Comment créer un point de terminaison VPN client à l'aide de l'authentification basée sur les certificats ?

Date de la dernière mise à jour : 01/12/2020

Je souhaite accéder à mes ressources AWS à l'aide du VPN client AWS. Comment créer un point de terminaison VPN client à l'aide de l'authentification basée sur les certificats ?

Résolution

Le point de terminaison VPN client est le serveur sur lequel toutes les sessions VPN client sont résiliées. Le point de terminaison, géré par AWS, établit une connexion TLS (Transport Layer Security) sécurisée entre votre VPC et le client OpenVPN. Afin de créer un point de terminaison VPN client à l'aide de l'authentification basée sur les certificats, procédez comme suit :

Générer des certificats de serveur, certificats client et clés client

Pour authentifier les clients, vous devez générer les éléments suivants, puis les charger dans AWS Certificate Manager (ACM) :

  • Certificats de serveur et certificats client
  • Clés client

Créer un point de terminaison VPN client

Lorsque vous créez un point de terminaison VPN client, spécifiez l'ARN du certificat de serveur fourni par ACM. Vous devez également choisir un CIDR IPv4 client, qui correspond à la plage d'adresses IP attribuées aux clients après l'établissement du VPN. Notez que la plage d'adresses IP et le bloc d'adresses CIDR VPC ne peuvent pas se chevaucher.

Vous pouvez activer la journalisation des connexions client avec CloudWatch Logs et spécifier des serveurs DNS personnalisés pour les clients à utiliser. Vous pouvez également activer le tunnel fractionné sur le point de terminaison VPN, puis sélectionner UDP ou TCP comme protocole de transport.

Activer la connectivité VPN pour les clients

Afin de permettre aux clients d'établir une session VPN, vous devez associer un réseau cible au point de terminaison VPN client. Un réseau cible est un sous-réseau dans un VPC. Une association de sous-réseau est suffisante pour que les clients puissent accéder à l'ensemble du réseau d'un VPC, si les règles d'autorisation le permettent. Vous pouvez associer des sous-réseaux supplémentaires afin de garantir une haute disponibilité en cas de panne d'une zone de disponibilité.

Autoriser les clients à accéder aux ressources VPC ou à tout autre réseau

Afin d'autoriser les clients à accéder au VPC, créez une règle d'autorisation. La règle d'autorisation spécifie les clients qui peuvent avoir accès au VPC.

Vous pouvez également activer l'accès à d'autres réseaux, tels que les services AWS, les VPC appairés, les réseaux sur site ou l'Internet. Pour chaque réseau supplémentaire, vous devez ajouter une route vers la table de routage du point de terminaison VPN client, puis configurer une règle d'autorisation afin de garantir l'accès aux clients.

Pour autoriser les clients à accéder à votre VPC et à différents réseaux, consultez Autoriser les clients à accéder au réseau.

Télécharger le fichier de configuration du point de terminaison VPN client

La dernière étape consiste à télécharger et à préparer le fichier de configuration du point de terminaison VPN client. Offrez ce fichier aux clients afin qu'ils puissent charger les paramètres de configuration dans leur application client VPN.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?