Como posso fornecer aos meus usuários do Client VPN acesso aos recursos da AWS?

Resolução

Antes de configurar o acesso via VPN a recursos específicos, considere o seguinte:

• Quando um endpoint do Client VPN é associado a uma sub-rede, interfaces de rede elásticas são criadas na sub-rede associada. Essas interfaces de rede recebem endereços IP do CIDR da sub-rede.
• Quando uma conexão do Client VPN é estabelecida, um adaptador de túnel virtual (VTAP) é criado no dispositivo final. O adaptador virtual recebe um endereço IP do CIDR IPv4 do cliente do endpoint do Client VPN.
• Quando você associa uma sub-rede ao seu endpoint do Client VPN, interfaces de rede do Client VPN são criadas nessa sub-rede. O tráfego enviado para a VPC a partir do endpoint do Client VPN é enviado por meio de uma interface de rede do Client VPN. A conversão de endereço de rede de origem (SNAT) é então aplicada, onde o endereço IP de origem do intervalo CIDR do cliente é convertido para o endereço IP da interface de rede do Client VPN.

Para dar aos usuários finais do Client VPN acesso a recursos específicos da AWS:

• Configure o roteamento entre a sub-rede associada ao endpoint do Client VPN e a rede do recurso de destino. Se o recurso de destino estiver na mesma nuvem privada virtual (VPC) associada ao endpoint, você não precisará adicionar uma rota. Nesse caso, a rota local da VPC é usada para encaminhar o tráfego. Se o recurso de destino não estiver na mesma VPC associada ao endpoint, adicione a respectiva rota na tabela de rotas de sub-rede associadas ao endpoint do Client VPN.
• Configure o grupo de segurança do recurso de destino para permitir tráfego de entrada e saída por meio da sub-rede associada ao endpoint do Client VPN. Ou use grupos de segurança aplicados no endpoint referenciando o grupo de segurança anexado ao endpoint na regra do grupo de segurança do recurso de destino.
• Configure a lista de controle de acesso à rede (ACL da rede) do recurso de destino para permitir tráfego de entrada e saída por meio das sub-redes associadas ao endpoint do Client VPN.
• Permita que o usuário final acesse os recursos de destino na regra de autorização do endpoint do Client VPN. Para mais informações, consulte Regras de autorização.
• Verifique se a tabela de rotas do Client VPN tem uma rota para o intervalo de rede do recurso de destino. Para mais informações, consulte Rotas e Redes de destino.
• Permita acesso de saída aos recursos de destino no grupo de segurança associado ao endpoint do Client VPN.

Observação: se você tiver mais de uma sub-rede associada ao seu endpoint do Client VPN, será preciso permitir o acesso de cada um dos CIDRs da sub-rede do Client VPN para:

• Os grupos de segurança do recurso de destino
• As ACLs de rede do recurso de destino

Crie as rotas, as regras do grupo de segurança e as regras de autorização necessárias para estabelecer conectividade, com base no tipo de recurso que seus usuários estão acessando. Com base no seu caso de uso, siga estas etapas para:

• Configurar o acesso a uma VPC
• Configurar o acesso à Internet
  Observação: dependendo do seu caso de uso, você pode optar por estabelecer uma conexão do Client VPN com VPCs enquanto continua roteando o tráfego da Internet pelo gateway local. Para fazer isso, configure um endpoint do Client VPN de túnel dividido.
• Configurar o acesso a uma VPC emparelhada
• Configurar o acesso a uma rede on-premises

Informações relacionadas

Como funciona o AWS Client VPN