Nozioni di base su AWS Client VPN

In questo tutorial crei un endpoint Client VPN che ha le seguenti caratteristiche:

• Fornisce a tutti i client l'accesso a un singolo VPC.

• Fornisce a tutti i clienti l'accesso a Internet.

• Utilizza l'autenticazione reciproca.

Il diagramma seguente rappresenta la configurazione del VPC e dell'endpoint Client VPN dopo aver completato questo tutorial.

Prerequisiti

Prima di iniziare questo tutorial introduttivo, assicurati di disporre di quanto segue:

• Le autorizzazioni necessarie per l'utilizzo degli endpoint Client VPN.

• Le autorizzazioni necessarie per importare i certificati in AWS Certificate Manager.

• VPC con almeno una subnet e un gateway Internet. La tabella di routing associata alla sottorete deve disporre di una route per il gateway Internet.

Fase 1: Generare i certificati e le chiavi server e client

Questo tutorial utilizza l'autenticazione reciproca. Con l'autenticazione reciproca, il Client VPN utilizza i certificati per eseguire l'autenticazione tra client ed endpoint Client VPN. È necessario creare un certificato server e una chiave e almeno un certificato client e una chiave. Come minimo, il certificato del server dovrà essere importato in AWS Certificate Manager (ACM) e specificato quando crei l'endpoint Client VPN. L'importazione del certificato client in ACM è facoltativa.

Se non si dispone già di certificati da utilizzare per questo scopo, possono essere creati utilizzando la utility OpenVPN easy-rsa. Per le fasi dettagliate per generare i certificati e le chiavi server e client utilizzando la Utility OpenVPN easy-rsa e importarli in ACM vedi Autenticazione reciproca.

Nota

Il certificato del server deve essere fornito con o importato in AWS Certificate Manager (ACM) nella stessa regione AWS in cui verrà creato l'endpoint Client VPN.

Fase 2: Creare un endpoint Client VPN

L'endpoint Client VPN è la risorsa che crei e configuri per abilitare e gestire le sessioni Client VPN. È il punto di cessazione di tutte le sessioni VPN client.

Per creare un endpoint Client VPN

1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Endpoint del client VPN e quindi scegli Create Client VPN Endpoint (Crea un endpoint del client VPN).

3. (Facoltativo) Fornisci un nome tag e una descrizione per l'endpoint Client VPN.

4. Per Client IPv4 CIDR (CIDR IPv4 client), specificare un intervallo di indirizzi IP in notazione CIDR entro cui assegnare gli indirizzi IP del client.

   Nota

   L'intervallo di indirizzi non può sovrapporsi all’intervallo di indirizzi della rete di destinazione, all’intervallo di indirizzi VPC, né ad alcun routing che verrà associato all'endpoint Client VPN. L'intervallo di indirizzi client deve essere al minimo /22 e non superiore a /12 delle dimensioni del blocco CIDR. Non è possibile modificare l’intervallo di indirizzi del client dopo aver creato l'endpoint Client VPN.

5. Per Certificato server ARN, seleziona l'ARN del certificato server generato in Fase 1.

6. In Opzioni autenticazione, selezionare Use mutual authentication (Utilizza autenticazione reciproca) e per Client certificate ARN (ARN del certificato client), selezionare l'ARN del certificato che desideri utilizzare come certificato del client.

   Se i certificati server e client sono stati rilasciati dalla stessa autorità di certificazione (CA), è possibile specificare l'ARN del certificato server sia per il server che per il client. In questo scenario, qualsiasi certificato client corrispondente al certificato del server può essere utilizzato per l'autenticazione.

7. Mantenere le restanti impostazioni predefinite e selezionare Create Client VPN Endpoint (Crea un endpoint del client VPN).

Una volta creato, lo stato dell'endpoint Client VPN è pending-associate. I client possono stabilire una connessione VPN solo dopo aver associato almeno una rete target.

Per ulteriori informazioni sulle opzioni che puoi specificare per un endpoint Client VPN, consulta Creare un endpoint Client VPN.

Fase 3: Associazione di una rete target

Per consentire ai client di stabilire una sessione VPN, è necessario associare una rete target all'endpoint Client VPN. Una rete target è una sottorete in un VPC.

Per associare una rete di destinazione a un endpoint Client VPN

1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

3. Seleziona l'endpoint Client VPN creato nella procedura precedente, quindi scegli Associazioni di rete di destinazione, Associate target network (Associa la rete di destinazione).

4. Per VPC, scegliere il VPC in cui si trova la sottorete.

5. Per Sottorete da associare scegli la sottorete da associare all'endpoint Client VPN.

6. Scegli Associate target network (Associa rete di destinazione).

7. Se consentito dalle regole di autorizzazione, un'associazione sottorete è sufficiente per permettere ai client di accedere all'intera rete di un VPC. Puoi associare sottoreti aggiuntive per fornire un'elevata disponibilità nel caso in cui una delle zone di disponibilità sia danneggiata.

Quando associ la prima sottorete all'endpoint Client VPN si verificano i seguenti eventi:

• Lo stato dell'endpoint Client VPN diventa available. I client possono ora stabilire una connessione VPN, ma non possono accedere alle risorse nel VPC finché non vengono aggiunte le regole di autorizzazione.

• La route locale del VPC viene aggiunta automaticamente alla tabella di routing dell'endpoint Client VPN.

• Il gruppo di sicurezza predefinito del VPC viene automaticamente applicato all’endpoint del Client VPN.

