Bagaimana cara AWS Client VPN kerja

Dengan AWS Client VPN, ada dua jenis persona pengguna yang berinteraksi dengan VPN endpoint Klien: administrator dan klien.

Administrator bertanggung jawab untuk mengatur dan mengonfigurasi layanan. Ini melibatkan pembuatan VPN titik akhir Klien, mengaitkan jaringan target, mengonfigurasi aturan otorisasi, dan menyiapkan rute tambahan (jika diperlukan). Setelah VPN titik akhir Klien diatur dan dikonfigurasi, administrator mengunduh file konfigurasi VPN titik akhir Klien dan mendistribusikannya ke klien yang membutuhkan akses. File konfigurasi VPN titik akhir Klien menyertakan DNS nama VPN titik akhir Klien dan informasi otentikasi yang diperlukan untuk membuat sesi. VPN Untuk informasi lebih lanjut tentang pengaturan layanan, lihat Memulai dengan AWS Client VPN.

Klien adalah pengguna akhir. Ini adalah orang yang terhubung ke VPN titik akhir Klien untuk membuat VPN sesi. Klien menetapkan VPN sesi dari komputer lokal atau perangkat seluler mereka menggunakan aplikasi VPN klien VPN berbasis terbuka. Setelah mereka menetapkan VPN sesi, mereka dapat dengan aman mengakses sumber daya VPC di mana subnet terkait berada. Mereka juga dapat mengakses sumber daya lain di AWS, jaringan lokal, atau klien lain jika rute dan aturan otorisasi yang diperlukan telah dikonfigurasi. Untuk informasi selengkapnya tentang menghubungkan ke VPN titik akhir Klien untuk membuat VPN sesi, lihat Memulai di Panduan AWS Client VPN Pengguna.

Grafik berikut menggambarkan VPN arsitektur Klien dasar.

Skenario dan contoh untuk Klien VPN

AWS Client VPN adalah VPN solusi akses jarak jauh yang dikelola sepenuhnya yang Anda gunakan untuk memungkinkan klien mengamankan akses ke sumber daya dalam keduanya AWS dan jaringan lokal Anda. Ada beberapa opsi untuk cara Anda mengonfigurasi akses. Bagian ini memberikan contoh untuk membuat dan mengonfigurasi VPN akses Klien untuk klien Anda.

Skenario

• Akses VPC menggunakan Klien VPN

• Akses peered VPC menggunakan Klien VPN

• Mengakses jaringan lokal menggunakan Klien VPN

• Akses internet menggunakan Klien VPN

• C lient-to-client akses menggunakan Klien VPN

• Batasi akses ke jaringan Anda menggunakan Klien VPN

Akses VPC menggunakan Klien VPN

AWS Client VPN Konfigurasi untuk skenario ini mencakup satu targetVPC. Kami merekomendasikan konfigurasi ini jika Anda perlu memberi klien akses ke sumber daya di dalam satu VPC saja.

Sebelum memulai, lakukan hal berikut:

• Buat atau identifikasi VPC dengan setidaknya satu subnet. Identifikasi subnet di VPC untuk dikaitkan dengan VPN titik akhir Klien dan catat rentangnya IPv4CIDR.

• Identifikasi CIDR rentang yang sesuai untuk alamat IP klien yang tidak tumpang tindih dengan. VPC CIDR

• Tinjau aturan dan batasan untuk VPN titik akhir Klien diAturan dan praktik terbaik untuk menggunakan AWS Client VPN.

Untuk menerapkan konfigurasi ini

1. Buat VPN titik akhir Klien di Wilayah yang sama denganVPC. Caranya, lakukan langkah-langkah yang dijelaskan dalam Buat titik AWS Client VPN akhir.

2. Kaitkan subnet dengan titik VPN akhir Klien. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan Mengaitkan jaringan target dengan titik AWS Client VPN akhir dan pilih subnet dan yang VPC Anda identifikasi sebelumnya.

3. Tambahkan aturan otorisasi untuk memberi klien akses ke file. VPC Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamTambahkan aturan otorisasi, dan untuk jaringan Tujuan, masukkan IPv4 CIDR rentangVPC.

4. Tambahkan aturan ke grup keamanan sumber daya Anda untuk mengizinkan lalu lintas dari grup keamanan yang diterapkan ke asosiasi subnet di langkah 2. Untuk informasi selengkapnya, lihat Grup keamanan.

