Cómo AWS Client VPN funciona - AWS Client VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Client VPN funciona

En este AWS Client VPN caso, hay dos tipos de personas de usuario que interactúan con el VPN punto final del cliente: administradores y clientes.

El administrador es responsable de la instalación y configuración del servicio. Esto implica crear el VPN punto final del cliente, asociar la red de destino, configurar las reglas de autorización y configurar rutas adicionales (si es necesario). Una vez instalado y configurado el VPN punto final del cliente, el administrador descarga el archivo de configuración del VPN punto final del cliente y lo distribuye a los clientes que necesitan acceso. El archivo de configuración del VPN punto final del cliente incluye el DNS nombre del VPN punto final del cliente y la información de autenticación necesaria para establecer una VPN sesión. Para obtener más información sobre la configuración del servicio, consulte Comience con AWS Client VPN.

El cliente es el usuario final. Es la persona que se conecta al VPN punto final del cliente para establecer una VPN sesión. El cliente establece la VPN sesión desde su ordenador local o dispositivo móvil mediante una aplicación de VPN cliente VPN basada en código abierto. Una vez establecida la VPN sesión, pueden acceder de forma segura a los recursos VPC en los que se encuentra la subred asociada. También pueden acceder a otros recursos AWS, a una red local o a otros clientes si se han configurado las reglas de ruta y autorización necesarias. Para obtener más información sobre cómo conectarse a un VPN punto final del cliente para establecer una VPN sesión, consulte Primeros pasos en la Guía del AWS Client VPN usuario.

El siguiente gráfico ilustra la VPN arquitectura básica del cliente.

VPNArquitectura de cliente

Escenarios y ejemplos para el cliente VPN

AWS Client VPN es una VPN solución de acceso remoto totalmente gestionada que se utiliza para permitir a los clientes un acceso seguro a los recursos tanto de la red AWS local como de la suya. Existen varias opciones para configurar el acceso. En esta sección se proporcionan ejemplos para crear y configurar el VPN acceso de cliente para sus clientes.

Escenarios

La AWS Client VPN configuración de este escenario incluye un único destinoVPC. Recomendamos esta configuración si necesita dar a los clientes acceso a los recursos de una VPC sola unidad.

Cliente que VPN accede a un VPC

Antes de comenzar, haga lo siguiente:

  • Cree o identifique un VPC con al menos una subred. Identifique la subred que desea asociar VPC al VPN punto final del cliente y anote sus IPv4 CIDR rangos.

  • Identifique un CIDR rango adecuado para las direcciones IP del cliente que no se superponga con el VPCCIDR.

  • Consulte las reglas y limitaciones de los VPN puntos finales del cliente enReglas y mejores prácticas de uso AWS Client VPN.

Para implementar esta configuración
  1. Cree un VPN punto final de cliente en la misma región que elVPC. Para ello, siga los pasos que se describen en Crear un AWS Client VPN punto final.

  2. Asocie la subred al VPN punto final del cliente. Para ello, lleve a cabo los pasos descritos en Asociar una red de destino a un AWS Client VPN punto final y seleccione la subred y la VPC que identificó anteriormente.

  3. Agregue una regla de autorización para dar a los clientes acceso a. VPC Para ello, lleve a cabo los pasos descritos en yAgregue una regla de autorización, para la red de destino, introduzca el IPv4 CIDR rango deVPC.

  4. Agregue una regla a los grupos de seguridad de sus recursos para permitir el tráfico del grupo de seguridad que se aplicó a la asociación de subred en el paso 2. Para obtener más información, consulte Grupos de seguridad.

