Exportar e configurar o arquivo de configuração do cliente - VPN do cliente da AWS

Exportar e configurar o arquivo de configuração do cliente

O arquivo de configuração do endpoint do Client VPN é o arquivo que os clientes (usuários) usam para estabelecer uma conexão VPN com o endpoint do Client VPN. Você deve fazer download (exportar) desse arquivo e distribuí-lo a todos os clientes que precisam de acesso à VPN. Como alternativa, se você habilitou o portal de autoatendimento para o endpoint do Client VPN, os clientes podem fazer login no portal e baixar o arquivo de configuração. Para obter mais informações, consulte . Acessar o portal de autoatendimento.

Se o endpoint do Client VPN usar a autenticação mútua, será necessário adicionar o certificado de cliente e a chave privada do cliente ao arquivo de configuração .ovpn do qual foi feito download. Depois de adicionar as informações, os clientes poderão importar o arquivo .ovpn para o software cliente OpenVPN.

Importante

Se você não adicionar o certificado de cliente e as informações da chave privada do cliente ao arquivo, os clientes que se autenticam usando a autenticação mútua não poderão se conectar ao endpoint do Client VPN.

Por padrão, a opção "--remote-random-hostname" na configuração do cliente OpenVPN habilita o DNS curinga. Como o DNS curinga está habilitado, o cliente não armazena em cache o endereço IP do endpoint, e você não poderá executar ping no nome DNS do endpoint.

Se o endpoint do Client VPN usar a autenticação do Active Directory e se você habilitar o Multi-Factor Authentication (MFA) no diretório após distribuir o arquivo de configuração do cliente, será necessário fazer download de um novo arquivo e redistribuí-lo aos clientes. Os clientes não podem usar o arquivo de configuração anterior para se conectar ao endpoint do Client VPN.

Exportar o arquivo de configuração do cliente

É possível exportar a configuração do cliente usando o console ou a AWS CLI.

Para exportar configuração do cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN cuja configuração do cliente deve ser transferida por download e escolha Download Client Configuration (Fazer download da configuração do cliente).

Para exportar configuração do cliente (AWS CLI)

Use o comando export-client-vpn-client-configuration e especifique o nome do arquivo de saída.

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn

Adicionar o certificado de cliente e as informações de chave (autenticação mútua)

Se o endpoint do Client VPN usar a autenticação mútua, será necessário adicionar o certificado de cliente e a chave privada do cliente ao arquivo de configuração .ovpn do qual foi feito download.

Você não pode modificar o certificado de cliente ao usar a autenticação mútua.

Como adicionar o certificado de cliente e as informações de chave (autenticação mútua)

Você pode usar uma das opções a seguir:

(Opção 1) Distribuir o certificado e a chave do cliente aos clientes junto com o arquivo de configuração do endpoint do Client VPN. Nesse caso, especifique o caminho para o certificado e a chave no arquivo de configuração. Abra o arquivo de configuração usando o editor de texto de sua preferência e adicione o seguinte ao final desse arquivo. Substitua /path/ pelo local do certificado e da chave do cliente (o local é relativo ao cliente que está se conectando ao endpoint).

cert /path/client1.domain.tld.crt key /path/client1.domain.tld.key

(Opção 2) Adicionar o conteúdo do certificado do cliente entre as tags <cert></cert> e o conteúdo da chave privada entre as tags <key></key> ao arquivo de configuração. Se você escolher essa opção, somente o arquivo de configuração será distribuído aos clientes.

Se você gerou certificados de clientes separados e chaves para cada usuário que se conectará ao endpoint do Client VPN, repita essa etapa para cada usuário.

Veja a seguir um exemplo do formato de um arquivo configuração do Client VPN que inclui o certificado e a chave do cliente.

client dev tun proto udp remote asdf.cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443 remote-random-hostname resolv-retry infinite nobind remote-cert-tls server cipher AES-256-GCM verb 3 <ca> Contents of CA </ca> <cert> Contents of client certificate (.crt) file </cert> <key> Contents of private key (.key) file </key> reneg-sec 0