AWS Client VPN · Chaque point de terminaison du VPN client a une table de routage qui décrit la les routes réseau de destination disponibles. Chaque route de la table de routage

AWS Client VPNGuide de l'administrateur

AWS Client VPN Guide de l'administrateur

AWS Client VPN: Guide de l'administrateurCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Les marques commerciales et la présentation commerciale d'Amazon ne peuvent pas être utilisées en relation avecun produit ou un service extérieur à Amazon, d'une manière susceptible d'entraîner une confusion chez les clients, oud'une manière qui dénigre ou discrédite Amazon. Toutes les autres marques commerciales qui ne sont pas la propriétéd'Amazon sont la propriété de leurs propriétaires respectifs, qui peuvent ou non être affiliés ou connectés à Amazon,ou sponsorisés par Amazon.


Table of ContentsQu'est-ce qu'AWS Client VPN ? ............................................................................................................ 1

Caractéristiques de Client VPN ..................................................................................................... 1Composants de Client VPN .......................................................................................................... 1Utilisation de Client VPN ............................................................................................................. 2Limitations et règles de Client VPN ............................................................................................... 3Tarification de Client VPN ............................................................................................................ 4

Fonctionnement de Client VPN ............................................................................................................. 5Authentification et autorisation client .............................................................................................. 6

Authentification ................................................................................................................... 6Autorisation ...................................................................................................................... 13

Autorisation de connexion .......................................................................................................... 14Exigences et considérations ............................................................................................... 15Interface Lambda .............................................................................................................. 15Utilisation du gestionnaire de connexion client pour l'évaluation de la posture ............................. 17Activation du gestionnaire de connexion client ....................................................................... 17Rôle lié à un service ......................................................................................................... 17Surveillance des échecs d'autorisation de connexion .............................................................. 17

Client VPN avec tunnel partagé .................................................................................................. 18Avantages du tunnel partagé .............................................................................................. 19Considérations relatives au routage ..................................................................................... 20Activation du tunnel partagé ............................................................................................... 20

Journalisation des connexions .................................................................................................... 20Entrées du journal de connexion ......................................................................................... 20

Considérations relatives à la mise à l'échelle ................................................................................ 21Scénarios et exemples ...................................................................................................................... 23

Accès à un VPC ....................................................................................................................... 23Accès à un VPC appairé ........................................................................................................... 25Accès à un réseau sur site ........................................................................................................ 27Un accès à Internet .................................................................................................................. 29Accès client à client .................................................................................................................. 31Restreindre l'accès à votre réseau ............................................................................................... 33

Restreindre l'accès à l'aide des groupes de sécurité ............................................................... 33Restreindre l'accès en fonction des groupes d'utilisateurs ........................................................ 35

Mise en route ................................................................................................................................... 36Prérequis ................................................................................................................................. 37Étape 1 : Générer des certificats et des clés de serveur et client ...................................................... 37Étape 2 : Créer un point de terminaison Client VPN ....................................................................... 37Étape 3 : Activer la connectivité VPN pour les clients ..................................................................... 38Étape 4 : Autoriser les clients à accéder au réseau ........................................................................ 39Étape 5 : (Facultatif) Activer l'accès à des réseaux supplémentaires .................................................. 39Étape 6 : Télécharger le fichier de configuration du point de terminaison Client VPN ............................ 40Étape 7 : Se connecter au point de terminaison Client VPN ............................................................. 41

Utilisation de Client VPN .................................................................................................................... 42Points de terminaison Client VPN ................................................................................................ 42

Créer un point de terminaison Client VPN ............................................................................ 42Modifier un point de terminaison Client VPN ......................................................................... 44Exporter et configurer le fichier de configuration du client ........................................................ 46Afficher les points de terminaison Client VPN ........................................................................ 49Supprimer un point de terminaison Client VPN ...................................................................... 49

Réseaux cibles ......................................................................................................................... 49Associer un réseau cible à un point de terminaison Client VPN. ............................................... 50Application d'un groupe de sécurité à un réseau cible ............................................................. 51Dissocier un réseau cible d'un point de terminaison Client VPN ................................................ 51Affichage des réseaux cibles .............................................................................................. 52

iii


Règles d'autorisation ................................................................................................................. 52Ajouter une règle d'autorisation à un point de terminaison Client VPN ....................................... 52Supprimer une règle d'autorisation d'un point de terminaison Client VPN ................................... 53Affichage des règles d'autorisation ...................................................................................... 54

Routes .................................................................................................................................... 54Considérations relatives au tunnel partagé sur les points de terminaison Client VPN .................... 54Création d'une route de point de terminaison ........................................................................ 54Affichage de routes de points de terminaison ........................................................................ 55Suppression d'une route de point de terminaison ................................................................... 55

Listes de révocation des certificats de client ................................................................................. 56Générer une liste de révocation des certificats de client .......................................................... 56Importer une liste de révocation des certificats de client .......................................................... 57Exporter une liste de révocation des certificats de client .......................................................... 58

Connexions client ...................................................................................................................... 58Afficher les connexions client .............................................................................................. 58Mettre fin à une connexion client ......................................................................................... 58

Journaux de connexion. ............................................................................................................. 59Activer la journalisation des connexions pour un nouveau point de terminaison Client VPN ............ 59Activer la journalisation des connexions pour un point de terminaison Client VPN existant ............. 60Afficher les journaux de connexion ...................................................................................... 60Désactiver la journalisation des connexions .......................................................................... 61

Sécurité ........................................................................................................................................... 62Protection des données ............................................................................................................. 62

Chiffrement en transit ........................................................................................................ 63Confidentialité du trafic inter-réseaux ................................................................................... 63

Identity and Access Management pour Client VPN ......................................................................... 64Utilisation des rôles liés à un service ................................................................................... 65

Journalisation et surveillance ...................................................................................................... 66Résilience ................................................................................................................................ 67

Plusieurs réseaux cibles pour une haute disponibilité .............................................................. 67Sécurité de l'infrastructure .......................................................................................................... 67Bonnes pratiques ...................................................................................................................... 67

Surveillance de Client VPN ................................................................................................................ 69Surveillance avec CloudWatch .................................................................................................... 69Surveillance avec CloudTrail ....................................................................................................... 71

Informations sur Client VPN dans CloudTrail ......................................................................... 71Présentation des entrées des fichiers journaux Client VPN ...................................................... 72

Quotas Client VPN ............................................................................................................................ 73Quotas Client VPN .................................................................................................................... 73Quotas d'utilisateurs et de groupes .............................................................................................. 73Considérations d'ordre général .................................................................................................... 74

Résolution des problèmes liés à AWS Client VPN ................................................................................. 75Impossible de résoudre le nom DNS du point de terminaison Client VPN ........................................... 75Le trafic n'est pas réparti entre les sous-réseaux ........................................................................... 76Les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu ............... 76Les clients ne peuvent pas accéder à un VPC appairé, à Amazon S3 ou à Internet .............................. 77L'accès à un VPC appairé, à Amazon S3 ou à Internet est intermittent .............................................. 79Le logiciel client renvoie une erreur TLS ....................................................................................... 80Le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe (authentification ActiveDirectory) ................................................................................................................................. 81Les clients ne peuvent pas se connecter (authentification mutuelle) .................................................. 81Le client renvoie des informations d’identification dont la taille dépasse l'erreur maximale(authentification fédérée) ............................................................................................................ 82Le client n'ouvre pas le navigateur (authentification fédérée) ............................................................ 82Le client ne renvoie aucune erreur de ports disponibles (authentification fédérée) ................................ 82Vérifier la limite de bande passante pour un point de terminaison Client VPN ..................................... 83

Historique du document ..................................................................................................................... 84

iv

AWS Client VPN Guide de l'administrateurCaractéristiques de Client VPN

Qu'est-ce qu'AWS Client VPN ?AWS Client VPN est un service VPN géré, basé sur le client, qui vous permet d'accéder de façon sécuriséeà vos ressources AWS et aux ressources de votre réseau sur site. Avec Client VPN, vous pouvez accéderà vos ressources à partir de n'importe quel emplacement à l'aide d'un client VPN basé sur OpenVPN.

Sommaire• Caractéristiques de Client VPN (p. 1)• Composants de Client VPN (p. 1)• Utilisation de Client VPN (p. 2)• Limitations et règles de Client VPN (p. 3)• Tarification de Client VPN (p. 4)

Caractéristiques de Client VPNClient VPN offre les caractéristiques et fonctionnalités suivantes :

• Connexions sécurisées : il fournit une connexion TLS sécurisée à partir de n'importe quel emplacement àl'aide du client OpenVPN.

• Service géré : il s’agit d’un service géré AWS qui permet d’éliminer le problème opérationnel lié audéploiement et à la gestion d'une solution VPN tierce d'accès à distance.

• Haute disponibilité et élasticité : il s'adapte automatiquement au nombre d'utilisateurs se connectant àvos ressources AWS et à vos ressources sur site.

• Authentification : il prend en charge l’authentification du client avec Active Directory, l’authentificationfédérée et l’authentification basée sur les certificats.

• Contrôle précis : il vous permet de mettre en œuvre des contrôles de sécurité personnalisés endéfinissant des règles d'accès basées sur le réseau. Ces règles peuvent être configurées avec uneprécision basée sur les groupes Active Directory. Vous pouvez également mettre en œuvre le contrôled'accès à l'aide de groupes de sécurité.

• Facilité d'utilisation : il vous permet d'accéder à vos ressources AWS et à vos ressources sur site à l'aided'un tunnel VPN unique.

• Facilité de gestion : il vous permet d'afficher les journaux de connexion, qui fournissent des détails surles tentatives de connexion client. Vous pouvez également gérer les connexions client actives, avec lapossibilité d’y mettre fin.

• Intégration en profondeur : il s’intègre aux services AWS existants, y compris à AWS Directory Service etAmazon PC.

Composants de Client VPNLes concepts clés liés à Client VPN sont les suivants :

Point de terminaison de VPN client

Le point de terminaison Client VPN est la ressource que vous créez et configurez pour activer et gérerdes sessions Client VPN. Il s’agit de la ressource où toutes les sessions VPN client prennent fin.

1

AWS Client VPN Guide de l'administrateurUtilisation de Client VPN

Réseau cible

Un réseau cible est le réseau que vous associez à un point de terminaison Client VPN. Un sous-réseau d’un VPC est un réseau cible. L’association d'un sous-réseau à un point de terminaison ClientVPN vous permet d'établir des sessions VPN. Vous pouvez associer plusieurs sous-réseaux à un pointde terminaison Client VPN pour bénéficier d'une haute disponibilité. Tous les sous-réseaux doivent setrouver dans le même VPC. Chaque sous-réseau doit appartenir à une zone de disponibilité différente.

Route

Chaque point de terminaison du VPN client a une table de routage qui décrit la les routes réseau dedestination disponibles. Chaque route de la table de routage spécifie le chemin d'accès du trafic versdes ressources ou des réseaux spécifiques.

Règles d'autorisation

Une règle d’autorisation limite les utilisateurs qui peuvent accéder à un réseau. Pour un réseauspécifié, vous configurez le groupe Active Directory ou fournisseur d'identité (IdP) auquel l'accès estautorisé. Seuls les utilisateurs appartenant à ce groupe peuvent accéder au réseau spécifié. Pardéfaut, il n'y a aucune règle d'autorisation et vous devez configurer des règles d'autorisation pourpermettre aux utilisateurs d'accéder aux ressources et aux réseaux.

Client

L'utilisateur final se connectant au point de terminaison Client VPN pour établir une session VPN. Lesutilisateurs finaux doivent télécharger un client OpenVPN et utiliser le fichier de configuration VPNclient que vous avez créé pour établir une session VPN.

Plage CIDR du client

Plage d'adresses IP à partir de laquelle attribuer des adresses IP de clients. Chaque connexion aupoint de terminaison Client VPN se voit attribuer une adresse IP unique à partir de la plage CIDR duclient. Vous choisissez la plage CIDR du client, par exemple, 10.2.0.0/16.

Ports VPN client

AWS Client VPN prend en charge les ports 443 et 1194 pour TCP et UDP. La valeur par défaut est leport 443.

Interfaces réseau Client VPN

Lorsque vous associez un sous-réseau à votre point de terminaison Client VPN, nous créons desinterfaces réseau Client VPN dans ce sous-réseau. Le trafic qui est envoyé au VPC à partir du point determinaison Client VPN est envoyé via une interface réseau Client VPN. La fonction SNAT (traductiond'adresses réseau source) est ensuite appliquée et l'adresse IP source provenant de la plage CIDR duclient est traduite en adresse IP de l'interface réseau Client VPN.

Journalisation des connexions

Vous pouvez activer la journalisation des connexions pour votre point de terminaison Client VPN afinde consigner les événements de connexion. Vous pouvez utiliser ces informations pour exécuter desanalyses judiciaires, analyser l'utilisation de votre point de terminaison Client VPN ou déboguer desproblèmes de connexion.

Portail en libre-service

Vous pouvez activer un portail en libre-service pour votre point de terminaison Client VPN. Les clientspeuvent se connecter au portail Web à l'aide de leurs informations d'identification et télécharger ladernière version du fichier de configuration du point de terminaison Client VPN, ou la dernière versiondu client fourni par AWS.

Utilisation de Client VPNVous pouvez utiliser Client VPN de l'une des manières suivantes :

2

AWS Client VPN Guide de l'administrateurLimitations et règles de Client VPN

Console Amazon VPC

La console Amazon VPC fournit une interface utilisateur Web pour Client VPN. Si vous disposez d’uncompte AWS, vous pouvez vous connecter à la console Amazon VPC, puis sélectionner Client VPNdans le volet de navigation.

Interface de ligne de commande (CLI) AWS

L'interface de ligne de commande AWS fournit un accès direct aux API publiques Client VPN. Elleest prise en charge sur Windows, macOS et Linux. Pour plus d'informations sur la mise en routeavec l'interface de ligne de commande AWS, consultez le Guide de l’utilisateur de l’interface de lignede commande AWS. Pour plus d'informations sur les commandes pour Client VPN, consultez laRéférence de l’interface de ligne de commande AWS.

Outils AWS pour Windows PowerShell

AWS fournit des commandes pour une large gamme de produits AWS à destination de ceux quiécrivent des scripts dans l'environnement PowerShell. Pour plus d'informations sur la mise en routeavec les outils AWS pour Windows PowerShell, consultez le Guide de l’utilisateur Outils AWS pourWindows PowerShell. Pour plus d'informations sur les applets de commande pour Client VPN,consultez la Référence de l’applet de commande Outils AWS pour Windows PowerShell.

API de requête

L'API de requête HTTPS Client VPN vous donne un accès par programmation à Client VPN et àAWS. L'API de requête HTTPS vous permet d'envoyer des demandes HTTPS directement au service.Lorsque vous utilisez l'API HTTPS, vous devez inclure un code pour signer numériquement lesdemandes à l'aide de vos informations d'identification. Pour plus d'informations, consultez la Référencede l'API Client VPN.

Limitations et règles de Client VPNClient VPN possède les règles et limitations suivantes :

• Les plages CIDR client ne peuvent pas chevaucher la CIDR locale du VPC dans lequel se trouve lesous-réseau associé ou n'importe quelle route ajoutée manuellement à la table de routage du point determinaison Client VPN.

• Les plages CIDR client doivent avoir une taille de bloc d'au moins /22 et ne doivent pas être supérieuresà /12.

• Un certain nombre d'adresses de la plage CIDR client sont utilisées pour prendre en charge le modèlede disponibilité du point de terminaison Client VPN et ne peuvent pas être affectées aux clients. Parconséquent, nous vous recommandons d'affecter un bloc d'adresse CIDR contenant deux fois le nombred'adresses IP requises pour activer le nombre maximal de connexions simultanées que vous prévoyezde prendre en charge sur le point de terminaison Client VPN.

• La plage CIDR client ne peut pas être modifiée après la création du point de terminaison Client VPN.• Les sous-réseaux associés à un point de terminaison Client VPN doivent se trouver dans le même VPC.• Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point de

terminaison Client VPN.• Un point de terminaison Client VPN ne prend pas en charge les associations de sous-réseaux dans un

VPC de location dédiée.• Client VPN prend uniquement en charge le trafic IPv4.• Client VPN n' est pas conforme aux normes FIPS (Federal Information Processing Standards).• Si l'authentification MFA (Multi-Factor Authentication) est désactivée pour votre annuaire Active

Directory, un mot de passe utilisateur ne peut pas être au format suivant.

SCRV1:<base64_encoded_string>:<base64_encoded_string>

3

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/cli/latest/reference/

https://docs.aws.amazon.com/powershell/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/reference/

AWS Client VPN Guide de l'administrateurTarification de Client VPN

• Le portail en libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'uneauthentification mutuelle.

Tarification de Client VPNVous êtes facturé pour les associations actives à chaque point de terminaison Client VPN sur une basehoraire. La facturation est calculée au prorata horaire.

Vous êtes facturé pour chaque connexion VPN client par heure. La facturation est calculée au proratahoraire.

Pour plus d’informations, consultez Tarification AWS Client VPN.

Si vous activez la journalisation des connexions pour votre point de terminaison Client VPN, vous devezcréer un groupe de journaux CloudWatch Logs dans votre compte. Des frais s'appliquent pour l'utilisationde groupes de journaux. Pour plus d'informations, consultez Tarification Amazon CloudWatch.

Si vous activez Client Connect Handler pour votre point de terminaison Client VPN, vous devez créeret appeler une fonction Lambda. Des frais s'appliquent pour l'appel des fonctions Lambda. Pour plusd’informations, consultez Tarification AWS Lambda.

4

http://aws.amazon.com/vpn/pricing/

http://aws.amazon.com/cloudwatch/pricing/

http://aws.amazon.com/lambda/pricing/


Fonctionnement d’AWS Client VPNAvec AWS Client VPN, il existe deux types de personas utilisateur qui interagissent avec le point determinaison Client VPN : les administrateurs et les clients.

L'administrateur est responsable de l'installation et de la configuration du service. Ceci implique,notamment, la création du point de terminaison Client VPN, l’association du réseau cible, la configurationdes règles d’autorisation et la configuration de routes supplémentaires (si nécessaire). Une fois que le pointde terminaison Client VPN est installé et configuré, l'administrateur télécharge le fichier de configurationde point de terminaison Client VPN et le distribue aux clients qui ont besoin d'y accéder. Le fichier deconfiguration de point de terminaison Client VPN inclut le nom DNS du point de terminaison Client VPN etles informations d’authentification requises pour établir une session VPN. Pour plus d'informations sur laconfiguration du service, consultez Mise en route avec Client VPN (p. 36).

Le client est l'utilisateur final. Il s'agit de la personne qui se connecte au point de terminaison Client VPNpour établir une session VPN. Le client met en place la session VPN à partir de son ordinateur local oude son appareil mobile à l'aide d'une application cliente VPN basée sur OpenVPN. Après avoir établi lasession VPN, il peut accéder de manière sécurisée aux ressources du VPC dans lequel le sous-réseauassocié est situé. Il peut également accéder à d'autres ressources d’AWS, à un réseau sur site ou àd’autres clients si le routage requis et les règles d'autorisation ont été configurés. Pour plus d'informationssur la connexion à un point de terminaison Client VPN pour établir une session VPN, consultez Mise enroute dans le Guide de l’utilisateur AWS Client VPN.

Le graphique suivant illustre l'architecture Client VPN de base.

5

https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html

AWS Client VPN Guide de l'administrateurAuthentification et autorisation client

Authentification et autorisation clientClient VPN fournit des fonctionnalités d'authentification et d'autorisation.

Sommaire• Authentification (p. 6)• Autorisation (p. 13)

AuthentificationL'authentification est implémentée au niveau du premier point d'entrée dans le cloud AWS. Elle estutilisée pour déterminer si les clients sont autorisés à se connecter au point de terminaison Client VPN. Sil'authentification aboutit, les clients se connectent au point de terminaison Client VPN et établissent unesession VPN. Si l'authentification échoue, la connexion est refusée et le client n’est pas autorisé à établirune session VPN.

Client VPN offre les types d'authentification client suivants :

• Authentification Active Directory (p. 6) (basée sur l'utilisateur)• Authentification mutuelle (p. 7) (basée sur un certificat)• Authentification unique (authentification fédérée basée sur SAML) (p. 10) (basée sur l'utilisateur)

Vous pouvez utiliser une ou une combinaison des authentifications suivantes :

• Authentification mutuelle et authentification fédérée• Authentification mutuelle et authentification Active Directory

Important

Pour créer un point de terminaison Client VPN, vous devez allouer un certificat de serveur dansAWS Certificate Manager, quel que soit le type d'authentification que vous utilisez. Pour plusd’informations sur la création et le provisionnement d'un certificat de serveur, consultez les étapesde la section Authentification mutuelle (p. 7).

Authentification Active DirectoryClient VPN fournit la prise en charge d'Active Directory en s'intégrant à AWS Directory Service. Avecl'authentification Active Directory, les clients sont authentifiés par rapport aux groupes Active Directoryexistants. À l'aide d'AWS Directory Service, Client VPN peut se connecter aux répertoire Active Directoryexistants, alloués dans AWS ou dans votre réseau sur site. Cela vous permet d'utiliser votre infrastructured’authentification client existante. Si vous utilisez un répertoire Active Directory sur site et que vous n'avezpas d'AWS Managed Microsoft AD existant, vous devez configurer un connecteur Active Directory (ADConnector). Vous pouvez utiliser un serveur Active Directory pour authentifier les utilisateurs. Pour plusd'informations sur l'intégration d'Active Directory, consultez le Guide d'administration AWS DirectoryService.

Client VPN prend en charge l'authentification MFA (Multi-Factor Authentication) lorsqu'elle est activéepour AWS Managed Microsoft AD ou AD Connector. Si authentification MFA est activée, les clientsdoivent entrer un nom d'utilisateur, un mot de passe et un code MFA lorsqu'ils se connectent à un point determinaison Client VPN. Pour plus d’informations sur l'activation de l'authentification MFA, consultez Activerl'authentification multi-facteurs pour AWS Managed Microsoft AD et Activer l'authentification multi-facteurspour AD Connector dans le Guide d’administration AWS Directory Service.

6

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html

AWS Client VPN Guide de l'administrateurAuthentification

Pour connaître les quotas et les règles de configuration des utilisateurs et des groupes dans ActiveDirectory, consultez Quotas d'utilisateurs et de groupes (p. 73).

Authentification mutuelleAvec l'authentification mutuelle, Client VPN utilise des certificats pour procéder à l'authentification entre leclient et le serveur. Les certificats constituent une forme numérique d'identification émise par une autoritéde certification (CA). Le serveur utilise des certificats de client pour authentifier les clients lorsque cesderniers essaient de se connecter au point de terminaison Client VPN. Vous devez créer un certificat et uneclé de serveur, ainsi qu'au moins un certificat client et une clé.

Vous devez charger le certificat de serveur sur AWS Certificate Manager (ACM) et le spécifier lorsque vouscréez un point de terminaison Client VPN. Lorsque vous téléchargez le certificat de serveur sur ACM, vousspécifiez également l'autorité de certification. Vous n'avez besoin de charger le certificat client vers ACMlorsque l'autorité de certification du certificat client est différente de celle du certificat serveur. Pour plusd'informations sur ACM, consultez le Guide de l'utilisateur AWS Certificate Manager.

Vous pouvez créer un certificat client distinct et une clé pour chaque client qui se connectera au pointde terminaison Client VPN. Cela vous permet de révoquer un certificat client spécifique si un utilisateurquitte votre organisation. Dans ce cas, lorsque vous créez le point de terminaison Client VPN, vous pouvezspécifier l'ARN du certificat de serveur pour le certificat client, à condition que le certificat client ait été émispar la même autorité de certification que le certificat de serveur.

Un point de terminaison Client VPN prend en charge uniquement les tailles de clés RSA 1024 bits et2048 bits.

Linux/macOS

La procédure suivante utilise easy-rsa OpenVPN pour générer les certificats et les clés de serveur etde client, puis charge le certificat et la clé de serveur dans ACM. Pour plus d’informations, consultez ledocument Easy-RSA 3 Quickstart README.

Pour générer les certificats et les clés de serveur et de client et les télécharger dans ACM

1. Clonez le référentiel OpenVPN easy-rsa sur votre ordinateur local et accédez au dossier easy-rsa/easyrsa3.

$ git clone https://github.com/OpenVPN/easy-rsa.git

$ cd easy-rsa/easyrsa3

2. Initialisez un nouvel environnement PKI.

$ ./easyrsa init-pki

3. Pour créer une autorité de certification, exécutez cette commande et suivez les invites.

$ ./easyrsa build-ca nopass

4. Générez le certificat et la clé de serveur.

$ ./easyrsa build-server-full server nopass

5. Générez le certificat et la clé de client.

Assurez-vous de disposer du certificat de client et de la clé privée de client, car vous en aurezbesoin pour configurer le client.

7

https://docs.aws.amazon.com/acm/latest/userguide/

https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md


$ ./easyrsa build-client-full client1.domain.tld nopass

Vous pouvez éventuellement répéter cette étape pour chaque client (utilisateur final) qui nécessiteun certificat client et une clé.

6. Copiez le certificat et la clé de serveur ainsi que le certificat et la clé de client dans un dossierpersonnalisé, puis accédez au dossier personnalisé.

Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de la commandemkdir. L'exemple suivant crée un dossier personnalisé dans votre répertoire personnel.

$ mkdir ~/custom_folder/$ cp pki/ca.crt ~/custom_folder/$ cp pki/issued/server.crt ~/custom_folder/$ cp pki/private/server.key ~/custom_folder/$ cp pki/issued/client1.domain.tld.crt ~/custom_folder$ cp pki/private/client1.domain.tld.key ~/custom_folder/$ cd ~/custom_folder/

7. Téléchargez le certificat et la clé de serveur ainsi que le certificat et la clé client vers ACM.Veillez à les charger dans la même région que celle dans laquelle vous prévoyez de créer lepoint de terminaison Client VPN. Les commandes suivantes utilisent l'interface de ligne decommande AWS pour charger les certificats. Pour plutôt charger les certificats à l'aide de laconsole ACM, consultez Importer un certificat dans le Guide de l’utilisateur AWS CertificateManager.

$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt

$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

Vous ne devez pas charger le certificat client vers ACM sauf si l'autorité de certification ducertificat client est différente de celle du certificat serveur. Dans les étapes ci-dessus, le certificatclient utilise la même autorité de certification que le certificat serveur. Toutefois, les étapes dechargement du certificat client sont incluses ici par souci d’exhaustivité.

Windows

La procédure suivante installe le logiciel OpenVPN, puis l'utilise pour générer les certificats et clésserveur et client.

Pour générer les certificats et les clés de serveur et de client et les télécharger dans ACM

1. Ouvrez la page Téléchargements de la communauté OpenVPN, téléchargez le programmed'installation Windows pour votre version de Windows, puis exécutez-le.

2. Ouvrez la page des versions EasyRSA et téléchargez le fichier ZIP pour votre version deWindows. Extrayez le fichier ZIP et copiez le dossier EasyRSA dans le dossier \Program Files\OpenVPN.

3. Ouvrez l'invite de commande en tant qu'administrateur, accédez au répertoire \Program Files\OpenVPN\EasyRSA et exécutez la commande suivante pour ouvrir le shell EasyRSA 3.

C:\Program Files\OpenVPN\EasyRSA> EasyRSA-Start

4. Initialisez un nouvel environnement PKI.

8

https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html

https://openvpn.net/community-downloads/

https://github.com/OpenVPN/easy-rsa/releases


# ./easyrsa init-pki

5. Pour créer une autorité de certification, exécutez cette commande et suivez les invites.

# ./easyrsa build-ca nopass

6. Générez le certificat et la clé de serveur.

# ./easyrsa build-server-full server nopass

7. Générez le certificat et la clé de client.

# ./easyrsa build-client-full client1.domain.tld nopass

Vous pouvez éventuellement répéter cette étape pour chaque client (utilisateur final) qui nécessiteun certificat client et une clé.

8. Quittez le shell EasyRSA 3.

# exit

9. Copiez le certificat et la clé de serveur ainsi que le certificat et la clé de client dans un dossierpersonnalisé, puis accédez au dossier personnalisé.

Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de la commandemkdir. L'exemple suivant crée un dossier personnalisé sur votre unité C:\.

C:\Program Files\OpenVPN\EasyRSA> mkdir C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> copy pki\ca.crt C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> copy pki\issued\server.crt C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> copy pki\private\server.key C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> copy pki\issued\client1.domain.tld.crt C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> copy pki\private\client1.domain.tld.key C:\custom_folderC:\Program Files\OpenVPN\EasyRSA> cd C:\custom_folder

10. Téléchargez le certificat et la clé de serveur ainsi que le certificat et la clé client vers ACM.Veillez à les charger dans la même région que celle dans laquelle vous prévoyez de créer lepoint de terminaison Client VPN. Les commandes suivantes utilisent l'interface de ligne decommande AWS pour charger les certificats. Pour plutôt charger les certificats à l'aide de laconsole ACM, consultez Importer un certificat dans le Guide de l’utilisateur AWS CertificateManager.

aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt

aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

Vous ne devez pas charger le certificat client vers ACM sauf si l'autorité de certification ducertificat client est différente de celle du certificat serveur. Dans les étapes ci-dessus, le certificatclient utilise la même autorité de certification que le certificat serveur. Toutefois, les étapes dechargement du certificat client sont incluses ici par souci d’exhaustivité.

9

https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html


Authentification unique (authentification fédérée basée sur SAML2.0)AWS Client VPN prend en charge la fédération d'identité avec Security Assertion Markup Language 2.0(SAML 2.0) pour les points de terminaison Client VPN. Vous pouvez utiliser des fournisseurs d'identités(IdP) qui prennent en charge SAML 2.0 pour créer des identités utilisateur centralisées. Vous pouvezensuite configurer un point de terminaison Client VPN pour utiliser l'authentification fédérée basée surSAML et l'associer à l'IdP. Les utilisateurs se connectent ensuite au point de terminaison Client VPN avecleurs informations d'identification centralisées.

Pour permettre à votre IdP basé sur SAML de fonctionner avec un point de terminaison Client VPN,procédez comme suit.

1. Créez une application basée sur SAML dans votre IdP choisi, pour l'utiliser avec AWS Client VPN, ouutilisez une application existante.

2. Configurez votre IdP pour établir une relation d'approbation avec AWS. Pour les ressources, consultezRessources de configuration d’un IdP basé sur SAML (p. 12).

3. Dans votre fournisseur d’identité, pour générer et télécharger un document de métadonnées defédération qui décrit votre organisation en tant que fournisseur d'identité. Ce document XML signé estutilisé pour établir la relation d'approbation entre AWS et l'IdP.

4. Créez un fournisseur d'identité SAML IAM dans le même compte AWS que le point de terminaison ClientVPN. Le fournisseur d'identité SAML IAM définit la relation d'approbation IdP-AWS de votre organisationà l'aide du document de métadonnées généré par l'IdP. Pour plus d'informations, consultez Création defournisseurs d'identité SAML IAM dans le Guide de l’utilisateur IAM. Si vous mettez à jour ultérieurementla configuration de l'application dans l'IdP, générez un nouveau document de métadonnées et mettez àjour votre fournisseur d'identité SAML IAM.

Note

Vous n'avez pas besoin de créer un rôle IAM pour utiliser le fournisseur d'identité SAML IAM.5. Créez un point de terminaison Client VPN. Spécifiez l'authentification fédérée comme type

d'authentification et spécifiez le fournisseur d'identité SAML IAM que vous avez créé. Pour plusd'informations, consultez Créer un point de terminaison Client VPN (p. 42).

6. Exportez le fichier de configuration client (p. 46) et distribuez-le à vos utilisateurs. Demandez à vosutilisateurs de télécharger la dernière version du client fourni par AWS et de l'utiliser pour charger lefichier de configuration et se connecter au point de terminaison Client VPN. Sinon, si vous avez activéle portail en libre-service pour votre point de terminaison Client VPN, demandez à vos utilisateursd'accéder au portail en libre-service pour obtenir le fichier de configuration et le client fourni par AWS.Pour plus d'informations, consultez Accéder au portail en libre-service (p. 48).

Flux de travail d'authentification

Le schéma suivant fournit une vue d'ensemble du flux de travail d'authentification pour un point determinaison Client VPN qui utilise l'authentification fédérée basée sur SAML. Lorsque vous créez etconfigurez le point de terminaison Client VPN, vous spécifiez le fournisseur d'identité SAML IAM.

10

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html


https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html


1. L'utilisateur ouvre le client fourni par AWS sur son périphérique et initie une connexion au point determinaison Client VPN.

2. Le point de terminaison Client VPN renvoie une URL d’IdP et une demande d'authentification au client,en fonction des informations fournies dans le fournisseur d'identité SAML IAM.

3. Le client fourni par AWS ouvre une nouvelle fenêtre de navigateur sur le périphérique de l'utilisateur. Lenavigateur fait une demande à l'IdP et affiche une page de connexion.

4. L'utilisateur saisit ses informations d'identification sur la page de connexion et l'IdP envoie une assertionSAML signée au client.

5. Le client fourni par AWS envoie l'assertion SAML au point de terminaison Client VPN.6. Le point de terminaison Client VPN valide l'assertion et autorise ou refuse l'accès à l'utilisateur.

11


Exigences et observations relatives à l'authentification fédérée basée sur SAML

Voici les exigences et les considérations relatives à l'authentification fédérée basée sur SAML.

• Pour connaître les quotas et les règles de configuration des utilisateurs et des groupes dans un IdP basésur SAML, consultez Quotas d'utilisateurs et de groupes (p. 73).

• La réponse SAML doit être signée et non chiffrée.• La taille maximale prise en charge pour les réponses SAML est de 128 Ko.• AWS Client VPN ne fournit pas de demandes d'authentification signées.• La déconnexion unique SAML n'est pas prise en charge. Les utilisateurs peuvent quitter en se

déconnectant du client fourni par AWS, ou vous pouvez mettre fin aux connexions (p. 58).• Un point de terminaison Client VPN prend uniquement en charge une seule IdP.• L'authentification multifacteur (MFA) est prise en charge lorsqu'elle est activée dans votre IdP.• Les utilisateurs doivent utiliser le client fourni par AWS pour se connecter au point de terminaison Client

VPN. Ils doivent utiliser la version 1.2.0 ou une version ultérieure. Pour plus d'informations, consultez Seconnecter à l'aide du client fourni par AWS.

• Les navigateurs suivants sont pris en charge pour l'authentification IdP : Apple Safari, Google Chrome,Microsoft Edge et Mozilla Firefox.

• Le client fourni par AWS réserve le port TCP 35001 sur les périphériques des utilisateurs pour la réponseSAML.

• La mise à jour du document de métadonnées du fournisseur d'identité SAML IAM avec une URL erronéeou malveillante peut entraîner des problèmes d'authentification pour les utilisateurs ou des attaques dephishing. Par conséquent, nous vous recommandons d'utiliser AWS CloudTrail pour surveiller les misesà jour du fournisseur d'identité SAML IAM. Pour plus d'informations, consultez Logging IAM and AWSSTS calls with AWS CloudTrail (Journalisation des appels IAM et AWS STS avec AWS CloudTrail) dansle Guide de l'utilisateur IAM.

• AWS Client VPN envoie une requête AuthN à l'IdP via une liaison de redirection HTTP. Par conséquent,l'IdP doit prendre en charge la liaison de redirection HTTP et elle doit être présente dans le document demétadonnées de l'IdP.

• Pour l'assertion SAML, vous devez utiliser un format d'adresse e-mail pour l'attribut NameID.

Ressources de configuration d’un IdP basé sur SAML

Le tableau suivant répertorie les IDP basés sur SAML que nous avons testés pour une utilisation avecAWS Client VPN, ainsi que les ressources qui peuvent vous aider à configurer l'IdP.

IdP Ressource

Okta Authentifier les utilisateurs AWS Client VPN avecSAML

Microsoft Azure Active Directory (Azure AD) Pour en savoir plus, consultez le tutoriel AzureActive Directory single sign-on (SSO) integrationwith AWS ClientVPN sur le site Web de Microsoft.

Informations sur le fournisseur de services pour la création d'une application

Pour créer une application basée sur SAML à l'aide d'un IdP qui ne figure pas dans le tableau précédent,utilisez les informations suivantes pour configurer les informations du fournisseur de services AWS ClientVPN.

• URL Assertion Consumer Service (ACS) : http://127.0.0.1:35001

12



https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html

http://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/

http://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/

https://docs.microsoft.com/en-gb/azure/active-directory/saas-apps/aws-clientvpn-tutorial



AWS Client VPN Guide de l'administrateurAutorisation

• URI du public ciblé : urn:amazon:webservices:clientvpn

Les attributs suivants sont obligatoires.

Attribut Description

NameID Adresse e-mail de l'utilisateur.

FirstName Le prénom de l'utilisateur.

LastName Le nom de famille de l'utilisateur.

memberOf Le ou les groupes dont fait partie l'utilisateur.

Les attributs sont sensibles à la casse et doivent être configurés exactement comme spécifié.

Prise en charge du portail en libre-service

Si vous activez le portail en libre-service pour votre point de terminaison Client VPN, les utilisateurs seconnectent au portail à l'aide de leurs informations d'identification IdP basées sur SAML.

Si votre IdP prend en charge plusieurs URL Assertion Consumer Service (ACS), ajoutez l'URL ACSsuivante à votre application.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Si votre IdP ne prend pas en charge plusieurs URL ACS, procédez comme suit :

1. Créez une application SAML supplémentaire dans votre IdP et spécifiez l'URL ACS suivante.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

2. Générez et téléchargez un document de métadonnées de fédération.3. Créez un fournisseur d'identité SAML IAM dans le même compte AWS que le point de terminaison Client

VPN. Pour plus d'informations, consultez Création de fournisseurs d'identité SAML IAM dans le Guide del’utilisateur IAM.

Note

Vous créez ce fournisseur d'identité SAML IAM en plus de celui que vous créez pourl'application principale (p. 10).

4. Créez le point de terminaison Client VPN (p. 42) et spécifiez les deux fournisseurs d'identité SAMLIAM que vous avez créés.

AutorisationClient VPN prend en charge deux types d'autorisation : les autorisations de groupes de sécurité et lesautorisations basées sur le réseau (utilisant des règles d’autorisation).

Groupes de sécuritéLorsque vous créez un point de terminaison Client VPN, vous pouvez spécifier les groupes de sécurité d'unVPC spécifique à appliquer au point de terminaison Client VPN. Lorsque vous associez un sous-réseau àun point de terminaison Client VPN, nous appliquons automatiquement le groupe de sécurité par défaut du

13


AWS Client VPN Guide de l'administrateurAutorisation de connexion

VPC. Vous pouvez modifier les groupes de sécurité après avoir créé le point de terminaison Client VPN.Pour plus d'informations, consultez Application d'un groupe de sécurité à un réseau cible (p. 51). Lesgroupes de sécurité sont associés aux interfaces réseau Client VPN.

Vous pouvez autoriser les utilisateurs Client VPN à accéder à vos applications dans un VPC en ajoutantune règle aux groupes de sécurité de votre application pour autoriser le trafic à partir du groupe de sécuritéqui a été appliqué à l'association.

Pour ajouter une règle qui autorise le trafic en provenance du groupe de sécurité du point determinaison Client VPN

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Choisissez le groupe de sécurité associé à votre ressource ou votre application, puis choisissez

Actions, Modifier les règles entrantes.4. Choisissez Add rule.5. Pour Type, sélectionnez Tout le trafic. Vous pouvez également restreindre l'accès à un type spécifique

de trafic, par exemple SSH.

Pour Source, spécifiez l'ID du groupe de sécurité associé au réseau cible (sous-réseau) pour le pointde terminaison Client VPN.

6. Sélectionnez Save rules (Enregistrer les règles).

À l’inverse, vous pouvez restreindre l'accès des utilisateurs Client VPN en ne spécifiant pas le groupede sécurité qui a été appliqué à l'association, ou en supprimant la règle qui fait référence au groupede sécurité du point de terminaison Client VPN. Les règles du groupe de sécurité dont vous avezbesoin peuvent également dépendre du type d'accès VPN que vous souhaitez configurer. Pour plusd'informations, consultez Scénarios et exemples (p. 23).

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC dansle Guide de l’utilisateur Amazon VPC.

Autorisation basée sur le réseauL'autorisation basée sur le réseau est mise en œuvre à l'aide de règles d’autorisation. Pour chaqueréseau dont vous souhaitez activer l'accès, vous devez configurer des règles d’autorisation qui limitentles utilisateurs y ayant accès. Pour un réseau spécifié, vous configurez le groupe Active Directoryou fournisseur d’identité (IdP) basé sur SAML qui est autorisé à accéder. Seuls les utilisateurs quiappartiennent au groupe spécifié peuvent accéder au réseau spécifié. Si vous n'utilisez pas ActiveDirectory ou l’authentification fédérée basée sur SAML, ou si vous souhaitez ouvrir l'accès à tous lesutilisateurs, vous pouvez spécifier une règle qui accorde l'accès à tous les clients. Pour plus d'informations,consultez Règles d'autorisation (p. 52).

Autorisation de connexionVous pouvez configurer un gestionnaire de connexion client pour votre point de terminaison Client VPN.Ce gestionnaire vous permet d'exécuter une logique personnalisée qui autorise une nouvelle connexion,en fonction des attributs de périphérique, d'utilisateur et de connexion. Le gestionnaire de connexion client(Client Connect Handler) s'exécute une fois que le service Client VPN a authentifié le périphérique etl'utilisateur.

Pour configurer un gestionnaire de connexion client pour votre point de terminaison Client VPN, créezune fonction AWS Lambda qui prend les attributs de périphérique, d'utilisateur et de connexion comme

14


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

AWS Client VPN Guide de l'administrateurExigences et considérations

entrées, et renvoie la décision au service Client VPN d'autoriser ou de refuser une nouvelle connexion.Vous spécifiez la fonction Lambda dans votre point de terminaison Client VPN. Lorsque les périphériquesse connectent à votre point de terminaison Client VPN, le service Client VPN appelle la fonction Lambdaen votre nom. Seules les connexions autorisées par la fonction Lambda sont autorisées à se connecter aupoint de terminaison Client VPN.

Note

Actuellement, le seul type de gestionnaire de connexion client pris en charge est une fonctionLambda.

Exigences et considérationsVoici les exigences et considérations relatives au gestionnaire de connexion client :

• Le nom de la fonction Lambda doit commencer par le préfixe AWSClientVPN-.• Les versions des fonctions Lambda ne sont pas prises en charge. Lorsque vous spécifiez la fonction

Lambda dans votre point de terminaison Client VPN, vous devez spécifier un Amazon Resource Name(ARN) non qualifié.

• La fonction Lambda doit se trouver dans la même région AWS et le même compte AWS que le point determinaison Client VPN.

• La fonction Lambda expire après 30 secondes. Cette valeur ne peut pas être modifiée.• La fonction Lambda est appelée de manière synchrone. Elle est appelée après l'authentification du

périphérique et de l'utilisateur, et avant l'évaluation des règles d'autorisation.• Si la fonction Lambda est appelée pour une nouvelle connexion et que le service Client VPN n'obtient

pas de réponse attendue de la fonction, le service Client VPN refuse la demande de connexion. Parexemple, ceci peut se produire si la fonction Lambda est limitée, expire ou rencontre d'autres erreursinattendues, ou si la réponse de la fonction n'est pas dans un format valide.

• Nous vous recommandons de configurer la simultanéité allouée pour la fonction Lambda afin qu'ellepuisse être mise à l'échelle sans fluctuations de latence.

• Si vous mettez à jour votre fonction Lambda, les connexions existantes au point de terminaison ClientVPN ne sont pas affectées. Vous pouvez résilier les connexions existantes, puis demander à vosclients d'établir de nouvelles connexions. Pour plus d'informations, consultez Mettre fin à une connexionclient (p. 58).

• Si les clients utilisent le client fourni par AWS pour se connecter au point de terminaison Client VPN, ilsdoivent utiliser la version 1.2.6 ou ultérieure pour Windows et la version 1.2.4 ou ultérieure pour macOS.Pour plus d'informations, consultez Se connecter à l'aide du client fourni par AWS.

Interface LambdaLa fonction Lambda prend les attributs de périphérique, les attributs utilisateur et les attributs de connexioncomme entrées du service Client VPN. Elle doit ensuite renvoyer une décision au service Client VPN :autoriser ou refuser la connexion.

Schéma de la demande

La fonction Lambda prend un blob JSON contenant les champs suivants en entrée.

{ "connection-id": <connection ID>, "endpoint-id": <client VPN endpoint ID>, "common-name": <cert-common-name>, "username": <user identifier>, "platform": <OS platform>,

15

https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html#versioning-versions-using

https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html#versioning-versions-using

https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html


AWS Client VPN Guide de l'administrateurInterface Lambda

"platform-version": <OS version>, "public-ip": <public IP address>, "client-openvpn-version": <client OpenVPN version>, "schema-version": "v1"}

• connection-id — ID de la connexion client au point de terminaison Client VPN.• endpoint-id — ID du point de terminaison Client VPN.• common-name — Identifiant du périphérique. Dans le certificat client que vous créez pour le

périphérique, le nom commun identifie le périphérique de manière unique.• username — Identifiant de l'utilisateur, le cas échéant. Pour l'authentification Active Directory, il

s'agit du nom d'utilisateur. Pour l'authentification fédérée basée sur SAML, il s’agit de NameID. Pourl'authentification mutuelle, ce champ est vide.

