Quiero que mis usuarios de AWS Client VPN establezcan una conexión segura desde sus dispositivos finales a los recursos de AWS.
Resolución
Antes de configurar el acceso de AWS Client VPN a recursos específicos, tenga en cuenta lo siguiente:
- Cuando se asocia un punto de enlace de AWS Client VPN a una subred, se crean interfaces de red elásticas en la subred asociada. Estas interfaces de red reciben direcciones IP del CIDR de la subred.
- Cuando se establece una conexión AWS Client VPN, se crea un adaptador de túnel virtual (VTAP) en el dispositivo final. El adaptador virtual recibe una dirección IP del CIDR IPv4 del cliente del punto de conexión de AWS Client VPN.
- Al asociar una subred a su punto de enlace de AWS Client VPN, las interfaces de red de AWS Client VPN se crean en esa subred. El tráfico que se envía a la nube virtual privada (VPC) desde el punto de enlace de AWS Client VPN se envía a través de una interfaz de red de AWS Client VPN. A continuación, se aplica la traducción de direcciones de red de origen (SNAT). Es decir, la dirección IP de origen del rango CIDR del cliente se traduce a la dirección IP de la interfaz de red de AWS Client VPN.
Para que sus usuarios finales de AWS Client VPN tengan acceso a recursos de AWS específicos:
- Configure el enrutamiento entre la subred asociada al punto de enlace de AWS Client VPN y la red del recurso de destino. Si el recurso de destino se encuentra en la misma VPC que está asociada al punto de enlace, no es necesario que añada una ruta. En este caso, la ruta local de la VPC se utiliza para reenviar el tráfico. Si el recurso de destino no está en la misma VPC que está asociada al punto de conexión, añada la ruta correspondiente a la tabla de enrutamiento de subred asociada al punto de conexión de AWS Client VPN.
- Configure el grupo de seguridad del recurso de destino para permitir el tráfico entrante y saliente a través de la subred asociada al punto de enlace de AWS Client VPN. O bien, utilice los grupos de seguridad aplicados al punto de enlace haciendo referencia al grupo de seguridad adjunto al punto de enlace en la regla del grupo de seguridad del recurso de destino.
- Configure la lista de control de acceso de la red (ACL de la red) del recurso de destino para permitir el tráfico entrante y saliente a través de las subredes asociadas al punto de enlace de AWS Client VPN.
- Permita que el usuario final acceda a los recursos de destino en la regla de autorización del punto de enlace de AWS Client VPN. Para obtener más información, consulte AWS Client VPN authorization rules.
- Compruebe que la tabla de enrutamiento de AWS Client VPN tenga una ruta para el rango de red del recurso de destino. Para obtener más información, consulte AWS Client VPN routes y AWS Client VPN target networks.
- Permita el acceso saliente a los recursos de destino en el grupo de seguridad asociado al punto de enlace de AWS Client VPN.
Nota: Si tiene más de una subred asociada a su punto de enlace de AWS Client VPN, debe permitir el acceso desde cada uno de los CIDR de la subred de AWS Client VPN a:
- Los grupos de seguridad del recurso de destino
- Las ACL de la red del recurso de destino
Cree las rutas, las reglas del grupo de seguridad y las reglas de autorización necesarias para establecer la conectividad, en función del tipo de recurso al que acceden los usuarios. Para obtener información sobre cómo configurar el acceso, consulte Scenarios and examples for Client VPN.
Nota: Según su caso de uso, puede establecer una conexión de AWS Client VPN a las VPC y seguir dirigiendo el tráfico de Internet a través de la puerta de enlace local. Para ello, configure un punto de enlace de AWS Client VPN con túnel dividido.
Información relacionada
Funcionamiento de AWS Client VPN