Conceitos básicos da cliente VPN - AWSClient VPN

Conceitos básicos da cliente VPN

As tarefas a seguir ajudarão você a se familiarizar com a cliente VPN. Neste tutorial, você criará um endpoint da cliente VPN que faz o seguinte:

  • Fornece a todos os clientes acesso a uma única VPC.

  • Fornece a todos os clientes acesso à Internet.

  • Usa autenticação mútua.

O diagrama a seguir representa a configuração da VPC e do endpoint da cliente VPN depois da conclusão deste tutorial.


            Acesso da cliente VPN à Internet

Prerequisites

Para concluir este tutorial de conceitos básicos, você precisa:

  • As permissões necessárias para trabalhar com endpoints da cliente VPN.

  • Uma VPC com pelo menos uma sub-rede e um gateway da Internet. A tabela de rota associada à sua sub-rede deve ter uma rota para o gateway da Internet.

Etapa 1: gerar chaves e certificados de servidor e cliente

Este tutorial usa a autenticação mútua. Com a autenticação mútua, a cliente VPN usa certificados para realizar a autenticação entre o cliente e o servidor.

Para obter as etapas detalhadas de geração dos certificados e das chaves de servidor e cliente, consulte Autenticação mútua.

Etapa 2: Criar um endpoint da cliente VPN.

Ao criar um endpoint da cliente VPN., você cria a construção de VPN à qual os clientes podem se conectar para estabelecer uma conexão VPN.

Como criar um endpoint da cliente VPN.

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN. e escolha Criar endpoint da cliente VPN.

  3. (Opcional) Forneça um nome e uma descrição para o endpoint da cliente VPN.

  4. Em CIDR IPv4 do cliente, especifique um intervalo de endereços IP, em notação CIDR, para atribuir endereços IP do cliente. Por exemplo, 10.0.0.0/22.

    nota

    O intervalo de endereços IP não pode se sobrepor à rede de destino nem a nenhuma das rotas que serão associadas ao endpoint da cliente VPN. O intervalo CIDR do cliente deve ter um tamanho de bloco entre /12 e /22 e não pode se sobrepor ao CIDR da VPC ou a qualquer outra rota na tabela de rotas. Não é possível alterar o CIDR do cliente depois de criar o endpoint da cliente VPN.

  5. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da cliente VPN. ao qual estão se conectando.

    nota

    O certificado de servidor deve ser provisionado no AWS Certificate Manager (ACM).

  6. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Para este tutorial, escolha Usar autenticação mútua e, para ARN de certificado de cliente, especifique o ARN do certificado de cliente que você gerou na Etapa 1.

  7. Em Você deseja registrar os detalhes nas conexões de cliente?, escolha Não.

  8. Mantenha o restante das configurações padrão e selecione Criar endpoint da cliente VPN..

Para obter mais informações sobre as outras opções que você pode especificar ao criar um endpoint da cliente VPN., consulte Criar um endpoint do Client VPN.

Depois que você cria o endpoint da cliente VPN, seu estado é pending-associate. Os clientes só poderão estabelecer uma conexão VPN depois que você associar pelo menos uma rede de destino.

Etapa 3: Habilitar a conectividade de VPN para clientes

Para permitir que os clientes estabeleçam uma sessão de VPN, você deve associar uma rede de destino ao endpoint da cliente VPN. Uma rede de destino é uma sub-rede em uma VPC.

Como associar uma sub-rede ao endpoint da cliente VPN

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint da cliente VPN. ao qual associar a sub-rede e selecione Associações, Associar.

  4. Para VPC, selecione a VPC na qual a sub-rede está localizada. Se você especificou uma VPC quando criou o endpoint da cliente VPN., ela deve ser a mesma VPC.

  5. Em Sub-rede para associar, escolha a sub-rede a ser associada ao endpoint da cliente VPN.

  6. Escolha Associar.

    nota

    Se as regras de autorização permitirem, uma associação de sub-rede é suficiente para que os clientes acessem toda a rede de uma VPC. É possível associar sub-redes adicionais para fornecer alta disponibilidade caso uma das zonas de disponibilidade seja desativada.

Quando você associa a primeira sub-rede ao endpoint da cliente VPN, acontece o seguinte:

  • O estado do endpoint da cliente VPN muda para available. Agora, os clientes podem estabelecer uma conexão VPN, mas não poderão acessar recursos na VPC até que você adicione as regras de autorização.

  • A rota local da VPC é adicionada automaticamente à tabela de rotas do endpoint da cliente VPN.

  • O grupo de segurança padrão da VPC é aplicado automaticamente para a associação da sub-rede.

Etapa 4: Autorizar os clientes a acessar uma rede

Para autorizar os clientes a acessar a VPC na qual a sub-rede associada está localizada, você deve criar uma regra de autorização. Essa regra de autorização especifica quais clientes têm acesso à VPC. Neste tutorial, você concede acesso a todos os usuários.

