本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在本教學課程中,您將建立執行下列動作的 AWS Client VPN 端點:
-
為所有用戶端提供單一 的存取權VPC。
-
提供所有用戶端存取網際網路。
-
使用交互身分驗證。
下圖代表完成本教學課程後, VPC和 用戶端VPN端點的組態。
步驟
必要條件
開始本教學課程之前,請確定您有:
-
使用用戶端VPN端點所需的許可。
-
將憑證導入 AWS Certificate Manager的許可。
-
至少VPC具有一個子網路和網際網路閘道的 。與子網路相關聯的路由表必須具有通往網際網路閘道的路由。
步驟 1:產生伺服器和用戶端憑證及金鑰
此教學課程使用交互身分驗證。透過交互身分驗證,用戶端VPN會使用憑證在用戶端和用戶端VPN端點之間執行身分驗證。您必須建立伺服器憑證和金鑰,以及至少一個用戶端憑證和金鑰。至少,伺服器憑證需要匯入至 AWS Certificate Manager (ACM),並在您建立用戶端VPN端點時指定。將用戶端憑證匯入 ACM是選用的。
如果您還沒有憑證可用於此目的,則可以使用 OpenVPN easy-rsa 公用程式來建立憑證。如需使用 OpenVPN easy-rsa 公用程式
注意
伺服器憑證必須使用 佈建或匯入至 AWS Certificate Manager (ACM),位於您要建立用戶端VPN端點的相同 AWS 區域中。
步驟 2:建立用戶端VPN端點
用戶端VPN端點是您建立和設定以啟用和管理用戶端VPN工作階段的資源。這是所有用戶端VPN工作階段的終止點。
建立用戶端VPN端點
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇用戶端VPN端點,然後選擇建立用戶端VPN端點。
-
(選用) 提供用戶端VPN端點的名稱標籤和描述。
-
對於用戶端 IPv4 CIDR,請以CIDR表示法指定 IP 地址範圍,從中指派用戶端 IP 地址。
注意
地址範圍不能與目標網路地址範圍、VPC地址範圍或與用戶端VPN端點相關聯的任何路由重疊。用戶端地址範圍必須至少為 /22,且不可大於 /12 CIDR區塊大小。您無法在建立用戶端VPN端點之後變更用戶端地址範圍。
-
針對伺服器憑證 ARN,選取您在步驟 1 中產生的ARN伺服器憑證的 。 步驟 1:產生伺服器和用戶端憑證及金鑰
-
在身分驗證選項下,選擇使用交互身分驗證,然後在用戶端憑證 ARN中,選取您要用作用戶端憑證ARN的憑證的 。
如果伺服器和用戶端憑證是由相同的憑證授權機構 (CA) 簽署,您可以選擇ARN同時為用戶端和伺服器憑證指定伺服器憑證。在這種情況下,與伺服器憑證對應的任何客户端憑證均可用於進行身分驗證。
-
(選用) 指定要用於DNS解析的DNS伺服器。若要使用自訂DNS伺服器,請針對DNS伺服器 1 IP 地址和DNS伺服器 2 IP 地址,指定要使用的DNS伺服器的 IP 地址。若要使用VPCDNS伺服器,請針對DNS伺服器 1 IP 地址或DNS伺服器 2 IP 地址指定 IP 地址,然後新增VPCDNS伺服器 IP 地址。
注意
確認用戶端可以連線DNS伺服器。
-
保留其餘預設設定,然後選擇建立用戶端VPN端點。
建立用戶端VPN端點後,其狀態為 pending-associate
。用戶端只能在您建立至少一個目標網路的關聯之後建立VPN連線。
如需您可以為用戶端VPN端點指定之選項的詳細資訊,請參閱 建立 AWS Client VPN 端點。
步驟 3:建立目標網路關聯
若要允許用戶端建立VPN工作階段,您可以將目標網路與用戶端VPN端點建立關聯。目標網路是 中的子網路VPC。
將目標網路與用戶端VPN端點建立關聯
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇用戶端VPN端點。
-
選取您在上述程序中建立的用戶端VPN端點,然後選擇目標網路關聯、關聯目標網路。
-
針對 VPC,選擇VPC子網路所在的 。
-
針對選擇要關聯的子網路,選擇要與用戶端VPN端點建立關聯的子網路。
-
選擇 Associate target network (關聯目標網路)。
-
如果授權規則允許,一個子網路關聯就足以讓用戶端存取 VPC的整個網路。您可以關聯其他子網路,以在一個可用區域發生故障時提供高可用性。
當您將第一個子網路與用戶端VPN端點建立關聯時,會發生以下情況:
-
用戶端VPN端點的狀態會變更為
available
。用戶端現在可以建立VPN連線,但除非您新增授權規則,VPC否則無法存取 中的任何資源。 -
的本機路由VPC會自動新增至用戶端VPN端點路由表。
-
VPC的預設安全群組會自動套用至用戶端VPN端點。
步驟 4:新增 的授權規則 VPC
若要讓用戶端存取 VPC,用戶端VPCVPN端點的路由表中必須有通往 的路由,以及授權規則。路由已經在上一個步驟中自動新增。在本教學課程中,我們希望授予所有使用者對 的存取權VPC。
新增 的授權規則 VPC
