开始使用 AWS Client VPN - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用 AWS Client VPN

在本教程中,您将创建一个执行以下操作的 AWS Client VPN 端点:

  • 为所有客户提供对单个客户端的访问权限VPC。

  • 为所有客户端提供对 Internet 的访问权限。

  • 使用双向身份验证

下图显示了完成本教程后您的VPC和客户端VPN终端节点的配置。

客户端VPN访问互联网

先决条件

在开始本入门教程之前,请确保您具有以下各项:

  • 使用客户端VPN端点所需的权限。

  • 将证书导入到 AWS Certificate Manager中所需的权限。

  • 至少有一个VPC子网和一个互联网网关。与您的子网关联的路由表必须具有通往 Internet 网关的路由。

步骤 1:生成服务器和客户端证书以及密钥

本教程使用双向身份验证。通过相互身份验证,客户端VPN使用证书在客户端和客户端VPN端点之间执行身份验证。您将需要具有服务器证书和密钥,以及至少一个客户端证书和密钥。至少需要将服务器证书导入 AWS Certificate Manager (ACM) 并在创建客户端VPN端点时指定。将客户证书导入到ACM是可选的。

如果您还没有用于此目的的证书,则可以使用 Open e VPN asy-rsa 实用程序创建这些证书。有关使用 Ope n e VPN asy-rsa 实用程序生成服务器和客户端证书和密钥并将其导入的详细步骤,请参阅。ACM 双向认证 AWS Client VPN

注意

服务器证书必须使用您要创建客户端VPN终端节点的同一 AWS 区域的 AWS Certificate Manager (ACM) 进行配置或导入。

步骤 2:创建客户端VPN终端节点

客户端终VPN端节点是您创建和配置的资源,用于启用和管理客户端VPN会话。这是所有客户端VPN会话的终止点。

创建客户端VPN终端节点
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点,然后选择创建客户端VPN终端节点

  3. (可选)为客户端VPN终端节点提供名称标签和描述。

  4. 对于 “客户端” IPv4CIDR,用CIDR符号指定 IP 地址范围,从中分配客户端 IP 地址。

    注意

    地址范围不能与目标网络地址范围、VPC地址范围或将与客户端VPN端点关联的任何路由重叠。客户端地址范围必须至少为 /22 且不大于 /12 CIDR 区块大小。创建客户端终端节点后,您无法更改客户端VPN地址范围。

  5. 对于服务器证书 ARN,请ARN选择您在步骤 1 中生成的服务器证书。

  6. 在 “身份验证选项” 下,选择 “使用相互身份验证”ARN,然后在 ARN “客户证书” 中,选择要用作客户端证书的证书。

    如果服务器和客户端证书由同一个证书颁发机构 (CA) 签名,则可以选择ARN为客户端和服务器证书指定服务器证书。在这种情况下,可以使用与服务器证书对应的任何客户端证书进行身份验证。

  7. (可选)指定要使用哪些DNS服务器进行DNS解析。要使用自定义DNS服务器,请为DNS服务器 1 的 IP 地址DNS服务器 2 的 IP 地址指定要使用的DNS服务器的 IP 地址。要使用VPCDNS服务器,请为DNS服务器 1 的 IP 地址DNS服务器 2 的 IP 地址指定 IP 地址,然后添加VPCDNS服务器 IP 地址。

    注意

    确认客户端可以访问DNS服务器。

  8. 保留其余的默认设置,然后选择创建客户端VPN终端节点

创建客户端VPN终端节点后,其状态为pending-associate。只有在您关联至少一个目标网络之后,客户端才能建立VPN连接。

有关您可以为客户端VPN终端节点指定的选项的更多信息,请参阅创建 AWS Client VPN 终端节点

步骤 3:关联目标网络

要允许客户端建立VPN会话,您需要将目标网络与客户端VPN终端节点相关联。目标网络是中的子网VPC。

将目标网络与客户端VPN终端节点相关联
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点

  3. 选择您在上述过程中创建的客户端VPN终端节点,然后选择目标网络关联关联目标网络

  4. 对VPC于 VPC,请选择子网所在的。

  5. 在 “选择要关联的子网” 中,选择要与客户端VPN终端节点关联的子网。

  6. 选择 Associate target network(关联目标网络)。

  7. 如果授权规则允许,则一个子网关联足以让客户端访问VPC的整个网络。您可以关联其他子网,以便在可用区受损时提供高可用性。

当您将第一个子网与客户端VPN终端节点关联时,会发生以下情况:

