Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo configuro Client VPN mediante AWS CLI?

5 minutos de lectura
0

¿Cómo configuro AWS Client VPN mediante la interfaz de la línea de comandos de AWS (AWS CLI)?

Breve descripción

Para configurar Client VPN mediante la CLI de AWS:

1.    Configure Client VPN para su tipo de autenticación específico: mutua o basada en el usuario.

2.    Asocie una subred a Client VPN que creó en el paso 1.

3.    Añada una regla de autorización para conceder a los clientes acceso a la nube virtual privada (VPC) de destino.

4.    (Opcional) Añada rutas adicionales a la red de destino en el punto de conexión de Client VPN, según sea necesario.

5.    Descargue el archivo de configuración del punto de conexión de Client VPN para distribuirlo a sus clientes.

Resolución

Nota: Si recibe errores al ejecutar comandos de la interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de usar la versión más reciente de AWS CLI. Las acciones de la API para el servicio Client VPN solo están disponibles en la versión más reciente de la CLI de AWS.

Configuración de Client VPN mediante la autenticación mutua

1.    Aprovisione el certificado del servidor e impórtelo a AWS Certificate Manager (ACM). Para obtener pasos detallados sobre la generación de certificados y claves de servidor y cliente, consulte Autenticación mutua.

2.    Anote el nombre de recurso de Amazon (ARN) del certificado de servidor y el ARN del certificado de cliente.

3.    Use el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de conexión que usa la autenticación mutua con un bloque CIDR del cliente 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:
1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 }
--connection-log-options Enabled=false

Notas:

  • Para un bloque CIDR IPv4 de cliente, especifique un intervalo de direcciones IP en notación CIDR para asignar las direcciones IP del cliente. Por ejemplo, 172.16.0.0/16.
  • «ClientRootCertificateChainArn» es el ARN del certificado de cliente. El certificado debe estar firmado por una entidad de certificación (CA) y aprovisionado en ACM.

Configuración de VPN Client mediante la autenticación basada en el usuario

Autenticación Active Directory

1.    En ID de directorio, especifique el ID de AWS Active Directory.

2.    Use el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de conexión que usa la autenticación basada en Active Directory con un bloque CIDR de cliente 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options
Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890}
--connection-log-options Enabled=false

Notas:

  • Use la opción «--dns-servers» para transferir servidores DNS personalizados para la resolución de DNS. Un punto de conexión de VPN Client puede tener hasta dos servidores DNS. Si no se especifica ningún servidor DNS, se usará la dirección DNS configurada en el dispositivo local.
  • Use la opción «--transport-protocol» para configurar el protocolo de transporte de la sesión VPN.

Autenticación federada (para la autenticación federada basada en SAML)

1.    En ARN de proveedor SAML, especifique el ARN del proveedor de identidades del lenguaje de marcado para confirmaciones de seguridad (SAML) de AWS Identity and Access Management (IAM).

2.    Use el comando create-client-vpn-endpoint. Por ejemplo, el siguiente comando crea un punto de conexión que usa la autenticación federada con un bloque CIDR de cliente 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider}
--connection-log-options Enabled=false

Nota: «SAMLProviderArn» es el ARN del nuevo recurso del proveedor de SAML en IAM.

Asociación de una subred a Client VPN

1.    Use el siguiente comando para asociar una subred al punto de conexión de Client VPN que creó en los pasos anteriores.

$  aws ec2 associate-client-vpn-target-network
--client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123

Esta acción cambia el estado de Client VPN a «Disponible». Las rutas locales de la VPC se añaden automáticamente a la tabla de enrutamiento de puntos de conexión de Client VPN. El grupo de seguridad predeterminado de la VPC se aplica automáticamente a la asociación de subredes. Puede modificar el grupo de seguridad después de asociar la subred.

Añada una regla de autorización para conceder a los clientes acceso a la VPC de destino

1.    Según su caso de uso, use uno de los siguientes comandos para añadir una regla de autorización.

Para la autenticación mutua:

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups

Para la autenticación basada en Active Directory:

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Para la autenticación federada (mediante SAML 2.0, donde el grupo de proveedores de identidades es «Ingeniería»):

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id Engineering

(Opcional) Añada rutas adicionales a la red de destino en el punto de conexión de Client VPN, según sea necesario

1.    Use el siguiente comando para añadir rutas adicionales a la red de destino en el punto de conexión de Client VPN.

$ aws ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca

Descargue el archivo de configuración del punto de conexión de Client VPN para distribuirlo a sus clientes

1.    Descargue el archivo de configuración del punto de conexión de Client VPN para distribuirlo a sus clientes.

Para la autenticación mutua, añada el certificado de cliente y la clave de cliente al archivo de configuración:

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text>client-config.ovpn
Temas
Redes y entrega de contenido
Etiquetas
AWS Virtual Private Network (VPN)AWS Client VPN
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 años

Contenido relevante