Fase 4: Aggiungere una regola di autorizzazione per il VPC

Affinché i client possano accedere al VPC, è necessario che vi sia un routing verso il VPC nella tabella di routing dell'endpoint Client VPN e una regola di autorizzazione. Il percorso è già stato aggiunto automaticamente nella fase precedente. In questo tutorial, concediamo l'accesso al VPC a tutti gli utenti.

Per aggiungere una regola di autorizzazione per il VPC

1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

3. Seleziona l'endpoint Client VPN a cui è stata aggiunta la regola di autorizzazione. Scegli Regole di autorizzazione, quindi scegli Add authorization rule (Aggiungi regola di autorizzazione).

4. Per Rete di destinazione da abilitare, immettere il CIDR della rete per la quale si desidera consentire l'accesso. Ad esempio, per consentire l'accesso all'intero VPC, specificare il blocco CIDR IPv4 del VPC.

5. In Grant access to (Consenti accesso a), scegliere Allow access to all users (Consenti accesso a tutti gli utenti).

6. (Opzionale) In Descrizione immettere una breve descrizione della regola di autorizzazione.

7. Scegliere Add authorization rule (Aggiungi regola di autorizzazione).

Fase 5: Fornire l'accesso a Internet.

È possibile fornire l'accesso alle reti aggiuntive connesse al VPC, ad esempio i servizi AWS, i VPC in peering, le reti on-premise e Internet. Per ogni rete aggiuntiva, devi aggiungere un routing alla rete e nella tabella di routing dell’endpoint del Client VPN e configurare una regola di autorizzazione per concedere l'accesso ai client.

Per questo tutorial, vogliamo concedere a tutti gli utenti l'accesso a Internet e anche al VPC. Hai già configurato l'accesso al VPC, quindi questo passaggio riguarda l'accesso a Internet.

Fornire l'accesso a Internet

1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

3. Seleziona l'endpoint Client VPN creato per questo tutorial. Scegli Tabella di routing, quindi scegli Create Route (Crea routing).

4. Per Route destination (Destinazione route), immettere 0.0.0.0/0. Per ID sottorete per associazione rete di destinazione, specifica l'ID della sottorete in cui instradare il traffico.

5. Selezionare Create Route (Crea route).

6. Scegli Regole di autorizzazione, quindi scegli Add authorization rule (Aggiungi regola di autorizzazione).

7. Per Destination network to enable access (Rete di destinazione per abilitare l’accesso), immettere 0.0.0.0/0 e scegliere Allow access to all users (Consenti accesso a tutti gli utenti).

8. Scegliere Add authorization rule (Aggiungi regola di autorizzazione).

Fase 6: Verificare i requisiti del gruppo di sicurezza

In questo tutorial, non sono stati specificati gruppi di sicurezza durante la creazione dell'endpoint Client VPN nel passaggio 2. Ciò significa che il gruppo di sicurezza predefinito per il VPC viene applicato automaticamente all'endpoint Client VPN quando viene associata una rete di destinazione. Di conseguenza, il gruppo di sicurezza predefinito per il VPC dovrebbe ora essere associato all'endpoint Client VPN.

Verifica i seguenti requisiti del gruppo di sicurezza

• Il gruppo di sicurezza associato alla sottorete in cui si sta instradando il traffico (in questo caso il gruppo di sicurezza VPC predefinito) consente il traffico in uscita verso Internet. Per fare ciò, aggiungi una regola in uscita che consenta tutto il traffico verso la destinazione 0.0.0.0/0.

• I gruppi di sicurezza per le risorse nel VPC devono disporre di una regola che consenta l'accesso dal gruppo di sicurezza applicato all'endpoint Client VPN (in questo caso il gruppo di sicurezza VPC predefinito). Ciò consente ai client di accedere alle risorse nel VPC.

Per ulteriori informazioni, consulta Gruppi di sicurezza.

Fase 7: Scaricare il file di configurazione dell'endpoint Client VPN

Il passaggio seguente consiste nello scaricare e preparare il file di configurazione dell'endpoint Client VPN. Il file di configurazione include le informazioni sul certificato e sull'endpoint Client VPN necessarie per stabilire una connessione VPN. Puoi fornire questo file agli utenti finali che devono connettersi all’endpoint del Client VPN. L'utente finale utilizza il file per configurare l'applicazione client VPN.

Per scaricare e preparare il file di configurazione dell'endpoint Client VPN

1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

3. Seleziona l'endpoint Client VPN creato per questo tutorial e quindi scegli Download della configurazione del client.

4. Individuare il certificato client e la chiave che sono stati generati nel passaggio 1. Il certificato e la chiave client sono disponibili nelle seguenti posizioni del repository OpenVPN easy-rsa clonato:

   • Certificato clien — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

   • Chiave clien — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

5. Apri il file di configurazione dell'endpoint Client VPN utilizzando l'editor di testo preferito. Aggiungi i tag <cert></cert> e <key></key> al file. Inserire il contenuto del certificato del client e il contenuto della chiave privata tra i tag corrispondenti, come segue:

   <cert>
   Contents of client certificate (.crt) file
   </cert>
   
   <key>
   Contents of private key (.key) file
   </key>

6. Salva e chiudi il file di configurazione dell'endpoint Client VPN.

7. Distribuisci il file di configurazione dell'endpoint Client VPN agli utenti finali.

Per ulteriori informazioni sul file di configurazione dell'endpoint Client VPN, consulta Esportazione e configurazione del file di configurazione del client.

Fase 8: Connettersi all'endpoint Client VPN

Puoi connetterti all'endpoint Client VPN utilizzando il client fornito da AWS o un'altra applicazione client basata su OpenVPN e il file di configurazione appena creato. Per ulteriori informazioni, consulta la Guida per l'utente AWS Client VPN.