Wie kann ich meinen Client-VPN-Benutzern Zugriff auf AWS-Ressourcen gewähren?

Behebung

Bevor Sie den VPN-Zugriff auf bestimmte Ressourcen konfigurieren, sollten Sie Folgendes beachten:

• Wenn ein Client-VPN-Endpunkt einem Subnetz zugeordnet ist, werden elastische Netzwerkschnittstellen im zugehörigen Subnetz erstellt. Diese Netzwerkschnittstellen erhalten IP-Adressen vom CIDR des Subnetzes.
• Wenn eine Client-VPN-Verbindung hergestellt wird, wird ein virtueller Tunneladapter (VTAP) auf dem Endgerät erstellt. Der virtuelle Adapter erhält eine IP-Adresse vom Client-IPv4-CIDR des Client-VPN-Endpunkts.
• Wenn Sie Ihrem Client-VPN-Endpunkt ein Subnetz zuordnen, werden Client-VPN-Netzwerkschnittstellen in diesem Subnetz erstellt. Datenverkehr, der vom Client-VPN-Endpunkt an die VPC gesendet wird, wird über eine Client-VPN-Netzwerkschnittstelle gesendet. Anschließend wird die Quellnetzwerkadressübersetzung (SNAT) angewendet, wobei die Quell-IP-Adresse aus dem Client-CIDR-Bereich in die IP-Adresse der Client-VPN-Netzwerkschnittstelle übersetzt wird.

Um Ihren Client-VPN-Endbenutzern Zugriff auf bestimmte AWS-Ressourcen zu gewähren:

• Konfigurieren Sie das Routing zwischen dem zugehörigen Subnetz des Client-VPN-Endpunkts und dem Netzwerk der Zielressource. Wenn sich die Zielressource in derselben Virtual Private Cloud (VPC) befindet, die dem Endpunkt zugeordnet ist, müssen Sie keine Route hinzufügen. In diesem Fall wird die lokale Route der VPC verwendet, um den Verkehr weiterzuleiten. Wenn sich die Zielressource nicht in derselben VPC befindet, die dem Endpunkt zugeordnet ist, fügen Sie die entsprechende Route zur zugeordneten Subnetz-Routentabelle des Client-VPN-Endpunkts hinzu.
• Konfigurieren Sie die Sicherheitsgruppe der Zielressource so, dass eingehender und ausgehender Datenverkehr über das dem Client-VPN-Endpunkt zugeordnete Subnetz zugelassen wird. Oder verwenden Sie Sicherheitsgruppen, die auf den Endpunkt angewendet wurden, indem Sie in der Sicherheitsgruppenregel der Zielressource auf die Sicherheitsgruppe verweisen, die dem Endpunkt zugeordnet ist.
• Konfigurieren Sie die Network Access Control List (Netzwerk-ACL) der Zielressource, um eingehenden und ausgehenden Datenverkehr über die zugehörigen Subnetze des Client-VPN-Endpunkts zuzulassen.
• Erlauben Sie Endbenutzern in der Autorisierungsregel des Client-VPN-Endpunkts den Zugriff auf die Zielressourcen. Weitere Informationen finden Sie unter Autorisierungsregeln.
• Stellen Sie sicher, dass die Client-VPN-Routentabelle eine Route für den Netzwerkbereich der Zielressource enthält. Weitere Informationen finden Sie unter Routen und Zielnetzwerke.
• Erlauben Sie ausgehenden Zugriff auf die Zielressourcen in der zugeordneten Sicherheitsgruppe des Client-VPN-Endpunkts.

Hinweis: Wenn Ihrem Client-VPN-Endpunkt mehr als ein Subnetz zugeordnet ist, müssen Sie von jedem der Client-VPN-Subnetz-CIDRs aus Zugriff auf Folgendes gewähren:

• Die Sicherheitsgruppen der Zielressource
• Die Netzwerk-ACLs der Zielressource

Erstellen Sie die Routen, Sicherheitsgruppenregeln und Autorisierungsregeln, die zum Herstellen der Konnektivität erforderlich sind, basierend auf dem Ressourcentyp, auf den Ihre Benutzer zugreifen. Gehen Sie je nach Anwendungsfall folgendermaßen vor, um:

• Zugriff auf eine VPC konfigurieren
• Konfigurieren Sie den Zugriff auf das Internet
  Hinweis: Je nach Anwendungsfall können Sie sich dafür entscheiden, eine Client-VPN-Verbindung zu VPCs herzustellen und gleichzeitig den Internetverkehr weiterhin über das lokale Gateway weiterzuleiten. Richten Sie dazu einen Split-Tunnel-Client-VPN-Endpunkt ein.
• Zugriff auf eine Peer-VPC konfigurieren
• Zugriff auf ein lokales Netzwerk konfigurieren

Weitere Informationen

So funktioniert AWS Client VPN