Akses peered VPC menggunakan Klien VPN

AWS Client VPN Konfigurasi untuk skenario ini mencakup target VPC (VPCA) yang diintip dengan tambahan VPC (VPCB). Kami merekomendasikan konfigurasi ini jika Anda perlu memberi klien akses ke sumber daya di dalam target VPC dan ke VPCs yang lain yang diintip dengannya (seperti VPC B).

catatan

Prosedur untuk mengizinkan akses ke peered VPC (diuraikan mengikuti diagram jaringan) diperlukan hanya jika VPN titik akhir Klien dikonfigurasi untuk mode split-tunnel. Dalam mode terowongan penuh, akses ke peered diizinkan VPC secara default.

Sebelum memulai, lakukan hal berikut:

• Buat atau identifikasi VPC dengan setidaknya satu subnet. Identifikasi subnet di VPC untuk dikaitkan dengan VPN titik akhir Klien dan catat rentangnya IPv4CIDR.

• Identifikasi CIDR rentang yang sesuai untuk alamat IP klien yang tidak tumpang tindih dengan. VPC CIDR

• Tinjau aturan dan batasan untuk VPN titik akhir Klien diAturan dan praktik terbaik untuk menggunakan AWS Client VPN.

Untuk menerapkan konfigurasi ini

1. Membangun koneksi VPC peering antara. VPCs Ikuti langkah-langkah di Membuat dan menerima koneksi VPC peering di Amazon VPC Peering Guide. Konfirmasikan bahwa instance di VPC A dapat berkomunikasi dengan instance di VPC B menggunakan koneksi peering.

2. Buat VPN titik akhir Klien di Wilayah yang sama dengan targetVPC. Dalam diagram, ini adalah VPC A. Lakukan langkah-langkah yang dijelaskan dalamBuat titik AWS Client VPN akhir.

3. Kaitkan subnet yang Anda identifikasi dengan VPN titik akhir Klien yang Anda buat. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamMengaitkan jaringan target dengan titik AWS Client VPN akhir, memilih VPC dan subnet. Secara default, kami mengaitkan grup keamanan default VPC dengan VPN titik akhir Klien. Anda dapat mengaitkan grup keamanan yang berbeda menggunakan langkah-langkah yang dijelaskan dalamMenerapkan grup keamanan ke jaringan target di AWS Client VPN.

4. Tambahkan aturan otorisasi untuk memberi klien akses ke targetVPC. Caranya, lakukan langkah-langkah yang dijelaskan dalam Tambahkan aturan otorisasi. Agar jaringan Tujuan diaktifkan, masukkan IPv4 CIDR rentang fileVPC.

5. Tambahkan rute untuk mengarahkan lalu lintas ke peeredVPC. Dalam diagram, ini adalah VPC B. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamBuat rute AWS Client VPN titik akhir. Untuk tujuan Rute, masukkan IPv4 CIDR kisaran peeredVPC. Untuk ID VPC Subnet Target, pilih subnet yang Anda kaitkan dengan titik akhir KlienVPN.

6. Tambahkan aturan otorisasi untuk memberi klien akses ke VPC peered. Caranya, lakukan langkah-langkah yang dijelaskan dalam Tambahkan aturan otorisasi. Untuk jaringan Tujuan, masukkan IPv4 CIDR rentang peeredVPC.

7. Tambahkan aturan ke grup keamanan untuk instans Anda di VPC A dan VPC B untuk mengizinkan lalu lintas dari grup keamanan yang diterapkan VPN titik akhir Klien pada langkah 3. Untuk informasi selengkapnya, lihat Grup keamanan.

Mengakses jaringan lokal menggunakan Klien VPN

AWS Client VPN Konfigurasi untuk skenario ini hanya mencakup akses ke jaringan lokal. Kami merekomendasikan konfigurasi ini jika Anda perlu memberikan akses klien ke sumber daya di dalam jaringan on-premise saja.

Sebelum memulai, lakukan hal berikut:

• Buat atau identifikasi VPC dengan setidaknya satu subnet. Identifikasi subnet di VPC untuk dikaitkan dengan VPN titik akhir Klien dan catat rentangnya IPv4CIDR.

• Identifikasi CIDR rentang yang sesuai untuk alamat IP klien yang tidak tumpang tindih dengan. VPC CIDR

• Tinjau aturan dan batasan untuk VPN titik akhir Klien diAturan dan praktik terbaik untuk menggunakan AWS Client VPN.

Untuk menerapkan konfigurasi ini

1. Aktifkan komunikasi antara jaringan lokal VPC dan jaringan lokal Anda sendiri melalui koneksi AWS VPN Site-to-Site. Caranya, lakukan langkah-langkah yang dijelaskan dalam Memulai di AWS Site-to-Site VPN Panduan Pengguna.

   catatan

   Atau, Anda dapat menerapkan skenario ini dengan menggunakan AWS Direct Connect koneksi antara jaringan lokal Anda VPC dan jaringan lokal Anda. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS Direct Connect.

2. Uji VPN koneksi AWS Site-to-Site yang Anda buat pada langkah sebelumnya. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalam Menguji VPN koneksi Site-to-Site di Panduan Pengguna.AWS Site-to-Site VPN Jika VPN koneksi berfungsi seperti yang diharapkan, lanjutkan ke langkah berikutnya.

3. Buat VPN titik akhir Klien di Wilayah yang sama denganVPC. Caranya, lakukan langkah-langkah yang dijelaskan dalam Buat titik AWS Client VPN akhir.

4. Kaitkan subnet yang Anda identifikasi sebelumnya dengan titik VPN akhir Klien. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan Mengaitkan jaringan target dengan titik AWS Client VPN akhir dan pilih VPC dan subnet.

5. Tambahkan rute yang memungkinkan akses ke koneksi AWS VPN Site-to-Site. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamBuat rute AWS Client VPN titik akhir; untuk tujuan Rute, masukkan IPv4 CIDR rentang VPN koneksi AWS Site-to-Site, dan untuk ID Subnet Target, pilih VPC subnet yang Anda kaitkan dengan titik akhir Klien. VPN

6. Tambahkan aturan otorisasi untuk memberi klien akses ke koneksi AWS VPN Site-to-Site. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamTambahkan aturan otorisasi ke titik akhir AWS Client VPN; untuk Jaringan tujuan, masukkan rentang koneksi AWS Site-to-SiteVPN. IPv4 CIDR

Akses internet menggunakan Klien VPN

AWS Client VPN Konfigurasi untuk skenario ini mencakup satu target VPC dan akses ke internet. Kami merekomendasikan konfigurasi ini jika Anda perlu memberi klien akses ke sumber daya di dalam satu target VPC dan juga memungkinkan akses ke internet.

Jika Anda menyelesaikan tutorial Memulai dengan AWS Client VPN, maka Anda sudah menerapkan skenario ini.

Sebelum memulai, lakukan hal berikut:

• Buat atau identifikasi VPC dengan setidaknya satu subnet. Identifikasi subnet di VPC untuk dikaitkan dengan VPN titik akhir Klien dan catat rentangnya IPv4CIDR.

• Identifikasi CIDR rentang yang sesuai untuk alamat IP klien yang tidak tumpang tindih dengan. VPC CIDR

• Tinjau aturan dan batasan untuk VPN titik akhir Klien diAturan dan praktik terbaik untuk menggunakan AWS Client VPN.

Untuk menerapkan konfigurasi ini

1. Pastikan bahwa grup keamanan yang akan Anda gunakan untuk VPN titik akhir Klien memungkinkan lalu lintas keluar ke internet. Untuk melakukan ini, tambahkan aturan keluar yang memungkinkan lalu lintas ke 0.0.0.0/0 untuk dan lalu lintas. HTTP HTTPS

2. Buat gateway internet dan lampirkan ke AndaVPC. Untuk informasi selengkapnya, lihat Membuat dan Melampirkan Internet Gateway di Panduan VPC Pengguna Amazon.

3. Buat subnet publik Anda dengan menambahkan rute ke gateway internet ke tabel rute. Di VPC konsol, pilih Subnet, pilih subnet yang ingin Anda kaitkan dengan VPN titik akhir Klien, pilih Tabel Rute, lalu pilih ID tabel rute. Pilih Tindakan, pilih Edit rute, dan pilih Tambahkan rute. Untuk Tujuan, masukkan 0.0.0.0/0, dan untuk Target, pilih gateway internet dari langkah sebelumnya.

4. Buat VPN titik akhir Klien di Wilayah yang sama denganVPC. Caranya, lakukan langkah-langkah yang dijelaskan dalam Buat titik AWS Client VPN akhir.

5. Kaitkan subnet yang Anda identifikasi sebelumnya dengan titik VPN akhir Klien. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan Mengaitkan jaringan target dengan titik AWS Client VPN akhir dan pilih VPC dan subnet.

6. Tambahkan aturan otorisasi untuk memberi klien akses ke file. VPC Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan dalamTambahkan aturan otorisasi; dan untuk mengaktifkan jaringan Tujuan, masukkan IPv4 CIDR rentangVPC.

7. Tambahkan rute yang memungkinkan lalu lintas ke internet. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan diBuat rute AWS Client VPN titik akhir; untuk tujuan Rute, masukkan0.0.0.0/0, dan untuk ID VPC Subnet Target, pilih subnet yang Anda kaitkan dengan titik akhir KlienVPN.

8. Tambahkan aturan otorisasi untuk memberikan akses klien ke internet. Caranya, lakukan langkah-langkah yang dijelaskan dalam Tambahkan aturan otorisasi; untuk Jaringan tujuan, masukkan 0.0.0.0/0.

9. Pastikan bahwa grup keamanan untuk sumber daya di Anda VPC memiliki aturan yang memungkinkan akses dari grup keamanan yang terkait dengan VPN titik akhir Klien. Ini memungkinkan klien Anda untuk mengakses sumber daya di AndaVPC.

C lient-to-client akses menggunakan Klien VPN

AWS Client VPN Konfigurasi untuk skenario ini memungkinkan klien untuk mengakses satuVPC, dan memungkinkan klien untuk mengarahkan lalu lintas satu sama lain. Kami merekomendasikan konfigurasi ini jika klien yang terhubung ke VPN titik akhir Klien yang sama juga perlu berkomunikasi satu sama lain. Klien dapat berkomunikasi satu sama lain menggunakan alamat IP unik yang diberikan kepada mereka dari CIDR rentang klien ketika mereka terhubung ke VPN titik akhir Klien.

Sebelum memulai, lakukan hal berikut:

• Buat atau identifikasi VPC dengan setidaknya satu subnet. Identifikasi subnet di VPC untuk dikaitkan dengan VPN titik akhir Klien dan catat rentangnya IPv4CIDR.

• Identifikasi CIDR rentang yang sesuai untuk alamat IP klien yang tidak tumpang tindih dengan. VPC CIDR

• Tinjau aturan dan batasan untuk VPN titik akhir Klien diAturan dan praktik terbaik untuk menggunakan AWS Client VPN.

catatan

Aturan otorisasi berbasis jaringan yang menggunakan grup Active Directory atau grup SAML IDP berbasis tidak didukung dalam skenario ini.

Untuk menerapkan konfigurasi ini

1. Buat VPN titik akhir Klien di Wilayah yang sama denganVPC. Caranya, lakukan langkah-langkah yang dijelaskan dalam Buat titik AWS Client VPN akhir.

2. Kaitkan subnet yang Anda identifikasi sebelumnya dengan titik VPN akhir Klien. Untuk melakukan ini, lakukan langkah-langkah yang dijelaskan Mengaitkan jaringan target dengan titik AWS Client VPN akhir dan pilih VPC dan subnet.

3. Tambahkan rute ke jaringan lokal dalam tabel rute. Caranya, lakukan langkah-langkah yang dijelaskan dalam Buat rute AWS Client VPN titik akhir. Untuk tujuan Rute, masukkan CIDR rentang klien, dan untuk ID VPC Subnet Target, tentukanlocal.

4. Tambahkan aturan otorisasi untuk memberi klien akses ke file. VPC Caranya, lakukan langkah-langkah yang dijelaskan dalam Tambahkan aturan otorisasi. Agar jaringan Tujuan diaktifkan, masukkan IPv4 CIDR rentang fileVPC.

5. Tambahkan aturan otorisasi untuk memberi klien akses ke CIDR rentang klien. Caranya, lakukan langkah-langkah yang dijelaskan dalam Tambahkan aturan otorisasi. Agar jaringan Tujuan diaktifkan, masukkan CIDR rentang klien.

Batasi akses ke jaringan Anda menggunakan Klien VPN

Anda dapat mengonfigurasi AWS Client VPN titik akhir Anda untuk membatasi akses ke sumber daya tertentu di Anda. VPC Untuk otentikasi berbasis pengguna, Anda juga dapat membatasi akses ke bagian jaringan Anda, berdasarkan grup pengguna yang mengakses titik akhir Klien. VPN

Membatasi akses menggunakan grup keamanan

Anda dapat memberikan atau menolak akses ke sumber daya tertentu VPC dengan menambahkan atau menghapus aturan grup keamanan yang mereferensikan grup keamanan yang diterapkan ke asosiasi jaringan target (grup VPN keamanan Klien). Konfigurasi ini diperluas pada skenario yang dijelaskan dalam Akses VPC menggunakan Klien VPN. Konfigurasi ini diterapkan selain aturan otorisasi yang dikonfigurasi dalam skenario tersebut.