• platform — Plateforme du système d'exploitation client.• platform-version — Version du système d’exploitation. Le service Client VPN fournit une valeur

lorsque la directive --push-peer-info est présente dans la configuration du client OpenVPN, lorsqueles clients se connectent à un point de terminaison Client VPN et lorsque le client exécute la plateformeWindows.

• public-ip — Adresse IP publique du périphérique qui se connecte.• client-openvpn-version — Version OpenVPN utilisée par le client.• schema-version — Version du schéma. La valeur par défaut est v1.

Schéma de la réponse

La fonction Lambda doit renvoyer les champs suivants.

{ "allow": boolean, "error-msg-on-failed-posture-compliance": "", "posture-compliance-statuses": [], "schema-version": "v1"}

• allow — Obligatoire. Booléen (true | false) qui indique s'il faut autoriser ou refuser la nouvelleconnexion.

• error-msg-on-failed-posture-compliance — Obligatoire. Chaîne de 255 caractères maximumqui peut être utilisée pour fournir des étapes et des conseils aux clients si la connexion est refusée par lafonction Lambda. En cas d'échec lors de l'exécution de la fonction Lambda (par exemple, en raison de lalimitation), le message par défaut suivant est renvoyé aux clients.

Error establishing connection. Please contact your administrator.

• posture-compliance-statuses — Obligatoire. Si vous utilisez la fonction Lambda pour évaluer laposture (p. 17), ceci est une liste des états pour le périphérique qui se connecte. Vous définissez lesnoms d'états en fonction de vos catégories d'évaluation de posture pour les périphériques, par exemplecompliant, quarantined, unknown, etc. Chaque nom peut contenir jusqu'à 255 caractères. Vouspouvez spécifier jusqu'à 10 statuts.

• schema-version — Obligatoire. Version du schéma. La valeur par défaut est v1.

Vous pouvez utiliser la même fonction Lambda pour plusieurs points de terminaison Client VPN dans lamême région.

Pour plus d'informations sur la création d'une fonction Lambda, consultez Mise en rouge avec AWSLambda dans le Guide du développeur AWS Lambda.

16

https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html

https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html

AWS Client VPN Guide de l'administrateurUtilisation du gestionnaire de connexion

client pour l'évaluation de la posture

Utilisation du gestionnaire de connexion client pourl'évaluation de la postureVous pouvez utiliser le gestionnaire de connexion client pour intégrer votre point de terminaison ClientVPN à votre solution existante de gestion de périphériques afin d'évaluer la conformité de posturedes périphériques qui se connectent. Pour que la fonction Lambda fonctionne comme gestionnaired'autorisation de périphérique, utilisez l'authentification mutuelle (p. 7) pour votre point de terminaisonClient VPN. Créez un certificat client unique et une clé pour chaque client (périphérique) qui se connecteraau point de terminaison Client VPN. La fonction Lambda peut utiliser le nom commun unique du certificatclient (transmis par le service Client VPN) pour identifier le périphérique et récupérer son état de conformitéde posture à partir de votre solution de gestion des périphériques. Vous pouvez utiliser l'authentificationmutuelle combinée à l'authentification basée sur l'utilisateur.

Vous pouvez également effectuer une évaluation de la posture de base dans la fonction Lambda elle-même. Par exemple, vous pouvez évaluer les champs platform et platform-version qui sonttransmis à la fonction Lambda par le service Client VPN.

Activation du gestionnaire de connexion clientPour activer le gestionnaire de connexion client, créez ou modifiez un point de terminaison ClientVPN et spécifiez l’ARN (Amazon Resource Name) de la fonction Lambda. Pour plus d'informations,consultez Créer un point de terminaison Client VPN (p. 42) et Modifier un point de terminaison ClientVPN (p. 44).

Rôle lié à un serviceAWS Client VPN crée automatiquement un rôle lié à un service dans votre compte appeléAWSServiceRoleForClientVPNConnections. Le rôle dispose des autorisations pour appeler la fonctionLambda lorsqu'une connexion est établie au point de terminaison Client VPN. Pour plus d’informations,consultez Utilisation de rôles liés à un service pour Client VPN (p. 65).

Surveillance des échecs d'autorisation de connexionVous pouvez afficher l'état d'autorisation de connexion des connexions au point de terminaison Client VPN.Pour plus d'informations, consultez Afficher les connexions client (p. 58).

Lorsque le gestionnaire de connexion client est utilisé pour évaluer la posture, vous pouvez égalementafficher les états de conformité de posture des périphériques qui se connectent à votre point de terminaisonClient VPN dans les journaux de connexion. Pour plus d'informations, consultez Journalisation desconnexions (p. 20).

Si un périphérique échoue l'autorisation de connexion, le champ connection-attempt-failure-reason dans les journaux de connexion renvoie l'une des raisons d'échec suivantes :

• client-connect-failed — La fonction Lambda a empêché l'établissement de la connexion.• client-connect-handler-timed-out — La fonction Lambda a expiré.• client-connect-handler-other-execution-error — La fonction Lambda a rencontré une

erreur inattendue.• client-connect-handler-throttled — La fonction Lambda a été limitée.• client-connect-handler-invalid-response — La fonction Lambda a renvoyé une réponse non

valide.• client-connect-handler-service-error — Une erreur côté service s'est produite lors de la

tentative de connexion.

17

AWS Client VPN Guide de l'administrateurClient VPN avec tunnel partagé

Tunnel partagé sur les points de terminaison AWSClient VPN

Par défaut, lorsque vous disposez d'un point de terminaison Client VPN, tout le trafic provenant desclients est acheminé via le tunnel Client VPN. Lorsque vous activez le tunnel partagé sur le point determinaison Client VPN, nous poussons les routes sur la table de routage des points de terminaison ClientVPN (p. 54) vers le périphérique connecté au point de terminaison Client VPN. Cela garantit que seul letrafic avec une destination vers le réseau correspondant à une route à partir de la table de routage du pointde terminaison Client VPN est acheminé via le tunnel Client VPN.

Vous pouvez utiliser un point de terminaison Client VPN à tunnel partagé lorsque vous ne souhaitez pasque tout le trafic utilisateur soit acheminé via le point de terminaison Client VPN.

Dans l'exemple suivant, le tunnel partagé est activé sur le point de terminaison Client VPN. Seul le traficdestiné au VPC (172.31.0.0/16) est acheminé via le tunnel Client VPN. Le trafic destiné aux ressourcessur site n'est pas acheminé via le tunnel Client VPN.

18

AWS Client VPN Guide de l'administrateurAvantages du tunnel partagé

Avantages du tunnel partagéLes points de terminaison Client VPN à tunnel partagé offrent les avantages suivants :

• Vous pouvez optimiser le routage du trafic à partir des clients en faisant en sorte que seul le trafic destinéà AWS traverse le tunnel VPN.

• Vous pouvez réduire le volume du trafic sortant d'AWS et ainsi, réduire le coût du transfert des données.

19

AWS Client VPN Guide de l'administrateurConsidérations relatives au routage

Considérations relatives au routageLorsque vous activez le tunnel partagé sur un point de terminaison Client VPN, toutes les routes qui setrouvent dans les tables de routage Client VPN sont ajoutées à la table de routage client lorsque le VPNest établi. Cette opération est différente de l'opération de point de terminaison Client VPN par défaut, quiremplace la table de routage client par l'entrée 0.0.0.0/0 pour acheminer tout le trafic via le VPN.

Activation du tunnel partagéVous pouvez activer le tunnel partagé sur un point de terminaison Client VPN nouveau ou existant. Pour deplus amples informations, consultez les rubriques suivantes :

• Créer un point de terminaison Client VPN (p. 42)• Modifier un point de terminaison Client VPN (p. 44)

Journalisation des connexionsLa journalisation des connexions est une fonctionnalité d'AWS Client VPN qui vous permet de capturer lesjournaux de connexion pour votre point de terminaison Client VPN.

Un journal de connexion contient des entrées de journal de connexion. Chaque entrée de journal deconnexion contient des informations sur un événement de connexion, c'est-à-dire lorsqu'un client(utilisateur final) se connecte, tente de se connecter ou se déconnecte de votre point de terminaison ClientVPN. Vous pouvez utiliser ces informations pour exécuter des analyses judiciaires, analyser l'utilisation devotre point de terminaison Client VPN ou déboguer des problèmes de connexion.

La journalisation des connexions est disponible dans toutes les régions où AWS Client VPN est disponible.Les journaux de connexion sont publiés dans un groupe de journaux CloudWatch Logs de votre compte.

Entrées du journal de connexionUne entrée de journal de connexion est un blob au format JSON de paires clé-valeur. Voici un exempled'entrée de journal de connexion.

{ "connection-log-type": "connection-attempt", "connection-attempt-status": "successful", "connection-reset-status": "NA", "connection-attempt-failure-reason": "NA", "connection-id": "cvpn-connection-abc123abc123abc12", "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33", "transport-protocol": "udp", "connection-start-time": "2020-03-26 20:37:15", "connection-last-update-time": "2020-03-26 20:37:15", "client-ip": "10.0.1.2", "common-name": "client1", "device-type": "mac", "device-ip": "98.247.202.82", "port": "50096", "ingress-bytes": "0", "egress-bytes": "0", "ingress-packets": "0", "egress-packets": "0", "connection-end-time": "NA"}

20

AWS Client VPN Guide de l'administrateurConsidérations relatives à la mise à l'échelle

Une entrée de journal de connexion contient les clés suivantes :

• connection-log-type - Type d'entrée du journal de connexion (connection-attempt ouconnection-reset).

• connection-attempt-status - Statut de la demande de connexion (successful, failed,waiting-for-assertion ou NA).

• connection-reset-status - État d'un événement de réinitialisation de connexion (NA ouassertion-received).

• connection-attempt-failure-reason - Motif de l'échec de la connexion, le cas échéant.• connection-id - ID de la connexion.• client-vpn-endpoint-id - ID du point de terminaison Client VPN auquel la connexion a été établie.• transport-protocol - Protocole de transport utilisé pour la connexion.• connection-start-time - Heure de début de la connexion.• connection-last-update-time - Heure de la dernière mise à jour de la connexion. Cette valeur est

périodiquement mise à jour dans les journaux.• client-ip - Adresse IP du client, qui est allouée à partir de la plage CIDR IPv4 du client pour le point

de terminaison Client VPN.• common-name - Nom commun du certificat utilisé pour l'authentification basée sur un certificat.• device-type - Type de périphérique utilisé pour la connexion par l'utilisateur final.• device-ip - Adresse IP publique du périphérique.• port - Numéro de port de la connexion.• ingress-bytes - Nombre d'octets entrants pour la connexion. Cette valeur est périodiquement mise à

jour dans les journaux.• egress-bytes - Nombre d'octets sortants pour la connexion. Cette valeur est périodiquement mise à

jour dans les journaux.• ingress-packets - Nombre de paquets entrants pour la connexion. Cette valeur est périodiquement

mise à jour dans les journaux.• egress-packets - Nombre de paquets sortants pour la connexion. Cette valeur est périodiquement

mise à jour dans les journaux.• connection-end-time - Heure de fin de la connexion. La valeur est NA si la connexion est toujours en

cours ou si la tentative de connexion a échoué.• posture-compliance-statuses - Les statuts de conformité de posture renvoyés par le gestionnaire

de connexion client (p. 14), le cas échéant.

Pour plus d’informations sur l'activation de la journalisation des connexions, consultez Utilisation desjournaux de connexion (p. 59).

Considérations relatives à la mise à l'échelle ClientVPN

Lorsque vous créez un point de terminaison Client VPN, tenez compte du nombre maximal de connexionsVPN simultanées que vous envisagez de prendre en charge. Vous devez prendre en compte le nombre declients que vous prenez actuellement en charge et si votre point de terminaison Client VPN peut répondre àune demande supplémentaire si nécessaire.

Les facteurs suivants affectent le nombre maximal de connexions VPN simultanées pouvant être prises encharge sur un point de terminaison Client VPN.

21

AWS Client VPN Guide de l'administrateurConsidérations relatives à la mise à l'échelle

Taille de la plage CIDR client

Lorsque vous créez un point de terminaison Client VPN (p. 42), vous devez spécifier une plageCIDR client, qui est un bloc CIDR IPv4 entre un masque réseau en /12 et en /22. Chaque connexionVPN au point de terminaison Client VPN se voit attribuer une adresse IP unique à partir de la plageCIDR client. Un certain nombre d'adresses de la plage CIDR client sont également utilisées pourprendre en charge le modèle de disponibilité du point de terminaison Client VPN et ne peuvent pasêtre affectées aux clients. Vous ne pouvez pas modifier la plage CIDR client après avoir créé le pointde terminaison Client VPN.

En général, nous vous recommandons de spécifier une plage CIDR client contenant deux fois lenombre d'adresses IP (par conséquent, de connexions simultanées) que vous prévoyez de prendre encharge sur le point de terminaison Client VPN.

Nombre de sous-réseaux associés

Lorsque vous associez un sous-réseau (p. 49) à un point de terminaison Client VPN, vous autorisezles utilisateurs à établir des séances VPN sur le point de terminaison Client VPN. Vous pouvezassocier plusieurs sous-réseaux à un point de terminaison Client VPN pour une haute disponibilité etpour activer une capacité de connexion supplémentaire.

Voici le nombre de connexions VPN simultanées prises en charge en fonction du nombred'associations de sous-réseaux pour le point de terminaison Client VPN.

Associations de sous-réseaux Nombre de connexions prises en charge

1 7 000

2 36 500

3 66 500

4 96 500

5 126 000

Vous ne pouvez pas associer plusieurs sous-réseaux de la même zone de disponibilité à un point determinaison Client VPN. Par conséquent, le nombre d'associations de sous-réseaux dépend égalementdu nombre de zones de disponibilité disponibles dans une région AWS.

Par exemple, si vous prévoyez de prendre en charge 8 000 connexions VPN à votre point de terminaisonClient VPN, spécifiez une taille minimale de plage CIDR client de /18 (16 384 adresses IP) et associez aumoins 2 sous-réseaux au point de terminaison Client VPN.

Si vous ne savez pas quel est le nombre de connexions VPN attendues pour votre point de terminaisonClient VPN, nous vous recommandons de spécifier un bloc CIDR de taille /16 ou plus élevée.

Pour en savoir plus sur les règles et limitations relatives à l'utilisation des plages CIDR clients et desréseaux cibles, consultez Limitations et règles de Client VPN (p. 3).

Pour en savoir sur les quotas de votre point de terminaison Client VPN, consultez Quotas AWS ClientVPN (p. 73).

22

AWS Client VPN Guide de l'administrateurAccès à un VPC

Scénarios et exemplesCette section fournit des exemples de création et de configuration d'accès Client VPN pour vos clients.

Sommaire• Accès à un VPC (p. 23)• Accès à un VPC appairé (p. 25)• Accès à un réseau sur site (p. 27)• Un accès à Internet (p. 29)• Accès client à client (p. 31)• Restreindre l'accès à votre réseau (p. 33)

Accès à un VPCLa configuration de ce scénario comprend un VPC cible unique. Nous vous recommandons cetteconfiguration si vous avez besoin de donner accès aux ressources d’un VPC unique à des clients.

23

AWS Client VPN Guide de l'administrateurAccès à un VPC

Avant de commencer, vous devez exécuter les actions suivantes :

• Créez ou identifiez un VPC avec au moins un sous-réseau. Identifiez le sous-réseau du VPC que voussouhaitez associer au point de terminaison Client VPN et notez ses plages CIDR d’adresses IPv4. Pourplus d’informations, consultezVPC et sous-réseaux dans le Guide de l'utilisateur Amazon VPC.

• Identifiez une plage CIDR appropriée pour les adresses IP du client qui ne chevauche pas le CIDR duVPC.

• Examinez les règles et limitations pour les points de terminaison Client VPN dans Limitations et règles deClient VPN (p. 3).

Pour implémenter cette configuration

1. Créez un point de terminaison Client VPN dans la même région que le VPC. Pour ce faire, effectuezles étapes décrites dans Créer un point de terminaison Client VPN (p. 42).

24

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html

AWS Client VPN Guide de l'administrateurAccès à un VPC appairé

2. Associez le sous-réseau au point de terminaison Client VPN. Pour ce faire, effectuez les étapesdécrites dans Associer un réseau cible à un point de terminaison Client VPN. (p. 50), puissélectionnez le sous-réseau et le VPC que vous avez identifiés précédemment.

3. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour ce faire,exécutez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Destination network (Réseau de destination), entrez la plage d'adresse CIDRIPv4 du VPC.

4. Ajoutez une règle aux groupes de sécurité de vos ressources pour autoriser le trafic en provenancedu groupe de sécurité qui a été appliqué à l'association de sous-réseau lors de l'étape 2. Pour plusd'informations, consultez Groupes de sécurité (p. 13).

Accès à un VPC appairéLa configuration de ce scénario inclut un VPC cible (VPC A) qui est appairé avec un VPC supplémentaire(VPC B). Nous vous recommandons cette configuration si vous avez besoin de donner aux clients l’accèsaux ressources d’un VPC cible et d'autres VPC appairés à celui-ci (par ex. le VPC B).

25

AWS Client VPN Guide de l'administrateurAccès à un VPC appairé






1. Établissez la connexion d'appairage de VPC entre les VPC. Suivez les étapes de la page Création etacceptation d'une connexion d'appairage de VPC dans le Guide d'appairage Amazon VPC.

26


https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html

https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html

AWS Client VPN Guide de l'administrateurAccès à un réseau sur site

2. Testez la connexion d'appairage de VPC. Confirmez que les instances des VPC peuvent communiquerentre elles comme si elles se trouvaient dans le même réseau. Si la connexion d'appairage fonctionnecomme prévu, passez à l'étape suivante.

3. Créez un point de terminaison Client VPN dans la même région que le VPC cible. Dans l'exempleprécédent, il s'agit du VPC A. Effectuez les étapes décrites dans Créer un point de terminaison ClientVPN (p. 42).

4. Associez le sous-réseau que vous avez identifié précédemment avec le point de terminaison ClientVPN que vous avez créé. Pour ce faire, effectuez les étapes décrites dans Associer un réseau cible àun point de terminaison Client VPN. (p. 50), puis sélectionnez le sous-réseau et le VPC.

5. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC cible. Pour ce faire,effectuez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Destination network to enable (Réseau de destination à activer), entrez la plageCIDR d’adresses IPv4 du VPC.

6. Ajoutez une route pour diriger le trafic vers le VPC appairé. Dans l’exemple ci-dessus, il s’agitdu VPC B. Pour ce faire, effectuez les étapes décrites dans Création d'une route de point determinaison (p. 54). Pour Destination de route, saisissez la plage CIDR d'adresses IPv4 du VPCappairé, et pourID de sous-réseau du VPC cible, sélectionnez le sous-réseau que vous avez associéau point de terminaison Client VPN.

7. Ajoutez une règle d'autorisation pour donner aux clients l'accès au VPC appairé. Pour ce faire,exécutez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Destination network (Réseau de destination), entrez la plage d'adresse CIDRIPv4 du VPC appairé.

8. Ajoutez une règle aux groupes de sécurité de vos ressources dans le VPC A et le VPC B pourautoriser le trafic en provenance du groupe de sécurité qui a été appliqué à l'association de sous-réseau lors de l'étape 2. Pour plus d'informations, consultez Groupes de sécurité (p. 13).

Accès à un réseau sur siteLa configuration de ce scénario comprend un accès à un réseau sur site uniquement. Nous vousrecommandons cette configuration si vous avez besoin pour donner aux clients l'accès aux ressources d’unréseau sur site uniquement.

27

AWS Client VPN Guide de l'administrateurAccès à un réseau sur site






1. Activez la communication entre le VPC et votre propre réseau sur site via une connexion AWS Site-to-Site VPN. Pour ce faire, effectuez les étapes décrites dans Mise en route du Guide de l'utilisateur AWSSite-to-Site VPN.

28


https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html

AWS Client VPN Guide de l'administrateurUn accès à Internet

Note

Vous pouvez également implémenter ce scénario en utilisant une connexion AWS DirectConnect entre votre VPC et votre réseau sur site. Pour plus d’informations, consultez le Guidede l’utilisateur AWS Direct Connect.

2. Testez la connexion AWS Site-to-Site VPN que vous avez créée à l'étape précédente. Pour ce faire,effectuez les étapes décrites dans Test de la connexion Site-to-Site VPN dans le Guide de l'utilisateurAWS Site-to-Site VPN. Si la connexion VPN fonctionne comme prévu, passez à l'étape suivante.


4. Associez le sous-réseau que vous avez identifié précédemment au point de terminaison Client VPN.Pour ce faire, effectuez les étapes décrites dans Associer un réseau cible à un point de terminaisonClient VPN. (p. 50), puis sélectionnez le VPC et le sous-réseau.

5. Ajoutez une route qui permet d'accéder à la connexion AWS Site-to-Site VPN. Pour ce faire, exécutezles étapes décrites dans Création d'une route de point de terminaison (p. 54). Pour Routedestination (Destination de route), saisissez la plage d'adresses CIDR IPv4 de la connexion AWS Site-to-Site VPN, et pour Target VPC Subnet ID (ID de sous-réseau de VPC cible), sélectionnez le sous-réseau que vous avez associé au point de terminaison Client VPN.

6. Ajoutez une règle d'autorisation pour donner aux clients l'accès à la connexion AWS Site-to-SiteVPN. Pour ce faire, exécutez les étapes décrites dans Ajouter une règle d'autorisation à un point determinaison Client VPN (p. 52). Pour Destination network (Réseau de destination), entrez la plaged'adresses CIDR IPv4 de la connexion AWS Site-to-Site VPN.

Un accès à InternetLa configuration de ce scénario comprend un VPC cible unique et l'accès à Internet. Nous vousrecommandons cette configuration si vous avez besoin de donner aux clients l'accès aux ressources d'unVPC cible unique et d’autoriser l'accès à Internet.

Si vous avez effectué le didacticiel Mise en route avec Client VPN (p. 36), vous avez déjà implémentéce scénario.

29

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

https://docs.aws.amazon.com/vpn/latest/s2svpn/HowToTestEndToEnd_Linux.html

AWS Client VPN Guide de l'administrateurUn accès à Internet






1. Assurez-vous que le groupe de sécurité que vous allez utiliser pour le point de terminaison Client VPNautorise le trafic entrant et sortant vers et depuis Internet. Pour ce faire, ajoutez des règles entrantes etsortantes qui autorisent le trafic vers et à partir de 0.0.0.0/0 pour le trafic HTTP et HTTPS.

30


AWS Client VPN Guide de l'administrateurAccès client à client

2. Créez une passerelle Internet et attachez-la à votre VPC. Pour plus d'informations, consultez Créationet attachement d’une passerelle Internet dans le Guide de l’utilisateur Amazon VPC.

3. Rendez public votre sous-réseau en ajoutant une route vers la passerelle Internet à sa table deroutage. Dans la console VPC, choisissez Subnets (Sous-réseaux), sélectionnez le sous-réseauque vous souhaitez associer au point de terminaison Client VPN, choisissez Route Table (Table deroutage), puis sélectionnez l’ID de la table de routage. Choisissez Actions, Edit routes (Modifier lesroutes), puis Add route (Ajouter une route). Pour Destination, entrez 0.0.0.0/0, et pour Target(Cible), choisissez la passerelle Internet de l'étape précédente.



6. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour ce faire,effectuez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Destination network to enable (Réseau de destination à activer), entrez la plageCIDR d’adresses IPv4 du VPC.

7. Ajoutez une route qui autorise le trafic vers Internet. Pour ce faire, effectuez les étapes décrites dansCréation d'une route de point de terminaison (p. 54). Pour Route destination (Destination de route),entrez 0.0.0.0/0, et pour Target VPC Subnet ID (ID de sous-réseau de VPC cible), sélectionnez lesous-réseau que vous avez associé au point de terminaison Client VPN.

8. Ajoutez une règle d'autorisation pour permettre aux clients d'accéder à Internet. Pour ce faire,exécutez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Destination network (Réseau de destination), entrez 0.0.0.0/0.

9. Assurez-vous que le groupe de sécurité pour l'association de sous-réseau de l'étape 5 dispose d'unerègle sortante qui autorise l'accès Internet (la destination est 0.0.0.0/0).

Accès client à clientLa configuration de ce scénario permet aux clients d'accéder à un seul VPC et d'acheminer le trafic entreeux. Nous recommandons cette configuration si les clients qui se connectent au même point de terminaisonClient VPN doivent également communiquer entre eux. Les clients peuvent communiquer entre eux àl'aide de l'adresse IP unique qui leur est attribuée à partir de la plage d’adresses CIDR client lorsqu'ils seconnectent au point de terminaison Client VPN.

31

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway

AWS Client VPN Guide de l'administrateurAccès client à client







32


AWS Client VPN Guide de l'administrateurRestreindre l'accès à votre réseau


3. Ajoutez une route au réseau local dans la table de routage. Pour ce faire, effectuez les étapes décritesdans Création d'une route de point de terminaison (p. 54). Pour la Destination du routage, saisissezla plage d’adresse CIDR client et, pour l’ID de sous-réseau VPC cible, spécifiez local.

4. Ajouter une règle d'autorisation pour permettre aux clients d'accéder au VPC. Pour ce faire,effectuez les étapes décrites dans Ajouter une règle d'autorisation à un point de terminaison ClientVPN (p. 52). Pour Activer le réseau de destination, saisissez la plage d’adresse CIDR IPv4 du VPC.

5. Ajoutez une règle d'autorisation pour permettre aux clients d'accéder à la plage d’adresse CIDRclient. Pour ce faire, effectuez les étapes décrites dans Ajouter une règle d'autorisation à un point determinaison Client VPN (p. 52). Pour Activer le réseau de destination, saisissez la plage d’adresseCIDR client.

Restreindre l'accès à votre réseauVous pouvez configurer votre point de terminaison Client VPN pour restreindre l'accès à certainesressources spécifiques de votre VPC. Pour l'authentification basée sur l'utilisateur, vous pouvez égalementrestreindre l'accès à des parties de votre réseau, en fonction du groupe d'utilisateurs qui accède au pointde terminaison Client VPN.

Restreindre l'accès à l'aide des groupes de sécuritéVous pouvez accorder ou refuser l'accès à certaines ressources spécifiques dans votre VPC en ajoutantou en supprimant des règles de groupe de sécurité qui font référence au groupe de sécurité qui a étéappliqué à l'association de réseau cible (le groupe de sécurité Client VPN). Cette configuration s'appuiesur le scénario décrit dans Accès à un VPC (p. 23). Cette configuration s’applique en complément de larègle d'autorisation configurée dans ce scénario.

Pour accorder l'accès à une ressource spécifique, identifiez le groupe de sécurité associé à l'instance surlaquelle votre ressource s'exécute. Ensuite, créez une règle qui autorise le trafic à partir du groupe desécurité Client VPN.

Dans l'exemple suivant, sg-xyz est le groupe de sécurité Client VPN, le groupe de sécurité sg-aaaest associé à l'instance A et le groupe de sécurité sg-bbb est associé à l'instance B. Vous ajoutez unerègle à sg-aaa qui autorise l'accès depuis sg-xyz. Les clients peuvent donc accéder à vos ressourcesdans l'instance A. Le groupe de sécurité sg-bbb n'a pas de règle qui autorise l'accès depuis sg-xyz oul'interface réseau Client VPN. Les clients ne peuvent pas accéder aux ressources de l'instance B.

33

AWS Client VPN Guide de l'administrateurRestreindre l'accès à l'aide des groupes de sécurité

Avant de commencer, vérifiez si le groupe de sécurité Client VPN est associé à d'autres ressources devotre VPC. Si vous ajoutez ou supprimez des règles qui font référence au groupe de sécurité Client VPN,vous pouvez également accorder ou refuser l'accès aux autres ressources associées. Pour éviter cela,utilisez un groupe de sécurité spécialement créé pour une utilisation avec votre point de terminaison ClientVPN.

Pour créer un groupe de sécurité

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Choisissez le groupe de sécurité associé à l'instance sur laquelle votre ressource s'exécute.4. Choisissez Actions, Modifier les règles entrantes.5. Choisissez Ajouter une règle et procédez comme suit :

• Dans Type, choisissez Tout le trafic ou choisissez un type de trafic spécifique que vous souhaitezautoriser.

34


AWS Client VPN Guide de l'administrateurRestreindre l'accès en fonction des groupes d'utilisateurs

• Pour Source, choisissez Personnalisé, puis entrez ou choisissez l'ID du groupe de sécurité ClientVPN.

6. Choisissez Save rules (Enregistrer les règles).

Pour supprimer l'accès à une ressource spécifique, vérifiez le groupe de sécurité associé à l'instance surlaquelle votre ressource s'exécute. S'il existe une règle qui autorise le trafic à partir du groupe de sécuritéClient VPN, supprimez-la.

Pour vérifier les règles de votre groupe de sécurité

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Choisissez Règles entrantes.4. Passez en revue la liste des règles. S'il existe une règle dans laquelle Source est le groupe de sécurité

Client VPN, choisissez Modifier les règles et choisissez Supprimer (icône x) pour la règle. SélectionnezSave rules (Enregistrer les règles).

Restreindre l'accès en fonction des groupesd'utilisateursSi votre point de terminaison Client VPN est configuré pour l'authentification basée sur l'utilisateur, vouspouvez accorder à des groupes spécifiques d'utilisateurs l'accès à des parties spécifiques de votre réseau.Pour ce faire, exécutez les étapes suivantes.

1. Configurez des utilisateurs et des groupes dans AWS Directory Service ou votre IdP. Pour de plusamples informations, consultez les rubriques suivantes :• Authentification Active Directory (p. 6)• Exigences et observations relatives à l'authentification fédérée basée sur SAML (p. 12)

2. Créez une règle d'autorisation pour votre point de terminaison Client VPN qui permet à un groupespécifié d'accéder à tout ou partie de votre réseau. Pour plus d'informations, consultez Règlesd'autorisation (p. 52).

Si votre point de terminaison Client VPN est configuré pour l'authentification mutuelle, vous ne pouvez pasconfigurer de groupes d'utilisateurs. Lorsque vous créez une règle d'autorisation, vous devez accorderl'accès à tous les utilisateurs. Pour permettre à des groupes d'utilisateurs spécifiques d'accéder à certainesparties spécifiques de votre réseau, vous pouvez créer plusieurs points de terminaison Client VPN. Parexemple, pour chaque groupe d'utilisateurs qui accède à votre réseau, procédez comme suit :

1. Créez un ensemble de certificats et de clés serveur et client pour ce groupe d'utilisateurs. Pour plusd'informations, consultez Authentification mutuelle (p. 7).

2. Créez un point de terminaison Client VPN. Pour plus d'informations, consultez Créer un point determinaison Client VPN (p. 42).

3. Créez une règle d'autorisation qui accorde l'accès à tout ou partie de votre réseau. Par exemple,pour un point de terminaison Client VPN utilisé par les administrateurs, vous pouvez créer une règled'autorisation qui accorde l'accès à l'ensemble du réseau. Pour plus d'informations, consultez Ajouterune règle d'autorisation à un point de terminaison Client VPN (p. 52).

35



Mise en route avec Client VPNLes tâches suivantes vous aideront à vous familiariser avec Client VPN. Dans ce didacticiel, vous allezcréer un point de terminaison Client VPN qui :

• Fournit à tous les clients l'accès à un VPC unique.• Fournit à tous les clients l'accès à Internet.• Utilise l'authentification mutuelle (p. 7).

Le diagramme suivant représente la configuration de votre VPC et de votre point de terminaison Client VPNà la fin de ce didacticiel.

36

AWS Client VPN Guide de l'administrateurPrérequis

Étapes• Prérequis (p. 37)• Étape 1 : Générer des certificats et des clés de serveur et client (p. 37)• Étape 2 : Créer un point de terminaison Client VPN (p. 37)• Étape 3 : Activer la connectivité VPN pour les clients (p. 38)• Étape 4 : Autoriser les clients à accéder au réseau (p. 39)• Étape 5 : (Facultatif) Activer l'accès à des réseaux supplémentaires (p. 39)• Étape 6 : Télécharger le fichier de configuration du point de terminaison Client VPN (p. 40)• Étape 7 : Se connecter au point de terminaison Client VPN (p. 41)

PrérequisPour suivre ce didacticiel de démarrage, vous avez besoin des éléments suivants :

• Les autorisations requises pour travailler avec les points de terminaison Client VPN.• VPC avec au moins un sous-réseau et une passerelle Internet. La table de routage associée à votre

sous-réseau doit avoir une route vers la passerelle Internet.

Étape 1 : Générer des certificats et des clés deserveur et client

Ce didacticiel utilise l'authentification mutuelle. Avec l'authentification mutuelle, Client VPN utilise descertificats pour procéder à l'authentification entre le client et le serveur.

Pour obtenir une présentation détaillée des étapes requises pour générer les certificats et les clés deserveur et client, consultez Authentification mutuelle (p. 7).

Étape 2 : Créer un point de terminaison Client VPNLorsque vous créez un point de terminaison Client VPN, vous créez la structure VPN à laquelle les clientspeuvent se connecter pour établir une connexion VPN.

Pour créer un point de terminaison Client VPN

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN), puis

choisissez Create Client VPN Endpoint (Créer un point de terminaison Client VPN).3. (Facultatif) Fournissez un nom et une description pour le point de terminaison Client VPN.4. Pour Client IPv4 CIDR (CIDR IPv4 client), spécifiez une plage d'adresses IP, en notation CIDR, à partir

de laquelle attribuer des adresses IP client. Par exemple, 10.0.0.0/22.

Note

La plage d'adresses IP ne peut pas chevaucher le réseau cible ou les routes qui serontassociées au point de terminaison Client VPN. La plage d'adresse CIDR du client doit avoirune taille de bloc comprise entre /12 et /22, et ne doit pas chevaucher le CIDR du VPC ou

37


AWS Client VPN Guide de l'administrateurÉtape 3 : Activer la connectivité VPN pour les clients

toute autre route dans la table de routage. Vous ne pouvez pas modifier le CIDR client aprèsavoir créé le point de terminaison Client VPN.

5. Pour Server certificate ARN (ARN de certificat de serveur), spécifiez l’ARN du certificat TLS quele serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point determinaison Client VPN auquel ils se connectent.

Note

Le certificat de serveur doit être alloué dans AWS Certificate Manager (ACM).6. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une

connexion VPN. Pour ce didacticiel, choisissez Utiliser l'authentification mutuelle, puis pour ARN ducertificat client, spécifiez l'ARN du certificat client que vous avez généré à l'étape 1 (p. 37).

7. Pour Souhaitez-vous enregistrer les détails sur les connexions client ?, choisissez Oui.8. Vous pouvez conserver le reste des paramètres par défaut, puis sélectionner Créer un point de

terminaison Client VPN.

Pour plus d'informations sur les autres options que vous pouvez spécifier lors de la création d'un point determinaison Client VPN, consultez Créer un point de terminaison Client VPN (p. 42).

Après avoir créé le point de terminaison Client VPN, son état est pending-associate. Les clientspeuvent établir une connexion VPN seulement après que vous avez associé au moins un réseau cible.

Étape 3 : Activer la connectivité VPN pour lesclients

Pour permettre aux clients d’établir une session VPN, vous devez associer un réseau cible au point determinaison Client VPN. Un réseau cible est un sous-réseau dans un VPC.

Pour associer un sous-réseau au point de terminaison Client VPN

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel associer le sous-réseau et choisissez

Associations, Associate (Associer).4. Pour VPC, choisissez le VPC dans lequel le sous-réseau est situé. Si vous avez spécifié un VPC

lorsque vous avez créé le point de terminaison Client VPN, il doit s'agir du même VPC.5. Pour Subnet to associate (Sous-réseau à associer), choisissez le sous-réseau à associer au point de

terminaison Client VPN.6. Choisissez Associate (Associer).

Note

Si les règles d'autorisation le permettent, une association de sous-réseau suffit pour que lesclients puissent accéder à l'ensemble du réseau d'un VPC. Vous pouvez associer des sous-réseaux supplémentaires pour fournir une haute disponibilité au cas où l'une des zones dedisponibilité tombe en panne.

Lorsque vous associez le premier sous-réseau au point de terminaison Client VPN, ce qui suit se produit :

• L'état du point de terminaison Client VPN devient available. Les clients peuvent désormais établirune connexion VPN, mais ils ne peuvent pas accéder aux ressources du VPC tant que vous n'avez pasajouté les règles d’autorisation.

38


AWS Client VPN Guide de l'administrateurÉtape 4 : Autoriser les clients à accéder au réseau

• La route locale du VPC est automatiquement ajoutée à la table de routage du point de terminaison ClientVPN.

• Le groupe de sécurité par défaut du VPC est automatiquement appliqué à l’association de sous-réseau.

Étape 4 : Autoriser les clients à accéder au réseauPour autoriser des clients à accéder au VPC dans lequel le sous-réseau associé est situé, vous devezcréer une règle d’autorisation. La règle d’autorisation spécifie les clients qui ont accès au VPC. Dans cedidacticiel, vous accordez l'accès à tous les utilisateurs.

Pour ajouter une règle d'autorisation au réseau cible

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel ajouter la règle d'autorisation, choisissez

Authorization (Autorisation), puis Authorize ingress (Autoriser l'entrée).4. Pour Réseau de destination pour autoriser l'accès, entrez le CIDR du réseau pour lequel vous

souhaitez autoriser l'accès. Par exemple, pour autoriser l'accès à l'ensemble du VPC, spécifiez le blocCIDR IPv4 du VPC.

5. Pour Accorder l'accès à, choisissez Autoriser l'accès à tous les utilisateurs.6. Pour Description, saisissez une brève description de la règle d'autorisation.7. Choisissez Add authorization rule (Ajouter une règle d’autorisation).8. Assurez-vous que les groupes de sécurité pour les ressources de votre VPC disposent d'une règle

qui autorise l'accès à partir du groupe de sécurité pour l'association de sous-réseau (p. 38). Celapermet à vos clients d'accéder aux ressources de votre VPC. Pour plus d'informations, consultezGroupes de sécurité (p. 13).

Étape 5 : (Facultatif) Activer l'accès à des réseauxsupplémentaires

Vous pouvez activer l'accès à des réseaux supplémentaires connectés au VPC, comme des services AWS,des VPC appairés et des réseaux sur site. Pour chaque réseau supplémentaire, vous devez ajouter uneroute vers le réseau et configurer une règle d’autorisation pour accorder l’accès aux clients.

Dans ce didacticiel, ajoutez une route vers Internet (0.0.0.0/0) et une règle d'autorisation qui accordel'accès à tous les utilisateurs.

Pour activer l'accès à Internet

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel vous souhaitez ajouter la route, choisissez

Route Table (Table de routage), puis Create Route (Créer la route).4. Pour Route destination (Destination de route), saisissez 0.0.0.0/0. Pour ID de sous-réseau de VPC

cible, spécifiez l'ID du sous-réseau par lequel le trafic sera acheminé.5. Choisissez Create Route (Créer une route).6. Choisissez Autorisation, puis Autoriser l'entrée.

39



AWS Client VPN Guide de l'administrateurÉtape 6 : Télécharger le fichier de configuration

du point de terminaison Client VPN

7. Pour Destination network to enable (Réseau de destination à activer), entrez 0.0.0.0/0 et choisissezAutoriser l'accès à tous les utilisateurs.

8. Choisissez Add authorization rule (Ajouter une règle d’autorisation).9. Assurez-vous que le groupe de sécurité associé au sous-réseau via lequel vous acheminez le trafic

autorise le trafic entrant et sortant vers et depuis Internet. Pour ce faire, ajoutez des règles entrantes etsortantes qui autorisent le trafic Internet vers et à partir de 0.0.0.0/0.

Étape 6 : Télécharger le fichier de configuration dupoint de terminaison Client VPN

La dernière étape consiste à télécharger et à préparer le fichier de configuration du point de terminaisonClient VPN. Le fichier de configuration inclut le point de terminaison Client VPN et les informations decertificat requises pour établir une connexion VPN. Vous devez fournir ce fichier aux clients qui ont besoinde se connecter au point de terminaison Client VPN pour établir une connexion VPN. Le client charge cefichier dans son application cliente VPN.

Pour télécharger et préparer le fichier de configuration du point de terminaison Client VPN

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN et choisissez Télécharger la configuration client.4. Recherchez le certificat client et la clé générés lors de l'étape 1 (p. 37). le certificat et la clé de client

sont disponibles aux emplacements suivants dans le référentiel cloné easy-rsa OpenVPN :

• Certificat de client — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt• Clé de client — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

5. Ouvrez le fichier de configuration du point de terminaison Client VPN à l'aide de l'éditeur de texte devotre choix et ajoutez le contenu du certificat client entre les balises <cert></cert> et le contenu dela clé privée entre les balises <key></key>.

<cert>Contents of client certificate (.crt) file</cert>

<key>Contents of private key (.key) file</key>

6. Ajoutez une chaîne aléatoire au début du nom DNS du point de terminaison Client VPN. Localisez laligne qui spécifie le nom DNS du point de terminaison Client VPN et ajoutez une chaîne aléatoire audébut du nom pour que le format soit chaîne_aléatoire.nom_DNS_affiché. Exemples :

• Nom DNS d'origine : cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

• Nom DNS modifié : asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

7. Enregistrez et fermez le fichier de configuration du point de terminaison Client VPN.8. Distribuez le fichier de configuration du point de terminaison Client VPN à vos clients.

Pour plus d’informations sur le fichier de configuration du point de terminaison Client VPN, consultezExporter et configurer le fichier de configuration du client (p. 46).

40


AWS Client VPN Guide de l'administrateurÉtape 7 : Se connecter au point de terminaison Client VPN

Étape 7 : Se connecter au point de terminaisonClient VPN

Vous pouvez vous connecter au point de terminaison Client VPN à l'aide du client fourni par AWS ou d'uneautre application cliente OpenVPN. Pour plus d’informations, consultez le Guide de l'utilisateur AWS ClientVPN.

41

https://docs.aws.amazon.com/vpn/latest/clientvpn-user/


AWS Client VPN Guide de l'administrateurPoints de terminaison Client VPN

Utilisation de Client VPNVous pouvez utiliser Client VPN à l'aide de la console Amazon VPC ou de l'interface de ligne decommande AWS.

Table des matières• Points de terminaison Client VPN (p. 42)• Réseaux cibles (p. 49)• Règles d'autorisation (p. 52)• Routes (p. 54)• Listes de révocation des certificats de client (p. 56)• Connexions client (p. 58)• Utilisation des journaux de connexion (p. 59)

Points de terminaison Client VPNToutes les sessions Client VPN aboutissent au point de terminaison Client VPN. Vous configurez le pointde terminaison Client VPN pour gérer et contrôler toutes les sessions VPN client.

Sommaire• Créer un point de terminaison Client VPN (p. 42)• Modifier un point de terminaison Client VPN (p. 44)• Exporter et configurer le fichier de configuration du client (p. 46)• Afficher les points de terminaison Client VPN (p. 49)• Supprimer un point de terminaison Client VPN (p. 49)

Créer un point de terminaison Client VPNCréez un point de terminaison Client VPN pour permettre à vos clients d’établir une session VPN.

Le Client VPN doit être créé dans le même compte AWS que celui dans lequel le réseau cible est alloué.

Prérequis

Avant de commencer, veillez à effectuer les opérations suivantes :

• Passez en revue les règles et les limitations dans Limitations et règles de Client VPN (p. 3).• Générez le certificat de serveur et, si nécessaire, le certificat de client. Pour plus d'informations,

consultez Authentification (p. 6).

Pour créer un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).

42


AWS Client VPN Guide de l'administrateurCréer un point de terminaison Client VPN

3. (Facultatif) Dans le champ Description, saisissez une brève description pour le point de terminaisonClient VPN.

4. Pour Client IPv4 CIDR (CIDR IPv4 client), spécifiez une plage d'adresses IP, en notation CIDR, à partirde laquelle attribuer des adresses IP client.

5. Pour Server certificate ARN (ARN de certificat de serveur), spécifiez l’ARN du certificat TLS quele serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point determinaison Client VPN auquel ils se connectent.

Note

Le certificat de serveur doit être alloué dans AWS Certificate Manager (ACM).6. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une

connexion VPN. Vous devez sélectionner au moins une méthode d'authentification.

• Pour utiliser l'authentification basée sur l'utilisateur, sélectionnez Utiliser l'authentification basée surl'utilisateur, puis choisissez l'une des options suivantes :• Authentification Active Directory : choisissez cette option pour l'authentification Active Directory.

Pour ID de l'annuaire, spécifiez l'ID d'Active Directory à utiliser.• Authentification fédérée : choisissez cette option pour l'authentification fédérée basée sur SAML.

