Come posso fornire agli utenti di VPN Client l'accesso alle risorse AWS?

Soluzione

Prima di configurare l'accesso VPN a risorse specifiche, considera quanto segue:

• Quando un endpoint Client VPN è associato a una sottorete, vengono create interfacce di rete elastiche nella sottorete associata. Queste interfacce di rete ricevono gli indirizzi IP dal CIDR della sottorete.
• Quando viene stabilita una connessione Client VPN, viene creato un adattatore tunnel virtuale (VTAP) sul dispositivo finale. L'adattatore virtuale riceve un indirizzo IP dal client IPv4 CIDR dell'endpoint Client VPN.
• Quando associ una sottorete al tuo endpoint Client VPN, in quella sottorete vengono create le interfacce di rete Client VPN. Il traffico inviato al VPC dall'endpoint Client VPN viene inviato tramite un'interfaccia di rete Client VPN. Viene quindi applicata la Source network address translation (SNAT) , in cui l'indirizzo IP di origine dall'intervallo CIDR del client viene tradotto nell'indirizzo IP dell'interfaccia di rete Client VPN.

Per consentire agli utenti finali di Client VPN di accedere a risorse AWS specifiche:

• Configura il routing tra la sottorete associata all'endpoint Client VPN e la rete della risorsa target. Se la risorsa target si trova nello stesso cloud privato virtuale (VPC) associato all'endpoint, non è necessario aggiungere una route. In questo caso, la route locale del VPC viene utilizzata per inoltrare il traffico. Se la risorsa target non si trova nello stesso VPC associato all'endpoint, aggiungi la rispettiva route nella tabella di routing della sottorete associata all'endpoint Client VPN.
• Configura il gruppo di sicurezza della risorsa target per consentire il traffico in entrata e in uscita attraverso la sottorete associata all'endpoint Client VPN. In alternativa, utilizza i gruppi di sicurezza applicati all'endpoint facendo riferimento al gruppo di sicurezza collegato all'endpoint nella regola del gruppo di sicurezza della risorsa target.
• Configura la lista di controllo degli accessi alla rete (ACL) della risorsa target per consentire il traffico in entrata e in uscita attraverso le sottoreti associate all'endpoint Client VPN.
• Consenti all'utente finale l'accesso alle risorse target nella regola di autorizzazione dell'endpoint Client VPN. Per ulteriori informazioni, vedi Regole di autorizzazione.
• Verifica che la tabella di routing di Client VPN disponga di una route per l'intervallo di rete della risorsa target. Per ulteriori informazioni, consulta Route e Reti target.
• Consenti l'accesso in uscita alle risorse target nel gruppo di sicurezza associato all'endpoint Client VPN.

Nota: Se hai più di una sottorete associata al tuo endpoint Client VPN, devi consentire l'accesso da ciascuno dei CIDR della sottorete Client VPN per:

• I gruppi di sicurezza della risorsa target
• Gli ACL di rete della risorsa target

Crea le route, le regole dei gruppi di sicurezza e le regole di autorizzazione necessarie per stabilire la connettività, in base al tipo di risorsa a cui accedono i tuoi utenti. In base al tuo caso d'uso, segui questi passaggi per:

• Configurare l'accesso a un VPC
• Configurare l'accesso a Internet
  Nota: A seconda del tuo caso d'uso, puoi scegliere di stabilire una connessione Client VPN ai VPC continuando a indirizzare il traffico Internet attraverso il gateway locale. Per fare ciò, configura uno split-tunnel sugli endpoint Client VPN.
• Configura l'accesso a un VPC con peering
• Configura l'accesso a una rete on premise

Informazioni correlate

Come funziona AWS Client VPN