選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

開始使用 AWS Client VPN

焦點模式
開始使用 AWS Client VPN - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在本教學課程中,您將建立執行下列動作的 AWS Client VPN 端點:

  • 為所有用戶端提供單一 的存取權VPC。

  • 提供所有用戶端存取網際網路。

  • 使用交互身分驗證

下圖代表完成本教學課程後, VPC和 用戶端VPN端點的組態。

VPN 存取網際網路的用戶端

必要條件

開始本教學課程之前,請確定您有:

  • 使用用戶端VPN端點所需的許可。

  • 將憑證導入 AWS Certificate Manager的許可。

  • 至少VPC具有一個子網路和網際網路閘道的 。與子網路相關聯的路由表必須具有通往網際網路閘道的路由。

步驟 1:產生伺服器和用戶端憑證及金鑰

此教學課程使用交互身分驗證。透過交互身分驗證,用戶端VPN會使用憑證在用戶端和用戶端VPN端點之間執行身分驗證。您必須建立伺服器憑證和金鑰,以及至少一個用戶端憑證和金鑰。至少,伺服器憑證需要匯入至 AWS Certificate Manager (ACM),並在您建立用戶端VPN端點時指定。將用戶端憑證匯入 ACM是選用的。

如果您還沒有憑證可用於此目的,則可以使用 OpenVPN easy-rsa 公用程式來建立憑證。如需使用 OpenVPN easy-rsa 公用程式產生伺服器和用戶端憑證和金鑰的詳細步驟,並將其匯入 ,ACM請參閱 中的相互身分驗證 AWS Client VPN

注意

伺服器憑證必須使用 佈建或匯入至 AWS Certificate Manager (ACM),位於您要建立用戶端VPN端點的相同 AWS 區域中。

步驟 2:建立用戶端VPN端點

用戶端VPN端點是您建立和設定以啟用和管理用戶端VPN工作階段的資源。這是所有用戶端VPN工作階段的終止點。

建立用戶端VPN端點
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇用戶端VPN端點,然後選擇建立用戶端VPN端點

  3. (選用) 提供用戶端VPN端點的名稱標籤和描述。

  4. 對於用戶端 IPv4 CIDR,請以CIDR表示法指定 IP 地址範圍,從中指派用戶端 IP 地址。

    注意

    地址範圍不能與目標網路地址範圍、VPC地址範圍或與用戶端VPN端點相關聯的任何路由重疊。用戶端地址範圍必須至少為 /22,且不可大於 /12 CIDR區塊大小。您無法在建立用戶端VPN端點之後變更用戶端地址範圍。

  5. 針對伺服器憑證 ARN,選取您在步驟 1 中產生的ARN伺服器憑證的 。 步驟 1:產生伺服器和用戶端憑證及金鑰

  6. 身分驗證選項下,選擇使用交互身分驗證,然後在用戶端憑證 ARN中,選取您要用作用戶端憑證ARN的憑證的 。

    如果伺服器和用戶端憑證是由相同的憑證授權機構 (CA) 簽署,您可以選擇ARN同時為用戶端和伺服器憑證指定伺服器憑證。在這種情況下,與伺服器憑證對應的任何客户端憑證均可用於進行身分驗證。

  7. (選用) 指定要用於DNS解析的DNS伺服器。若要使用自訂DNS伺服器,請針對DNS伺服器 1 IP 地址DNS伺服器 2 IP 地址,指定要使用的DNS伺服器的 IP 地址。若要使用VPCDNS伺服器,請針對DNS伺服器 1 IP 地址DNS伺服器 2 IP 地址指定 IP 地址,然後新增VPCDNS伺服器 IP 地址。

    注意

    確認用戶端可以連線DNS伺服器。

  8. 保留其餘預設設定,然後選擇建立用戶端VPN端點

建立用戶端VPN端點後,其狀態為 pending-associate。用戶端只能在您建立至少一個目標網路的關聯之後建立VPN連線。

如需您可以為用戶端VPN端點指定之選項的詳細資訊,請參閱 建立 AWS Client VPN 端點

步驟 3:建立目標網路關聯

若要允許用戶端建立VPN工作階段,您可以將目標網路與用戶端VPN端點建立關聯。目標網路是 中的子網路VPC。

將目標網路與用戶端VPN端點建立關聯
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇用戶端VPN端點

  3. 選取您在上述程序中建立的用戶端VPN端點,然後選擇目標網路關聯關聯目標網路

  4. 針對 VPC,選擇VPC子網路所在的 。

  5. 針對選擇要關聯的子網路,選擇要與用戶端VPN端點建立關聯的子網路。

  6. 選擇 Associate target network (關聯目標網路)。

  7. 如果授權規則允許,一個子網路關聯就足以讓用戶端存取 VPC的整個網路。您可以關聯其他子網路,以在一個可用區域發生故障時提供高可用性。

當您將第一個子網路與用戶端VPN端點建立關聯時,會發生以下情況:

  • 用戶端VPN端點的狀態會變更為 available。用戶端現在可以建立VPN連線,但除非您新增授權規則,VPC否則無法存取 中的任何資源。

  • 的本機路由VPC會自動新增至用戶端VPN端點路由表。

  • VPC的預設安全群組會自動套用至用戶端VPN端點。

步驟 4:新增 的授權規則 VPC

若要讓用戶端存取 VPC,用戶端VPCVPN端點的路由表中必須有通往 的路由,以及授權規則。路由已經在上一個步驟中自動新增。在本教學課程中,我們希望授予所有使用者對 的存取權VPC。

新增 的授權規則 VPC
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇用戶端VPN端點

  3. 選取要新增授權規則的用戶端VPN端點。選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。

  4. 若要讓目的地網路啟用存取,請輸入您要允許其存取CIDR的網路的 。例如,若要允許存取整個 VPC,請指定 的IPv4CIDR區塊VPC。

  5. 授與存取權限中,選擇允許所有使用者存取權限。

  6. (選用) 對於 Description (描述),輸入授權規則的簡短描述。

  7. 選擇 Add authorization rule (新增授權規則)。

步驟 5:提供對網際網路的存取權限

您可以提供連接到 的其他網路的存取權VPC,例如 AWS 服務、對等 VPCs、內部部署網路和網際網路。對於每個額外的網路,您可以在用戶端VPN端點的路由表中將路由新增至網路,並設定授權規則以授予用戶端存取權。

在本教學課程中,我們希望授予所有使用者對網際網路和 的存取權VPC。您已設定 的存取權VPC,因此此步驟用於存取網際網路。

提供對網際網路的存取
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇用戶端VPN端點

  3. 選取您為此教學課程建立的用戶端VPN端點。選擇 Route Table (路由表),然後選擇 Create Route (建立路由)。

  4. 對於 Route destination (路由目的地),輸入 0.0.0.0/0。對於 Subnet ID for target network association (目標網路關聯的子網路 ID),指定路由流量經過的子網路的 ID。

  5. 選擇 Create Route (建立路由)。

  6. 選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。

  7. 對於 Destination network to enable access (要啟用存取權限的目的地網路),請輸入 0.0.0.0/0,然後選擇 Allow access to all users (允許所有使用者存取)。

  8. 選擇 Add authorization rule (新增授權規則)。

步驟 6:驗證安全群組要求

在本教學課程中,在步驟 2 中建立用戶端VPN端點期間未指定安全群組。這表示當目標網路相關聯時, 的預設安全群組VPC會自動套用至用戶端VPN端點。因此, 的預設安全群組現在VPC應與用戶端VPN端點相關聯。

驗證下列安全群組要求
  • 與您透過 路由流量之子網路相關聯的安全群組 (在此情況下為預設VPC安全群組) 允許傳出流量到網際網路。為此,請新增允許所有流量傳入目的地 0.0.0.0/0 的傳出規則。

  • 您 資源的安全群組VPC具有規則,允許從套用到用戶端VPN端點的安全群組 (在此案例中為預設VPC安全群組) 存取 。這可讓用戶端存取 中的資源VPC。

如需詳細資訊,請參閱安全群組

步驟 7:下載用戶端VPN端點組態檔案

下一個步驟是下載並準備用戶端VPN端點組態檔案。組態檔案包含建立VPN連線所需的用戶端VPN端點詳細資訊和憑證資訊。您可以將此檔案提供給需要連線到用戶端VPN端點的最終使用者。最終使用者使用 檔案來設定其VPN用戶端應用程式。

下載並準備用戶端VPN端點組態檔案
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇用戶端VPN端點

  3. 選取您為此教學課程建立的用戶端VPN端點,然後選擇下載用戶端組態

  4. 找出步驟 1 中產生的用戶端憑證和金鑰。您可以在複製的 OpenVPN easy-rsa 儲存庫中的下列位置找到用戶端憑證和金鑰:

    • 用戶端憑證:easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • 用戶端金鑰:easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 使用您偏好的文字編輯器開啟用戶端VPN端點組態檔案。將 <cert></cert><key></key> 標籤新增至檔案中。將用户端憑證的內容和私有金鑰的內容放在相應的標籤之間,如下所示:

    <cert> Contents of client certificate (.crt) file </cert> <key> Contents of private key (.key) file </key>
  6. 儲存並關閉用戶端VPN端點組態檔案。

  7. 將用戶端VPN端點組態檔案分發給您的最終使用者。

如需用戶端VPN端點組態檔案的詳細資訊,請參閱AWS Client VPN 端點組態檔案匯出

步驟 8:連線至用戶端VPN端點

您可以使用 AWS 提供的用戶端或其他 Open VPN型用戶端應用程式,以及您剛建立的組態檔案,連線至用戶端VPN端點。如需詳細資訊,請參閱《AWS Client VPN 使用者指南》。

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。