Para adicionar uma regra de autorização à rede de destino

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint da cliente VPN que você deseja adicionar à regra de autorização, selecione Autorização e Autorizar entrada.

  4. Para Rede de destino para permitir acesso, insira o CIDR da rede à qual você deseja permitir acesso. Por exemplo, para permitir acesso a toda a VPC, especifique o bloco CIDR IPv4 da VPC.

  5. Para Conceder acesso a, escolha Permitir acesso a todos os usuários.

  6. Em Descrição, insira uma breve descrição da regra de autorização.

  7. Escolha Adicionar regra de autorização.

  8. Certifique-se de que os grupos de segurança para os recursos em sua VPC tenham uma regra que permita o acesso do grupo de segurança para a associação de sub-rede. Isso permite que os clientes acessem os recursos na VPC. Para obter mais informações, consulte Grupos de segurança.

Etapa 5: (opcional) Habilitar o acesso a redes adicionais

Você pode habilitar o acesso a redes adicionais conectadas à VPC, como serviços da AWS, VPCs emparelhadas e redes locais. Para cada rede adicional, é necessário adicionar uma rota para a rede e configurar uma regra de autorização para dar acesso aos clientes.

Neste tutorial, adicione uma rota para a Internet (0.0.0.0/0) e uma regra de autorização que conceda acesso a todos os usuários.

Como habilitar o acesso à Internet

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint da cliente VPN ao qual você deseja adicionar a rota, selecione Tabela de rotas e Criar rota.

  4. Em Destino da rota, insira 0.0.0.0/0. Em ID da sub-rede da VPC de destino, especifique o ID da sub-rede pela qual rotear o tráfego.

  5. Escolha Criar rota.

  6. Escolha Autorização e selecione Autorizar entrada.

  7. Para Rede de destino para permitir acesso, insira 0.0.0.0/0 e escolha Permitir acesso a todos os usuários.

  8. Escolha Adicionar regra de autorização.

  9. Verifique se o grupo de segurança associado à sub-rede pela qual você está roteando tráfego permite tráfego de entrada e de saída de e para a Internet. Para fazer isso, adicione regras de entrada e de saída que permitam o tráfego da Internet de e para 0.0.0.0/0.

Etapa 6: Fazer download do arquivo de configuração do endpoint da cliente VPN.

A etapa final é fazer download do arquivo de configuração do endpoint da cliente VPN e prepará-lo. O arquivo de configuração inclui as informações do endpoint da cliente VPN e de certificado necessárias para estabelecer uma conexão VPN. Você deve fornecer esse arquivo aos clientes que precisam se conectar ao endpoint da cliente VPN para estabelecer uma conexão VPN. O cliente faz upload desse arquivo em seu aplicativo cliente de VPN.

Como fazer download do arquivo de configuração do endpoint da cliente VPN e prepará-lo

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint da cliente VPN e selecione Fazer download da configuração do cliente.

  4. Localize o certificado de cliente e a chave que foram gerados na etapa 1. A chave e o certificado de cliente estão disponíveis nos seguintes locais no repositório clonado OpenVPN easy-rsa:

    • Certificado do cliente — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • Chave do cliente — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. Abra o arquivo de configuração do endpoint da cliente VPN usando seu editor de texto preferido e adicione o conteúdo do certificado do cliente entre as marcações <cert></cert> e o conteúdo da chave privada entre as marcações <key></key>.

    <cert> Contents of client certificate (.crt) file </cert> <key> Contents of private key (.key) file </key>
  6. Adicione uma string aleatória ao início do nome DNS do endpoint da cliente VPN. Localize a linha que especifica o nome DNS do endpoint da cliente VPN e adicione uma string aleatória ao início dela para que o formato seja string_aleatória.nome_DNS_exibido. Por exemplo:

    • Nome DNS original: cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

    • Nome DNS modificado: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

    nota

    Recomenda-se sempre usar o nome DNS fornecido para o endpoint da cliente VPN em seu arquivo de configuração, conforme descrito acima. Os endereços IP para os quais o nome DNS vai resolver estão sujeitos a alterações.

  7. Salve e feche o arquivo de configuração do endpoint da cliente VPN.

  8. Distribua o arquivo de configuração do endpoint da cliente VPN para seus clientes.

Para obter mais informações sobre o arquivo de configuração do endpoint da cliente VPN, consulte Exportar e configurar o arquivo de configuração do cliente.

Etapa 7: Conectar-se ao endpoint da cliente VPN

Você pode se conectar ao endpoint da cliente VPN usando o cliente fornecido pela AWS ou outra aplicação do cliente baseada no OpenVPN. Para obter mais informações, consulte o Guia do usuário da AWS Client VPN.