AWS Client VPN punti finali

Tutte le AWS Client VPN sessioni stabiliscono la comunicazione con un endpoint Client VPN. È possibile gestire l'endpoint Client VPN per creare, modificare, visualizzare ed eliminare sessioni client VPN con quell'endpoint. Gli endpoint possono essere creati e modificati utilizzando la console Amazon VPC o utilizzando la CLI AWS .

Requisiti per la creazione di endpoint Client VPN

Importante

Un endpoint Client VPN deve essere creato nello stesso AWS account in cui viene eseguito il provisioning della rete di destinazione prevista. Dovrai anche generare un certificato server e, se necessario, un certificato client. Per ulteriori informazioni, consulta Autenticazione client in AWS Client VPN.

Prima di iniziare, assicurati di disporre di quanto riportato di seguito:

• Esamina le regole e le limitazioni in Regole e best practice per l'utilizzo AWS Client VPN.

• Genera il certificato server e, se necessario, il certificato client. Per ulteriori informazioni, consulta Autenticazione client in AWS Client VPN.

Tipi di indirizzi IP

AWS Client VPN supporta configurazioni IPv4 -only, IPv6 -only e dual-stack sia per la connettività degli endpoint che per il routing del traffico. Le seguenti indicazioni aiutano a selezionare il tipo di indirizzo IP appropriato in base alle funzionalità del dispositivo client, all'infrastruttura di rete e ai requisiti delle applicazioni.

Tipo di indirizzo dell'endpoint

Il tipo di indirizzo dell'endpoint determina i protocolli IP supportati dall'endpoint Client VPN per le connessioni client. Questa impostazione non può essere modificata dopo la creazione dell'endpoint.

Scegli IPv4 -only quando:

• I tuoi dispositivi client supportano solo IPv4 connessioni VPN

• I tuoi strumenti di sicurezza sono ottimizzati per l'ispezione IPv4 del traffico

Scegli IPv6 -only quando:

• Tutti i dispositivi client supportano IPv6 completamente le connessioni

• Ti trovi in reti in cui IPv4 gli indirizzi sono esauriti

Scegli il dual-stack quando:

• Disponi di una combinazione di dispositivi client con diverse funzionalità IP

• Stai gradualmente passando da a IPv4 IPv6

Tipo di indirizzo IP del traffico

Il tipo di indirizzo IP del traffico controlla il modo in cui Client VPN indirizza il traffico tra i client e le risorse VPC, indipendentemente dai protocolli supportati dall'endpoint.

Indirizza il traffico come quando IPv4 :

• Supporta solo le applicazioni target nel tuo VPC IPv4

• Hai gruppi e reti IPv4 di sicurezza complessi ACLs

• Ti stai connettendo a sistemi legacy

Indirizza il traffico come IPv6 quando:

• La tua infrastruttura VPC è principalmente IPv6

• Vuoi rendere la tua architettura di rete a prova di futuro

• Disponi di applicazioni moderne progettate per IPv6

Modifica degli endpoint

Dopo aver creato un Client VPN, puoi modificare una delle seguenti impostazioni:

• Descrizione

• Certificato del server

• Opzioni di registrazione della connessione client

• L'opzione dell'handler di connessioni client

• Server DNS

• Opzione split-tunnel

• Route (quando si utilizza l'opzione split-tunnel)

• Creazione di un elenco di revoche di certificati (CRL)

• Regole di autorizzazione

• VPC e associazioni gruppi di sicurezza

• Numero di porta VPN

• L'opzione del portale self-service

• La durata massima della sessione VPN

• Abilita o disabilita la riconnessione automatica al timeout della sessione

• Abilitare o disabilitare il testo del banner di accesso client

• Testo del banner di accesso client

Nota

Le modifiche agli endpoint Client VPN, incluse le modifiche all’elenco di revoche di certificati (CRL), avranno effetto fino a 4 ore dopo l'accettazione di una richiesta dal servizio Client VPN.

Non è possibile modificare l'intervallo IPv4 CIDR del client, le opzioni di autenticazione, il certificato client o il protocollo di trasporto dopo la creazione dell'endpoint Client VPN.

Quando si modifica uno dei seguenti parametri in un endpoint VPN client, la connessione viene reimpostata:

• Certificato del server

• Server DNS

• Opzione tunnel diviso (attivazione o disattivazione del support)

• Percorsi (quando si utilizza l'opzione del tunnel diviso)

• Creazione di un elenco di revoche di certificati (CRL)

• Regole di autorizzazione

• Numero di porta VPN

Attività

• Creare un endpoint

• Visualizzazione degli endpoint

• Modificare un endpoint

• Eliminazione di un endpoint.