O AWS VPN é composto por dois serviços: AWS Site-to-Site VPN e AWS Client VPN. O AWS Site-to-Site VPN permite que você conecte com segurança a rede no local ou o escritório da filial ao Amazon Virtual Private Cloud (Amazon VPC). A AWS Client VPN permite conectar usuários com segurança à AWS ou redes locais.

Perguntas gerais

P: O que é um endpoint da Client VPN?

R: O endpoint da Client VPN é uma construção regional que você configura para usar o serviço. As sessões de VPN dos usuários finais terminam no endpoint da Client VPN. Como parte da configuração do endpoint da Client VPN, você especifica os detalhes da autenticação, as informações do certificado do servidor, a alocação de endereços IP do cliente, o registro em log e as opções da VPN.

P: O que é uma rede de destino?

R: Uma rede de destino é uma rede que você associa ao endpoint da Client VPN e que permite acesso seguro aos seus recursos da AWS, bem como acesso no local. Atualmente, a rede de destino é uma sub-rede no Amazon VPC.

Faturamento

P: Como são definidas as horas de conexão VPN faturáveis?

R: As horas de conexão VPN são faturadas em qualquer momento que suas conexões VPN estiverem no estado "disponível". É possível determinar o estado de uma conexão VPN por meio do Console de Gerenciamento da AWS, da ILC ou da API. Se você não quiser mais usar a conexão VPN, basta encerrá-la para evitar a cobrança de horas adicionais de conexão de VPN.

P: Os preços incluem impostos?

R: Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo ICMS e imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Saiba mais.

Configuração e gerenciamento do AWS Site-to-Site VPN

P: Posso usar o Console de Gerenciamento da AWS para controlar e gerenciar o AWS Site-to-Site VPN?

R: Sim. Você pode usar o Console de Gerenciamento da AWS para gerenciar conexões de VPN IPSec, como o AWS Site-to-Site VPN.

P: Quantos gateways do cliente, gateways privados virtuais e conexões do AWS Site-to-Site VPN eu posso criar?

R: Você pode ter:

  • Um Internet Gateway por VPC
  • Cinco gateway privado virtuals por conta da AWS, por Região da AWS
  • Cinquenta gateways de cliente por conta da AWS, por Região da AWS
  • Dez conexões VPN IPsec por gateway privado virtual

Consulte o VPC User Guide para obter mais informações sobre os limites da VPC.

Conectividade do AWS Site-to-Site VPN

P: Quais são as opções de conectividade de VPN para minha VPC?

R: Você pode conectar sua VPC ao seu datacenter corporativo usando uma conexão VPN de hardware (por meio do gateway privado virtual)

P: Como as instâncias sem endereços IP públicos acessam a Internet?

R: As instâncias sem endereços IP públicos podem acessar a Internet de duas formas:

Instâncias sem endereços IP públicos podem rotear seu tráfego por meio de um gateway de NAT (conversão de endereços de rede) ou de uma instância NAT para acessar a Internet. Essas instâncias usam o endereço IP público do gateway NAT ou da instância NAT para percorrer a Internet. O gateway NAT ou a instância NAT permite a comunicação do lado de fora, mas não permite que as máquinas na Internet iniciem uma conexão com instâncias com endereços privados.

Para VPCs com uma conexão VPN de hardware ou Direct Connect, as instâncias podem rotear o tráfego de Internet por meio do gateway privado virtual para o seu datacenter atual. Lá, ele pode acessar a Internet por meio dos pontos de saída existentes e dos dispositivos de segurança/monitoramento de rede.

P: Como funciona uma conexão do AWS Site-to-Site VPN com o Amazon VPC?

R: Uma conexão do AWS Site-to-Site VPN conecta a VPC ao datacenter. A Amazon é compatível com conexões VPN de segurança Internet Protocol (IPsec). Os dados transferidos entre a VPC e o datacenter passam por uma conexão VPN criptografada para ajudar a manter a confidencialidade e a integridade dos dados em trânsito. Não é necessário ter um gateway da Internet para estabelecer uma conexão com o Site-to-Site VPN.

P: O que é IPsec?

O IPsec é um conjunto de protocolos para proteger as comunicações de Internet Protocol (IP) por meio da autenticação e da criptografia de cada pacote IP de um fluxo de dados.

P: Quais dispositivos de gateway do cliente posso usar para estabelecer conexão com o Amazon VPC?

