As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Comece com AWS Client VPN
Neste tutorial, você criará um AWS Client VPN endpoint que faz o seguinte:
-
Fornece a todos os clientes acesso a um únicoVPC.
-
Fornece a todos os clientes acesso à Internet.
-
Usa autenticação mútua.
O diagrama a seguir representa a configuração do seu VPN endpoint VPC e do Client depois de concluir este tutorial.
Etapas
- Pré-requisitos
- Etapa 1: gerar chaves e certificados de servidor e cliente
- Etapa 2: criar um VPN endpoint de cliente
- Etapa 3: associar uma rede de destino
- Etapa 4: Adicionar uma regra de autorização para o VPC
- Etapa 5: conceder acesso à Internet
- Etapa 6: verificar os requisitos do grupo de segurança
- Etapa 7: Baixar o arquivo de configuração do VPN endpoint do cliente
- Etapa 8: Conectar-se ao VPN endpoint do cliente
Pré-requisitos
Antes de começar este tutorial de conceitos básicos, verifique se você tem o seguinte:
-
As permissões necessárias para trabalhar com VPN endpoints do cliente.
-
As permissões necessárias para importar certificados no AWS Certificate Manager.
-
A VPC com pelo menos uma sub-rede e um gateway de internet. A tabela de rota associada à sua sub-rede deve ter uma rota para o gateway da Internet.
Etapa 1: gerar chaves e certificados de servidor e cliente
Este tutorial usa a autenticação mútua. Com a autenticação mútua, o Cliente VPN usa certificados para realizar a autenticação entre os clientes e o VPN endpoint do Cliente. Você precisará ter um certificado e uma chave de servidor e pelo menos um certificado e uma chave de cliente. No mínimo, o certificado do servidor precisará ser importado para AWS Certificate Manager (ACM) e especificado quando você criar o VPN endpoint do cliente. Importar o certificado do cliente para ACM é opcional.
Se você ainda não tiver certificados para usar para essa finalidade, eles podem ser criados usando o utilitário Open VPN easy-rsa. Para obter etapas detalhadas para gerar os certificados e chaves do servidor e do cliente usando o utilitário Open VPN easy-rsa
nota
O certificado do servidor deve ser provisionado ou importado para AWS Certificate Manager (ACM) na mesma AWS região em que você criará o endpoint do clienteVPN.
Etapa 2: criar um VPN endpoint de cliente
O VPN endpoint do cliente é o recurso que você cria e configura para habilitar e gerenciar VPN as sessões do cliente. É o ponto de término de todas as VPN sessões do cliente.
Para criar um VPN endpoint de cliente
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Client VPN Endpoints e, em seguida, escolha Create Client VPN endpoint.
-
(Opcional) Forneça uma etiqueta de nome e uma descrição para o VPN endpoint do cliente.
-
Para Cliente IPv4 CIDR, especifique um intervalo de endereços IP, em CIDR notação, a partir do qual atribuir endereços IP do cliente.
nota
O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de VPC endereços ou a qualquer uma das rotas que serão associadas ao VPN endpoint do Cliente. O intervalo de endereços do cliente deve ter no mínimo /22 e não maior que o tamanho do CIDR bloco /12. Você não pode alterar o intervalo de endereços do cliente depois de criar o VPN endpoint do cliente.
-
ARNEm Certificado ARN de servidor, selecione o certificado do servidor que você gerou na Etapa 1.
-
Em Opções de autenticação, escolha Usar autenticação mútua e, em Certificado ARN do cliente ARN, selecione o certificado que você deseja usar como certificado do cliente.
Se os certificados do servidor e do cliente forem assinados pela mesma autoridade de certificação (CA), você terá a opção de especificar o certificado do servidor ARN para os certificados do cliente e do servidor. Nesse cenário, qualquer certificado do cliente que corresponda ao certificado do servidor pode ser usado para autenticar.
-
(Opcional) Especifique quais DNS servidores usar para DNS resolução. Para usar DNS servidores personalizados, para endereço IP DNS do Servidor 1 e Endereço IP DNS do Servidor 2, especifique os endereços IP dos DNS servidores a serem usados. Para usar o VPC DNS servidor, para o endereço IP DNS do Servidor 1 ou o endereço IP DNS do Servidor 2, especifique os endereços IP e adicione o endereço IP VPC DNS do servidor.
nota
Verifique se os DNS servidores podem ser acessados pelos clientes.
-
Mantenha o restante das configurações padrão e escolha Criar VPN endpoint do cliente.
Depois de criar o VPN endpoint do cliente, seu estado épending-associate. Os clientes só podem estabelecer uma VPN conexão depois de você associar pelo menos uma rede de destino.
Para obter mais informações sobre as opções que você pode especificar para um VPN endpoint do cliente, consulteCrie um AWS Client VPN endpoint.
Etapa 3: associar uma rede de destino
Para permitir que os clientes estabeleçam uma VPN sessão, você associa uma rede de destino ao VPN endpoint do cliente. Uma rede de destino é uma sub-rede em umVPC.
Para associar uma rede de destino ao VPN endpoint do cliente
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Client VPN Endpoints.
-
Selecione o VPN endpoint do cliente que você criou no procedimento anterior e escolha Associações de rede de destino, Associar rede de destino.
-
Para VPC, escolha o local VPC em que a sub-rede está localizada.
-
Em Escolha uma sub-rede para associar, escolha a sub-rede a ser associada ao endpoint do clienteVPN.
-
SelecioneAssociate target network (Associar rede de destino).
-
Se as regras de autorização permitirem, uma associação de sub-rede será suficiente para que os clientes acessem toda VPC a rede. É possível associar outras sub-redes para fornecer alta disponibilidade caso uma zona de disponibilidade tenha algum problema.
Quando você associa a primeira sub-rede ao VPN endpoint do cliente, acontece o seguinte:
-
O estado do VPN endpoint do cliente muda para
available. Agora, os clientes podem estabelecer uma VPN conexão, mas não podem acessar nenhum recurso no VPC até que você adicione as regras de autorização. -
A rota local do VPC é adicionada automaticamente à tabela de rotas do VPN endpoint do cliente.
-
O grupo VPC de segurança padrão do é aplicado automaticamente ao VPN endpoint do cliente.
Etapa 4: Adicionar uma regra de autorização para o VPC
Para que os clientes acessem oVPC, é necessário que haja uma rota para o VPC na tabela de rotas do VPN endpoint do cliente e uma regra de autorização. A rota já foi adicionada automaticamente na etapa anterior. Para este tutorial, queremos conceder a todos os usuários acesso aoVPC.
Para adicionar uma regra de autorização para o VPC
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Client VPN Endpoints.
-
Selecione o VPN endpoint do cliente ao qual adicionar a regra de autorização. Escolha Authorization rules (Regras de autorização) e Add authorization rule (Adicionar regra de autorização).
-
Para que a Rede de destino habilite o CIDR acesso, insira a rede para a qual você deseja permitir o acesso. Por exemplo, para permitir o acesso ao todoVPC, especifique o IPv4 CIDR bloco doVPC.
-
Para Conceder acesso a, escolha Permitir acesso a todos os usuários.
-
(Opcional) Em Description (Descrição), insira uma breve descrição da regra de autorização.
-
Escolha Adicionar regra de autorização.
Etapa 5: conceder acesso à Internet
Você pode fornecer acesso a redes adicionais conectadas aoVPC, como AWS serviços, redes com peeringVPCs, redes locais e Internet. Para cada rede adicional, você adiciona uma rota à rede na tabela de rotas do VPN endpoint do cliente e configura uma regra de autorização para dar acesso aos clientes.
Para este tutorial, queremos conceder a todos os usuários acesso à Internet e também aoVPC. Você já configurou o acesso aoVPC, então esta etapa é para acesso à Internet.
Como conceder acesso à Internet
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Client VPN Endpoints.
-
Selecione o VPN endpoint do cliente que você criou para este tutorial. Escolha Route Table (Tabela de rotas) e Create Route (Criar rota).
-
Em Destino da rota, insira
0.0.0.0/0. Em Subnet ID for target network association (ID da sub-rede para a associação da rede de destino), especifique o ID da sub-rede pela qual deseja encaminhar o tráfego. -
Escolha Criar rota.
-
Escolha Authorization rules (Regras de autorização) e Add authorization rule (Adicionar regra de autorização).
-
Em Destination network to enable access (Rede de destino para permitir acesso), insira
0.0.0.0/0e escolha Allow access to all users (Permitir acesso a todos os usuários). -
Escolha Adicionar regra de autorização.
Etapa 6: verificar os requisitos do grupo de segurança
Neste tutorial, nenhum grupo de segurança foi especificado durante a criação do VPN endpoint do cliente na Etapa 2. Isso significa que o grupo de segurança padrão do VPC é aplicado automaticamente ao VPN endpoint do Cliente quando uma rede de destino é associada. Como resultado, o grupo de segurança padrão do agora VPC deve estar associado ao VPN endpoint do Cliente.
Verificar os requisitos de grupo de segurança a seguir
-
O fato de o grupo de segurança associado à sub-rede pela qual você está roteando o tráfego (nesse caso, o grupo de VPC segurança padrão) permite tráfego de saída para a Internet. Para fazer isso, adicione uma regra de saída que permita todo o tráfego para o destino
0.0.0.0/0. -
Que os grupos de segurança dos recursos em seu VPC tenham uma regra que permita o acesso do grupo de segurança aplicado ao VPN endpoint do Cliente (nesse caso, o grupo de VPC segurança padrão). Isso permite que seus clientes acessem os recursos em seuVPC.
Para obter mais informações, consulte Grupos de segurança.
Etapa 7: Baixar o arquivo de configuração do VPN endpoint do cliente
A próxima etapa é baixar e preparar o arquivo de configuração do VPN endpoint do cliente. O arquivo de configuração inclui os detalhes do VPN endpoint do cliente e as informações do certificado necessárias para estabelecer uma VPN conexão. Você fornece esse arquivo aos usuários finais que precisam se conectar ao VPN endpoint do Cliente. O usuário final usa o arquivo para configurar seu aplicativo VPN cliente.
Para baixar e preparar o arquivo de configuração do VPN endpoint do cliente
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Client VPN Endpoints.
-
Selecione o VPN endpoint do cliente que você criou para este tutorial e escolha Baixar a configuração do cliente.
-
Localize o certificado de cliente e a chave que foram gerados na etapa 1. O certificado e a chave do cliente podem ser encontrados nos seguintes locais no repositório clonado do Open VPN easy-rsa:
-
Certificado do cliente —
easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt -
Chave do cliente —
easy-rsa/easyrsa3/pki/private/client1.domain.tld.key
-
-
Abra o arquivo de configuração do VPN endpoint do cliente usando seu editor de texto preferido. Adicione as etiquetas
<cert></cert>e<key></key>ao arquivo. Coloque o conteúdo do certificado do cliente e o conteúdo da chave privada entre as etiquetas correspondentes, como:<cert>Contents of client certificate (.crt) file</cert> <key>Contents of private key (.key) file</key> -
Salve e feche o arquivo de configuração do VPN endpoint do cliente.
-
Distribua o arquivo de configuração do VPN endpoint do cliente para seus usuários finais.
Para obter mais informações sobre o arquivo de configuração do VPN endpoint do cliente, consulteAWS Client VPN exportação do arquivo de configuração do endpoint.
Etapa 8: Conectar-se ao VPN endpoint do cliente
Você pode se conectar ao VPN endpoint do cliente usando o cliente AWS fornecido ou outro aplicativo cliente VPN baseado em Open e o arquivo de configuração que você acabou de criar. Para obter mais informações, consulte o Guia do usuário do AWS Client VPN.
