¿Cómo puedo utilizar la AWS CLI para configurar una AWS Client VPN?
Quiero usar la Interfaz de la línea de comandos de AWS (AWS CLI) para configurar una AWS Client VPN.
Solución
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Errores de solución de problemas de la AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI. Las acciones de la API para el servicio Client VPN solo están disponibles en la versión más reciente de la AWS CLI.
Configuración de una AWS Client VPN mediante la autenticación mutua
Para configurar una AWS Client VPN con autenticación mutua, siga estos pasos:
- Genere certificados de servidor y cliente y, a continuación, cárguelos en AWS Certificate Manager (ACM).
- Anote el ARN del certificado de servidor y el ARN del certificado de cliente.
- Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación mutua con un bloque CIDR del cliente 172.16.0.0/16:
$ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678} --connection-log-options Enabled=false
Nota:
- En el caso de un bloque CIDR IPv4 de cliente, especifique un intervalo de direcciones IP en notación CIDR para asignar las direcciones IP del cliente.
- ClientRootCertificateChainArn es el ARN para el certificado de cliente. El certificado debe estar firmado por una autoridad de certificación (CA). Debe generarlo en ACM.
- Una AWS Client VPN es específica de la región de AWS. La región de su VPN debe coincidir con la región de su certificado.
Configuración de una Client VPN mediante la autenticación basada en el usuario
Autenticación de Active Directory
Para configurar una Client VPN con autenticación de Active Directory, siga estos pasos:
- En ID de directorio, especifique el ID de AWS Active Directory.
- Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación basada en Active Directory con un bloque CIDR de cliente de 172.16.0.0/16:
$ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890} --connection-log-options Enabled=false
Nota:
- Use la opción —dns-servers para transferir servidores DNS personalizados para la resolución de DNS. Un punto de enlace de Client VPN puede tener hasta dos servidores DNS. Si no especifica ningún servidor DNS, se usará la dirección DNS configurada en el dispositivo local.
- Use la opción —transport-protocol para configurar el protocolo de transporte de la sesión VPN.
Autenticación federada (para la autenticación federada basada en SAML)
Para configurar una AWS Client VPN con autenticación federada, siga estos pasos:
- En ARN de proveedor SAML, especifique el ARN del proveedor de identidades del lenguaje de marcado para confirmaciones de seguridad (SAML) de AWS Identity and Access Management (IAM).
- Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación federada con un bloque CIDR de cliente de 172.16.0.0/16:
Nota: Sustituya SAMLProviderArn por el ARN del recurso del proveedor de SAML en IAM y MySAMLProvider por el nombre de su proveedor de SAML.$ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider} --connection-log-options Enabled=false
Asociación de una subred a Client VPN
Ejecute el comando associate-client-vpn-target-network para asociar una subred al punto de enlace de Client VPN:
$ aws --region us-east-1 ec2 associate-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123
Esta acción cambia el estado de la Client VPN a Disponible. Las rutas locales para la nube virtual privada (VPC) se añaden automáticamente a la tabla de enrutamiento de puntos de enlace de Client VPN. El grupo de seguridad predeterminado de la VPC se aplica automáticamente a la asociación de subredes. Puede modificar el grupo de seguridad después de asociar la subred.
Añada una regla de autorización para conceder a los clientes acceso a la VPC de destino
Para agregar una regla de autorización, ejecute el comando authorize-client-vpn-ingress para la autenticación que use:
Autenticación mutua
$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups
Autenticación de Active Directory
$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
Autenticación federada (SAML 2.0)
$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id MyAccessGroup
Nota: Sustituya MyAccessGroup por el ID del grupo de acceso del grupo de proveedores.
(Opcional) Ejecute el comando create-client-vpn-route para añadir rutas adicionales a la red de destino en el punto de enlace de Client VPN:
$ aws --region us-east-1 ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca
Exportación del archivo de configuración del punto de enlace de Client VPN
Exporte el archivo de configuración del punto de enlace de la Client VPN. Utilice este archivo para la distribución a sus clientes.
**Nota:**Si ha configurado su Client VPN con autenticación mutua, ejecute el comando export-client-vpn-client-configuration para adjuntar el certificado y la clave del cliente al archivo de configuración:
$ aws --region us-east-1 ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text > client-config.ovpn
Contenido relevante
- OFICIAL DE AWSActualizada hace 6 meses
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 7 meses