R: Você pode criar dois tipos de conexões do AWS Site-to-Site VPN: conexões de VPN roteadas estatisticamente e conexões de VPN roteadas dinamicamente. Os dispositivos de gateway do cliente compatíveis com conexões VPN roteadas estatisticamente devem ser capazes de:

Estabelecer IKE Security Association usando Chaves pré-compartilhadas

Estabelecer IPsec Security Associations no modo de túnel

Utilize a função de criptografia de AES de 128 bits, 256 bits, 128 bits-GCM-16 ou 256-GCM-16

Utilize a função hash SHA-1, SHA-2 (256), SHA2 (384) ou SHA2 (512)

Utilize Diffie-Hellman (DH) Perfect Forward Secrecy no modo “Group 2” ou um dos outros grupos DH compatíveis

Executar a fragmentação de pacotes antes da criptografia

Além das capacidades acima, os dispositivos compatíveis com conexões do Site-to-Site VPN roteadas dinamicamente devem ser capazes de:

Estabelecer pares de Border Gateway Protocol (BGP)

Vincular túneis a interfaces lógicas (VPN baseado em rota)

Utilizar IPsec Dead Peer Detection

P: Quais grupos Diffie-Hellman têm suporte?

R: Oferecemos suporte aos grupos Diffie-Hellman (DH) abaixo nas fases 1 e 2.

Grupos DH 2, 14-24 na fase 1.

Grupos DH 2, 5, 14-24 na fase 2.

P: Quais algoritmos a AWS propõe quando um rechaveamento IKE é necessário?

R: Por padrão, o endpoint de VPN no lado da AWS proporá AES-128, SHA-1 e DH grupo 2. Se você quiser uma proposta específica para rechaveamento, recomendamos usar as opções Modify VPN Tunnel (Modificar túnel de VPN) para restringir as opções de túnel aos parâmetros específicos de VPN necessários.

P: Quais dispositivos de gateway do cliente sabidamente funcionam com a Amazon VPC?

R: No Guia do administrador de rede, você encontrará uma lista dos dispositivos que atendem aos requisitos mencionados, conhecidos por funcionar com conexões de VPN de hardware e que oferecem suporte nas ferramentas de linha de comando para a geração automática de arquivos de configuração apropriados para o seu dispositivo.

P: Se meu dispositivo não estiver listado, onde poderei obter mais informações sobre seu uso com o Amazon VPC?

A: Recomendamos verificar o fórum do Amazon VPC, pois outros clientes já podem estar usando o dispositivo.

P: Qual é o throughput máximo aproximado de uma conexão do Site-to-Site VPN?

R: Cada conexão do AWS Site-to-Site VPN tem dois túneis e cada túnel aceita um throughput máximo de 1,25 Gbps. Se a sua conexão VPN for com um gateway privado virtual, serão aplicáveis os limites de throughput agregados.

P: Há um limite de throughput agregado para gateway privado virtual?

R: O gateway privado virtual tem um limite de throughput agregado por tipo de conexão. Várias conexões VPN com o mesmo gateway privado virtual são restritas por um limite de throughput agregado da AWS para o local de 1,25 Gbps. Para conexão do AWS Direct Connect em um gateway privado virtual, o throughput será determinado pela própria porta física do Direct Connect. Para conexão com várias VPCs e obter limites de throughput maiores, use o AWS Transit Gateway.

P: Quais fatores afetam o throughput de uma conexão VPN?

O throughput da conexão de VPN pode depender de vários fatores, como a capacidade do seu gateway do cliente, a capacidade da sua conexão, o tamanho médio dos pacotes, o protocolo usado (TCP vs. UDP) e a latência de rede entre o seu gateway do cliente e o gateway privado virtual.

P: Qual é o volume máximo aproximado de pacotes por segundo de uma conexão do Site-to-Site VPN?

R: Cada conexão do AWS Site-to-Site VPN tem dois túneis e cada túnel oferece suporte a um volume máximo de até 140.000 pacotes por segundo.  

P: Quais ferramentas estão disponíveis para ajudar a solucionar problemas da minha configuração do Site-to-Site VPN?

R: A API DescribeVPNConnection exibe o status da conexão VPN, inclusive o estado (“up”/“down”) de cada túnel VPN e mensagens de erro correspondentes se um dos túneis estiver “down”. Essas informações também são exibidas no Console de Gerenciamento da AWS.

P: Como conecto uma VPC ao meu datacenter corporativo?