  • 客户端VPN终端节点的状态更改为available。客户端现在可以建立VPN连接,但在您添加授权规则VPC之前,他们无法访问中的任何资源。

  • 的本地路由会自动添加到客户端VPN终端节点路由表中。VPC

  • VPC的默认安全组会自动应用于客户端VPN终端节点。

步骤 4:为添加授权规则 VPC

为了使客户端能够访问VPC,需要在客户端VPN终端节点的路由表VPC中提供通往的路由和授权规则。在上一步中,已经自动添加路由。在本教程中,我们希望向所有用户授予访问权限VPC。

为添加授权规则 VPC
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点

  3. 选择要向其添加授权规则的客户端VPN端点。选择 Authorization rules(授权规则),然后选择 Add authorization rule(添加授权规则)。

  4. 对于要启用访问CIDR的目标网络,请输入要允许访问的网络的。例如,要允许访问整个VPC,请指定IPv4CIDR块VPC。

  5. 对于授予访问权限,选择允许所有用户访问

  6. (可选)对于 Description(描述),输入授权规则的简要描述。

  7. 选择 Add authorization rule (添加授权规则)

步骤 5:提供对 Internet 的访问

您可以提供对连接到的其他网络的访问权限VPC,例如 AWS 服务、对等互连VPCs、本地网络和互联网。对于每个额外的网络,您可以在客户端VPN终端节点的路由表中添加一条通往该网络的路由,并配置授权规则以授予客户端访问权限。

在本教程中,我们希望授予所有用户访问互联网以及VPC. 您已经配置了对的访问权限VPC,因此此步骤用于访问互联网。

提供对 Internet 的访问权限
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点

  3. 选择您为本教程创建的客户端VPN终端节点。选择 Route Table(路由表),然后选择 Create Route(创建路由)。

  4. 对于 Route destination (路由目标),请输入 0.0.0.0/0。对于 Subnet ID for target network association(用于目标网络关联的子网 ID),指定用来路由流量的子网的 ID。

  5. 选择 Create Route (创建路由)

  6. 选择 Authorization rules(授权规则),然后选择 Add authorization rule(添加授权规则)。

  7. 对于 Destination network to enable access(要启用访问权限的目标网络),输入 0.0.0.0/0,并选择 Allow access to all users(允许所有用户访问)。

  8. 选择 Add authorization rule (添加授权规则)

步骤 6:验证安全组要求

在本教程中,在步骤 2 中创建客户端VPN终端节点期间未指定任何安全组。这意味着,在关联目标网络VPC时,的默认安全组会自动应用于客户端VPN终端节点。因此,的默认安全组现在VPC应与客户端VPN终端节点相关联。

验证以下安全组要求
  • 与您路由流量所经过的子网关联的安全组(在本例中为默认VPC安全组)允许出站流量进入互联网。为此,添加一个允许所有流量到达目标 0.0.0.0/0 的出站规则。

  • 您的资源的安全组VPC有一条规则,允许从应用于客户端VPN终端节点的安全组(在本例中为默认VPC安全组)进行访问。这使您的客户能够访问您的中的资源VPC。

有关更多信息,请参阅 安全组

步骤 7:下载客户端终VPN端节点配置文件

下一步是下载并准备客户端VPN端点配置文件。配置文件包括建立VPN连接所需的客户端VPN端点详细信息和证书信息。您可以将此文件提供给需要连接到客户端VPN终端节点的最终用户。最终用户使用该文件来配置其VPN客户端应用程序。

下载并准备客户端终VPN端节点配置文件
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点

  3. 选择您为本教程创建的客户端VPN终端节点,然后选择下载客户端配置

  4. 找到步骤 1 中生成的客户端证书和密钥。可以在克隆的 Open e VPN asy-rsa 存储库的以下位置找到客户端证书和密钥:

    • 客户端证书 – easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • 客户端密钥 – easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 使用您的首选文本编辑器打开客户端VPN端点配置文件。将 <cert></cert><key></key> 标签添加到文件中。将客户端证书的内容以及私有密钥的内容放在相应的标签之间,例如:

    <cert> Contents of client certificate (.crt) file </cert> <key> Contents of private key (.key) file </key>
  6. 保存并关闭客户端VPN端点配置文件。

  7. 将客户端VPN端点配置文件分发给您的最终用户。

有关客户端VPN终端节点配置文件的更多信息,请参阅AWS Client VPN 端点配置文件导出

步骤 8:Connect 到客户端VPN终端节点

您可以使用 AWS 提供的客户端或其他VPN基于开放的客户端应用程序以及您刚刚创建的配置文件连接到客户端VPN终端节点。有关更多信息,请参阅 AWS Client VPN 用户指南