Einen AWS Client VPN Endpunkt erstellen - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen AWS Client VPN Endpunkt erstellen

Erstellen Sie einen VPN Client-Endpunkt, damit Ihre Kunden eine VPN Sitzung entweder über die VPC Amazon-Konsole oder die einrichten können AWS CLI.

Machen Sie sich mit den Anforderungen vertraut, bevor Sie einen Endpunkt erstellen. Weitere Informationen zu Endpunktanforderungen finden Sie unterAnforderungen für die Erstellung von Client-Endpunkten VPN.

So erstellen Sie einen VPN Client-Endpunkt (Konsole)

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints und dann Create Client VPN Endpoint aus.

  3. (Optional) Geben Sie ein Namensschild und eine Beschreibung für den VPN Client-Endpunkt ein.

  4. Geben Sie für Client IPv4 CIDR einen IP-Adressbereich in CIDR Notation an, aus dem Client-IP-Adressen zugewiesen werden sollen. Beispiel, 10.0.0.0/22.

    Anmerkung

    Der Adressbereich darf sich nicht mit dem Adressbereich des Zielnetzwerks, dem VPC Adressbereich oder einer der Routen überschneiden, die dem VPN Client-Endpunkt zugeordnet werden. Der Client-Adressbereich muss mindestens /22 und darf die CIDR Blockgröße /12 nicht überschreiten. Sie können den Client-Adressbereich nicht ändern, nachdem Sie den VPN Client-Endpunkt erstellt haben.

  5. Geben Sie unter Serverzertifikat ARN das ARN für das TLS Zertifikat an, das vom Server verwendet werden soll. Clients verwenden das Serverzertifikat, um den VPN Client-Endpunkt zu authentifizieren, zu dem sie eine Verbindung herstellen.

    Anmerkung

    Das Serverzertifikat muss in AWS Certificate Manager (ACM) in der Region vorhanden sein, in der Sie den VPN Client-Endpunkt erstellen. Das Zertifikat kann entweder bereitgestellt ACM oder in dieses importiert ACM werden.

  6. Geben Sie die Authentifizierungsmethode an, die zur Authentifizierung von Clients verwendet werden soll, wenn diese eine VPN Verbindung herstellen. Sie müssen eine Authentifizierungsmethode auswählen.

    • Um die benutzerbasierte Authentifizierung zu verwenden, wählen Sie Benutzerbasierte Authentifizierung verwenden und dann eine der folgenden Optionen aus:

      • Active Directory-Authentifizierung: Wählen Sie diese Option für die Active Directory-Authentifizierung. Geben Sie bei Verzeichnis-ID die ID des zu verwendenden Active Directory-Verzeichnisses an.

      • Verbundauthentifizierung: Wählen Sie diese Option für die SAML basierte Verbundauthentifizierung.

        Geben Sie als SAMLAnbieter ARN den ARN des IAM SAML Identitätsanbieters an.

        (Optional) Geben Sie für Self-Service SAML Provider den IAM SAML Identitätsanbieter anARN, den Sie zur Unterstützung ARN des Self-Service-Portals erstellt haben, falls zutreffend.

    • Um die gegenseitige Zertifikatsauthentifizierung zu verwenden, wählen Sie Gegenseitige Authentifizierung verwenden aus, und geben Sie dann für Clientzertifikat ARN das ARN Client-Zertifikat an, das in AWS Certificate Manager () bereitgestellt wurde. ACM

      Anmerkung

      Wenn die Server- und Clientzertifikate von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie das Serverzertifikat sowohl ARN für den Server als auch für den Client verwenden. Wenn das Client-Zertifikat von einer anderen Zertifizierungsstelle ausgestellt wurde, ARN sollte das Client-Zertifikat angegeben werden.

  7. (Optional) Geben Sie für die Verbindungsprotokollierung an, ob Daten über Client-Verbindungen mithilfe von Amazon CloudWatch Logs protokolliert werden sollen. Aktivieren Sie Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren). Geben Sie unter CloudWatch Logs-Protokollgruppenname den Namen der zu verwendenden Protokollgruppe ein. Geben Sie CloudWatch unter Log-Log-Stream-Name den Namen des Log-Streams ein, der verwendet werden soll, oder lassen Sie diese Option leer, damit wir einen Log-Stream für Sie erstellen können.