R: Estabelecer uma conexão VPN de hardware entre sua rede atual e a Amazon VPC permite que você interaja com instâncias do Amazon EC2 em uma VPC como se estivessem na sua rede atual. A AWS não executa a conversão de endereços de rede (NAT) nas instâncias do Amazon EC2 em uma VPC acessada por meio de uma conexão VPN de hardware.

P: Posso aplicar NAT ao meu gateway do cliente atrás de um router ou firewall?

R: Você usará o endereço IP público do seu dispositivo NAT.

P: Que endereço IP devo usar como meu endereço de gateway do cliente?

R: Você usará o endereço IP público do seu dispositivo NAT.

P: Como eu desabilito a NAT-T na minha conexão?

R: Você precisará desabilitar a NAT-T no seu dispositivo. Se você não pretende usar uma NAT-T e ela não estiver desabilitada no seu dispositivo, nós tentaremos estabelecer um túnel sobre a porta UDP 4500. Se esta porta não estiver aberta, o túnel não será estabelecido.

P: Gostaria de ter vários gateways de cliente atrás de uma NAT. O que é preciso fazer para configurar isso?

R: Você precisará desabilitar a NAT-T no seu dispositivo. Se você não pretende usar uma NAT-T e ela não estiver desabilitada no seu dispositivo, nós tentaremos estabelecer um túnel sobre a porta UDP 4500. Se esta porta não estiver aberta, o túnel não será estabelecido.

P: Quantas associações de segurança IPsec podem ser estabelecidas simultaneamente por túnel?

R: O serviço AWS VPN é uma solução baseada em rotas. Portanto, você não terá limitações de associações de segurança se usar a configuração baseada em rotas. No entanto, se você usar uma solução baseada em políticas, estará limitado a uma única associação de segurança, já que o serviço é uma solução baseada em rotas.

P: Posso publicar meu intervalo de endereços IP da VPC na Internet e direcionar o tráfego por meio do datacenter, via Site-to-Site VPN e para a minha VPC?

R: Sim, você pode direcionar o tráfego por meio da conexão de VPN e publicar o intervalo de endereços com sua rede doméstica.

P: Qual é o número máximo de rotas que minha conexão VPN publicará em meu dispositivo de gateway do cliente?

R: Sua conexão VPN publicará um número máximo de 1.000 rotas no dispositivo de gateway do cliente. Para VPNs em um gateway privado virtual, fontes de rota publicadas incluem rotas da VPC, outras rotas da VPN e rotas de interfaces virtuais DX. Para VPNs em um AWS Transit Gateway, as rotas publicadas são provenientes da tabela de rotas associadas ao vínculo da VPN. Se houver uma tentativa de envio de mais de 1.000 rotas, apenas um subconjunto de 1.000 será publicado.  

P: Qual é o número máximo de rotas que podem ser publicadas na conexão VPN provenientes do dispositivo de gateway do cliente?

A: Você pode publicar um número máximo de 100 rotas para a conexão VPN proveniente do dispositivo de gateway do cliente. Para uma conexão VPN com rotas estáticas, você não poderá adicionar mais de 100 rotas estáticas. Para uma conexão VPN com BGP, a sessão de BGP será redefinida se você tentar publicar mais de 100 rotas.

P: As conexões VPN oferecem suporte ao tráfego IPv6?

R: Sim. As conexões VPN para um AWS Transit Gateway são compatíveis com o tráfego IPv4 ou IPv6, que pode ser selecionado ao criar uma nova conexão VPN. Para selecionar IPv6 para tráfego VPN, defina a opção de túnel VPN para versão IP interna como IPv6. Observe que o endpoint do túnel e os endereços IP do gateway do cliente são somente IPv4.

P: Qual o lado do túnel de VPN que inicia a sessão do Internet Key Exchange (IKE)?

R: Por padrão, o gateway do cliente (CGW) deve iniciar o IKE. A outra opção é que os endpoints de VPN da AWS iniciem a sessão, habilitando as opções apropriadas.

AWS Accelerated Site-to-Site VPN

P: Por que devo usar a Accelerated Site-to-Site VPN?

R: As conexões de VPN enfrentam disponibilidade e desempenho inconsistentes à medida que o tráfego atravessa várias redes públicas na Internet antes de atingir o endpoint de VPN na AWS. Essas redes públicas podem estar congestionadas. Cada salto pode introduzir riscos de disponibilidade e desempenho. A Accelerated Site-to-Site VPN torna a experiência do usuário mais consistente, usando a rede global da AWS altamente disponível e sem congestionamentos.

P: Como posso criar uma Accelerated Site-to-Site VPN?

R: Ao criar uma conexão VPN, defina a opção “Enable Acceleration (Habilitar aceleração)” como “true (verdadeiro)”.

P: Como descubro se a minha conexão de VPN existente é uma Accelerated Site-to-Site VPN?

R: Na descrição da sua conexão VPN, o valor de “Enable Acceleration (Habilitar aceleração)” deve estar definido como “true (verdadeiro)”.

P: Como posso converter minha Site-to-Site VPN em uma Accelerated Site-to-Site VPN?

R: Crie uma nova Accelerated Site-to-Site VPN, atualize o dispositivo de gateway do cliente para conectar-se a essa nova conexão VPN e exclua sua conexão VPN existente. Você obterá novos endereços IP (protocolo Internet) do endpoint de tunel, já que VPNs aceleradas usam intervalos de endereços IP separados de conexões de VPN não aceleradas.

P: A Accelerated Site-to-Site VPN é compatível com o gateway virtual e o AWS Transit Gateway?

R: Apenas o Transit Gateway oferece suporte para a Accelerated Site-to-Site VPN. Um Transit Gateway deve ser especificado ao criar uma conexão de VPN. O endpoint de VPN no lado da AWS é criado no Transit Gateway.

P: Uma conexão de Accelerated Site-to-Site VPN oferece dois túneis para alta disponibilidade?

R: Sim, cada conexão VPN oferece dois túneis para alta disponibilidade.

P: Há alguma diferença de protocolo entre túneis de VPN site a site acelerados e não acelerados?

R: A NAT-T é necessária e está habilitada por padrão para conexões de Accelerated Site-to-Site VPN. Além disso, os túneis de VPN acelerados e não acelerados oferecem suporte aos mesmos protocolos de segurança IP (IPSec) e IKE (Internet Key Exchange) e também oferecem a mesma largura de banda, opções de túnel, opções de roteamento e tipos de autenticação.

P: A Accelerated Site-to-Site VPN oferece duas zonas de rede para alta disponibilidade?

R: Sim, selecionamos os endereços IP (protocolo de Internet) globais do AWS Global Accelerator de zonas de rede independentes para os dois endpoints de túnel.

P: A Accelerated Site-to-Site VPN é uma opção no AWS Global Accelerator?

R: Não, a Accelerated Site-to-Site VPN só pode ser criada por meio da AWS Site-to-Site VPN. Accelerated Site-to-Site VPNs não podem ser criadas por meio do console ou da API do AWS Global Accelerator.

P: Posso usar a Accelerated VPN através de interfaces virtuais públicas do AWS Direct Connect?

R: Não, a Accelerated Site-to-Site VPN através de interfaces virtuais públicas do Direct Connect não está disponível. Na maioria dos casos, não há benefício com a Accelerated Site-to-Site VPN quando usada através do Direct Connect pública.

P: Em quais Regiões da AWS o Accelerated Site-to-Site VPN está disponível?

R: O Accelerated Site-to-Site VPN atualmente está disponível nessas regiões da AWS: Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), US East (Ohio), Leste dos EUA (Norte da Virgínia), América do Sul (São Paulo), Oriente Médio (Bahrein), Europa (Estocolmo), Europa (Paris), Europa (Milão), Europa (Londres), Europa (Irlanda), Europa (Frankfurt), Canadá (Central), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Sydney), Ásia-Pacífico (Singapura), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai), Ásia-Pacífica (Hong Kong), África (Cidade do Cabo).

Configuração e gerenciamento da AWS Client VPN

P: Como configuro a AWS Client VPN?

R: O administrador de TI cria um endpoint da Client VPN, associa uma rede de destino a esse terminal e configura as políticas de acesso para permitir a conectividade dos usuários finais. O administrador de TI distribui o arquivo de configuração da VPN do cliente aos usuários finais. Os usuários finais precisarão fazer download de um cliente OpenVPN e usar o arquivo de configuração da VPN do cliente para criar sua sessão de VPN.

P: O que um usuário final deve fazer para configurar uma conexão?

R: O usuário final deve fazer download de um cliente OpenVPN para o dispositivo. Em seguida, o usuário importará o arquivo de configuração da AWS Client VPN para o cliente OpenVPN e iniciará uma conexão de VPN.