Pour l’ARN du fournisseur SAML, spécifiez l'ARN du fournisseur d'identité SAML IAM.

(Facultatif) Pour Self-service SAML provider ARN (ARN du fournisseur SAML en libre-service),spécifiez l'ARN du fournisseur d'identité SAML IAM que vous avez créé pour prendre en charge leportail en libre-service (p. 13), le cas échéant.

• Pour utiliser une authentification de certificat mutuelle, sélectionnez Use mutual authentication(Utiliser une authentification mutuelle), puis pour Client certificate ARN (ARN du certificat client),spécifiez l'ARN du certificat client alloué dans AWS Certificate Manager (ACM).

Note

Si le certificat de client a été émis par la même autorité de certification (auteur) que lecertificat de serveur, vous pouvez continuer à utiliser l'ARN du certificat de serveur pourl'ARN du certificat de client. Si vous avez généré un certificat client et une clé distincts pourchaque utilisateur utilisant la même autorité de certification que le certificat de serveur, vouspouvez utiliser l'ARN du certificat serveur.

7. Indiquez s'il faut consigner les données relatives aux connexions client à l'aide d'Amazon CloudWatchLogs. Pour Do you want to log the details on client connections? (Souhaitez-vous consigner les détailssur les connexions client ?), effectuez l'une des actions suivantes :

• Pour activer la journalisation de la connexion client, choisissez Yes (Oui). Pour Nom du groupe dejournaux CloudWatch Logs, entrez le nom du groupe de journaux à utiliser. Pour Nom du flux dejournal CloudWatch Logs, entrez le nom du flux de journal à utiliser ou laissez cette option vide pournous permettre de créer un flux de journal pour vous.

• Pour désactiver la journalisation de connexion client, choisissez No (Non).8. (Facultatif) Pour Client Connect Handler, choisissez Oui pour permettre au gestionnaire de connexion

client (p. 14) d'exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au pointde terminaison Client VPN. Pour Client Connect Handler ARN (ARN Client Connect Handler), spécifiezle nom de ressource Amazon (ARN) de la fonction Lambda contenant la logique qui autorise ou refuseles connexions.

9. (Facultatif) Spécifiez les serveurs DNS à utiliser pour la résolution DNS. Pour utiliser des serveursDNS personnalisés, pour DNS Server 1 IP address (Adresse IP serveur DNS 1) et DNS Server 2 IPaddress (Adresse IP serveur DNS 2), spécifiez les adresses IP des serveurs DNS à utiliser. Pourutiliser un serveur DNS de VPC, pour les champs DNS Server 1 IP address (Adresse IP serveurDNS 1) ou DNS Server 2 IP address (Adresse IP serveur DNS 2), spécifiez les adresses IP et ajoutezl'adresse IP du serveur DNS de VPC.

43

AWS Client VPN Guide de l'administrateurModifier un point de terminaison Client VPN

Note

Assurez-vous que les serveurs DNS peuvent être atteints par les clients.10. (Facultatif) Pour que le point de terminaison soit un point de terminaison de VPN à tunnel partagé,

sélectionnez Enable split-tunnel (Activer le tunnel partagé).

Cette fonctionnalité est désactivée par défaut sur un point de terminaison VPN.11. (Facultatif) Par défaut, le serveur Client VPN utilise le protocole de transport UDP. Pour utiliser le

protocole de transport TCP à la place, pour Transport Protocol (Protocole de transport), sélectionnezTCP.

Note

UDP offre généralement des performances supérieures à TCP. Vous ne pouvez pas modifierle protocole de transport après avoir créé le point de terminaison Client VPN.

12. (Facultatif) Pour le champ VPC ID (ID du VPC), choisissez le VPC à associer au point de terminaisonClient VPN. Pour le champ Security Group IDs (ID de groupe de sécurité), choisissez un ou plusieursgroupes de sécurité du VPC à appliquer au point de terminaison Client VPN.

13. (Facultatif) Pour le champ VPN port (Port VPN), choisissez le numéro de port VPN. La valeur pardéfaut est 443.

14. (Facultatif) Pour générer une URL de portail libre-service (p. 48) pour les clients, choisissez Enableself-service portal (Activer le portail en libre-service).

15. Sélectionnez Créer un point de terminaison VPN client.

Après avoir créé le point de terminaison Client VPN, procédez comme suit pour terminer la configuration etpermettre aux clients de se connecter :

• L'état initial du point de terminaison Client VPN est pending-associate. Les clients peuventuniquement se connecter au point de terminaison Client VPN une fois que vous avez associé le premierréseau cible (p. 50).

• Créez une règle d'autorisation (p. 52) de manière à spécifier les clients qui ont accès au réseau.• Téléchargez et préparez le fichier de configuration (p. 46) du point de terminaison Client VPN à

distribuer à vos clients.• Demandez à vos clients d'utiliser le client fourni par AWS ou une autre application cliente OpenVPN

pour se connecter au point de terminaison Client VPN. Pour plus d’informations, consultez le Guide del'utilisateur AWS Client VPN.

Pour créer un point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande create-client-vpn-endpoint.

Modifier un point de terminaison Client VPNUne fois qu'un Client VPN a été créé, vous pouvez modifier les paramètres suivants :

• La description• Le certificat de serveur• Les options de journalisation de la connexion client• Les serveurs DNS• L'option de tunnel partagé• Les associations de VPC et de groupes de sécurité

44



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html

AWS Client VPN Guide de l'administrateurModifier un point de terminaison Client VPN

• Le numéro de port VPN• L'option Client Connect Handler• L'option de portail libre-service

Vous ne pouvez pas modifier la plage CIDR IPv4 du client, les options d'authentification ou le protocole detransport après la création du point de terminaison Client VPN.

Lorsque vous modifiez l'un des paramètres suivants sur un point de terminaison Client VPN, la connexionse réinitialise :

• Le certificat de serveur• Les serveurs DNS• L'option de tunnel partagé (activation ou désactivation du support)• Les routes (lorsque vous utilisez l'option de tunnel partagé)

• La liste de révocation de certificats (CRL)• Règles d'autorisation• Le numéro de port VPN

Vous pouvez modifier un point de terminaison Client VPN à l'aide de la console ou de l'interface de ligne decommande AWS.

Pour modifier un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN à modifier, choisissez Actions, puis choisissez

Modifier le point de terminaison Client VPN.4. Dans le champ Description, saisissez une brève description pour le point de terminaison Client VPN.5. Pour Client IPv4 CIDR (CIDR IPv4 client), spécifiez une plage d'adresses IP, en notation CIDR, à partir

de laquelle attribuer des adresses IP client.6. Pour Server certificate ARN (ARN de certificat de serveur), spécifiez l’ARN du certificat TLS que

le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point determinaison Client VPN auquel ils se connectent.

Note

Le certificat de serveur doit être alloué dans AWS Certificate Manager (ACM).7. Indiquez s'il faut consigner les données relatives aux connexions client à l'aide d'Amazon CloudWatch

Logs. Pour Do you want to log the details on client connections? (Souhaitez-vous consigner les détailssur les connexions client ?), effectuez l'une des actions suivantes :

• Pour activer la journalisation de la connexion client, choisissez Yes (Oui). Pour Nom du groupe dejournaux CloudWatch Logs, entrez le nom du groupe de journaux à utiliser. Pour Nom du flux dejournal CloudWatch Logs, entrez le nom du flux de journal à utiliser ou laissez cette option vide pournous permettre de créer un flux de journal pour vous.

• Pour désactiver la journalisation de connexion client, choisissez No (Non).8. Pour Client Connect Handler, choisissez Oui pour permettre au gestionnaire de connexion

client (p. 14) d'exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au pointde terminaison Client VPN. Pour Client Connect Handler ARN (ARN Client Connect Handler), spécifiezle nom de ressource Amazon (ARN) de la fonction Lambda contenant la logique qui autorise ou refuseles connexions.

45


AWS Client VPN Guide de l'administrateurExporter et configurer le fichier de configuration du client

9. Spécifiez les serveurs DNS à utiliser pour la résolution DNS. Pour utiliser des serveurs DNSpersonnalisés, pour DNS Server 1 IP address (Adresse IP serveur DNS 1) et DNS Server 2 IP address(Adresse IP serveur DNS 2), spécifiez les adresses IP des serveurs DNS à utiliser. Pour utiliser unserveur DNS de VPC, pour les champs DNS Server 1 IP address (Adresse IP serveur DNS 1) ou DNSServer 2 IP address (Adresse IP serveur DNS 2), spécifiez les adresses IP et ajoutez l'adresse IP duserveur DNS de VPC.

Note

Assurez-vous que les serveurs DNS peuvent être atteints par les clients.10. Pour que le point de terminaison soit un point de terminaison de VPN à tunnel partagé, sélectionnez

Enable split-tunnel (Activer le tunnel partagé).

Cette fonctionnalité est désactivée par défaut sur un point de terminaison VPN.11. Pour le champ VPC ID (ID du VPC), choisissez le VPC à associer au point de terminaison Client VPN.

Pour le champ Security Group IDs (ID de groupe de sécurité), choisissez un ou plusieurs groupes desécurité du VPC à appliquer au point de terminaison Client VPN.

12. Pour le champ VPN port (Port VPN), choisissez le numéro de port VPN. La valeur par défaut est 443.13. Pour générer une URL de portail libre-service (p. 48) pour les clients, choisissez Enable self-service

portal (Activer le portail en libre-service).14. Choisissez Modifier le point de terminaison Client VPN.

Pour modifier un point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande modify-client-vpn-endpoint.

Exporter et configurer le fichier de configuration duclientLe fichier de configuration de point de terminaison Client VPN est le fichier que les clients (utilisateurs)utilisent pour établir une connexion VPN avec le point de terminaison Client VPN. Vous devez télécharger(exporter) ce fichier et le distribuer à tous les clients qui ont besoin d'accéder au VPN. Sinon, si vousavez activé le portail en libre-service pour votre point de terminaison Client VPN, les clients peuventse connecter au portail et télécharger le fichier de configuration eux-mêmes. Pour plus d'informations,consultez Accéder au portail en libre-service (p. 48).

Si votre point de terminaison Client VPN utilise l'authentification mutuelle, vous devez ajouter le certificatdu client et la clé privée du client au fichier de configuration .ovpn (p. 47) que vous téléchargez. Une foisque vous avez ajouté ces informations, les clients peuvent importer le fichier .ovpn dans le logiciel clientOpenVPN.

Important

Si vous n'ajoutez pas le certificat client et les informations de clé privée client au fichier, les clientsqui s'authentifient via une authentification mutuelle ne peuvent pas se connecter au point determinaison Client VPN.

Par défaut, l'option « --remote-random-hostname » de la configuration client OpenVPN active « wild cardDNS ». « wild card DNS » étant activé, le client ne met pas en cache l'adresse IP du point de terminaisonet vous ne pourrez pas pinger le nom DNS du point de terminaison.

Si votre point de terminaison Client VPN utilise l'authentification Active Directory et si vous activezl'authentification MFA (Multi-Factor Authentication) sur votre annuaire après avoir distribué le fichier deconfiguration client, vous devez télécharger un nouveau fichier et le redistribuer à vos clients. Les clients ne

46

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html


peuvent pas utiliser le fichier de configuration précédent pour se connecter au point de terminaison ClientVPN.

Exporter le fichier de configuration du clientVous pouvez exporter la configuration du client à l'aide de la console ou de l'interface de ligne decommande AWS.

Pour exporter la configuration du client (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN pour lequel télécharger la configuration du client et

choisissez Download Client Configuration (Télécharger la configuration du client).

Pour exporter la configuration du client (interface de ligne de commande AWS)

Utilisez la commande export-client-vpn-client-configuration et spécifiez le nom du fichier de sortie.

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn

Ajouter le certificat de client et les informations de clé(authentification mutuelle)Si votre point de terminaison Client VPN utilise l'authentification mutuelle, vous devez ajouter le certificat duclient et la clé privée du client au fichier de configuration .ovpn que vous téléchargez.

Pour ajouter le certificat de client et les informations de clé (authentification mutuelle)

Vous pouvez utiliser l'une des options suivantes.

(Option 1) Distribuez le certificat et la clé de client aux clients, ainsi que le fichier de configuration dupoint de terminaison Client VPN. Dans ce cas, spécifiez le chemin d'accès au certificat et à la clé dans lefichier de configuration. Ouvrez le fichier de configuration avec l'éditeur de texte de votre choix et ajoutezle texte suivant à la fin du fichier. Remplacez /path/ par l'emplacement du certificat et de la clé client(l'emplacement concerne le client qui se connecte au point de terminaison).

cert /path/client1.domain.tld.crtkey /path/client1.domain.tld.key

(Option 2) Ajoutez le contenu du certificat de client entre les balises <cert></cert> et le contenu de laclé privée entre les balises <key></key> dans le fichier de configuration. Si vous choisissez cette option,vous ne distribuez que le fichier de configuration à vos clients.

Si vous avez généré des certificats client et des clés distincts pour chaque utilisateur qui se connectera aupoint de terminaison Client VPN, répétez cette étape pour chacun d’eux.

Voici un exemple du format d'un fichier de configuration Client VPN qui inclut le certificat client et la clé.

clientdev tunproto udpremote asdf.cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443

47


https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html


remote-random-hostnameresolv-retry infinitenobindpersist-keypersist-tunremote-cert-tls servercipher AES-256-GCMverb 3

<ca>Contents of CA</ca>

<cert>Contents of client certificate (.crt) file</cert>

<key>Contents of private key (.key) file</key>

reneg-sec 0

Accéder au portail en libre-serviceSi vous avez activé le portail en libre-service pour votre point de terminaison Client VPN, vous pouvezfournir à vos clients une URL du portail en libre-service. Les clients peuvent accéder au portail dans unnavigateur Web et utiliser leurs informations d'identification utilisateur pour se connecter. Dans le portail,les clients peuvent télécharger le fichier de configuration du point de terminaison Client VPN et téléchargerla dernière version du client fourni par AWS.

Les règles suivantes s'appliquent :

• Le portail en libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'uneauthentification mutuelle.

• Le fichier de configuration disponible dans le portail en libre-service est le même fichier de configurationque vous exportez à l'aide de la console Amazon VPC ou de l'interface de ligne de commande AWS.Si vous devez personnaliser le fichier de configuration avant de le distribuer aux clients, vous devez ledistribuer vous-même aux clients.

• Vous devez activer l'option de portail en libre-service pour votre point de terminaison Client VPN, sinonles clients ne peuvent pas accéder au portail. Si cette option n'est pas activée, vous pouvez modifiervotre point de terminaison Client VPN pour l'activer.

Une fois que vous avez activé l'option de portail en libre-service, fournissez à vos clients l'une des URLsuivantes :

• https://self-service.clientvpn.amazonaws.com/

Si les clients accèdent au portail à l'aide de cette URL, ils doivent entrer l'ID du point de terminaisonClient VPN avant de pouvoir se connecter.

• https://self-service.clientvpn.amazonaws.com/endpoints/<endpoint-id>

Remplacez <endpoint-id> dans l'URL précédente par l'ID de votre point de terminaison Client VPN,par exemple, cvpn-endpoint-0123456abcd123456.

Vous pouvez également afficher l'URL du portail en libre-service dans la sortie de la commande describe-client-vpn-endpoints de l’interface de ligne de commande AWS. L'URL est également disponible dansl'onglet Résumé de la page Points de terminaison Client VPN Endpoints dans la console Amazon VPC.

48

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html


AWS Client VPN Guide de l'administrateurAfficher les points de terminaison Client VPN

Pour plus d'informations sur la configuration du portail en libre-service pour une utilisation avecl'authentification fédérée, consultez Prise en charge du portail en libre-service (p. 13).

Afficher les points de terminaison Client VPNVous pouvez afficher des informations sur les points de terminaison Client VPN à l'aide de la console ou del'interface de ligne de commande AWS.

Pour afficher les points de terminaison Client VPN à l'aide de la console

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN à afficher.4. Utilisez les onglets pour voir les réseaux cibles associés, les règles d’autorisation, les routes et les

connexions client.

Pour afficher les points de terminaison Client VPN à l'aide de l'interface de ligne de commande AWS

Utilisez la commande describe-client-vpn-endpoints.

Supprimer un point de terminaison Client VPNLorsque vous supprimez un point de terminaison Client VPN, son état devient deleting et les clientsne peuvent plus s’y connecter. Vous devez dissocier tous les réseaux cibles associés avant de pouvoirsupprimer un point de terminaison Client VPN.

Vous pouvez supprimer un point de terminaison Client VPN à l'aide de la console ou de l'interface de lignede commande AWS.

Pour supprimer un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN à supprimer, choisissez Actions, Delete Client VPN

Endpoint (Supprimer le point de terminaison Client VPN), puis Oui, Supprimer.

Pour supprimer un point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande delete-client-vpn-endpoint.

Réseaux ciblesUn réseau cible est un sous-réseau dans un VPC. Un point de terminaison Client VPN doit avoir au moinsun réseau cible pour permettre aux clients de se connecter et d'établir une connexion VPN.

Pour plus d’informations sur les types d'accès que vous pouvez configurer (par exemple, permettre à vosclients d'accéder à Internet), consultez Scénarios et exemples (p. 23).

Sommaire• Associer un réseau cible à un point de terminaison Client VPN. (p. 50)

49




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html

AWS Client VPN Guide de l'administrateurAssocier un réseau cible à un

point de terminaison Client VPN.

• Application d'un groupe de sécurité à un réseau cible (p. 51)• Dissocier un réseau cible d'un point de terminaison Client VPN (p. 51)• Affichage des réseaux cibles (p. 52)

Associer un réseau cible à un point de terminaisonClient VPN.Vous pouvez associer un ou plusieurs réseaux cibles (sous-réseaux) à un point de terminaison Client VPN.

Les règles suivantes s'appliquent :

• Le sous-réseau doit avoir un bloc d'adresse CIDR avec au moins un masque de bits /27, par exemple10.0.0.0/27. Le sous-réseau doit également disposer d'au moins 8 adresses IP disponibles.

• Le bloc d'adresse CIDR du sous-réseau ne peut pas chevaucher la plage CIDR client du point determinaison Client VPN.

• Si vous associez plusieurs sous-réseaux à un point de terminaison Client VPN, chaque sous-réseau doitse trouver dans une zone de disponibilité différente. Nous vous recommandons d'associer au moins deuxsous-réseaux pour fournir la redondance de zone de disponibilité.

• Si vous avez spécifié un VPC lorsque vous avez créé le point de terminaison Client VPN, le sous-réseaudoit se trouver dans le même VPC. Si vous n'avez pas encore associé un VPC au point de terminaisonClient VPN, vous pouvez choisir n'importe quel sous-réseau dans n'importe quel VPC.

Toutes les futures associations de sous-réseau doivent se trouver dans le même VPC. Pour associer unsous-réseau à partir d'un autre VPC, vous devez d'abord modifier le point de terminaison Client VPN etmodifier le VPC qui lui est associé. Pour plus d'informations, consultez Modifier un point de terminaisonClient VPN (p. 44).

Lorsque vous associez un sous-réseau à un point de terminaison Client VPN, nous ajoutonsautomatiquement la route locale du VPC dans lequel le sous-réseau associé est alloué à la table deroutage du point de terminaison Client VPN.

Note

Après l’association de vos réseaux cibles, lorsque vous ajoutez ou supprimez des CIDRsupplémentaires à votre VPC connecté, vous devez effectuer l'une des opérations suivantes pourmettre à jour la route locale de la table de routage du point de terminaison Client VPN :

• Dissociez votre point de terminaison Client VPN du réseau cible, puis associez-le à nouveau.• Ajoutez manuellement la route vers la table de routage du point de terminaison Client VPN client

ou supprimez-la.

Après avoir associé le premier sous-réseau au point de terminaison Client VPN, l'état du point determinaison Client VPN passe de pending-associate à available et les clients sont en mesured'établir une connexion VPN.

Pour associer un réseau cible à un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel associer le réseau cible, choisissez

Associations, puis choisissez Associer.

50


AWS Client VPN Guide de l'administrateurApplication d'un groupe de sécurité à un réseau cible

4. Pour VPC, choisissez le VPC dans lequel le sous-réseau est situé. Si vous avez spécifié un VPClorsque vous avez créé le point de terminaison Client VPN ou si vous disposez d'associations de sous-réseau précédentes, il doit se trouver dans le même VPC.

5. Pour Subnet to associate (Sous-réseau à associer), choisissez le sous-réseau à associer au point determinaison Client VPN.

6. Choisissez Associate.

Pour associer un réseau cible à un point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande associate-client-vpn-target-network.

Application d'un groupe de sécurité à un réseau cibleLorsque vous créez un point de terminaison Client VPN, vous pouvez spécifier les groupes de sécurité àappliquer au réseau cible. Lorsque vous associez le premier réseau cible à un point de terminaison ClientVPN, nous appliquons automatiquement le groupe de sécurité par défaut du VPC dans lequel le sous-réseau associé est situé. Pour plus d'informations, consultez Groupes de sécurité (p. 13).

Vous pouvez modifier les groupes de sécurité du point de terminaison Client VPN. Les règles de groupe desécurité dont vous avez besoin dépendent du type d'accès VPN que vous souhaitez configurer. Pour plusd'informations, consultez Scénarios et exemples (p. 23).

Pour appliquer un groupe de sécurité à un réseau cible (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel vous souhaitez appliquer les groupes de

sécurité.4. Choisissez Groupes de sécurité, sélectionnez le groupe de sécurité actuel, puis choisissez Apply

Security Groups (Appliquer les groupes de sécurité).5. Sélectionnez les nouveaux groupes de sécurité dans la liste, puis choisissez Apply Security Groups

(Appliquer les groupes de sécurité).

Pour appliquer un groupe de sécurité à un réseau cible (interface de ligne de commande AWS)

Utilisez la commande apply-security-groups-to-client-vpn-target-network.

Dissocier un réseau cible d'un point de terminaisonClient VPNSi vous dissociez tous les réseaux cible d'un point de terminaison Client VPN, les clients ne peuventplus établir de connexion VPN. Lorsque vous dissociez un sous-réseau, nous supprimons la route crééeautomatiquement lorsque l'association a été effectuée.

Pour dissocier un réseau cible d'un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN avec lequel le réseau cible est associé et choisissez

Associations.4. Sélectionnez le réseau cible, choisissez Disassociate (Dissocier), puis choisissez Yes, Disassociate

(Oui, dissocier).

51

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html


AWS Client VPN Guide de l'administrateurAffichage des réseaux cibles

Pour dissocier un réseau cible d'un point de terminaison Client VPN (interface de ligne de commandeAWS)

Utilisez la commande disassociate-client-vpn-target-network.

Affichage des réseaux ciblesVous pouvez afficher les cibles associées à un point de terminaison Client VPN à l'aide de la console ou del'interface de ligne de commande AWS.

Pour afficher les réseaux cibles (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN et choisissez Associations.

Pour afficher les réseaux cibles à l'aide de l’interface de ligne de commande AWS

Utilisez la commande describe-client-vpn-target-networks.

Règles d'autorisationLes règles d'autorisation agissent comme des règles de pare-feu qui accordent l'accès aux réseaux. Vousdevez disposer d'une règle d’autorisation pour chaque réseau auquel vous souhaitez accorder l'accès.

Sommaire• Ajouter une règle d'autorisation à un point de terminaison Client VPN (p. 52)• Supprimer une règle d'autorisation d'un point de terminaison Client VPN (p. 53)• Affichage des règles d'autorisation (p. 54)

Ajouter une règle d'autorisation à un point determinaison Client VPNEn ajoutant des règles d'autorisation, vous accordez à des clients spécifiques l'accès au réseau spécifié.

Vous pouvez ajouter des règles d'autorisation à un point de terminaison Client VPN à l'aide de la console etde l'interface de ligne de commande AWS.

Pour ajouter une règle d'autorisation à un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel ajouter la règle d'autorisation, choisissez

Authorization (Autorisation), puis Authorize ingress (Autoriser l'entrée).4. Pour (Destination network) Réseau de destination, entrez l'adresse IP, en notation CIDR, du réseau

auquel les utilisateurs doivent accéder (par exemple, le bloc d'adresse CIDR de votre VPC).5. Spécifiez les clients autorisés à accéder au réseau spécifié. Pour For grant access to (Pour accorder

l'accès à), effectuez l'une des actions suivantes :

52

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html


AWS Client VPN Guide de l'administrateurSupprimer une règle d'autorisation

d'un point de terminaison Client VPN

• Pour accorder l'accès à tous les clients, choisissez Allow access to all users (Autoriser l'accès à tousles utilisateurs).

• Pour restreindre l'accès à des clients spécifiques, choisissez Autoriser l'accès aux utilisateursd'un groupe d'accès spécifique, puis, pour ID de groupe d'accès, saisissez l'ID du groupe auquelaccorder l'accès. Par exemple, l'identificateur de sécurité (SID) d'un groupe Active Directory ou l'ID/le nom d'un groupe défini dans un fournisseur d'identité (IdP) basé sur SAML.

Note

(Active Directory) Pour obtenir le SID, vous pouvez utiliser l'applet de commande MicrosoftPowershell Get-ADGroup, par exemple :

Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

Vous pouvez également ouvrir l'outil Utilisateurs et ordinateurs Active Directory, afficherles propriétés du groupe, accéder à l'onglet Éditeur d'attributs et obtenir la valeur pourobjectSID. Si nécessaire, choisissez d'abord Affichage, Fonctionnalités avancées pouractiver l'onglet Éditeur d'attributs.

Note

(Authentification fédérée basée sur SAML) L'ID ou le nom du groupe doit correspondre auxinformations d'attribut de groupe renvoyées dans l'assertion SAML.

6. Pour Description, saisissez une brève description de la règle d'autorisation.7. Choisissez Add authorization rule (Ajouter une règle d’autorisation).

Pour ajouter une règle d'autorisation à un point de terminaison Client VPN (interface de ligne de commandeAWS)

Utilisez la commande authorize-client-vpn-ingress.

Supprimer une règle d'autorisation d'un point determinaison Client VPNEn supprimant une règle d’autorisation, vous supprimez l'accès au réseau spécifié.

Vous pouvez supprimer des règles d'autorisation à un point de terminaison Client VPN à l'aide de laconsole et de l'interface de ligne de commande AWS.

Pour supprimer une règle d'autorisation d’un point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel la règle d’autorisation est ajoutée et choisissez

Authorization (Autorisation).4. Sélectionnez la règle d'autorisation à supprimer, choisissez Revoke ingress (Révoquer l’entrée), puis

choisissez Revoke ingress (Révoquer l’entrée).

Pour supprimer une règle d'autorisation d'un point de terminaison Client VPN (interface de ligne decommande AWS)

Utilisez la commande revoke-client-vpn-ingress.

53

https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adgroup?view=win10-ps

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html

AWS Client VPN Guide de l'administrateurAffichage des règles d'autorisation

Affichage des règles d'autorisationVous pouvez afficher les règles d’autorisation pour un point de terminaison Client VPN spécifique à l'aidede la console et de l’interface de ligne de commande AWS.

Pour afficher les règles d'autorisation (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN pour lequel vous souhaitez afficher les règles

d'autorisation et choisissez Authorization (Autorisation).

Pour afficher les règles d'autorisation (interface de ligne de commande AWS)

Utilisez la commande describe-client-vpn-authorization-rules.

RoutesChaque point de terminaison du VPN client a une table de routage qui décrit la les routes réseau dedestination disponibles. Chaque route dans la table de routage détermine où le trafic réseau est dirigé.Vous devez configurer des règles d'autorisation pour chaque point de terminaison Client VPN pour spécifierles clients qui ont accès au réseau de destination.

Lorsque vous associez un sous-réseau d'un VPC à un point de terminaison Client VPN, une route pour leVPC est automatiquement ajoutée à la table de routage du point de terminaison Client VPN. Pour activerl'accès à d'autres réseaux, tels que des VPC appairés, des réseaux sur site, le réseau local (pour permettreaux clients de communiquer entre eux) ou Internet, vous devez ajouter manuellement une route vers latable de routage du point de terminaison Client VPN.

Sommaire• Considérations relatives au tunnel partagé sur les points de terminaison Client VPN (p. 54)• Création d'une route de point de terminaison (p. 54)• Affichage de routes de points de terminaison (p. 55)• Suppression d'une route de point de terminaison (p. 55)

Considérations relatives au tunnel partagé sur lespoints de terminaison Client VPNLorsque vous utilisez le tunnel partagé sur un point de terminaison Client VPN, toutes les routes qui setrouvent dans les tables de routage Client VPN sont ajoutées à la table de routage client lorsque le VPN estétabli. Si vous ajoutez une route après l'établissement du VPN, vous devez réinitialiser la connexion afinque la nouvelle route soit envoyée au client.

Nous vous recommandons de prendre en compte le nombre de routes que le périphérique client peut géreravant de modifier la table de routage des points de terminaison Client VPN.

Création d'une route de point de terminaisonLorsque vous créez une route, vous spécifiez la manière dont le trafic vers le réseau de destination doitêtre dirigé.

Pour permettre aux clients d'accéder à Internet, ajoutez une route de destination 0.0.0.0/0 .

54


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html

AWS Client VPN Guide de l'administrateurAffichage de routes de points de terminaison

Vous pouvez ajouter des routes vers un point de terminaison Client VPN à l'aide de la console et del'interface de ligne de commande AWS.

Pour créer une route de point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel vous souhaitez ajouter la route, choisissez

Route Table (Table de routage), puis Create Route (Créer la route).4. Pour Route destination (Destination de route), spécifiez la plage CIDR IPv4 pour le réseau de

destination. Exemples :

• Pour ajouter une route pour l'accès à Internet, saisissez 0.0.0.0/0.• Pour ajouter une route pour un VPC appairé, saisissez la plage d'adresses CIDR IPv4 du VPC

appairé.• Pour ajouter une route pour un réseau sur site, saisissez la plage CIDR IPv4 de la connexion AWS

Site-to-Site VPN.• Pour ajouter une route pour le réseau local, saisissez la plage d’adresse CIDR client.

5. Pour Target VPC Subnet ID (ID de sous-réseau de VPC cible), sélectionnez le sous-réseau associé aupoint de terminaison Client VPN.

Sinon, si vous ajoutez une route pour le réseau local, sélectionnez local.6. Pour Description, saisissez une brève description pour la route.7. Choisissez Create Route (Créer une route).

Pour créer une route de point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande create-client-vpn-route.

Affichage de routes de points de terminaisonVous pouvez afficher les routes pour un point de terminaison Client VPN spécifique à l'aide de la consoleou de l'interface de ligne de commande AWS.

Pour afficher les routes de point de terminaison Client VPN (console)

1. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).2. Sélectionnez le point de terminaison Client VPN pour lequel vous souhaitez afficher les routes, puis

choisissez Route Table (Table de routage).

Pour afficher les routes de point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande describe-client-vpn-routes.

Suppression d'une route de point de terminaisonVous pouvez uniquement supprimer des routes que vous avez ajoutées manuellement. Vous ne pouvezpas supprimer les routes ajoutées automatiquement lors de l’association d’un sous-réseau au point determinaison Client VPN. Pour supprimer les routes qui ont été ajoutées automatiquement, vous devezdissocier le sous-réseau qui a initié leur création à partir du point de terminaison Client VPN.

Vous pouvez supprimer une route d'un point de terminaison Client VPN à l'aide de la console ou del'interface de ligne de commande AWS.

55


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html

AWS Client VPN Guide de l'administrateurListes de révocation des certificats de client

Pour supprimer une route de point de terminaison Client VPN (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN à partir duquel vous souhaitez supprimer la route, puis

choisissez Route Table (Table de routage).4. Sélectionnez la route à supprimer, choisissez Delete Route (Supprimer une route), puis Delete Route

(Supprimer une route).

Pour supprimer une route de point de terminaison Client VPN (interface de ligne de commande AWS)

Utilisez la commande delete-client-vpn-route.

Listes de révocation des certificats de clientVous pouvez utiliser les listes de révocation de certificats clients pour révoquer l'accès à un point determinaison Client VPN pour des certificats de client spécifiques.

Note

Pour plus d'informations sur la génération de certificats et de clés de serveur et de client,consultez Authentification mutuelle (p. 7)

Pour plus d’informations sur le nombre d'entrées que vous pouvez ajouter à une liste de révocation decertificats clients, consultez Quotas Client VPN (p. 73).

Sommaire• Générer une liste de révocation des certificats de client (p. 56)• Importer une liste de révocation des certificats de client (p. 57)• Exporter une liste de révocation des certificats de client (p. 58)

Générer une liste de révocation des certificats de clientLinux/macOS

Dans la procédure suivante, vous générez une liste de révocation des certificats de client parl’intermédiaire de l’utilitaire de ligne de commande OpenVPN easy-rsa.

Pour générer une liste de révocation des certificats de client via OpenVPN easy-rsa

1. Clonez le référentiel OpenVPN easy-rsa sur votre ordinateur local.

$ git clone https://github.com/OpenVPN/easy-rsa.git

2. Accédez au dossier easy-rsa/easyrsa3 de votre référentiel local.

$ cd easy-rsa/easyrsa3

3. Révoquez le certificat de client et générez la liste de révocation du client.

$ ./easyrsa revoke client_certificate_name$ ./easyrsa gen-crl

56


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html

AWS Client VPN Guide de l'administrateurImporter une liste de révocation des certificats de client

Tapez yes lorsque vous y êtes invité.

Windows

La procédure suivante utilise le logiciel OpenVPN pour générer une liste de révocation de clients.Elle suppose que vous avez suivi les étapes d'utilisation du logiciel OpenVPN (p. 7) pour générer lescertificats et clés client et serveur.

Pour générer une liste de révocation des certificats de client

1. Ouvrez une invite de commande et accédez au répertoire OpenVPN.

C:\> cd \Program Files\OpenVPN\easy-rsa

2. Exécutez le fichier vars.bat.

C:\> vars

3. Révoquez le certificat de client et générez la liste de révocation du client.

C:\> revoke-full client_certificate_nameC:\> more crl.pem

Importer une liste de révocation des certificats declientVous devez disposer d'un fichier de liste de révocation de certificats de client à importer. Pour plusd'informations sur la création d'une liste de révocation des certificats de client, consultez Générer une listede révocation des certificats de client (p. 56).

Vous pouvez importer une liste de révocation des certificats de client à l'aide de la console et de l'interfacede ligne de commande AWS.

Pour importer une liste de révocation des certificats de client (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN pour lequel importer la liste de révocation des

certificats de client.4. Choisissez Actions, puis Import Client Certificate CRL (Importer une liste de révocation des certificats

de client).5. Pour Certificate Révocation List (Liste de révocation des certificats), saisissez le contenu du fichier

de liste de révocation des certificats de client, puis choisissez Import CRL (Importer une liste derévocation des certificats).

Pour importer une liste de révocation des certificats de client (interface de ligne de commande AWS)

Utilisez la commande import-client-vpn-client-certificate-revocation-list.

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

57


https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html

AWS Client VPN Guide de l'administrateurExporter une liste de révocation des certificats de client

Exporter une liste de révocation des certificats declientVous pouvez exporter des listes de révocation des certificats de client à l'aide de la console et de l'interfacede ligne de commande AWS.

Pour exporter une liste de révocation des certificats de client (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN pour lequel exporter la liste de révocation des

certificats de client.4. Choisissez Actions, Export Client Certificate CRL (Exporter une liste de révocation des certificats de

client), puis choisissez Yes, Export (Oui, exporter).

Pour exporter une liste de révocation des certificats de client (interface de ligne de commande AWS)

Utilisez la commande export-client-vpn-client-certificate-revocation-list.

Connexions clientLes connexions sont des sessions VPN qui ont été établies par des clients. Une connexion est établielorsqu'un client se connecte avec succès à un point de terminaison Client VPN.

Sommaire• Afficher les connexions client (p. 58)• Mettre fin à une connexion client (p. 58)

Afficher les connexions clientVous pouvez afficher les connexions client à l'aide de la console et de l’interface de ligne de commandeAWS. Les informations de connexion incluent l'adresse IP attribuée à partir de la plage CIDR client.

Pour afficher les connexions client (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN pour lequel vous souhaitez afficher les connexions

client.4. Choisissez l'onglet Connections (Connexions). L'onglet Connections (Connexions) répertorie toutes les

connexions client actives et interrompues.

Pour afficher les connexions client (interface de ligne de commande AWS)

Utilisez la commande describe-client-vpn-connections.

Mettre fin à une connexion clientLorsque vous arrêtez une connexion client, la session VPN prend fin.

58


https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html

AWS Client VPN Guide de l'administrateurJournaux de connexion.

Vous pouvez résilier des connexions client à l'aide de la console et de l’interface de ligne de commandeAWS.

Pour arrêter une connexion client (console)

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN auquel le client est connecté et choisissez

Connections (Connexions).4. Sélectionnez la connexion à arrêter, choisissez Terminate Connection (Arrêter une connexion), puis

choisissez Terminate Connection (Arrêter une connexion).

Pour résilier une connexion client (interface de ligne de commande AWS)

Utilisez la commande terminate-client-vpn-connections.

Utilisation des journaux de connexionVous pouvez activer la journalisation des connexions pour un point de terminaison Client VPN nouveau ouexistant et commencer à capturer les journaux de connexion.

Avant de commencer, vous devez disposer d'un groupe de journaux CloudWatch Logs dans votre compte.Pour plus d'informations, consultez Gestion des groupes de journaux et des flux de journaux dans le Guidede l'utilisateur Amazon CloudWatch Logs. Des frais s'appliquent pour l'utilisation de CloudWatch Logs.Pour plus d'informations, consultez Tarification Amazon CloudWatch.

Lorsque vous activez la journalisation des connexions, vous pouvez spécifier le nom d'un flux de journauxdans le groupe de journaux. Si vous ne spécifiez pas de flux de journal, le service Client VPN en crée unpour vous.

Activer la journalisation des connexions pour unnouveau point de terminaison Client VPNVous pouvez activer la journalisation des connexions lorsque vous créez un point de terminaison ClientVPN à l'aide de la console ou de la ligne de commande.

Pour activer la journalisation des connexions pour un nouveau point de terminaison Client VPN àl'aide de la console

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN), puis

choisissez Create Client VPN Endpoint (Créer un point de terminaison Client VPN).3. Remplissez les options jusqu'à ce que vous atteigniez la section Enregistrement des connexions. Pour

plus d'informations sur ces options, consultez Créer un point de terminaison Client VPN (p. 42).4. Pour Voulez-vous enregistrer les détails sur les connexions client ?, choisissez Oui.5. Pour le Nom du groupe de journaux CloudWatch Logs, choisissez le nom du groupe de journaux

CloudWatch Logs.6. (Facultatif) Pour Nom du flux de journaux CloudWatch Logs, choisissez le nom du flux de journaux

CloudWatch Logs.7. Sélectionnez Créer un point de terminaison VPN client.

59


https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html

http://aws.amazon.com/cloudwatch/pricing/


AWS Client VPN Guide de l'administrateurActiver la journalisation des connexions pourun point de terminaison Client VPN existant

Pour activer la journalisation des connexions pour un nouveau point de terminaison Client VPN à l'aide del’interface de ligne de commande AWS

Utilisez la commande create-client-vpn-endpoint et spécifiez le paramètre --connection-log-options.Vous pouvez spécifier les informations des journaux de connexion au format JSON, comme illustré dansl'exemple suivant.

{ "Enabled": true, "CloudwatchLogGroup": "ClientVpnConnectionLogs", "CloudwatchLogStream": "NewYorkOfficeVPN"}

Activer la journalisation des connexions pour un pointde terminaison Client VPN existantVous pouvez activer la journalisation des connexions pour un point de terminaison Client VPN existant àl'aide de la console ou de la ligne de commande.

Pour activer la journalisation des connexions pour un point de terminaison Client VPN existant àl'aide de la console

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN, choisissez Actions, puis Modifier le point de

terminaison Client VPN.4. Pour Journalisation des connexions, choisissez Oui, et procédez comme suit :

• Pour CloudWatch log group (Groupe de journaux CloudWatch), choisissez le nom du groupe dejournaux CloudWatch Logs.

• (Facultatif) Pour Flux de journaux CloudWatch Logs, choisissez le nom du flux de journauxCloudWatch Logs.

5. Choisissez Modifier le point de terminaison Client VPN.

Pour activer la journalisation des connexions pour un point de terminaison Client VPN existant à l'aide del’interface de ligne de commande AWS

Utilisez la commande modify-client-vpn-endpoint et spécifiez le paramètre --connection-log-options.Vous pouvez spécifier les informations des journaux de connexion au format JSON, comme illustré dansl'exemple suivant.

{ "Enabled": true, "CloudwatchLogGroup": "ClientVpnConnectionLogs", "CloudwatchLogStream": "NewYorkOfficeVPN"}

Afficher les journaux de connexionVous pouvez afficher vos journaux de connexion à l'aide de la console CloudWatch Logs.

Pour afficher vos journaux de connexion à l'aide de la console

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.

60

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html



https://console.aws.amazon.com/cloudwatch/

AWS Client VPN Guide de l'administrateurDésactiver la journalisation des connexions

2. Dans le volet de navigation, choisissez Groupes de journaux, puis sélectionnez le groupe de journauxcontenant vos journaux de connexion.

3. Sélectionnez le flux de journaux pour votre point de terminaison Client VPN.

Note

La colonne Horodatage affiche l'heure à laquelle le journal de connexion a été publié surCloudWatch Logs, et non l'heure de la connexion.

Pour plus d'informations sur la recherche de données de journaux, consultez Recherche dans des donnéesde journaux au moyen de modèles de filtres dans le Guide de l’utilisateur Amazon CloudWatch Logs.

Désactiver la journalisation des connexionsVous pouvez désactiver la journalisation des connexions pour un point de terminaison Client VPN à l'aidede la console ou de la ligne de commande. Lorsque vous désactivez la journalisation des connexions, lesjournaux de connexion existants dans CloudWatch Logs ne sont pas supprimés.

Pour désactiver l'enregistrement des connexions à l'aide de la console

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison Client VPN).3. Sélectionnez le point de terminaison Client VPN, choisissez Actions, puis Modifier le point de

terminaison Client VPN.4. Pour Journalisation des connexions, choisissez Non.5. Choisissez Modifier le point de terminaison Client VPN.

Pour désactiver l'enregistrement des connexions à l'aide de l’interface de ligne de commande AWS

Utilisez la commande modify-client-vpn-endpoint et spécifiez le paramètre --connection-log-options.Assurez-vous que cette valeur Enabled est définie sur false.

61

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html



AWS Client VPN Guide de l'administrateurProtection des données

Sécurité dans AWS Client VPNChez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous bénéficiezde centres de données et d'architectures réseau conçus pour répondre aux exigences des organisationsles plus pointilleuses en termes de sécurité.

La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :

• Sécurité dans le cloud : AWS est responsable de la protection de l'infrastructure qui exécute les servicesAWS dans le Cloud AWS. AWS vous fournit également des services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité quis'appliquent à AWS Client VPN, consultez Services AWS concernés par le programme de conformité.

• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagéelorsque vous utilisez Client VPN. Les rubriques suivantes vous montrent comment configurer Client VPNpour répondre à vos objectifs de sécurité et de conformité. Vous découvrirez également comment utiliserd'autres services AWS qui vous permettent de surveiller et de sécuriser vos ressources Client VPN.

Table des matières• Protection des données dans AWS Client VPN (p. 62)• Identity and Access Management pour Client VPN (p. 64)• Journalisation et surveillance (p. 66)• Résilience dans AWS Client VPN (p. 67)• Sécurité de l'infrastructure dans AWS Client VPN (p. 67)• Bonnes pratiques en matière de sécurité pour AWS Client VPN (p. 67)

Protection des données dans AWS Client VPNLe modèle de responsabilité partagée AWS s'applique à la protection des données dans AWS ClientVPN. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale surlaquelle l'ensemble du cloud AWS s'exécute. La gestion du contrôle de votre contenu hébergé sur cetteinfrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestionde la sécurité des services AWS que vous utilisez. Pour de plus amples informations sur la confidentialitédes données, veuillez consulter FAQ sur la confidentialité des données. Pour de plus amples informationssur la protection des données en Europe, veuillez consulter le billet de blog Modèle de responsabilitépartagée AWS et RGPD sur le Blog de sécurité AWS.

À des fins de protection des données, nous vous recommandons de protéger les informationsd'identification de compte AWS et de configurer des comptes d'utilisateur individuels avec AWS Identityand Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisationsnécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos donnéescomme indiqué ci-dessous :

62

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

AWS Client VPN Guide de l'administrateurChiffrement en transit

• Utilisez l'authentification multi-facteurs (MFA) avec chaque compte.• Utilisez SSL/TLS pour communiquer avec des ressources AWS. Nous recommandons TLS 1.2 ou

version ultérieure.• Configurez l'API et la journalisation des activités des utilisateurs avec AWS CloudTrail.• Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des

services AWS.• Utilisez des services de sécurité gérés avancés tels que Amazon Macie, qui contribuent à la découverte

et à la sécurisation des données personnelles stockées dans Amazon S3.• Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS

via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour deplus amples informations sur les points de terminaison FIPS disponibles, consultez Federal InformationProcessing Standard (FIPS) 140-2.