La AWS Client VPN configuración de este escenario incluye un objetivo VPC (VPCA) que se empareja con un VPC (VPCB) adicional. Recomendamos esta configuración si necesita dar a los clientes acceso a los recursos de un destino VPC y a otros VPCs que estén emparejados con él (como VPC B).

nota

El procedimiento para permitir el acceso a un dispositivo interconectado VPC (que se describe a continuación del diagrama de red) solo es necesario si el VPN punto final del cliente se configuró para el modo de túnel dividido. En el modo de túnel completo, se permite el acceso al dispositivo interconectado de forma predeterminada. VPC

El cliente VPN accede a un par VPC

Antes de comenzar, haga lo siguiente:

  • Cree o identifique una VPC con al menos una subred. Identifique la subred que desea asociar VPC al VPN punto final del cliente y anote sus IPv4 CIDR rangos.

  • Identifique un CIDR rango adecuado para las direcciones IP del cliente que no se superponga con el VPCCIDR.

  • Consulte las reglas y limitaciones de los VPN puntos finales del cliente enReglas y mejores prácticas de uso AWS Client VPN.

Para implementar esta configuración
  1. Establezca la conexión VPC de emparejamiento entre. VPCs Siga los pasos que se indican en Crear y aceptar una conexión de VPC peering en la Amazon VPC Peering Guide. Confirme que las instancias de VPC A se puedan comunicar con las instancias de VPC B mediante la conexión de interconexión.

  2. Cree un VPN punto final de cliente en la misma región que el destinoVPC. En el diagrama, esto es VPC A. Realice los pasos descritos enCrear un AWS Client VPN punto final.

  3. Asocie la subred que identificó al VPN punto final del cliente que creó. Para ello, lleve a cabo los pasos que se describen en Asociar una red de destino a un AWS Client VPN punto final la sección sobre la selección de la subred VPC y la subred. De forma predeterminada, asociamos el grupo de seguridad predeterminado del al VPC VPN punto final del cliente. Puede asociar un grupo de seguridad diferente siguiendo los pasos que se describen en Aplicar un grupo de seguridad a una red de destino en AWS Client VPN.

  4. Agregue una regla de autorización para que los clientes puedan acceder al destinoVPC. Para ello, siga los pasos que se describen en Agregue una regla de autorización. Para que la red de destino se habilite, introduzca el IPv4 CIDR rango deVPC.

  5. Agregue una ruta para dirigir el tráfico al punto de conexión. VPC En el diagrama, es VPC B. Para ello, lleve a cabo los pasos descritos enCrear una ruta de AWS Client VPN punto final. En el campo Destino de la ruta, introduzca el IPv4 CIDR rango de la ruta interconectada. VPC En el ID de VPC subred de destino, seleccione la subred que asoció al punto final del cliente. VPN

  6. Agregue una regla de autorización para que los clientes puedan acceder a la red interconectada. VPC Para ello, siga los pasos que se describen en Agregue una regla de autorización. En Red de destino, introduzca el IPv4 CIDR rango de la red interconectada. VPC

  7. Agregue una regla a los grupos de seguridad de las instancias de VPC A y VPC B para permitir el tráfico procedente del grupo de seguridad al que se aplicó el VPN punto final del cliente en el paso 3. Para obtener más información, consulte Grupos de seguridad.

La AWS Client VPN configuración de este escenario incluye el acceso únicamente a una red local. Se recomienda esta configuración si tiene que ofrecer a los clientes acceso a los recursos que hay únicamente en una red local.

El cliente VPN accede a una red local

Antes de comenzar, haga lo siguiente:

  • Cree o identifique una VPC con al menos una subred. Identifique la subred que desea asociar VPC al VPN punto final del cliente y anote sus IPv4 CIDR rangos.

  • Identifique un CIDR rango adecuado para las direcciones IP del cliente que no se superponga con el VPCCIDR.

  • Consulte las reglas y limitaciones de los VPN puntos finales del cliente enReglas y mejores prácticas de uso AWS Client VPN.

Para implementar esta configuración
  1. Habilite la comunicación entre la red local VPC y su propia red a través de una conexión de sitio a AWS sitioVPN. Para ello, siga los pasos descritos en la Introducción de la Guía del usuario de AWS Site-to-Site VPN .

    nota

    Como alternativa, puede implementar este escenario mediante una AWS Direct Connect conexión entre su red VPC y la local. Para obtener más información, consulte la AWS Direct Connect Guía del usuario de .