Conectividade da AWS Client VPN

P: Como habilito a conectividade com outras redes?

R: Você pode habilitar a conectividade com outras redes, como Amazon VPCs emparelhadas, redes locais via gateway virtual ou serviços da AWS, como o S3, via endpoints, redes via AWS PrivateLink ou outros recursos por meio do gateway da Internet. Para habilitar a conectividade, adicione uma rota à rede específica na tabela de rotas da Client VPN e adicione uma regra de autorização que permita o acesso à rede específica.

P: O endpoint da Client VPN pode pertencer a uma conta diferente da sub-rede associada?

R: Não, a sub-rede que está sendo associada deve estar na mesma conta que o endpoint da Client VPN.

P: Posso acessar recursos em uma VPC em uma região diferente da região em que eu configuro a sessão TLS, usando um endereço IP privado?

R: Você pode fazer isso seguindo as duas etapas: Primeiro, configure uma conexão de emparelhamento entre regiões entre a VPC de destino (na região diferente) e a VPC associada à Client VPN. Segundo, você deve adicionar uma rota e uma regra de acesso para a VPC de destino no endpoint da Client VPN. Agora, seus usuários podem acessar os recursos na VPC de destino que está em uma região diferente do endpoint da Client VPN.

P: Quais protocolos de transporte têm suporte pela Client VPN?

R: Você pode escolher TCP ou UDP para a sessão de VPN.

P: A AWS Client VPN oferece suporte a túneis divididos?

R: Sim. Você pode optar por criar um endpoint com túnel dividido habilitado ou desabilitado. Se você criou anteriormente um endpoint com túnel dividido desabilitado, poderá preferir modificá-lo para habilitar o túnel dividido. Se o túnel dividido estiver habilitado, o tráfego destinado às rotas configuradas no endpoint serão encaminhados pelo túnel de VPN. Todos os outros tipos de tráfego serão roteados por meio da sua interface de rede local. Se o túnel dividido estiver desabilitado, o tráfego do dispositivo atravessará o túnel de VPN.

Autenticação e autorização da AWS Client VPN

P: Quais mecanismos de autenticação são compatíveis com o AWS Client VPN?

R: O AWS Client VPN oferece suporte à autenticação com o Active Directory usando AWS Directory Services, a autenticação baseada em certificado e a autenticação federada por SAML 2.0.

P: Posso usar um serviço local do Active Directory para autenticar usuários?

R: Sim. A AWS Client VPN se integra ao AWS Directory Service, que permitirá a conexão com o Active Directory no local.

P: A AWS Client VPN oferece suporte para autenticação mútua?

R: Sim, a AWS Client VPN oferece suporte para autenticação mútua. Quando a autenticação mútua está habilitada, o cliente precisa fazer upload do certificado raiz usado para emitir o certificado do cliente no servidor.

P: Posso incluir certificados de cliente na lista de restrições?

R: Sim, a AWS Client VPN oferece suporte para a Lista de revogação de certificados (CRL) configurada estaticamente.

P: A AWS Client VPN oferece suporte à capacidade de um cliente trazer seu próprio certificado?

R: Sim. Você deve carregar o certificado, o certificado da autoridade de certificação (CA) raiz e a chave privada do servidor. Estes são enviados ao AWS Certificate Manager.

P: A AWS Client VPN se integra ao AWS Certificate Manager (ACM) para gerar certificados de servidor?

R: Sim. Você pode usar o ACM como uma autoridade de certificação subordinada encadeada a uma autoridade de certificação raiz externa. O ACM gera o certificado do servidor. Nesse cenário, o ACM também faz o rodízio do certificado do servidor.

P: A AWS Client VPN oferece suporte à avaliação de postura?

R: Não. A AWS Client VPN não oferece suporte à avaliação de postura. Outros serviços da AWS, como o Amazon Inspectors, oferecem suporte à avaliação da postura.

P: O AWS Client VPN oferece suporte à Multi-Factor Authentication (MFA)?

R: Sim, o AWS Client VPN oferece suporte à MFA por meio do Active Directory usando AWS Directory Services e por meio de provedores de identidade (Okta, por exemplo).

P: Como o AWS Client VPN oferece suporte para autorização?