Untuk memberikan akses ke sumber daya tertentu, identifikasi grup keamanan yang terkait dengan instans di tempat sumber daya Anda berjalan. Kemudian, buat aturan yang memungkinkan lalu lintas dari grup VPN keamanan Klien.

Dalam diagram berikut, grup keamanan A adalah grup VPN keamanan Klien, grup keamanan B dikaitkan dengan sebuah EC2 instance, dan grup keamanan C dikaitkan dengan sebuah EC2 instance. Jika Anda menambahkan aturan ke grup keamanan B yang mengizinkan akses dari grup keamanan A, maka klien dapat mengakses instance yang terkait dengan grup keamanan B. Jika grup keamanan C tidak memiliki aturan yang mengizinkan akses dari grup keamanan A, maka klien tidak dapat mengakses instance yang terkait dengan grup keamanan C.

Sebelum Anda mulai, periksa apakah grup VPN keamanan Klien dikaitkan dengan sumber daya lain di AndaVPC. Jika Anda menambahkan atau menghapus aturan yang mereferensikan grup VPN keamanan Klien, Anda juga dapat memberikan atau menolak akses untuk sumber daya terkait lainnya. Untuk mencegah hal ini, gunakan grup keamanan yang dibuat khusus untuk digunakan dengan VPN titik akhir Klien Anda.

Untuk membuat aturan grup keamanan

1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Grup Keamanan.

3. Pilih grup keamanan yang terkait dengan instans di tempat sumber daya Anda berjalan.

4. Pilih Tindakan, Edit aturan masuk.

5. Pilih Tambahkan aturan, lalu lakukan hal berikut:

   • Untuk Tipe, pilih Semua lalu lintas, atau tipe lalu lintas tertentu yang ingin Anda izinkan.

   • Untuk Sumber, pilih Kustom, lalu masukkan atau pilih ID grup VPN keamanan Klien.

6. Pilih Simpan aturan

Untuk menghapus akses ke sumber daya tertentu, periksa grup keamanan yang terkait dengan instans di tempat sumber daya Anda berjalan. Jika ada aturan yang memungkinkan lalu lintas dari grup VPN keamanan Klien, hapus.

Untuk memeriksa aturan grup keamanan Anda

1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Grup Keamanan.

3. Pilih Aturan Masuk.

4. Tinjau daftar aturan. Jika ada aturan di mana Sumber adalah grup VPN keamanan Klien, pilih Edit Aturan, dan pilih Hapus (ikon x) untuk aturan tersebut. Pilih Simpan aturan.

Membatasi akses berdasarkan grup pengguna

Jika VPN titik akhir Klien Anda dikonfigurasi untuk otentikasi berbasis pengguna, Anda dapat memberikan akses kepada grup pengguna tertentu ke bagian tertentu dari jaringan Anda. Caranya, lakukan langkah-langkah berikut:

1. Konfigurasikan pengguna dan grup di AWS Directory Service atau IDP Anda. Untuk informasi selengkapnya, lihat topik berikut.

   • Autentikasi Direktori Aktif di Klien VPN

   • Persyaratan dan pertimbangan untuk otentikasi federasi SAML berbasis

2. Buat aturan otorisasi untuk VPN titik akhir Klien Anda yang memungkinkan akses grup tertentu ke semua atau sebagian jaringan Anda. Untuk informasi selengkapnya, lihat AWS Client VPN aturan otorisasi.

Jika VPN titik akhir Klien Anda dikonfigurasi untuk autentikasi bersama, Anda tidak dapat mengonfigurasi grup pengguna. Saat membuat aturan otorisasi, Anda harus memberikan akses ke semua pengguna. Untuk mengaktifkan akses grup pengguna tertentu ke bagian tertentu dari jaringan Anda, Anda dapat membuat beberapa VPN titik akhir Klien. Misalnya, untuk setiap grup pengguna yang mengakses jaringan Anda, lakukan hal berikut:

1. Buat satu set sertifikat server dan klien serta kunci untuk grup pengguna tersebut. Untuk informasi selengkapnya, lihat Otentikasi timbal balik di AWS Client VPN.

2. Buat VPN titik akhir Klien. Untuk informasi selengkapnya, lihat Buat titik AWS Client VPN akhir.

3. Buat aturan otorisasi yang memberikan akses ke semua atau sebagian jaringan Anda. Misalnya, untuk VPN titik akhir Klien yang digunakan oleh administrator, Anda dapat membuat aturan otorisasi yang memberikan akses ke seluruh jaringan. Untuk informasi selengkapnya, lihat Tambahkan aturan otorisasi.