  8. (Optional) Aktivieren Sie für Client Connect Handler die Option Client-Connect-Handler aktivieren, um benutzerdefinierten Code auszuführen, der eine neue Verbindung zum VPN Client-Endpunkt zulässt oder verweigert. Geben Sie für Client Connect Handler ARN den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, die die Logik enthält, die Verbindungen zulässt oder verweigert.

  9. (Optional) Geben Sie an, welche DNS Server für DNS die Auflösung verwendet werden sollen. Um benutzerdefinierte DNS Server zu verwenden, geben Sie für DNS die IP-Adresse von DNS Server 1 und die IP-Adresse von Server 2 die IP-Adressen der zu DNS verwendenden Server an. Um den VPC DNS Server zu verwenden, geben Sie entweder DNS für die IP-Adresse von DNS Server 1 oder für die IP-Adresse von Server 2 die IP-Adressen an und fügen Sie die VPC DNS Server-IP-Adresse hinzu.

    Anmerkung

    Stellen Sie sicher, dass die DNS Server von den Clients erreicht werden können.

  10. (Optional) Standardmäßig verwendet der VPN Client-Endpunkt das UDP Transportprotokoll. Um stattdessen das TCP Transportprotokoll zu verwenden, wählen Sie für Transportprotokoll die Option TCP.

    Anmerkung

    UDPbietet in der Regel eine bessere Leistung alsTCP. Sie können das Transportprotokoll nicht ändern, nachdem Sie den VPN Client-Endpunkt erstellt haben.

  11. (Optional) Damit der Endpunkt ein VPN Split-Tunnel-Client-Endpunkt ist, aktivieren Sie die Option Split-Tunnel aktivieren. Standardmäßig ist Split-Tunnel auf einem Client-Endpunkt deaktiviert. VPN

  12. (Optional) Wählen Sie unter VPCID die aus, die VPC dem VPN Client-Endpunkt zugeordnet werden soll. Wählen Sie unter Sicherheitsgruppe eine oder mehrere Sicherheitsgruppen ausIDs, die VPC auf den VPN Client-Endpunkt angewendet werden sollen.

  13. (Optional) Wählen Sie für VPNVPNPort die Portnummer aus. Der Standardwert ist 443.

  14. (Optional) Um ein Self-Service-Portal URL für Kunden zu generieren, aktivieren Sie die Option Self-Service-Portal aktivieren.

  15. (Optional) Wählen Sie für das Sitzungs-Timeout die gewünschte maximale VPN Sitzungsdauer in Stunden aus den verfügbaren Optionen aus, oder behalten Sie den Standardwert von 24 Stunden bei.

  16. (Optional) Geben Sie an, ob der Bannertext für die Client-Anmeldung aktiviert sein soll. Aktivieren Sie Enable client login banner (Banner für Client-Anmeldung aktivieren). Geben Sie als Bannertext für die Kundenanmeldung den Text ein, der auf den AWS angegebenen Clients in einem Banner angezeigt wird, wenn eine VPN Sitzung eingerichtet ist. UTF-Nur 8 kodierte Zeichen. Maximal 1 400 Zeichen.

  17. Wählen Sie VPNClient-Endpunkt erstellen aus.

Nachdem Sie den VPN Client-Endpunkt erstellt haben, gehen Sie wie folgt vor, um die Konfiguration abzuschließen und den Clients die Verbindung zu ermöglichen:

  • Der Anfangsstatus des VPN Client-Endpunkts istpending-associate. Clients können sich erst mit dem VPN Client-Endpunkt verbinden, nachdem Sie das erste Zielnetzwerk zugeordnet haben.

  • Erstellen Sie eine Autorisierungsregel, um anzugeben, welche Clients Zugriff auf das Netzwerk haben.

  • Laden Sie die Konfigurationsdatei für den VPN Client-Endpunkt herunter und bereiten Sie sie vor, um sie an Ihre Clients zu verteilen.

  • Weisen Sie Ihre Kunden an, den AWS bereitgestellten Client oder eine andere VPN Open-basierte Client-Anwendung zu verwenden, um eine Verbindung zum VPN Client-Endpunkt herzustellen. Weitere Informationen finden Sie im AWS Client VPN -Benutzerhandbuch.

Um einen VPN Client-Endpunkt zu erstellen ()AWS CLI

Verwenden Sie den create-client-vpn-endpointBefehl.