  2. Pruebe la VPN conexión de AWS sitio a sitio que creó en el paso anterior. Para ello, lleve a cabo los pasos descritos en Probar la VPN conexión entre sitios de la Guía del usuario.AWS Site-to-Site VPN Si la VPN conexión funciona según lo previsto, continúe con el paso siguiente.

  3. Cree un VPN punto final de cliente en la misma región que elVPC. Para ello, siga los pasos que se describen en Crear un AWS Client VPN punto final.

  4. Asocie la subred que identificó anteriormente con el VPN punto final del cliente. Para ello, lleve a cabo los pasos descritos en Asociar una red de destino a un AWS Client VPN punto final y seleccione la VPC y la subred.

  5. Agregue una ruta que permita el acceso a la conexión de AWS sitio a sitio. VPN Para ello, lleve a cabo los pasos descritos enCrear una ruta de AWS Client VPN punto final: para el destino de la ruta, introduzca el IPv4 CIDR rango de la VPN conexión de AWS sitio a sitio y, para el ID de subred de destino, seleccione la VPC subred que asoció al punto final del cliente. VPN

  6. Agregue una regla de autorización para que los clientes puedan acceder a la conexión de sitio a sitio. AWS VPN Para ello, lleve a cabo los pasos descritos enAgregar una regla de autorización a un AWS Client VPN punto de conexión; para Red de destino, introduzca el rango de conexiones de AWS sitio a sitio. VPN IPv4 CIDR

La AWS Client VPN configuración de este escenario incluye un único destino VPC y acceso a Internet. Recomendamos esta configuración si necesita dar a los clientes acceso a los recursos de un único destino VPC y también permitir el acceso a Internet.

Si completó el tutorial Comience con AWS Client VPN, entonces ya ha implementado este escenario.

Cliente que VPN accede a Internet

Antes de comenzar, haga lo siguiente:

  • Cree o identifique una VPC con al menos una subred. Identifique la subred que desea asociar VPC al VPN punto final del cliente y anote sus IPv4 CIDR rangos.

  • Identifique un CIDR rango adecuado para las direcciones IP del cliente que no se superponga con el VPCCIDR.

  • Consulte las reglas y limitaciones de los VPN puntos finales del cliente enReglas y mejores prácticas de uso AWS Client VPN.

Para implementar esta configuración
  1. Asegúrese de que el grupo de seguridad que utilizará para el VPN punto final del cliente permita el tráfico saliente a Internet. Para ello, añada reglas de salida que permitan el tráfico a 0.0.0.0/0 para el tráfico y. HTTP HTTPS

  2. Cree una puerta de enlace a Internet y adjúntela a su. VPC Para obtener más información, consulte Creación y conexión de una pasarela de Internet Gateway en la Guía del VPC usuario de Amazon.

  3. Haga que su subred sea pública añadiendo una ruta al gateway de Internet en su tabla de ruteo. En la VPC consola, elija Subredes, seleccione la subred que desea asociar al VPN punto final del cliente, elija Tabla de rutas y, a continuación, elija el ID de la tabla de rutas. Elija Actions (Acciones), seleccione Edit routes (Editar rutas) y luego Add route (Añadir ruta). En Destination (Destino), escriba 0.0.0.0/0 y, en Target (Destino), elija la gateway de Internet del paso anterior.

  4. Cree un VPN punto final de cliente en la misma región que el. VPC Para ello, siga los pasos que se describen en Crear un AWS Client VPN punto final.

  5. Asocie la subred que identificó anteriormente con el VPN punto final del cliente. Para ello, lleve a cabo los pasos descritos en Asociar una red de destino a un AWS Client VPN punto final y seleccione la VPC y la subred.