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles queles numéros de compte de vos clients, dans des champs de formulaire comme Name (Nom). Cela inclutlorsque vous utilisez Client VPN ou d'autres services AWS à l'aide de la console, de l'API, de l'interface deligne de commande AWS ou des kits SDK AWS. Toutes les données que vous entrez dans Client VPN oud’autres services peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsquevous fournissez une URL à un serveur externe, n'incluez pas les informations d'identification non chiffréesdans l'URL pour valider votre demande adressée au serveur.

Chiffrement en transitAWS Client VPN fournit une connexion TLS sécurisée à partir de n'importe quel emplacement à l'aide d’unclient OpenVPN.

Confidentialité du trafic inter-réseauxActivation de l'accès inter-réseaux

Vous pouvez permettre aux clients de se connecter à votre VPC et à d'autres réseaux via unpoint de terminaison Client VPN. Pour plus d'informations et d'exemples, consultez Scénarios etexemples (p. 23).

Restriction de l'accès aux réseaux

Vous pouvez configurer votre point de terminaison Client VPN pour restreindre l'accès à certainesressources spécifiques de votre VPC. Pour l'authentification basée sur l'utilisateur, vous pouvezégalement restreindre l'accès à des parties de votre réseau, en fonction du groupe d'utilisateurs quiaccède au point de terminaison Client VPN. Pour plus d'informations, consultez Restreindre l'accès àvotre réseau (p. 33).

Authentification des clients

L'authentification est implémentée au niveau du premier point d'entrée dans le cloud AWS. Elle estutilisée pour déterminer si les clients sont autorisés à se connecter au point de terminaison Client VPN.Si l'authentification aboutit, les clients se connectent au point de terminaison Client VPN et établissentune session VPN. Si l'authentification échoue, la connexion est refusée et le client n’est pas autorisé àétablir une session VPN.

Client VPN offre les types d'authentification client suivants :• Authentification Active Directory (p. 6) (basée sur l'utilisateur)• Authentification mutuelle (p. 7) (basée sur un certificat)• Authentification unique (authentification fédérée basée sur SAML) (p. 10) (basée sur l'utilisateur)

63

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

AWS Client VPN Guide de l'administrateurIdentity and Access Management pour Client VPN

Identity and Access Management pour Client VPNAWS utilise les informations d'identification de sécurité pour identifier et vous accorder l'accès à vosressources AWS. Vous pouvez utiliser les fonctions d'AWS Identity and Access Management (IAM) pourpermettre aux autres utilisateurs, services et applications d'utiliser vos ressources AWS pleinement ou defaçon limitée sans partager vos informations de sécurité.

Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier les ressources AWS.Pour permettre à un utilisateur IAM d'accéder à des ressources, telles qu'un point de terminaison ClientVPN, et d'effectuer des tâches, vous devez créer une stratégie IAM. Cette stratégie doit accorder àl'utilisateur IAM l'autorisation d'utiliser les actions d'API et les ressources spécifiques dont il a besoin.Ensuite, attachez la stratégie à l'utilisateur IAM ou au groupe auquel cet utilisateur IAM appartient. Quandvous attachez une stratégie à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse auxutilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Par exemple, la stratégie suivante permet l'accès en lecture seule. Les utilisateurs peuvent afficher lespoints de terminaison Client VPN et leurs composants, mais ils ne peuvent pas les créer, les modifier ou lessupprimer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeClientVpnRoutes", "ec2:DescribeClientVpnAuthorizationRules", "ec2:DescribeClientVpnConnections", "ec2:DescribeClientVpnTargetNetworks", "ec2:DescribeClientVpnEndpoints" ], "Resource": "*" } ]}

Vous pouvez également utiliser des autorisations au niveau des ressources pour restreindre les ressourcesque les utilisateurs peuvent utiliser lorsqu'ils appellent des actions Client VPN. Par exemple, la stratégiesuivante permet aux utilisateurs de travailler avec des points de terminaison Client VPN, mais uniquementsi le point de terminaison Client VPN possède la balise purpose=test.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:DisassociateClientVpnTargetNetwork", "ec2:ApplySecurityGroupsToClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress", "ec2:CreateClientVpnRoute", "ec2:DeleteClientVpnRoute", "ec2:RevokeClientVpnIngress" ], "Resource": "arn:aws:ec2:*:*:client-vpn-endpoint/*", "Condition": { "StringEquals": {

64

AWS Client VPN Guide de l'administrateurUtilisation des rôles liés à un service

"ec2:ResourceTag/purpose": "test" } } } ]}

Pour plus d'informations sur IAM, consultez le Guide de l'utilisateur IAM. Pour obtenir la liste des actionsAmazon EC2, y compris les actions Client VPN, consultez Actions, ressources et clés de condition pourAmazon EC2 dans le Guide de l'utilisateur IAM.

Pour plus d’informations sur l'authentification et l'autorisation de connexion à un point de terminaison ClientVPN, consultez Authentification et autorisation client (p. 6).

Utilisation de rôles liés à un service pour Client VPNAWS Client VPN utilise des rôles liés à un service pour les autorisations requises pour appeler d'autresservices AWS en votre nom. Pour plus d'informations, consultez Utilisation des rôles liés à un service dansle Guide de l'utilisateur IAM.

Autorisations des rôles liés à un service pour Client VPNAWS Client VPN utilise le rôle lié à un service nommé AWSServiceRoleForClientVPN pour appeler lesactions suivantes en votre nom lorsque vous travaillez avec des points de terminaison Client VPN :

• ec2:CreateNetworkInterface

• ec2:CreateNetworkInterfacePermission

• ec2:DescribeSecurityGroups

• ec2:DescribeVpcs

• ec2:DescribeSubnets

• ec2:DescribeInternetGateways

• ec2:ModifyNetworkInterfaceAttribute

• ec2:DeleteNetworkInterface

• ec2:DescribeAccountAttributes

• ds:AuthorizeApplication

• ds:DescribeDirectories

• ds:GetDirectoryLimits

• ds:ListAuthorizedApplications

• ds:UnauthorizeApplication

• lambda:GetFunctionConfiguration

• logs:DescribeLogStreams

• logs:CreateLogStream

• logs:PutLogEvents

• logs:DescribeLogGroups

• acm:GetCertificate

• acm:DescribeCertificate

Le rôle lié à un service AWSServiceRoleForClientVPN autorise le principal clientvpn.amazonaws.com àassumer ce rôle.

65

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

AWS Client VPN Guide de l'administrateurJournalisation et surveillance

Si vous utilisez le gestionnaire de connexion client pour votre point de terminaison Client VPN, ClientVPN utilise un rôle lié à un service appelé AWSServiceRoleForClientVPNConnections pour appelerl'action lambda:InvokeFunction en votre nom. Pour plus d'informations, consultez Autorisation deconnexion (p. 14).

Création de rôles liés à un service pour Client VPNVous n'avez pas besoin de créer manuellement les rôles AWSServiceRoleForClientVPN ouAWSServiceRoleForClientVPNConnections. Client VPN crée les rôles pour vous lorsque vous créez lepremier point de terminaison Client VPN dans votre compte.

Pour que Client VPN crée les rôles liés à un service en votre nom, vous devez disposer des autorisationsrequises. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide del'utilisateur IAM.

Modification d'un rôle lié à un service pour Client VPNVous ne pouvez pas modifier les rôles liés à un service AWSServiceRoleForClientVPN ouAWSServiceRoleForClientVPNConnections.

Suppression d'un rôle lié à un service pour Client VPNSi vous n'avez plus besoin d'utiliser Client VPN, nous vous recommandons de supprimer les rôles liés à unservice AWSServiceRoleForClientVPN et AWSServiceRoleForClientVPNConnections.

Vous devez d'abord supprimer les ressources Client VPN associées. Ainsi, vous ne risquez pas desupprimer involontairement l'autorisation d'accéder aux ressources.

Utilisez la console IAM, l'interface de ligne de commande IAM ou l'API IAM pour supprimer les rôles liésà un service. Pour plus d'informations, consultez Suppression d'un rôle lié à un service dans le Guide del'utilisateur IAM.

Journalisation et surveillanceLa surveillance est un enjeu important pour assurer la fiabilité, la disponibilité et les performances de votrepoint de terminaison Client VPN. Vous devez recueillir les données de surveillance de toutes les parties devotre solution afin de pouvoir déboguer plus facilement une éventuelle défaillance à plusieurs points. AWSfournit plusieurs outils pour surveiller vos ressources et répondre aux éventuels incidents.

Amazon CloudWatch

Amazon CloudWatch surveille vos ressources AWS et les applications que vous exécutez sur AWS entemps réel. Vous pouvez collecter des métriques et en assurer le suivi pour votre point de terminaisonClient VPN. Pour plus d’informations, consultez Surveillance avec Amazon CloudWatch (p. 69).

AWS CloudTrail

AWS CloudTrail capture les appels d'API Amazon EC2 et les événements associés effectués par votrecompte AWS ou au nom de ce dernier. Puis, il livre les fichiers journaux à un compartiment Amazon S3 quevous spécifiez. Pour plus d’informations, consultez Surveillance avec AWS CloudTrail (p. 71).

Amazon CloudWatch Logs

Vous pouvez afficher les journaux de connexion pour obtenir des informations sur les événements deconnexion, à savoir lorsque les clients se connectent, tentent de se connecter ou se déconnectent de votrepoint de terminaison Client VPN. Pour plus d'informations, consultez Journalisation des connexions (p. 20).

66

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

AWS Client VPN Guide de l'administrateurRésilience

Résilience dans AWS Client VPNL'infrastructure mondiale d'AWS repose sur des régions et des zones de disponibilité AWS. Les régionsAWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseauà latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoiret exploiter des applications et des bases de données qui basculent automatiquement d'une zone à l'autresans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes etévolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.

Pour plus d'informations sur les régions et les zones de disponibilité AWS, consultez Infrastructuremondiale AWS.

Outre l’infrastructure mondiale AWS, AWS Client VPN propose plusieurs fonctionnalités qui contribuent à laprise en charge des vos besoins en matière de résilience et de sauvegarde de données.

Plusieurs réseaux cibles pour une haute disponibilitéVous associez un réseau cible à un point de terminaison Client VPN pour permettre aux clients d'établirdes sessions VPN. Les réseaux cibles sont des sous-réseaux dans votre VPC. Chaque sous-réseau quevous associez au point de terminaison Client VPN doit appartenir à une zone de disponibilité différente.Vous pouvez associer plusieurs sous-réseaux à un point de terminaison Client VPN pour bénéficier d'unehaute disponibilité.

Sécurité de l'infrastructure dans AWS Client VPNEn tant que service géré, AWS Client VPN est protégé par les procédures de sécurité du réseau mondialAWS qui sont décrites dans le livre blanc Amazon Web Services: Overview of Security Processes (AmazonWeb Services : Présentation des processus de sécurité).

Vous pouvez utiliser les appels d'API publiés par AWS pour accéder à Client VPN via le réseau. Les clientsdoivent prendre en charge le protocole TLS (Transport Layer Security) 1.0 ou version ultérieure. Nousrecommandons TLS 1.2 ou version ultérieure. Les clients doivent également prendre en charge les suitesde chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic CurveEphemeral Diffie-Hellman (ECDHE) La plupart des systèmes modernes telles que Java 7 et versionsultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrèteassociée à un mandataire IAM. Vous pouvez également utiliser le service AWS Security Token Service(AWS STS) pour générer des informations d'identification de sécurité temporaire afin de signer desdemandes.

Bonnes pratiques en matière de sécurité pour AWSClient VPN

AWS Client VPN fournit différentes fonctions de sécurité à prendre en compte lorsque vous développez etimplémentez vos propres stratégies de sécurité. Les bonnes pratiques suivantes doivent être considéréescomme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donnéque ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement,considérez-les comme des remarques utiles plutôt que comme des recommandations.

Règles d'autorisation

67

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

AWS Client VPN Guide de l'administrateurBonnes pratiques

Utilisez des règles d'autorisation pour restreindre les utilisateurs qui peuvent accéder à votre réseau. Pourplus d'informations, consultez Règles d'autorisation (p. 52).

Groupes de sécurité

Utilisez des groupes de sécurité pour contrôler les ressources auxquelles les utilisateurs peuvent accéderdans votre VPC. Pour plus d'informations, consultez Groupes de sécurité (p. 13).

Listes de révocation des certificats de client

Vous pouvez utiliser les listes de révocation de certificats clients pour révoquer l'accès à un point determinaison Client VPN pour certains certificats de client spécifiques. Par exemple, lorsqu'un utilisateurquitte votre organisation. Pour plus d'informations, consultez Listes de révocation des certificats declient (p. 56).

Outils de surveillance

Utilisez des outils de surveillance pour assurer le suivi de la disponibilité et les performances de vos pointsde terminaison Client VPN. Pour plus d'informations, consultez Surveillance de Client VPN (p. 69).

Identity and Access Management

Gérez l'accès aux ressources Client VPN et aux API à l'aide de stratégies IAM pour vos utilisateursIAM et vos rôles IAM. Pour plus d'informations, consultez Identity and Access Management pour ClientVPN (p. 64).

68

AWS Client VPN Guide de l'administrateurSurveillance avec CloudWatch

Surveillance de Client VPNLa surveillance constitue une part importante de la gestion de la fiabilité, de la disponibilité et desperformances d'AWS Client VPN et de vos autres solutions AWS. Vous pouvez utiliser les fonctionssuivantes pour surveiller vos points de terminaison Client VPN, analyser les modèles de trafic et résoudreles problèmes liés à vos points de terminaison Client VPN.

Amazon CloudWatch

Supervise vos ressources AWS et les applications que vous exécutez sur AWS en temps réel.Vous pouvez collecter et suivre les métriques, créer des tableaux de bord personnalisés, et définirdes alarmes qui vous informent ou prennent des mesures lorsqu'une métrique spécifique atteintun seuil que vous spécifiez. Par exemple, vous pouvez faire en sorte que CloudWatch assure lesuivi de l’utilisation du processeur ou d’autres métriques de vos instances Amazon EC2 et démarreautomatiquement de nouvelles instances lorsque cela est nécessaire. Pour plus d’informations,consultez le Guide de l'utilisateur Amazon CloudWatch.

AWS CloudTrail

Capture les appels d'API et les événements associés créés par votre compte AWS ou au nom decelui-ci et livre les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vouspouvez identifier les utilisateurs et les comptes qui ont appelé AWS, l'adresse IP source d'origine desappels, ainsi que le moment où les appels ont eu lieu. Pour plus d'informations, consultez le Guide del'utilisateur AWS CloudTrail.

Amazon CloudWatch Logs

Permet de surveiller les tentatives de connexion effectuées à votre point de terminaison AWS ClientVPN. Vous pouvez afficher les tentatives de connexion et les réinitialisations de connexion pourles connexions Client VPN. Pour les tentatives de connexion, vous pouvez voir les tentatives deconnexion ayant réussi et celles ayant échoué. Vous pouvez spécifier le flux de journaux CloudWatchLogs pour consigner les détails de connexion. Pour plus d'informations, consultez Journalisation desconnexions (p. 20) et le Guide de l’utilisateur Amazon CloudWatch Logs.

Surveillance avec Amazon CloudWatchAWS Client VPN publie les métriques suivantes dans Amazon CloudWatch pour vos points de terminaisonClient VPN. Les métriques sont publiées dans Amazon CloudWatch toutes les cinq minutes.

Métrique Description

ActiveConnectionsCount Nombre de connexions actives au point determinaison Client VPN.

Unités : nombre

AuthenticationFailures Nombre d'échecs d'authentification pour le point determinaison Client VPN.

Unités : nombre

CrlDaysToExpiry Nombre de jours avant l'expiration de la liste derévocation de certificats (CRL) configurée sur lepoint de terminaison Client VPN.

69

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/


https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/

AWS Client VPN Guide de l'administrateurSurveillance avec CloudWatch

Métrique DescriptionUnités : Jours

EgressBytes Nombre d'octets envoyés depuis le point determinaison Client VPN.

Unités : octets

EgressPackets Nombre de paquets envoyés depuis le point determinaison Client VPN.

Unités : nombre

IngressBytes Nombre d'octets reçus par le point de terminaisonClient VPN.

Unités : octets

IngressPackets Nombre de paquets reçus par le point determinaison Client VPN.

Unités : nombre

SelfServicePortalClientConfigurationDownloads Nombre de téléchargements du fichier deconfiguration du point de terminaison Client VPNdepuis le portail en libre-service.

Unité : nombre

AWS Client VPN publie les métriques d'évaluation de posture (p. 17) suivantes pour vos points determinaison Client VPN.


ClientConnectHandlerTimeouts Nombre de délais d'attente lors de l'appeldu gestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

ClientConnectHandlerInvalidResponses Nombre de réponses non valides renvoyéespar le gestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

ClientConnectHandlerOtherExecutionErrors Nombre d'erreurs inattendues lors de l'exécutiondu gestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

ClientConnectHandlerThrottlingErrors Nombre d'erreurs de limitation lors de l'appeldu gestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

70

AWS Client VPN Guide de l'administrateurSurveillance avec CloudTrail


ClientConnectHandlerDeniedConnections Nombre de connexions refusées par legestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

ClientConnectHandlerFailedServiceErrors Nombre d'erreurs côté service lors de l'exécutiondu gestionnaire de connexion client pour lesconnexions au point de terminaison VPN client.

Unités : nombre

Vous pouvez filtrer les métriques de votre point de terminaison Client VPN par point de terminaison.

CloudWatch vous permet de récupérer des statistiques sur ces points de données sous la forme d'unensemble classé de données en séries chronologiques, appelées métriques. Considérez une métriquecomme une variable à surveiller, et les points de données comme les valeurs de cette variable au fil dutemps. Un horodatage et une unité de mesure facultative sont associés à chaque point de données.

Vous pouvez utiliser les métriques pour vérifier que le système fonctionne comme prévu. Par exemple,vous pouvez créer une alarme CloudWatch pour surveiller une métrique spécifiée et initier une action (parexemple, l'envoi d'une notification à une adresse e-mail) si la métrique sort de ce que vous considérezcomme une plage acceptable.

Pour plus d’informations, consultez le Guide de l'utilisateur Amazon CloudWatch.

Surveillance avec AWS CloudTrailAWS Client VPN est intégré à AWS CloudTrail, service qui enregistre les actions effectuées par unutilisateur, un rôle ou un service AWS dans Client VPN. CloudTrail capture tous les appels d'API pourClient VPN en tant qu'événements. Les appels capturés incluent les appels de la console Client VPN etles appels de code aux opérations de l'API Client VPN. Si vous créez un journal de suivi, vous pouvezactiver la livraison continue des événements CloudTrail dans un compartiment Amazon S3, y compris lesévénements pour Client VPN. Si vous ne configurez pas de journal de suivi, vous pouvez toujours afficherles événements les plus récents dans la console CloudTrail dans Event history (Historique des événement).Utilisez les informations collectées par CloudTrail pour déterminer la demande qui a été envoyée à ClientVPN, l'adresse IP à l'origine de la demande, le demandeur, la date de la demande, ainsi que d'autresinformations.

Pour plus d'informations sur CloudTrail, consultez le Guide de l'utilisateur AWS CloudTrail.

Informations sur Client VPN dans CloudTrailCloudTrail est activé dans votre compte AWS lors de la création de ce dernier. Lorsqu’une activité a lieudans Client VPN, cette activité est enregistrée dans un événement CloudTrail avec d'autres événementsde services AWS dans Event history (Historique des événements). Vous pouvez afficher, rechercher ettélécharger les événements récents dans votre compte AWS. Pour plus d’informations, consultez Affichagedes événements avec l'historique des événements CloudTrail.

Pour un enregistrement continu des événements dans votre compte AWS, y compris les événementspour Client VPN, créez un journal de suivi. Un journal de suivi permet à CloudTrail de livrer des fichiersjournaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans laconsole, il s'applique à toutes les régions AWS. Le journal de suivi consigne les événements de toutes

71

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

AWS Client VPN Guide de l'administrateurPrésentation des entrées des fichiers journaux Client VPN

les régions de la partition AWS et diffuse les fichiers journaux vers le compartiment Amazon S3 de votrechoix. En outre, vous pouvez configurer d'autres services AWS pour analyser plus en profondeur lesdonnées d'événement collectées dans les journaux CloudTrail et agir sur celles-ci. Pour plus d'informations,consultez les ressources suivantes :

• Présentation de la création d'un journal de suivi• Intégrations et services pris en charge par CloudTrail• Configuration des notifications Amazon SNS pour CloudTrail• Réception des fichiers journaux CloudTrail de plusieurs régions et Réception des fichiers journaux

CloudTrail de plusieurs comptes

Toutes les actions Client VPN sont consignées par CloudTrail et sont documentées dans la Référenced’API Amazon EC2. À titre d'exemple, les appels vers les actions CreateClientVpnEndpoint,AssociateClientVpnTargetNetwork et AuthorizeClientVpnIngress génèrent des entrées dansles fichiers journaux CloudTrail.

Chaque événement ou entrée du journal contient des informations sur la personne qui a généré lademande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :

• Si la requête a été effectuée avec des informations d'identification d'utilisateur racine ou AWS Identityand Access Management (IAM).

• Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôleou un utilisateur fédéré.

• Si la requête a été effectuée par un autre service AWS.

Pour plus d'informations, consultez l'élément userIdentity CloudTrail.

Présentation des entrées des fichiers journaux ClientVPNUn journal de suivi est une configuration qui permet la livraison d'événements sous forme de fichiersjournaux vers un compartiment Amazon S3 que vous spécifiez. Les fichiers journaux CloudTrail peuventcontenir une ou plusieurs entrées de journal. Un événement représente une demande individuelle émise àpartir d'une source quelconque et comprend des informations sur l'action demandée, la date et l'heure del'action, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne constituent pas une sérieordonnée retraçant les appels d'API publics. Ils ne suivent aucun ordre précis.

Pour plus d'informations, consultez Logging Amazon EC2, Amazon EBS, and Amazon VPC API calls withAWS CloudTrail (Journalisation des appels d’API Amazon EC2, Amazon EBS et Amazon VPC avec AWSCloudTrail) dans la Référence d’API Amazon EC2.

72

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/using-cloudtrail.html



AWS Client VPN Guide de l'administrateurQuotas Client VPN

Quotas AWS Client VPNVotre compte AWS dispose des quotas suivants en ce qui concerne les points de terminaison Client VPN.Sauf indication contraire, vous pouvez demander une augmentation pour ces quotas. Pour certains deces quotas, vous pouvez afficher votre quota actuel à l'aide de la page Limits (Restrictions) de la consoleAmazon EC2.

Quotas Client VPNLes quotas suivants s'appliquent à Client VPN. Sauf indication contraire, vous pouvez demander uneaugmentation pour ces quotas.

• Nombre de points de terminaison Client VPN par région : 5• Nombre de règles d'autorisation par point de terminaison Client VPN : 50• Nombre de routes par point de terminaison Client VPN : 10• Nombre de connexions client simultanées par point de terminaison Client VPN : cette valeur dépend du

nombre d'associations de sous-réseaux par point de terminaison Client VPN.

Associations de sous-réseaux Nombre de connexions prises en charge

1 7 000

2 36 500

3 66 500

4 96 500

5 126 000

• Nombre d'entrées dans une liste de révocation de certificats clients : 20 000

Ce quota ne peut pas être augmenté.• Nombre d'opérations simultanées par point de terminaison Client VPN : 10

Les opérations sont les suivantes :• Association ou annulation d'association de sous-réseaux• Création ou suppression de routes• Création ou suppression de règles entrantes et sortantes• Création ou suppression de groupes de sécurité

Ce quota ne peut pas être augmenté.• Délai d'expiration de déconnexion VPN client par défaut : 24 heures

Ce quota ne peut pas être modifié ni augmenté.

Quotas d'utilisateurs et de groupesLorsque vous configurez des utilisateurs et des groupes pour Active Directory ou un IdP basé sur SAML,les quotas suivants s'appliquent :

73

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=vpc

AWS Client VPN Guide de l'administrateurConsidérations d'ordre général

• Les utilisateurs peuvent appartenir à 200 groupes au maximum. Nous ignorons tous les groupes au-delàdu 200e.

• La longueur maximale de l'ID de groupe est de 255 caractères.• La longueur maximale de l’ID de nom est de 255 caractères. Nous tronquons les caractères au-delà du

255e.

Considérations d'ordre généralPrenez en considération les points suivants lorsque vous utilisez des points de terminaison Client VPN.

• Si vous utilisez Active Directory pour authentifier l'utilisateur, le point de terminaison Client VPN doitappartenir au même compte que la ressource AWS Directory Service utilisée pour l'authentificationActive Directory.

• Si vous utilisez l'authentification fédérée basée sur SAML pour authentifier un utilisateur, le point determinaison Client VPN doit appartenir au même compte que le fournisseur d'identité SAML IAM quevous créez pour définir la relation d'approbation IdP-AWS. Le fournisseur d'identité SAML IAM peut êtrepartagé entre plusieurs points de terminaison Client VPN dans le même compte AWS.

74

AWS Client VPN Guide de l'administrateurImpossible de résoudre le nom DNSdu point de terminaison Client VPN

Résolution des problèmes liés àClient VPN

La rubrique suivante peut vous aider à résoudre les problèmes que vous pouvez rencontrer avec un pointde terminaison Client VPN.

Pour plus d'informations sur le dépannage des logiciels OpenVPN utilisés par les clients pour se connecterà un Client VPN, consultez Troubleshooting Your Client VPN Connection (Dépannage de votre connexionClient VPN) dans le Guide de l'utilisateur AWS Client VPN.

Problèmes courants• Impossible de résoudre le nom DNS du point de terminaison Client VPN (p. 75)• Le trafic n'est pas réparti entre les sous-réseaux (p. 76)• Les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu (p. 76)• Les clients ne peuvent pas accéder à un VPC appairé, à Amazon S3 ou à Internet (p. 77)• L'accès à un VPC appairé, à Amazon S3 ou à Internet est intermittent (p. 79)• Le logiciel client renvoie une erreur TLS (p. 80)• Le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe (authentification Active

Directory) (p. 81)• Les clients ne peuvent pas se connecter (authentification mutuelle) (p. 81)• Le client renvoie des informations d’identification dont la taille dépasse l'erreur maximale

(authentification fédérée) (p. 82)• Le client n'ouvre pas le navigateur (authentification fédérée) (p. 82)• Le client ne renvoie aucune erreur de ports disponibles (authentification fédérée) (p. 82)• Vérifier la limite de bande passante pour un point de terminaison Client VPN (p. 83)

Impossible de résoudre le nom DNS du point determinaison Client VPN

Problème

Je ne parviens pas à résoudre le nom DNS du point de terminaison Client VPN.

Cause

Le fichier de configuration du point de terminaison Client VPN inclut un paramètre appelé remote-random-hostname. Ce paramètre force le client à pré-insérer une chaîne aléatoire dans le nom DNS pourempêcher la mise en cache DNS. Certains clients ne reconnaissent pas ce paramètre et, par conséquent,n'ajoutent pas la chaîne aléatoire requise au nom DNS.

Solution

Ouvrez le fichier de configuration du point de terminaison Client VPN à l'aide de votre éditeur de textepréféré. Localisez la ligne qui spécifie le nom DNS du point de terminaison Client VPN et ajoutez une

75

https://docs.aws.amazon.com/vpn/latest/clientvpn-user/troubleshooting.html


AWS Client VPN Guide de l'administrateurLe trafic n'est pas réparti entre les sous-réseaux

chaîne aléatoire au début du nom pour que le format soit chaîne_aléatoire.nom_DNS_affiché.Exemples :

• Nom DNS d'origine : cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

• Nom DNS modifié : asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

Le trafic n'est pas réparti entre les sous-réseauxProblème

J'essaie de répartir le trafic réseau entre deux sous-réseaux. Le trafic privé doit être acheminé par un sous-réseau privé, tandis que le trafic Internet doit l'être par un sous-réseau public. Cependant, une seule routeest utilisée même si j'ai ajouté les deux routes à la table de routage du point de terminaison Client VPN.

Cause

Vous pouvez associer plusieurs sous-réseaux à un point de terminaison VPN client, mais vous ne pouvezassocier qu'un seul sous-réseau par zone de disponibilité. L'objectif de l'association de plusieurs sous-réseaux est de fournir une haute disponibilité et une redondance de zone de disponibilité aux clients.Toutefois, le VPN client ne vous permet pas de répartir sélectivement le trafic entre les sous-réseauxassociés au point de terminaison Client VPN.

Les clients se connectent à un point de terminaison Client VPN en fonction de l'algorithme DNS round-robin. Cela signifie que leur trafic peut être acheminé par l'un des sous-réseaux associés lorsqu'ilsétablissent une connexion. Par conséquent, les clients peuvent rencontrer des problèmes de connexions'ils accèdent à un sous-réseau associé qui ne possède pas les entrées d'itinéraire requises.

Par exemple, supposons que vous configuriez les associations et routes de sous-réseau suivantes :

• Associations de sous-réseaux• Association 1 : sous-réseau A (us-east-1a)• Association 2 : sous-réseau B (us-east-1b)

• Routes• Route 1 : 10.0.0.0/16 routé vers le sous-réseau A• Route 2 : 172.31.0.0/16 routé vers le sous-réseau B

Dans cet exemple, les clients qui accèdent au sous-réseau A lorsqu'ils se connectent ne peuvent pasaccéder à l'itinéraire 2, tandis que les clients qui accèdent au sous-réseau B lorsqu'ils se connectent nepeuvent pas accéder à l'itinéraire 1.

Solution

Vérifiez que le point de terminaison Client VPN a les mêmes entrées de route, avec les cibles de chaqueréseau associé. Cela garantit que les clients ont accès à toutes les routes, quel que soit le sous-réseau vialequel leur trafic est acheminé.

Les règles d'autorisation pour les groupes ActiveDirectory ne fonctionnent pas comme prévu

Problème

76

AWS Client VPN Guide de l'administrateurLes clients ne peuvent pas accéder à unVPC appairé, à Amazon S3 ou à Internet

J'ai configuré des règles d'autorisation pour mes groupes Active Directory, mais elles ne fonctionnent pascomme prévu. J'ai ajouté une règle d'autorisation pour que 0.0.0.0/0 autorise le trafic pour tous lesréseaux, mais le trafic continue d'échouer pour les CIDR de destination spécifiques.

Cause

Les règles d'autorisation sont indexées sur les CIDR réseau. Les règles d'autorisation doivent accorder auxgroupes Active Directory l'accès à des CIDR réseau spécifiques. Les règles d'autorisation pour 0.0.0.0/0sont traitées comme un cas particulier et sont donc évaluées en dernier, quel que soit l'ordre de créationdes règles d'autorisation.

Par exemple, supposons que vous créiez cinq règles d'autorisation dans l'ordre suivant :

• Règle 1 : accès du groupe 1 à 10.1.0.0/16• Règle 2 : accès du groupe 1 à 0.0.0.0/0• Règle 3 : accès du groupe 2 à 0.0.0.0/0• Règle 4 : accès du groupe 3 à 0.0.0.0/0• Règle 5 : accès du groupe 2 à 172.131.0.0/16

Dans cet exemple, les règles 2, 3 et 4 sont évaluées en dernier. Le groupe 1 n'a accès qu'à 10.1.0.0/16et le groupe 2 n'a accès qu'à 172.131.0.0/16. Le groupe 3 n'a pas accès à 10.1.0.0/16 ou172.131.0.0/16, mais il a accès à tous les autres réseaux. Si vous supprimez les règles 1 et 5, les troisgroupes ont accès à tous les réseaux.

En outre, Client VPN utilise la correspondance de préfixe la plus longue lors de l'évaluation des règlesd'autorisation.

Solution

Vérifiez que vous créez des règles d'autorisation qui accordent explicitement aux groupes Active Directoryl'accès à des CIDR réseau spécifiques. Si vous ajoutez une règle d'autorisation pour 0.0.0.0/0, gardezà l'esprit qu'elle sera évaluée en dernier et que les règles d'autorisation antérieures peuvent limiter lesréseaux auxquels elle accorde l'accès.

Les clients ne peuvent pas accéder à un VPCappairé, à Amazon S3 ou à Internet

Problème

J'ai correctement configuré mes routes de points de terminaison Client VPN, mais mes clients ne peuventpas accéder à un VPC appairé, à Amazon S3 ou à Internet.

Solution

L'organigramme suivant contient les étapes permettant de diagnostiquer les problèmes de connexion àInternet, à un VPC appairé et à Amazon S3.

77

AWS Client VPN Guide de l'administrateurLes clients ne peuvent pas accéder à unVPC appairé, à Amazon S3 ou à Internet

78

AWS Client VPN Guide de l'administrateurL'accès à un VPC appairé, à Amazon

S3 ou à Internet est intermittent

1. Pour accéder à Internet, ajoutez une règle d'autorisation pour 0.0.0.0/0.

Pour accéder à un VPC appairé, ajoutez une règle d'autorisation pour la plage CIDR IPv4 du VPC.

Pour accéder à S3, spécifiez l'adresse IP du point de terminaison Amazon S3.2. Vérifiez si vous êtes en mesure de résoudre le nom DNS.

Si vous ne parvenez pas à résoudre le nom DNS, vérifiez que vous avez spécifié les serveurs DNSpour le point de terminaison Client VPN. Si vous gérez votre propre serveur DNS, spécifiez sonadresse IP. Vérifiez que le serveur DNS est accessible à partir du VPC.

Si vous n'êtes pas sûr de l'adresse IP à spécifier pour les serveurs DNS, spécifiez le résolveur DNSVPC à l'adresse IP .2 de votre VPC.

3. Pour accéder à Internet, vérifiez si vous êtes en mesure d'effectuer un ping sur une adresse IPpublique ou un site Web public, par exemple, amazon.com. Si vous ne recevez pas de réponse,assurez-vous que la table de routage des sous-réseaux associés a une route par défaut qui cible unepasserelle Internet ou une passerelle NAT. Si l'itinéraire par défaut est en place, vérifiez que le sous-réseau associé ne dispose pas de règles de liste de contrôle d'accès réseau qui bloquent le traficentrant et sortant.

Si vous ne parvenez pas à atteindre un VPC appairé, vérifiez que la table de routage du sous-réseauassocié possède une entrée de routage pour le VPC appairé.

Si vous ne parvenez pas à atteindre Amazon S3, vérifiez que la table de routage du sous-réseauassocié possède une entrée de routage pour le point de terminaison VPC de passerelle.

4. Vérifiez si vous pouvez exécuter une commande ping sur une adresse IP publique avec une chargeutile supérieure à 1 400 octets. Utilisez l'une des commandes suivantes :

• Windows

C:\> ping 8.8.8.8 -l 1480 -f

• Linux

$ ping -s 1480 8.8.8.8 -M do

Si vous ne pouvez pas à exécuter une commande ping sur une adresse IP avec une charge utilesupérieure à 1400 octets, ouvrez le fichier de configuration .ovpn du point de terminaison Client VPNà l'aide de votre éditeur de texte préféré et ajoutez ce qui suit.

mssfix 1328

L'accès à un VPC appairé, à Amazon S3 ou àInternet est intermittent

Problème

J'ai des problèmes de connexion intermittents lors de la connexion à un VPC appairé, à Amazon S3ou à Internet, mais l'accès aux sous-réseaux associés n'est pas affecté. Je dois me déconnecter et mereconnecter afin de résoudre les problèmes de connexion.

Cause

79

AWS Client VPN Guide de l'administrateurLe logiciel client renvoie une erreur TLS

Les clients se connectent à un point de terminaison Client VPN en fonction de l'algorithme DNS round-robin. Cela signifie que leur trafic peut être acheminé par l'un des sous-réseaux associés lorsqu'ilsétablissent une connexion. Par conséquent, les clients peuvent rencontrer des problèmes de connexions'ils accèdent à un sous-réseau associé qui ne possède pas les entrées d'itinéraire requises.

Solution

Vérifiez que le point de terminaison Client VPN a les mêmes entrées de route, avec les cibles de chaqueréseau associé. Cela garantit que les clients ont accès à toutes les routes, quel que soit le sous-réseauassocié via lequel leur trafic est acheminé.

Par exemple, supposons que votre point de terminaison Client VPN client a trois sous-réseaux associés(sous-réseaux A, B et C) et que vous souhaitez activer l'accès Internet pour vos clients. Pour ce faire, vousdevez ajouter trois routes 0.0.0.0/0, chacune ciblant chaque sous-réseau associé :

• Route 1 : 0.0.0.0/0 pour le sous-réseau A• Route 2 : 0.0.0.0/0 pour le sous-réseau B• Route 3 : 0.0.0.0/0 pour le sous-réseau C

Le logiciel client renvoie une erreur TLSProblème

J'avais l'habitude de pouvoir connecter mes clients à Client VPN avec succès, mais désormais le clientOpenVPN renvoie l'erreur suivante lorsqu'il essaie de se connecter :

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed

Causes possibles :

Si vous utilisez l'authentification mutuelle et que vous avez importé une liste de révocation de certificatclient, la liste de révocation de certificat client a peut-être expiré. Au cours de la phase d'authentification,le point de terminaison Client VPN vérifie le certificat client par rapport à la liste de révocation de certificatsclient que vous avez importée. Si la liste de révocation de certificats client a expiré, vous ne pouvez pasvous connecter au point de terminaison Client VPN.

Il peut aussi exister un problème avec le logiciel OpenVPN que le client utilise pour se connecter à ClientVPN.

Solution

Vérifiez la date d'expiration de votre liste de révocation de certificat client à l'aide de l'outil OpenSSL.

$ openssl crl -in path_to_crl_pem_file -noout -nextupdate

La sortie affiche la date et l'heure d'expiration. Si la liste de révocation de certificats client a expiré, vousdevez en créer une nouvelle et l'importer dans le point de terminaison Client VPN. Pour plus d'informations,consultez Listes de révocation des certificats de client (p. 56).

Pour plus d'informations sur le dépannage des logiciels OpenVPN, consultez Troubleshooting Your ClientVPN Connection (Dépannage de votre connexion Client VPN) dans le Guide de l'utilisateur AWS ClientVPN.

80



AWS Client VPN Guide de l'administrateurLe logiciel client renvoie des erreurs de nom d'utilisateur

et de mot de passe (authentification Active Directory)

Le logiciel client renvoie des erreurs de nomd'utilisateur et de mot de passe (authentificationActive Directory)

Problème

J'utilise l'authentification Active Directory pour mon point de terminaison Client VPN et je pouvais connectermes clients à Client VPN avec succès. Mais désormais, les clients obtiennent des erreurs de nomd'utilisateur et de mot de passe non valides.

Causes possibles :

Si vous utilisez l'authentification Active Directory et si vous avez activé l'authentification MFA (Multi-Factor Authentication) après avoir distribué le fichier de configuration client, le fichier ne contient pas lesinformations nécessaires pour inviter les utilisateurs à entrer leur code MFA. Les utilisateurs sont invités àentrer leur nom d'utilisateur et leur mot de passe uniquement, et l'authentification échoue.

Solution

Téléchargez un nouveau fichier de configuration client et distribuez-le à vos clients. Vérifiez que le fichiercontient la ligne suivante :

static-challenge "Enter MFA code " 1

Pour plus d'informations, consultez Exporter et configurer le fichier de configuration du client (p. 46). Testezla configuration MFA pour votre Active Directory sans utiliser le point de terminaison Client VPN pourvérifier que MFA fonctionne comme prévu.

Les clients ne peuvent pas se connecter(authentification mutuelle)

Problème

J'utilise l'authentification mutuelle pour mon point de terminaison Client VPN. Les clients obtiennent deserreurs d'échec de négociation de clé TLS et des erreurs de délai d'expiration.

Causes possibles :

Le fichier de configuration fourni aux clients ne contient pas le certificat client et la clé privée du client, ou lecertificat et la clé sont incorrects.

Solution

Assurez-vous que le fichier de configuration contient le certificat client et la clé corrects. Si nécessaire,corrigez le fichier de configuration et redistribuez-le à vos clients. Pour plus d'informations, consultezExporter et configurer le fichier de configuration du client (p. 46).

81

AWS Client VPN Guide de l'administrateurLe client renvoie des informations d’identification dont la

taille dépasse l'erreur maximale (authentification fédérée)

Le client renvoie des informations d’identificationdont la taille dépasse l'erreur maximale(authentification fédérée)

Problème

J'utilise l'authentification fédérée pour mon point de terminaison Client VPN. Lorsque les clients saisissentleur nom d'utilisateur et leur mot de passe dans la fenêtre du navigateur du fournisseur d'identité (IdP)basé sur SAML, ils obtiennent une erreur indiquant que les informations d'identification dépassent la taillemaximale prise en charge.

Cause

La réponse SAML renvoyée par l'IdP dépasse la taille maximale prise en charge. Pour plus d'informations,consultez Exigences et observations relatives à l'authentification fédérée basée sur SAML (p. 12).

Solution

Essayez de réduire le nombre de groupes auxquels l'utilisateur appartient dans l'IdP, puis essayez de vousconnecter à nouveau.

Le client n'ouvre pas le navigateur (authentificationfédérée)

Problème

J'utilise l'authentification fédérée pour mon point de terminaison Client VPN. Lorsque les clients essaient dese connecter au point de terminaison, le logiciel client n'ouvre pas de fenêtre de navigateur et affiche à laplace une fenêtre contextuelle de nom d'utilisateur et de mot de passe.

Cause

Le fichier de configuration fourni aux clients ne contient pas l'indicateur auth-federate.

Solution

Exportez le dernier fichier de configuration (p. 46), importez-le dans le client fourni par AWS et essayez devous connecter à nouveau.

Le client ne renvoie aucune erreur de portsdisponibles (authentification fédérée)

Problème

J'utilise l'authentification fédérée pour mon point de terminaison Client VPN. Lorsque des clients essaientde se connecter au point de terminaison, le logiciel client renvoie l'erreur suivante :

The authentication flow could not be initiated. There are no available ports.

82

AWS Client VPN Guide de l'administrateurVérifier la limite de bande passante

pour un point de terminaison Client VPN

Cause

Le client fourni par AWS nécessite l'utilisation du port TCP 35001 pour terminer l'authentification. Pourplus d'informations, consultez Exigences et observations relatives à l'authentification fédérée basée surSAML (p. 12).

Solution

Vérifiez que le périphérique du client ne bloque pas le port TCP 35001 ou ne l'utilise pas pour un autreprocessus.

Vérifier la limite de bande passante pour un point determinaison Client VPN

Problème

J'ai besoin de vérifier la limite de bande passante pour un point de terminaison Client VPN.

Cause

Le débit dépend de plusieurs facteurs, tels que la capacité de votre connexion depuis votre emplacementet la latence réseau entre votre application de bureau Client VPN sur votre ordinateur et le point determinaison de VPC.

Solution

Exécutez les commandes suivantes pour vérifier la bande passante.

sudo iperf3 -s -V

Sur le client :

sudo iperf -c server IP address -p port -w 512k -P 60

83


Historique du documentLe tableau suivant décrit les mises à jour du Guide de l'administrateur AWS Client VPN.

update-history-change update-history-description update-history-date

Client Connect Handler Vous pouvez activer ClientConnect Handler pour votrepoint de terminaison Client VPNafin d’exécuter une logiquepersonnalisée autorisant denouvelles connexions.

4 novembre 2020

Portail en libre-service Vous pouvez activer un portailen libre-service sur votre point determinaison Client VPN pour vosclients.

29 octobre 2020

Accès client à client Vous pouvez permettre auxclients qui se connectent à unpoint de terminaison Client VPNde se connecter entre eux.

29 septembre 2020

Authentification fédérée baséesur SAML 2.0

Vous pouvez authentifier lesutilisateurs Client VPN à l'aide del'authentification fédérée baséesur SAML 2.0.

19 mai 2020

Spécifier les groupes de sécuritélors de la création

Vous pouvez spécifier un VPCet des groupes de sécuritélorsque vous créez votre point determinaison AWS Client VPN.

5 mars 2020

Ports VPN configurables Vous pouvez spécifier un numérode port VPN pris en charge pourvotre point de terminaison AWSClient VPN.

16 janvier 2020

Prise en charge del'authentification MFA (Multi-Factor Authentication)

Votre point de terminaison AWSClient VPN prend en chargel'authentification MFA si celle-ci est activée pour votre ActiveDirectory.

30 septembre 2019

Prise en charge des tunnelspartagés

Vous pouvez activer le tunnelpartagé sur votre point determinaison AWS Client VPN.

24 juillet 2019

Première version (p. 84) Cette version présente AWSClient VPN.

18 décembre 2018

84

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/connection-authorization.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoints.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/scenario-client-to-client.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#federated-authentication

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#federated-authentication

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoints.html#cvpn-working-endpoint-create



https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html#ad



https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/split-tunnel-vpn.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/split-tunnel-vpn.html

Documents

AWS Client VPN · Chaque point de terminaison du VPN client a une table de routage qui décrit la les routes réseau de destination disponibles. Chaque route de la table de routage