Desidero accedere alle mie risorse AWS utilizzando VPN Client di AWS. Come posso creare un endpoint VPN Client utilizzando l'autenticazione basata su certificati?
Soluzione
L'endpoint VPN Client è il server in cui vengono terminate tutte le sessioni VPN Client. L'endpoint, gestito da AWS, stabilisce una connessione Transport Layer Security (TLS) sicura tra il tuo VPC e il client basato su OpenVPN. Per creare un endpoint VPN Client utilizzando l'autenticazione basata su certificati, segui questi passaggi:
Generare certificati e chiavi per server e client
Per autenticare i client, è necessario generare gli elementi seguenti e poi caricarli su Gestione certificati AWS (ACM):
- Certificati server e client
- Chiavi client
Creare un endpoint VPN Client
Quando crei un endpoint VPN Client, specifica l'ARN del certificato del server fornito da ACM. È inoltre necessario scegliere un CIDR Client IPv4 CIDR, che è l'intervallo di indirizzi IP assegnato ai client dopo la creazione della VPN. Tieni presente che l'intervallo di indirizzi IP non può sovrapporsi al blocco CIDR VPC.
Puoi abilitare la registrazione delle connessioni client con CloudWatch Logs e specificare server DNS personalizzati da utilizzare dai client. Puoi anche abilitare lo split-tunnel sull'endpoint VPN, quindi selezionare UDP o TCP come protocollo di trasporto.
Abilitare la connettività VPN per i client
Per consentire ai client di stabilire una sessione VPN, devi associare una rete di destinazione all'endpoint VPN Client. Una rete di destinazione è una sottorete in un VPC. Un'associazione di sottorete è sufficiente per consentire ai client di accedere all'intera rete di un VPC, se le regole di autorizzazione lo consentono. È possibile associare sottoreti aggiuntive per garantire un'elevata disponibilità in caso di interruzione di una zona di disponibilità.
Autorizzare i client ad accedere alle risorse VPC o a qualsiasi altra rete
Per autorizzare i client ad accedere al VPC, crea una regola di autorizzazione. La regola di autorizzazione specifica i client che possono accedere al VPC.
Puoi anche abilitare l'accesso a reti aggiuntive, come servizi AWS, cloud privati virtuali peered, reti on-premise o Internet. Per ogni rete aggiuntiva, devi aggiungere un percorso alla tabella di routing degli endpoint VPN Client, quindi configurare una regola di autorizzazione per consentire ai client l'accesso.
Per autorizzare i client ad accedere al tuo VPC e a reti diverse, consulta Aggiungere una regola di autorizzazione per il VPC.
Scaricare il file di configurazione dell'endpoint VPN Client
Il passaggio finale consiste nello scaricare e preparare ilfile di configurazione dell’endpoing VPN Client. Fornisci questo file ai client in modo che possano caricare le impostazioni di configurazione nella loro applicazione client VPN.
Informazioni correlate
Nozioni di base su AWS Client VPN