  6. Agregue una regla de autorización para dar a los clientes acceso a. VPC Para ello, lleve a cabo los pasos descritos enAgregue una regla de autorización; y para que la red de destino se habilite, introduzca el IPv4 CIDR rango deVPC.

  7. Agregue una ruta que permita que el tráfico a Internet. Para ello, lleve a cabo los pasos que se describen enCrear una ruta de AWS Client VPN punto final: para el destino de la ruta, introduzca y0.0.0.0/0, para el ID de VPC subred de destino, seleccione la subred que ha asociado al punto final del clienteVPN.

  8. Agregue una regla de autorización para dar a los clientes acceso a Internet. Para ello, siga los pasos que se indican en Agregue una regla de autorización y, a continuación, en Destination network (Red de destino), escriba 0.0.0.0/0.

  9. Asegúrese de que los grupos de seguridad de sus recursos VPC tengan una regla que permita el acceso desde el grupo de seguridad asociado al punto final del clienteVPN. Esto permite a sus clientes acceder a los recursos del suyoVPC.

La AWS Client VPN configuración de este escenario permite a los clientes acceder a un único VPC escenario y enrutar el tráfico entre sí. Recomendamos esta configuración si los clientes que se conectan al mismo VPN punto final del cliente también necesitan comunicarse entre sí. Los clientes pueden comunicarse entre sí mediante la dirección IP única que se les asigna desde el CIDR rango de clientes cuando se conectan al VPN punto final del cliente.

lient-to-client Acceso C

Antes de comenzar, haga lo siguiente:

  • Cree o identifique un VPC con al menos una subred. Identifique la subred que desea asociar VPC al VPN punto final del cliente y anote sus IPv4 CIDR rangos.

  • Identifique un CIDR rango adecuado para las direcciones IP del cliente que no se superponga con el VPCCIDR.

  • Consulte las reglas y limitaciones de los VPN puntos finales del cliente enReglas y mejores prácticas de uso AWS Client VPN.

nota

En este escenario, no se admiten las reglas de autorización SAML basadas en la red que utilizan grupos de Active Directory o grupos de IdP basados en la red.

Para implementar esta configuración
  1. Cree un VPN punto final de cliente en la misma región que el. VPC Para ello, siga los pasos que se describen en Crear un AWS Client VPN punto final.

  2. Asocie la subred que identificó anteriormente con el VPN punto final del cliente. Para ello, lleve a cabo los pasos descritos en Asociar una red de destino a un AWS Client VPN punto final y seleccione la VPC y la subred.

  3. Agregue una ruta a la red local en la tabla de enrutamiento. Para ello, siga los pasos que se describen en Crear una ruta de AWS Client VPN punto final. Para el destino de la ruta, introduzca el CIDR rango de clientes y, para el ID de VPC subred de destino, especifique. local

  4. Agregue una regla de autorización para que los clientes puedan acceder a. VPC Para ello, siga los pasos que se describen en Agregue una regla de autorización. Para que la red de destino se habilite, introduzca el IPv4 CIDR rango deVPC.

  5. Agregue una regla de autorización para dar a los clientes acceso al CIDR rango de clientes. Para ello, siga los pasos que se describen en Agregue una regla de autorización. Para que la red de destino se active, introduzca el CIDR rango de clientes.

Puede configurar su AWS Client VPN terminal para restringir el acceso a recursos específicos de suVPC. Para la autenticación basada en el usuario, también puede restringir el acceso a partes de la red, en función del grupo de usuarios que accede al punto final del clienteVPN.

Restringir el acceso mediante grupos de seguridad

Puede conceder o denegar el acceso a recursos específicos de su red VPC añadiendo o quitando reglas de grupo de seguridad que hagan referencia al grupo de seguridad que se aplicó a la asociación de red de destino (el grupo de VPN seguridad cliente). Esta configuración se amplía en el escenario que se describe en Acceda a un cliente VPC que lo esté utilizando VPN. Esta configuración se aplica de manera adicional a la regla de autorización configurada en ese escenario.

Para conceder acceso a un recurso específico, identifique el grupo de seguridad asociado a la instancia en la que se está ejecutando el recurso. A continuación, cree una regla que permita el tráfico del grupo de VPN seguridad del cliente.

En el siguiente diagrama, el grupo de seguridad A es el grupo de VPN seguridad del cliente, el grupo de seguridad B está asociado a una EC2 instancia y el grupo de seguridad C está asociado a una EC2 instancia. Si añade una regla al grupo de seguridad B que permita el acceso desde el grupo de seguridad A, los clientes podrán acceder a la instancia asociada al grupo de seguridad B. Si el grupo de seguridad C no tiene una regla que permita el acceso desde el grupo de seguridad A, los clientes no podrán acceder a la instancia asociada al grupo de seguridad C.

Restringir el acceso a los recursos de un VPC

Antes de empezar, compruebe si el grupo de VPN seguridad del cliente está asociado a otros recursos de suVPC. Si agrega o elimina reglas que hacen referencia al grupo de VPN seguridad del cliente, también puede conceder o denegar el acceso a los demás recursos asociados. Para evitarlo, utilice un grupo de seguridad creado específicamente para su uso con el VPN punto final del cliente.

Para crear una regla de un grupo de seguridad
  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Elija el grupo de seguridad asociado a la instancia en la que se ejecute el recurso.

  4. Seleccione Actions (Acciones), Edit inbound rules (Editar reglas de entrada).

  5. Elija Add Rule (Agregar regla) y, a continuación, haga lo siguiente:

    • En Type (Tipo), elija All traffic (Todo el tráfico) o un tipo específico de tráfico que desee permitir.

    • En Source, selecciona Personalizado y, a continuación, introduce o elige el ID del grupo de VPN seguridad del cliente.

  6. Seleccione Save rules (Guardar reglas).

Para quitar el acceso a un recurso específico, compruebe el grupo de seguridad asociado a la instancia en la que se está ejecutando el recurso. Si hay una regla que permite el tráfico del grupo de VPN seguridad del cliente, elimínela.

Para comprobar las reglas del grupo de seguridad
  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione Inbound Rules (Reglas de entrada).

  4. Revise la lista de reglas. Si hay una regla en la que Source es el grupo de VPN seguridad del cliente, selecciona Editar reglas y selecciona Eliminar (el icono x) para la regla. Seleccione Guardar reglas.

Restringir el acceso en función de grupos de usuarios

Si el VPN terminal del cliente está configurado para la autenticación basada en usuarios, puede conceder a grupos específicos de usuarios el acceso a partes específicas de la red. Para ello, siga los pasos que se describen a continuación:

  1. Configure los usuarios y grupos en AWS Directory Service su IdP. Para obtener más información, consulte los temas siguientes:

  2. Cree una regla de autorización para el VPN punto final del cliente que permita a un grupo específico acceder a toda la red o a una parte de ella. Para obtener más información, consulte AWS Client VPN reglas de autorización.

Si el VPN punto final de su cliente está configurado para la autenticación mutua, no podrá configurar grupos de usuarios. Al crear una regla de autorización, debe conceder acceso a todos los usuarios. Para permitir que grupos específicos de usuarios accedan a partes específicas de la red, puede crear varios VPN puntos finales de cliente. Por ejemplo, para cada grupo de usuarios que tiene acceso a la red, haga lo siguiente:

  1. Cree un conjunto de certificados y claves de servidor y cliente para ese grupo de usuarios. Para obtener más información, consulte Autenticación mutua en AWS Client VPN.

  2. Cree un VPN punto final de cliente. Para obtener más información, consulte Crear un AWS Client VPN punto final.

  3. Cree una regla de autorización que conceda acceso a la totalidad o parte de la red. Por ejemplo, para un VPN punto final de cliente que utilizan los administradores, puede crear una regla de autorización que conceda acceso a toda la red. Para obtener más información, consulte Agregue una regla de autorización.