R: Você configura regras de autorização que limitam os usuários que podem acessar uma rede. Para uma rede de destino especificada, você pode configurar o grupo do Active Directory/grupo do provedor de identidade que tem permissão de acesso. Somente os usuários pertencentes a esse grupo do Active Directory/grupo do provedor de identidade podem acessar a rede especificada.

P: O AWS Client VPN oferece suporte ao grupo de segurança?

R: A Client VPN oferece suporte a grupos de segurança. Você pode especificar um grupo de segurança para o grupo de associações. Quando uma sub-rede é associada, aplicaremos automaticamente o grupo de segurança padrão da VPC da sub-rede.

P: Como uso o grupo de segurança para restringir o acesso aos meus aplicativos apenas para conexões de Client VPN?

R: Para o seu aplicativo, você pode especificar para permitir o acesso somente dos grupos de segurança que foram aplicados à sub-rede associada. Agora, você limita o acesso a apenas usuários conectados via Client VPN.

P: Em uma autenticação federada, posso modificar o documento de metadados IDP?

R: Sim, você pode fazer upload de um novo documento de metadados em um provedor de identidade do IAM associado ao endpoint do Client VPN. Metadados atualizados são refletidos em 2 a 4 horas.

P: Posso usar um cliente terceiro do OpenVPN para conectar a um endpoint do Client VPN configurado com uma autenticação federada?

R: Não, você deve usar o cliente do software AWS Client VPN para se conectar ao endpoint.

Visibilidade e monitoramento do AWS Client VPN

P: Quais logs têm suporte da AWS Client VPN?

R: A Client VPN exporta o log de conexão como um melhor esforço para os logs do CloudWatch. Esses logs são exportados periodicamente em intervalos de 15 minutos. Os logs de conexão incluem detalhes sobre solicitações de conexão criadas e finalizadas.

P: A Client VPN oferece suporte ao Amazon VPC Flow Logs no endpoint?

R: Não. Você pode usar o Amazon VPC Flow Logs na VPC associada.

P: Posso monitorar conexões ativas?

R: Sim, usando a CLI ou o console, é possível visualizar as conexões ativas atuais para um endpoint e encerrar conexões ativas.

P: Posso monitorar por endpoint usando o CloudWatch?

R: Sim. Usando o monitor do CloudWatch, você pode ver bytes de entrada e saída e conexões ativas para cada endpoint da Client VPN.

Clientes VPN

P: Como implanto o cliente de software gratuito para o AWS Client VPN?

R: O cliente de software para o AWS Client VPN é compatível com as configurações existentes do AWS Client VPN. O cliente é compatível com a inclusão de perfis usando o arquivo de configuração do OpenVPN gerado pelo serviço AWS Client VPN. Depois que o perfil for criado, o cliente se conectará ao seu endpoint com base nas suas configurações.

P: Qual o preço adicional para usar o cliente de software do AWS Client VPN?

R: O cliente de software é fornecido gratuitamente. Haverá cobrança apenas pelo uso do serviço AWS Client VPN.

P: Que tipo de dispositivos e versões de sistema operacional são compatíveis?

R: Atualmente, oferecemos suporte para dispositivos de desktop Windows 7 (e superiores) e macOS (versões de 64 bits do macOS High Sierra, Mojave e Catalina). Eles incluem os dispositivos Windows 10 e macOS. À medida que novos sistemas operacionais forem lançados, acrescentaremos o suporte a eles rapidamente.

P: Meus perfis de conexão são sincronizados entre todos os meus dispositivos?

R: Não, mas os administradores de TI podem fornecer arquivos de configuração para a implantação do cliente de software deles a fim de pré-configurar as definições.

P: Preciso de permissão de administrador no meu dispositivo para executar o cliente de software do AWS Client VPN?

R: Sim. Você precisa de acesso de administrador para instalar o app no Windows e no Mac. Depois desse ponto, o acesso de administrador não é necessário.

P: Que protocolo de VPN é usado pelo cliente do AWS Client VPN?

R: O AWS Client VPN, incluindo o cliente de software, é compatível com o protocolo OpenVPN.

P: Todos os recursos serão compatíveis com o serviço AWS Client VPN com o uso do cliente de software?

R: Sim. O cliente é compatível com todos os recursos fornecidos pelo serviço AWS Client VPN.

P: O cliente de software do AWS Client VPN permite o acesso por LAN quando conectado?

R: Sim, é possível acessar a sua rede de área local quando conectado ao AWS VPN Client.

P: Para quais recursos de autenticação o cliente de software oferece suporte?

R: O cliente do software AWS Client VPN oferece suporte a todos os mecanismos de autenticação oferecidos pelo serviço do AWS Client VPN — a autenticação com o Active Directory usando AWS Directory Services, a autenticação baseada em certificado e a autenticação federada por SAML 2.0.

P: Que tipo de registro de log do cliente será compatível com o AWS Client VPN?

R: Quando o usuário tentar estabelecer uma conexão, os detalhes da configuração da conexão ficam registrados em log. As tentativas de conexão ficam salvas por até 30 dias, com um tamanho máximo de arquivo de 90 MB.

P: Posso misturar o cliente de software do AWS Client VPN e clientes OpenVPN baseados em padrões ao estabelecer a conexão com o endpoint do AWS Client VPN?

R: Sim, assumindo que o tipo de autenticação definido no endpoint do AWS Client VPN é compatível com o cliente OpenVPN baseado em padrões.

P: Onde posso fazer download do cliente de software do AWS Client VPN?

R: Você pode fazer download do cliente genérico sem personalizações da página do produto AWS Client VPN. Os administradores de TI podem optar por hospedar o download em seu próprio sistema.

P: Posso executar vários tipos de clientes VPN em um dispositivo?

R: Não recomendamos executar vários clientes VPN em um dispositivo. Isso pode causar conflitos ou os clientes VPN podem interferir um no outro e resultar em conexões malsucedidas. Dito isso, o AWS Client VPN pode ser instalado junto de outro cliente VPN.

Gateway privado virtual

P: O que é esse recurso?

R: Para qualquer novo gateway virtual, o Autonomous System Number (ASN – Número de sistema autônomo) privado configurável permite que os clientes definam o ASN no lado da Amazon da sessão do BGP para VPNs e VIFs privadas do AWS Direct Connect.

P: Qual é o custo do uso desse recurso?

R: Não há cobrança adicional para esse recurso.

P: Como posso configurar/atribuir meu ASN para ser anunciado como ASN no lado da Amazon?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Gateway privado virtual (gateway virtual). Um gateway virtual pode ser criado usando o console da VPC ou uma chamada à API EC2/CreateVpnGateway.

P: Antes deste recurso, qual era o ASN atribuído pela Amazon?

R: A Amazon atribuiu os seguintes ASNs: UE Oeste (Dublin) 9059; Ásia-Pacífico (Cingapura) 17493 e Ásia-Pacífico (Tóquio) 10124. Todas as outras regiões receberam um ASN 7224. Esses ASNs são conhecidos como “ASN público legado” da região.

P: Posso usar qualquer ASN: público ou privado?

R: Você pode atribuir qualquer ASN privado para o lado da Amazon. Você pode atribuir o “ASN público legado” da região até 30 de junho de 2018. Você não pode atribuir nenhum outro ASN público. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Por que não posso atribuir um ASN público para a parte da Amazon da sessão do BGP?

R: A Amazon não valida a propriedade de ASNs. Portanto, estamos limitando o ASN do lado da Amazon a ASNs privados. Queremos proteger os clientes contra spoofing de BGP.

P: Qual ASN posso escolher?

R: Você pode escolher qualquer ASN privado. Os intervalos para ASNs privados de 16 bits incluem 64512 a 65534. Você também pode fornecer ASNs de 32 bits entre 4200000000 e 4294967294.

Se você não escolher um ASN, a Amazon fornecerá um ASN padrão para o gateway virtual. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: O que acontecerá se eu tentar atribuir um ASN público para a parte da Amazon da sessão do BGP?

Solicitaremos que você insira novamente um ASN privado quando tentar criar o gateway virtual, a menos que seja o “ASN público legado” da região.

P: Se eu não fornecer um ASN para a parte da Amazon da sessão do BGP, qual ASN será atribuído pela Amazon?

R: Se você não escolher um ASN, a Amazon fornecerá um ASN para o gateway virtual. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Onde posso ver o ASN no lado da Amazon?

R: Você pode ver o ASN no lado da Amazon na página do gateway virtual do console da VPC e na resposta da API EC2/DescribeVpnGateways.

P: Se eu tiver um ASN público, ele funcionará com um ASN privado no lado da AWS?

R: Sim. Você pode configurara o lado da Amazon da sessão do BGP com um ASN privado e o seu lado com um ASN público.

P: Tenho VIFs privadas já configuradas e quero definir um ASN do lado da Amazon diferente para a sessão do BGP em uma VIF já existente. Como posso fazer essa alteração?

R: Será necessário criar um novo gateway virtual com o ASN desejado e criar uma nova VIF com esse gateway virtual recém-criado. A configuração do seu dispositivo também precisa ser alterada para refletir essas modificações.

P: Eu tenho conexões VPN já configuradas e quero modificar o ASN do lado da Amazon para a sessão do BGP dessas VPNs. Como posso fazer essa alteração?

Será necessário criar um novo gateway virtual com o ASN desejado e recriar as conexões de VPN entre os gateways do cliente e esse gateway virtual recém-criado.

P: Já tenho um gateway virtual e uma conexão de VIF/VPN privada configurada usando o ASN público 7224, atribuído pela Amazon. Se a Amazon gerar automaticamente o ASN para o novo gateway virtual privado, qual ASN do lado da Amazon será atribuído?

A Amazon atribuirá o ASN no lado da Amazon 64512 para o novo gateway virtual.

P: Tenho um gateway virtual e uma VIF privada/conexão VPN configurada usando o ASN público atribuído pela Amazon. Quero usar o mesmo ASN público atribuído pela Amazon para uma nova VIF privada/conexão VPN que estou criando. Como posso fazer isso?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Gateway privado virtual (gateway virtual). Você pode criar o gateway virtual usando o console ou a chamada de API EC2/CreateVpnGateway. Como observado anteriormente, até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Tenho um gateway virtual e uma VIF privada/conexão VPN configurada usando o ASN público atribuído pela Amazon, que é 7224. Se a Amazon gerar automaticamente o ASN para a nova VIF privada/conexão VPN usando o mesmo gateway virtual, qual ASN do lado da Amazon será atribuído?

R: A Amazon atribuirá o ASN no lado da Amazon 7224 para a nova conexão de VIF/VPN. O ASN no lado da Amazon para a nova VIF/conexão VPN privada é herdado do gateway virtual existente e passa a ser o ASN padrão.

P: Estou anexando várias VIFs privadas a um único gateway virtual. É possível que cada VIF tenha um ASN do lado da Amazon separado?

R: Não. Você pode atribuir/configurar ASNs no lado da Amazon separados para cada gateway virtual, mas não para cada VIF. O ASN do lado da Amazon para uma VIF é herdado do ASN do lado da Amazon do gateway virtual associado.

P: Estou criando várias conexões VPN para um único gateway virtual. É possível que cada conexão VPN tenha um ASN separado do lado da Amazon?

R: Não. Você pode atribuir/configurar ASNs do lado da Amazon separados para cada gateway virtual, mas não para cada conexão VPN. O ASN do lado da Amazon para conexões VPN é herdado do ASN do lado da Amazon do gateway virtual.

P: Onde posso escolher o meu próprio ASN?

R: Ao criar um gateway virtual na console da VPC, desmarque a caixa que pergunta se você quer um BGP ASN da Amazon gerado automaticamente e forneça o seu próprio ASN privado para a parte da Amazon da sessão do BGP. Depois que o gateway virtual é configurado com o ASN no lado da Amazon, as VIFs privadas ou conexões VPN criadas usando o gateway virtual usarão o seu ASN no lado da Amazon.

P: Atualmente, uso o CloudHub. Será necessário ajustar as configurações no futuro?

R: Não será necessário fazer nenhuma alteração.

P: Eu quero selecionar um ASN de 32 bits. Qual é o intervalo dos ASNs privados de 32 bits?

R: Ofereceremos suporte a ASNs de 32 bits de 4200000000 a 4294967294.

P: Após a criação do gateway virtual, poderei trocar ou modificar o ASN no lado da Amazon?

R: Não. Não é possível modificar o ASN no lado da Amazon após a criação. Você pode excluir o gateway virtual e recriar um novo gateway virtual com o ASN desejado.

P: Há uma nova API para configurar/atribuir o ASN no lado da Amazon?

R: Não. Isso pode ser feito com a mesma API de antes (EC2/CreateVpnGateway). Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

P: Há uma nova API para exibir o ASN do lado da Amazon?

R: Não. O ASN do lado da Amazon pode ser exibido com a mesma API EC2/DescribeVpnGateways. Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço

Preços simples, para que seja fácil saber o que é certo para você.

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a criar com o AWS VPN no Console AWS.

Comece a usar