Einen AWS Client VPN Endpunkt erstellen - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen AWS Client VPN Endpunkt erstellen

Erstellen Sie einen Client-VPN-Endpunkt, damit Ihre Kunden eine VPN-Sitzung entweder mit der Amazon VPC-Konsole oder dem AWS CLI einrichten können.

Machen Sie sich mit den Anforderungen vertraut, bevor Sie einen Endpunkt erstellen. Weitere Informationen finden Sie unter Anforderungen für die Erstellung von Client-VPN-Endpunkten.

So erstellen Sie einen Client-VPN-Endpunkt mit der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) und dann Create Client VPN Endpoint (Client VPN-Endpunkt erstellen) aus.

  3. (Optional) Geben Sie ein Namens-Tag und eine Beschreibung für den Client-VPN-Endpunkt ein.

  4. Geben Sie für Client IPv4 CIDR einen IP-Adressbereich in CIDR-Notation an, aus dem Client-IP-Adressen zugewiesen werden sollen. Beispiel, 10.0.0.0/22.

    Anmerkung

    Der IP-Adressbereich darf sich nicht mit dem Zielnetzwerk-Adressbereich, dem VPC-Adressbereich oder einer der Routen überschneiden, die dem Client-VPN-Endpunkt zugeordnet werden. Der Client-Adressbereich muss eine CIDR-Blockgröße von mindestens /22 und maximal /12 aufweisen. Sie können den Client-Adressbereich nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.

  5. Geben Sie unter Server certificate ARN (Serverzertifikat-ARN) den ARN für das TLS-Zertifikat an, das vom Server verwendet wird. Clients nutzen zur Authentifizierung des Client VPN-Endpunkts, mit dem sie eine Verbindung herstellen, das Serverzertifikat.

    Anmerkung

    Das Serverzertifikat muss in AWS Certificate Manager (ACM) in der Region vorhanden sein, in der Sie den Client-VPN-Endpunkt erstellen. Das Zertifikat kann entweder mit ACM bereitgestellt oder in ACM importiert werden.

  6. Geben Sie die Authentifizierungsmethode zum Authentifizieren von Clients an, die verwendet werden soll, wenn diese eine VPN-Verbindung herstellen. Sie müssen eine Authentifizierungsmethode auswählen.

    • Um die benutzerbasierte Authentifizierung zu verwenden, wählen Sie Benutzerbasierte Authentifizierung verwenden und dann eine der folgenden Optionen aus:

      • Active Directory-Authentifizierung: Wählen Sie diese Option für die Active Directory-Authentifizierung. Geben Sie bei Verzeichnis-ID die ID des zu verwendenden Active Directory-Verzeichnisses an.

      • Verbundauthentifizierung: Wählen Sie diese Option für die SAML-basierte Verbundauthentifizierung.

        Geben Sie für SAML-Anbieter-ARN den ARN des IAM-SAML-Identitätsanbieters an.

        (Optional) Geben Sie unter Self-service SAML provider ARN (ARN des Self-Service-SAML-Anbieters) ggf. den ARN des IAM SAML-Identitätsanbieters an, den Sie zur Unterstützung des Self-Service-Portals erstellt haben.

    • Um die gegenseitige Zertifikatsauthentifizierung zu verwenden, wählen Sie Gegenseitige Authentifizierung verwenden aus, und geben Sie dann für Client-Zertifikat-ARN den ARN des Client-Zertifikats an, das in AWS Certificate Manager (ACM) bereitgestellt wird.

      Anmerkung

      Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats für den Server und den Client verwenden. Wenn das Clientzertifikat von einer anderen Zertifizierungsstelle ausgestellt wurde, sollte der ARN des Clientzertifikats angegeben werden.

  7. (Optional) Geben Sie für die Verbindungsprotokollierung an, ob Daten über Client-Verbindungen mithilfe von Amazon CloudWatch Logs protokolliert werden sollen. Aktivieren Sie Enable log details on client connections (Protokolldetails für Client-Verbindungen aktivieren). Geben Sie unter CloudWatch Logs-Protokollgruppenname den Namen der zu verwendenden Protokollgruppe ein. Geben Sie CloudWatch unter Log-Log-Stream-Name den Namen des Log-Streams ein, der verwendet werden soll, oder lassen Sie diese Option leer, damit wir einen Log-Stream für Sie erstellen können.

  8. (Optional) Aktivieren Sie unter Client Connect Handler die Option Enable client connect handler (Client-Connect-Handler aktivieren), um benutzerdefinierten Code auszuführen, der eine neue Verbindung mit dem Client-VPN-Endpunkt ermöglicht oder verweigert. Geben Sie unter Client Connect Handler-ARN, den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, die die Logik enthält, die Verbindungen zulässt oder verweigert.

  9. (Optional) Geben Sie an, welche DNS-Server für die DNS-Auflösung verwendet werden sollen. Geben Sie für die Verwendung von benutzerdefinierten DNS-Servern für DNS Server 1 IP address (IP-Adresse von DNS-Server 1) und DNS Server 2 IP address (IP-Adresse von DNS-Server 2) die IP-Adressen der zu verwendenden DNS-Server ein. Zur Verwendung von VPC-DNS-Servern für DNS Server 1 IP address (IP-Adresse für DNS-Server 1) oder DNS Server 2 IP address (IP-Adresse für DNS Server 2) geben Sie die IP-Adressen ein und fügen die IP-Adresse für die VPC DNS-Server hinzu.

    Anmerkung

    Stellen Sie sicher, dass die DNS-Servern von den Clients erreicht werden können.

  10. (Optional) Standardmäßig verwendet der Client-VPN-Endpunkt das UDP-Transportprotokoll. Wenn Sie stattdessen das TCP-Transportprotokoll verwenden möchten, wählen Sie als Transport Protocol (Transportprotokoll) TCP aus.

    Anmerkung

    UDP bietet in der Regel eine bessere Leistung als TCP. Sie können das Transportprotokoll nicht mehr ändern, nachdem Sie den Client-VPN-Endpunkt erstellt haben.

  11. (Optional) Wenn der Endpunkt ein Client-VPN-Endpunkt mit geteiltem Tunnel sein soll, aktivieren Sie Enable split-tunnel (Split-Tunnel aktivieren). Standardmäßig ist Split Tunneling auf einem Client-VPN-Endpunkt deaktiviert.

  12. (Optional) Wählen Sie unter VPC ID die VPC, die dem Client-VPN-Endpunkt zugeordnet werden soll. Wählen Sie für Sicherheitsgruppe IDs eine oder mehrere Sicherheitsgruppen der VPC aus, die auf den Client-VPN-Endpunkt angewendet werden sollen.

  13. (Optional) Wählen Sie für VPN Port die VPN-Portnummer. Der Standardwert ist 443.

  14. (Optional) Um eine Self-Service-Portal-URL für Kunden zu generieren, aktivieren Sie Enable self-service portal (Self-Service-Portal aktivieren).

  15. (Optional) Wählen Sie bei Session timeout hours (Sitzungszeitüberschreitungsstunden) die gewünschte maximale VPN-Sitzungsdauer in Stunden aus den verfügbaren Optionen oder lassen Sie sie auf den Standardwert von 24 Stunden eingestellt.

  16. (Optional) Wählen Sie unter Verbindung bei Sitzungstimeout trennen aus, ob Sie die Sitzung beenden möchten, wenn die maximale Sitzungszeit erreicht ist. Wenn Sie diese Option wählen, müssen Benutzer manuell erneut eine Verbindung zum Endpunkt herstellen, wenn die Sitzung abgelaufen ist. Andernfalls versucht Client VPN automatisch, die Verbindung wiederherzustellen.

  17. (Optional) Geben Sie an, ob der Bannertext für die Client-Anmeldung aktiviert sein soll. Aktivieren Sie Enable client login banner (Banner für Client-Anmeldung aktivieren). Geben Sie bei Client Login Banner Text (Bannertext für die Client-Anmeldung) den Text ein, der in einem Banner auf AWS-bereitgestellten Clients angezeigt wird, wenn eine VPN-Sitzung eingerichtet wird. Nur UTF-8-kodierte Zeichen. Maximal 1 400 Zeichen.

  18. Wählen Sie Create Client VPN endpoint (Client-VPN-Endpunkt erstellen) aus.

Führen Sie nach dem Erstellen des Client-VPN-Endpunkts die folgenden Schritte aus, um die Konfiguration abzuschließen und Clients das Herstellen einer Verbindung zu ermöglichen:

  • Der anfängliche Status des Client VPN-Endpunkts ist pending-associate. Clients können erst dann eine Verbindung mit dem Client-VPN-Endpunkt herstellen, nachdem Sie das erste Zielnetzwerk zugeordnet haben.

  • Erstellen Sie eine Autorisierungsregel, um anzugeben, welche Clients Zugriff auf das Netzwerk haben.

  • Laden Sie die Konfigurationsdatei für den Client-VPN-Endpunkt herunter und bereiten Sie sie vor, um sie an Ihre Clients zu verteilen.

  • Weisen Sie Ihre Clients an, den AWS bereitgestellten Client oder eine andere OpenVPN-basierte Client-Anwendung zu verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen. Weitere Informationen finden Sie im AWS Client VPN -Benutzerhandbuch.

Um einen Client-VPN-Endpunkt mit dem zu erstellen AWS CLI

Verwenden Sie den create-client-vpn-endpoint-Befehl.