¿Cómo puedo utilizar la AWS CLI para configurar una AWS Client VPN?

5 minutos de lectura
0

Quiero usar la Interfaz de la línea de comandos de AWS (AWS CLI) para configurar una AWS Client VPN.

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Errores de solución de problemas de la AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI. Las acciones de la API para el servicio Client VPN solo están disponibles en la versión más reciente de la AWS CLI.

Configuración de una AWS Client VPN mediante la autenticación mutua

Para configurar una AWS Client VPN con autenticación mutua, siga estos pasos:

  1. Genere certificados de servidor y cliente y, a continuación, cárguelos en AWS Certificate Manager (ACM).
  2. Anote el ARN del certificado de servidor y el ARN del certificado de cliente.
  3. Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación mutua con un bloque CIDR del cliente 172.16.0.0/16:
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678} --connection-log-options Enabled=false

Nota:

  • En el caso de un bloque CIDR IPv4 de cliente, especifique un intervalo de direcciones IP en notación CIDR para asignar las direcciones IP del cliente.
  • ClientRootCertificateChainArn es el ARN para el certificado de cliente. El certificado debe estar firmado por una autoridad de certificación (CA). Debe generarlo en ACM.
  • Una AWS Client VPN es específica de la región de AWS. La región de su VPN debe coincidir con la región de su certificado.

Configuración de una Client VPN mediante la autenticación basada en el usuario

Autenticación de Active Directory

Para configurar una Client VPN con autenticación de Active Directory, siga estos pasos: 

  1. En ID de directorio, especifique el ID de AWS Active Directory.
  2. Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación basada en Active Directory con un bloque CIDR de cliente de 172.16.0.0/16:
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890} --connection-log-options Enabled=false

Nota:

  • Use la opción —dns-servers para transferir servidores DNS personalizados para la resolución de DNS. Un punto de enlace de Client VPN puede tener hasta dos servidores DNS. Si no especifica ningún servidor DNS, se usará la dirección DNS configurada en el dispositivo local.
  • Use la opción —transport-protocol para configurar el protocolo de transporte de la sesión VPN.

Autenticación federada (para la autenticación federada basada en SAML)

Para configurar una AWS Client VPN con autenticación federada, siga estos pasos:

  1. En ARN de proveedor SAML, especifique el ARN del proveedor de identidades del lenguaje de marcado para confirmaciones de seguridad (SAML) de AWS Identity and Access Management (IAM).
  2. Ejecute el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de enlace que usa la autenticación federada con un bloque CIDR de cliente de 172.16.0.0/16:
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider} --connection-log-options Enabled=false
    Nota: Sustituya SAMLProviderArn por el ARN del recurso del proveedor de SAML en IAM y MySAMLProvider por el nombre de su proveedor de SAML.

Asociación de una subred a Client VPN

Ejecute el comando associate-client-vpn-target-network para asociar una subred al punto de enlace de Client VPN:

$  aws --region us-east-1 ec2 associate-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123

Esta acción cambia el estado de la Client VPN a Disponible. Las rutas locales para la nube virtual privada (VPC) se añaden automáticamente a la tabla de enrutamiento de puntos de enlace de Client VPN. El grupo de seguridad predeterminado de la VPC se aplica automáticamente a la asociación de subredes. Puede modificar el grupo de seguridad después de asociar la subred.

Añada una regla de autorización para conceder a los clientes acceso a la VPC de destino

Para agregar una regla de autorización, ejecute el comando authorize-client-vpn-ingress para la autenticación que use:

Autenticación mutua

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups

Autenticación de Active Directory

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Autenticación federada (SAML 2.0)

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id MyAccessGroup

Nota: Sustituya MyAccessGroup por el ID del grupo de acceso del grupo de proveedores.

(Opcional) Ejecute el comando create-client-vpn-route para añadir rutas adicionales a la red de destino en el punto de enlace de Client VPN:

$ aws --region us-east-1 ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca

Exportación del archivo de configuración del punto de enlace de Client VPN

Exporte el archivo de configuración del punto de enlace de la Client VPN. Utilice este archivo para la distribución a sus clientes.

**Nota:**Si ha configurado su Client VPN con autenticación mutua, ejecute el comando export-client-vpn-client-configuration para adjuntar el certificado y la clave del cliente al archivo de configuración: 

$ aws --region us-east-1 ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text > client-config.ovpn
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses