En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment utiliser l'AWS CLI pour configurer un VPN client ?

Lecture de 5 minute(s)
0

Je souhaite utiliser l'interface de ligne de commande AWS (AWS CLI) pour configurer un AWS Client VPN.

Résolution

**Remarque :**Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI. Les actions d'API pour le service Client VPN ne sont disponibles que dans la version la plus récente de l'AWS CLI.

Configurer un Client VPN avec authentification mutuelle

Pour configurer un Client VPN avec authentification mutuelle, procédez comme suit :

  1. Générez des certificats de serveur et de client, puis chargez les certificats sur AWS Certificate Manager (ACM).
  2. Notez l'ARN du certificat de serveur et l'ARN du certificat client.
  3. Exécutez la commande create-client-vpn-endpoint. Par exemple, la commande suivante crée un point de terminaison qui utilise l'authentification mutuelle avec un bloc CIDR client de 172.16.0.0/16 : 
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678} --connection-log-options Enabled=false

Remarque :

  • Pour un bloc CIDR IPv4 client, spécifiez une plage d'adresses IP dans la notation CIDR pour attribuer des adresses IP client.
  • ClientRootCertificateChainArn est l'ARN du certificat client. Une autorité de certification (CA) doit signer le certificat et vous devez générer le certificat dans ACM.
  • L’AWS Client VPN est spécifique à la région AWS. La région de votre VPN doit correspondre à celle de votre certificat.

Configurer un Client VPN avec authentification basée sur l'utilisateur

Authentification Active Directory

Pour configurer un Client VPN avec authentification Active Directory, procédez comme suit :

  1. Pour l’ID d’annuaire, spécifiez l'ID de l'AWS Active Directory.
  2. Exécutez la commande create-client-vpn-endpoint. Par exemple, la commande suivante crée un point de terminaison qui utilise l'authentification basée sur Active Directory avec un bloc CIDR client de 172.16.0.0/16 : 
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890} --connection-log-options Enabled=false

Remarque :

  • Utilisez l'option —dns-servers pour transmettre des serveurs DNS personnalisés à des fins de résolution DNS. Un point de terminaison Client VPN peut avoir jusqu'à deux serveurs DNS. Si vous ne spécifiez pas de serveur DNS, l'adresse DNS configurée sur le périphérique local est utilisée.
  • Utilisez l’option —transport-protocol pour définir le protocole de transport pour la session VPN.

Authentification fédérée (pour l'authentification fédérée basée sur SAML)

Pour configurer un Client VPN avec authentification fédérée, procédez comme suit :

  1. Pour l'ARN du fournisseur SAML, spécifiez l'ARN du fournisseur d'identité SAML (Security Assertion Markup Language) d’AWS Identity and Access Management (IAM).
  2. Exécutez la commande create-client-vpn-endpoint. Par exemple, la commande suivante crée un point de terminaison qui utilise l'authentification fédérée avec un bloc CIDR client de 172.16.0.0/16 : 
    $ aws --region us-east-1 ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider} --connection-log-options Enabled=false
    Remarque : Remplacez SAMLProviderArn par l'ARN de la ressource du fournisseur SAML dans IAM et MySAMLProvider par le nom de votre fournisseur SAML.

Associer un sous-réseau au Client VPN

Exécutez la commande associate-client-vpn-target-network pour associer un sous-réseau au point de terminaison du Client VPN :

$  aws --region us-east-1 ec2 associate-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123

Cette action fait passer l'état du Client VPN client à Disponible. Les routes locales pour le cloud privé virtuel (VPC) sont automatiquement ajoutées à la table de routage des points de terminaison du Client VPN. Le groupe de sécurité par défaut du VPC est automatiquement appliqué pour l'association de sous-réseaux. Vous pouvez modifier le groupe de sécurité après avoir associé le sous-réseau.

Ajoutez une règle d'autorisation pour autoriser les clients à accéder au VPC cible

Pour ajouter une règle d'autorisation, exécutez la commande authorize-client-vpn-ingress pour l'authentification que vous utilisez :

Authentification mutuelle

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups

Authentification Active Directory

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Authentification fédérée (SAML 2.0)

$ aws --region us-east-1 ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id MyAccessGroup

**Remarque :**Remplacez MyAccessGroup par l'ID de groupe d'accès du groupe de fournisseurs.

(Facultatif) Exécutez la commande create-client-vpn-route pour ajouter des routes supplémentaires vers le réseau de destination sur le point de terminaison du Client VPN :

$ aws --region us-east-1 ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca

Exporter le fichier de configuration du point de terminaison du Client VPN

Exportez le fichier de configuration du point de terminaison du Client VPN. Utilisez ce fichier à distribuer à vos clients.

Remarque : Si vous avez configuré votre VPN client avec une authentification mutuelle, exécutez la commande export-client-vpn-client-configuration pour ajouter le certificat client et la clé client au fichier de configuration :

$ aws --region us-east-1 ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text > client-config.ovpn
Sujets
Réseaux et diffusion de contenu
Balises
AWS Virtual Private Network (VPN)AWS Client VPN
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents