¿Cómo puedo crear un punto de conexión de Client VPN mediante la autenticación basada en certificados?
Deseo acceder a mis recursos de AWS mediante AWS Client VPN. ¿Cómo puedo crear un punto de conexión de Client VPN mediante la autenticación basada en certificados?
Resolución
El punto de conexión de Client VPN es el servidor en el que finalizan todas las sesiones de Client VPN. El punto de conexión, administrado por AWS, establece una conexión segura de seguridad de la capa de transporte (TLS) entre la VPC y el cliente basado en OpenVPN. Para crear un punto de conexión de Client VPN mediante la autenticación basada en certificados, siga estos pasos:
Generar certificados y claves de servidor y cliente
Para autenticar los clientes, debe generar lo siguiente y, a continuación, subirlo a AWS Certificate Manager (ACM):
- Certificados de servidor y cliente
- Claves de cliente
Crear un punto de conexión de Client VPN
Al crear un punto de conexión de Client VPN, especifique el ARN del certificado de servidor proporcionado por ACM. También debe elegir un CIDR de IPv4 de cliente, que es el rango de direcciones IP asignado a los clientes una vez establecida la VPN. Tenga en cuenta que el rango de direcciones IP no puede superponerse con el bloque de CIDR de VPC.
Puede habilitar el registro de conexiones de cliente con CloudWatch Logs y especificar servidores DNS personalizados para que los utilicen los clientes. También puede habilitar el túnel dividido en el punto de conexión de la VPN y, a continuación, seleccionar UDP o TCP como protocolo de transporte.
Habilitar la conectividad VPN para los clientes
Para permitir que los clientes establezcan una sesión de VPN, debe asociar una red de destino al punto de conexión de la VPN del cliente. Una red de destino es una subred de una VPC. Una asociación de subredes es suficiente para que los clientes accedan a toda la red de una VPC, si las reglas de autorización lo permiten. Puede asociar subredes adicionales para proporcionar una disponibilidad alta en caso de que una zona de disponibilidad deje de funcionar.
Autorizar a los clientes a acceder a los recursos de VPC o a cualquier otra red
Para autorizar a los clientes a acceder a la VPC, cree una regla de autorización. La regla de autorización especifica los clientes que pueden acceder a la VPC.
También puede habilitar el acceso a redes adicionales, como los servicios de AWS, VPC interconectadas, redes locales o Internet. Para cada red adicional, debe agregar una ruta a la tabla de enrutamiento de puntos de conexión de Client VPN y, a continuación, configurar una regla de autorización para permitir el acceso a los clientes.
Para autorizar a los clientes a acceder a su VPC y a las diferentes redes, consulte Añadir una regla de autorización para la VPC.
Descargar el archivo de configuración del punto de conexión de Client VPN
El último paso consiste en descargar y preparar el archivo de configuración del punto de conexión de Client VPN. Proporcione este archivo a los clientes para que puedan cargar los ajustes de configuración en su aplicación de cliente de VPN.
Información relacionada
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 8 meses
- OFICIAL DE AWSActualizada hace 2 años