Endpoints do Client VPN - VPN do cliente da AWS

Endpoints do Client VPN

Todas as sessões de Client VPN são encerradas no endpoint do Client VPN. Você configura o endpoint do Client VPN para gerenciar e controlar todas as sessões de Client VPN.

Criar um endpoint do Client VPN

Crie um endpoint do Client VPN para permitir que seus clientes estabeleçam uma sessão de VPN.

O cliente VPN deve ser criado na mesma conta da AWS na qual a rede de destino pretendida é provisionada.

Pré-requisitos

Antes de começar, faça o seguinte:

Para criar um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN. e escolha Criar endpoint da cliente VPN.

  3. (Opcional) Forneça uma etiqueta de nome e uma descrição para o endpoint da VPN do cliente.

  4. Em CIDR IPv4 do cliente, especifique um intervalo de endereços IP, em notação CIDR, para atribuir endereços IP do cliente. Por exemplo, 10.0.0.0/22.

    nota

    O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de endereços da VPC nem a nenhuma das rotas que serão associadas ao endpoint da VPN do cliente. O intervalo de endereços do cliente deve ser de, no mínimo, /22 e não maior que o tamanho do bloco CIDR /12. Não é possível alterar o intervalo de endereços do cliente depois de criar o endpoint da VPN do cliente.

  5. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da cliente VPN. ao qual estão se conectando.

    nota

    O certificado de servidor deve estar presente no AWS Certificate Manager (ACM) na região em que o endpoint do cliente VPN está sendo criado. O certificado pode ser provisionado com o ACM ou importado para o ACM.

  6. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Você deve selecionar um método de autenticação.

    • Para utilizar a autenticação baseada no usuário, selecione Utilizar autenticação baseada no usuário e, depois, escolha uma das seguintes opções:

      • Autenticação do Active Directory: escolha esta opção para autenticação do Active Directory. Em ID do diretório, especifique o ID do Active Directory a ser usado.

      • Autenticação federada: escolha esta opção para autenticação federada baseada em SAML.

        Em ARN do provedor SAML, especifique o ARN do provedor de identidade SAML do IAM.

        (Opcional) Em Self-service SAML provider ARN (ARN do provedor SAML de autoatendimento), especifique o ARN do provedor de identidade SAML do IAM que você criou para oferecer suporte ao portal de autoatendimento, se aplicável.

    • Para usar a autenticação de certificado mútua, selecione Use mutual authentication (Usar autenticação mútua) e, em Client certificate ARN (ARN do certificado de cliente), especifique o ARN do certificado de cliente provisionado no AWS Certificate Manager (ACM).

      nota

      Se os certificados de servidor e cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor para ambos, servidor e cliente. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação diferente, o ARN do certificado do cliente deverá ser especificado.

  7. (Opcional) Em Connection logging (Log de conexão), especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Ative Enable log details on client connections (Habilitar detalhes de log nas conexões de cliente). Em Nome do grupo de logs do CloudWatch Logs, insira o nome do grupo de logs a ser usado. Em Nome do stream de logs do CloudWatch Logs, insira o nome do stream de logs a ser usado ou deixe essa opção em branco para que possamos criar um stream de logs para você.

  8. (Opcional) Em Client Connect Handler (Manipulador de conexão do cliente), ative Enable client connect handler (Habilitar o manipulador de conexão do cliente) para executar o código personalizado que permite ou nega uma nova conexão com o endpoint da VPN do cliente. Em Client Connect Handler ARN (ARN do manipulador de conexão do cliente), especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.

  9. (Opcional) Especifique quais servidores DNS devem ser usados para a resolução de DNS. Para usar servidores DNS personalizados, em DNS Server 1 IP address (Endereço IP do servidor DNS 1) e DNS Server 2 IP address (Endereço IP do servidor DNS 2), especifique os endereços IP dos servidores DNS a serem usados. Para usar o servidor DNS da VPC, em DNS Server 1 IP address (Endereço IP do servidor DNS 1) ou DNS Server 2 IP address (Endereço IP do servidor DNS 2), especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.

    nota

    Verifique se os servidores DNS possam ser acessados pelos clientes.

  10. (Opcional) Por padrão, o servidor da VPN do cliente usa o protocolo de transporte UDP. Para usar o protocolo de transporte TCP, em Transport Protocol (Protocolo de transporte), selecione TCP.

    nota

    Em geral, o UDP oferece melhor performance que o TCP. Não é possível alterar o protocolo de transporte depois de criar o endpoint do Client VPN.

  11. (Opcional) Para que o endpoint seja um endpoint de VPN do cliente de túnel dividido, ative Enable split-tunnel (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint do cliente VPN está desabilitado.

  12. (Opcional) Em VPC ID (ID da VPC), selecione a VPC a ser associada ao endpoint do Client VPN. Em Security Group IDs (IDs de grupo de segurança), selecione um ou mais grupos de segurança da VPC a serem aplicados ao endpoint do Client VPN.

  13. (Opcional) Em VPN port (Porta VPN), selecione o número da porta VPN. O padrão é 443.

  14. (Opcional) Para gerar um URL do portal de autoatendimento para clientes, ative Enable self-service portal (Habilitar portal de autoatendimento).

  15. (Opcional) Em Session timeout hours (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.

  16. (Opcional) Especifique se deseja habilitar o texto do banner de login do cliente. Ative Enable client login banner (Habilitar o banner de login do cliente). Em Client login banner text (Texto do banner de login do cliente), insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.

  17. Selecione Create Client VPN endpoint (Criar endpoint da VPN do cliente).

Depois de criar o endpoint do Client VPN, faça o seguinte para concluir a configuração e permitir que os clientes se conectem:

  • O estado inicial do endpoint do Client VPN é pending-associate. Os clientes só poderão se conectar ao endpoint do Client VPN depois que você associar a primeira rede de destino.

  • Crie uma regra de autorização para especificar quais clientes têm acesso à rede.

  • Baixe e prepare o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes.

  • Instrua seus clientes a usar o cliente fornecido pela AWS ou outra aplicação de cliente baseada em OpenVPN para conectar-se ao endpoint do cliente VPN. Para obter mais informações, consulte o Guia do usuário do AWS Client VPN.

Como criar um endpoint do Client VPN (AWS CLI)

Use o comando create-client-vpn-endpoint.

Modificar um endpoint do Client VPN

Após a criação de um Client VPN, é possível modificar qualquer uma das seguintes configurações:

  • A descrição

  • O certificado de servidor

  • As opções de registro em log da conexão do cliente

  • A opção do manipulador de conexão do cliente

  • Os servidores DNS

  • A opção de túnel dividido

  • Rotas (ao usar a opção de túnel dividido)

  • Lista de revogação de certificados (CRL)

  • Regras de autorização

  • A VPC e as associações do grupo de segurança

  • O número da porta VPN

  • A opção do portal de autoatendimento

  • Duração máxima da sessão VPN

  • Habilitar ou desabilitar o texto do banner de login do cliente

  • Texto do banner de login do cliente

nota

As modificações nos endpoints do Client VPN, incluindo alterações na lista de revogação de certificados (CRL), entrarão em vigor até quatro horas depois que a solicitação for aceita pelo serviço Client VPN.

Não é possível modificar o intervalo CIDR IPv4 do cliente, as opções de autenticação, o certificado do cliente nem o protocolo de transporte após a criação do endpoint do Client VPN.

Quando você modifica qualquer um dos seguintes parâmetros em um endpoint do Client VPN, a conexão é redefinida:

  • O certificado de servidor

  • Os servidores DNS

  • A opção de túnel dividido (ligar ou desligar o suporte)

  • Rotas (quando você usa a opção de túnel dividido)

  • Lista de revogação de certificados (CRL)

  • Regras de autorização

  • O número da porta VPN

É possível modificar um endpoint do Client VPN usando o console ou a AWS CLI.

Para modificar um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint da VPN do cliente a ser modificado, escolha Actions (Ações) e Modify Client VPN endpoint (Modificar endpoint da VPN do cliente).

  4. Em Description (Descrição), digite uma breve descrição do endpoint do Client VPN.

  5. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da cliente VPN. ao qual estão se conectando.

    nota

    O certificado de servidor deve estar presente no AWS Certificate Manager (ACM) na região em que o endpoint do cliente VPN está sendo criado. O certificado pode ser provisionado com o ACM ou importado para o ACM.

  6. Especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Em Enable log details on client connections (Habilitar detalhes de log em conexões de cliente), siga um destes procedimentos:

    • Para ativar o log de conexão de cliente, ative Enable log details on client connections (Habilitar detalhes de log em conexões de cliente). Em CloudWatch Logs log group name (Nome do grupo de logs do CloudWatch Logs), selecione o nome do grupo de logs a ser usado. Em CloudWatch Logs log stream name (Nome do stream de logs do CloudWatch Logs), selecione o nome do fluxo de logs a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de logs para você.

    • Para desativar o log de conexão de cliente, desative Enable log details on client connections (Habilitar detalhes de log em conexões de cliente).

  7. Em Client connect handler (Manipulador de conexão de cliente), ative Enable client connect handler (Habilitar manipulador de conexão de cliente) para ativar o manipulador de conexão de cliente. Em Client Connect Handler ARN (ARN do manipulador de conexão do cliente), especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.

  8. Ative ou desative Enable DNS servers (Habilitar servidores DNS). Para usar servidores DNS personalizados, em DNS Server 1 IP address (Endereço IP do servidor DNS 1) e DNS Server 2 IP address (Endereço IP do servidor DNS 2), especifique os endereços IP dos servidores DNS a serem usados. Para usar o servidor DNS da VPC, em DNS Server 1 IP address (Endereço IP do servidor DNS 1) ou DNS Server 2 IP address (Endereço IP do servidor DNS 2), especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.

    nota

    Verifique se os servidores DNS possam ser acessados pelos clientes.

  9. Ative ou desative Enable split-tunnel (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint da VPN está desativado.

  10. Em VPC ID (ID da VPC), escolha a VPC a ser associada ao endpoint da VPN do cliente. Em Security Group IDs (IDs de grupo de segurança), selecione um ou mais grupos de segurança da VPC a serem aplicados ao endpoint do Client VPN.

  11. Em VPN port (Porta VPN), selecione o número da porta VPN. O padrão é 443.

  12. Para gerar um URL do portal de autoatendimento para clientes, ative Enable self-service portal (Habilitar portal de autoatendimento).

  13. Em Session timeout hours (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.

  14. Ative ou desative Enable client login banner (Habilitar o banner de login do cliente). Se quiser usar o banner de login do cliente, insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.

  15. Escolha Modify Client VPN endpoint (Modificar endpoint da VPN do cliente).

Modificar um endpoint do Client VPN (AWS CLI)

Use o comando modify-client-vpn-endpoint.

Visualizar endpoints do Client VPN

É possível visualizar informações sobre endpoints do Client VPN ao usar o console ou a AWS CLI.

Como visualizar endpoints da VPN do cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN a ser visualizado.

  4. Use as guias Details (Detalhes), Target network associations (Associações de rede de destino), Security groups (Grupos de segurança), Authorization rules (Regras de autorização), Route table (Tabela de rotas), Connections (Conexões) e Tags (Etiquetas) para visualizar informações sobre os endpoints da VPN do cliente existentes.

    Você também pode usar filtros para ajudar a refinar a pesquisa.

Como visualizar endpoints da VPN do cliente (AWS CLI)

Use o comando describe-client-vpn-endpoints.

Excluir um endpoint do Client VPN

Você deverá desassociar todas as redes de destino para excluir um endpoint da VPN do cliente. Ao excluir um endpoint do Client VPN, seu estado é alterado para deleting e os clientes não podem mais se conectar a ele.

É possível excluir um endpoint do Client VPN usando o console ou a AWS CLI.

Para excluir um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Escolha o endpoint da VPN do cliente a ser excluído. Escolha Actions (Ações), Delete Client VPN endpoint (Excluir endpoint da VPN do cliente).

  4. Insira delete (excluir) na janela de confirmação e escolha Delete (Excluir).

Para excluir um endpoint do Client VPN (AWS CLI)

Use o comando delete-client-vpn-endpoint.