC secara otomatis ditambahkan ke tabel rute titik akhir Client VPN.

  • Grup keamanan default VPC diterapkan secara otomatis untuk titik akhir Client VPN.

Langkah 4: Tambahkan aturan otorisasi untuk VPC

Agar klien dapat mengakses VPC, perlu ada rute ke VPC di tabel rute titik akhir Client VPN dan aturan otorisasi. Rute sudah ditambahkan secara otomatis pada langkah sebelumnya. Untuk tutorial ini, kami ingin memberikan semua pengguna akses ke VPC.

Untuk menambahkan aturan otorisasi untuk VPC

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN untuk menambahkan aturan otorisasi. Pilih Aturan otorisasi, lalu pilih Tambahkan aturan otorisasi.

  4. Agar jaringan Tujuan mengaktifkan akses, masukkan CIDR jaringan yang ingin Anda izinkan aksesnya. Sebagai contoh, untuk mengizinkan akses ke seluruh VPC, tentukan blok CIDR IPv4 dari VPC.

  5. Untuk Memberikan akses ke, pilih Izinkan akses ke semua pengguna.

  6. (Opsional) Untuk Deskripsi, masukkan deskripsi singkat tentang aturan otorisasi.

  7. Pilih Tambahkan aturan otorisasi.

Langkah 5: Menyediakan akses ke internet

Anda dapat menyediakan akses ke jaringan tambahan yang terhubung ke VPC, seperti AWS layanan, VPC peered, jaringan lokal, dan internet. Untuk setiap jaringan tambahan, Anda menambahkan rute ke jaringan di tabel rute titik akhir Client VPN dan mengonfigurasi aturan otorisasi untuk memberikan akses kepada klien.

Untuk tutorial ini, kami ingin memberikan semua pengguna akses ke internet dan juga ke VPC. Anda telah mengonfigurasi akses ke VPC, jadi langkah ini adalah untuk akses ke internet.

Untuk menyediakan akses ke internet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN yang Anda buat untuk tutorial ini. Pilih Route Table, lalu pilih Create Route.

  4. Untuk Tujuan rute, masukkan 0.0.0.0/0. Untuk Subnet ID untuk asosiasi jaringan target, tentukan ID subnet yang digunakan untuk merutekan lalu lintas.

  5. Pilih Buat Rute.

  6. Pilih Aturan otorisasi, lalu pilih Tambahkan aturan otorisasi.

  7. Untuk jaringan Tujuan untuk mengaktifkan akses, masukkan0.0.0.0/0, dan pilih Izinkan akses ke semua pengguna.

  8. Pilih Tambahkan aturan otorisasi.

Langkah 6: Verifikasi persyaratan grup keamanan

Dalam tutorial ini, tidak ada grup keamanan yang ditentukan selama pembuatan titik akhir Client VPN di Langkah 2. Itu berarti bahwa grup keamanan default untuk VPC secara otomatis diterapkan ke titik akhir Client VPN ketika jaringan target dikaitkan. Akibatnya, grup keamanan default untuk VPC sekarang harus dikaitkan dengan titik akhir Client VPN.

Verifikasi persyaratan grup keamanan berikut

  • Bahwa grup keamanan yang terkait dengan subnet yang Anda rutekan lalu lintas (dalam hal ini grup keamanan VPC default) memungkinkan lalu lintas keluar ke internet. Untuk melakukan ini, tambahkan aturan keluar yang memungkinkan semua lalu lintas ke tujuan0.0.0.0/0.

  • Bahwa grup keamanan untuk sumber daya di VPC Anda memiliki aturan yang memungkinkan akses dari grup keamanan yang diterapkan ke titik akhir Client VPN (dalam hal ini grup keamanan VPC default). Hal ini memungkinkan klien Anda untuk mengakses sumber daya di VPC Anda.

Untuk informasi selengkapnya, lihat Grup keamanan.

Langkah 7: Unduh file konfigurasi titik akhir Client VPN

Langkah selanjutnya adalah mengunduh dan menyiapkan file konfigurasi titik akhir Client VPN. File konfigurasi mencakup detail titik akhir Client VPN dan informasi sertifikat yang diperlukan untuk membuat koneksi VPN. Anda memberikan file ini kepada pengguna akhir yang perlu terhubung ke titik akhir Client VPN. Pengguna akhir menggunakan file untuk mengkonfigurasi aplikasi klien VPN mereka.

Untuk mengunduh dan menyiapkan file konfigurasi titik akhir Client VPN

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih endpoint Client VPN yang Anda buat untuk tutorial ini, dan pilih Unduh konfigurasi klien.

  4. Cari sertifikat klien dan kunci yang dibuat pada Langkah 1. Sertifikat dan kunci klien dapat ditemukan di lokasi berikut di repo easy-rsa OpenVPN yang dikloning:

    • Sertifikat klien — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • Kunci klien — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. Buka file konfigurasi titik akhir Client VPN yang menggunakan teks editor pilihan Anda. Tambahkan <cert> </cert> dan <key> </key> tag ke file. Tempatkan isi sertifikat klien dan isi kunci pribadi di antara tag yang sesuai, seperti:

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. Simpan dan tutup file konfigurasi titik akhir Client VPN.

  7. Distribusikan file konfigurasi titik akhir Client VPN ke pengguna akhir Anda.

Untuk informasi selengkapnya tentang file konfigurasi titik akhir Client VPN, lihat Ekspor dan konfigurasikan file konfigurasi untuk klien.

Langkah 8: Connect ke endpoint Client VPN

Anda dapat terhubung ke titik akhir Client VPN menggunakan klien yang AWS disediakan atau aplikasi klien berbasis OpenVPN lainnya dan file konfigurasi yang baru saja Anda buat. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS Client VPN.