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇用戶端VPN端點。
-
選取要新增授權規則的用戶端VPN端點。選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。
-
若要讓目的地網路啟用存取,請輸入您要允許其存取CIDR的網路的 。例如,若要允許存取整個 VPC,請指定 的IPv4CIDR區塊VPC。
-
在授與存取權限中,選擇允許所有使用者存取權限。
-
(選用) 對於 Description (描述),輸入授權規則的簡短描述。
-
選擇 Add authorization rule (新增授權規則)。
步驟 5:提供對網際網路的存取權限
您可以提供連接到 的其他網路的存取權VPC,例如 AWS 服務、對等 VPCs、內部部署網路和網際網路。對於每個額外的網路,您可以在用戶端VPN端點的路由表中將路由新增至網路,並設定授權規則以授予用戶端存取權。
在本教學課程中,我們希望授予所有使用者對網際網路和 的存取權VPC。您已設定 的存取權VPC,因此此步驟用於存取網際網路。
提供對網際網路的存取
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇用戶端VPN端點。
-
選取您為此教學課程建立的用戶端VPN端點。選擇 Route Table (路由表),然後選擇 Create Route (建立路由)。
-
對於 Route destination (路由目的地),輸入
0.0.0.0/0
。對於 Subnet ID for target network association (目標網路關聯的子網路 ID),指定路由流量經過的子網路的 ID。 -
選擇 Create Route (建立路由)。
-
選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。
-
對於 Destination network to enable access (要啟用存取權限的目的地網路),請輸入
0.0.0.0/0
,然後選擇 Allow access to all users (允許所有使用者存取)。 -
選擇 Add authorization rule (新增授權規則)。
步驟 6:驗證安全群組要求
在本教學課程中,在步驟 2 中建立用戶端VPN端點期間未指定安全群組。這表示當目標網路相關聯時, 的預設安全群組VPC會自動套用至用戶端VPN端點。因此, 的預設安全群組現在VPC應與用戶端VPN端點相關聯。
驗證下列安全群組要求
-
與您透過 路由流量之子網路相關聯的安全群組 (在此情況下為預設VPC安全群組) 允許傳出流量到網際網路。為此,請新增允許所有流量傳入目的地
0.0.0.0/0
的傳出規則。 -
您 資源的安全群組VPC具有規則,允許從套用到用戶端VPN端點的安全群組 (在此案例中為預設VPC安全群組) 存取 。這可讓用戶端存取 中的資源VPC。
如需詳細資訊,請參閱安全群組。
步驟 7:下載用戶端VPN端點組態檔案
下一個步驟是下載並準備用戶端VPN端點組態檔案。組態檔案包含建立VPN連線所需的用戶端VPN端點詳細資訊和憑證資訊。您可以將此檔案提供給需要連線到用戶端VPN端點的最終使用者。最終使用者使用 檔案來設定其VPN用戶端應用程式。
下載並準備用戶端VPN端點組態檔案
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇用戶端VPN端點。
-
選取您為此教學課程建立的用戶端VPN端點,然後選擇下載用戶端組態。
-
找出步驟 1 中產生的用戶端憑證和金鑰。您可以在複製的 OpenVPN easy-rsa 儲存庫中的下列位置找到用戶端憑證和金鑰:
-
用戶端憑證:
easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt
-
用戶端金鑰:
easy-rsa/easyrsa3/pki/private/client1.domain.tld.key
-
-
使用您偏好的文字編輯器開啟用戶端VPN端點組態檔案。將
<cert>
</cert>
和<key>
</key>
標籤新增至檔案中。將用户端憑證的內容和私有金鑰的內容放在相應的標籤之間,如下所示:<cert>
Contents of client certificate (.crt) file
</cert> <key>Contents of private key (.key) file
</key> -
儲存並關閉用戶端VPN端點組態檔案。
-
將用戶端VPN端點組態檔案分發給您的最終使用者。
如需用戶端VPN端點組態檔案的詳細資訊,請參閱AWS Client VPN 端點組態檔案匯出。
步驟 8:連線至用戶端VPN端點
您可以使用 AWS 提供的用戶端或其他 Open VPN型用戶端應用程式,以及您剛建立的組態檔案,連線至用戶端VPN端點。如需詳細資訊,請參閱《AWS Client VPN 使用者指南》。