Je souhaite que les utilisateurs de mon AWS Client VPN établissent une connexion sécurisée entre leurs appareils finaux et les ressources AWS.
Résolution
Avant de configurer l’accès Client VPN à des ressources spécifiques, consultez les informations suivantes :
- Quand un point de terminaison Client VPN est associé à un sous-réseau, des interfaces réseau élastiques sont créées dans le sous-réseau associé. Ces interfaces réseau reçoivent des adresses IP du CIDR du sous-réseau.
- Quand une connexion Client VPN est établie, un adaptateur de tunnel virtuel (VTAP) est créé sur le terminal. L’adaptateur virtuel reçoit une adresse IP du CIDR IPv4 du point de terminaison Client VPN.
- Lorsque vous associez un sous-réseau à votre point de terminaison Client VPN, des interfaces réseau Client VPN sont créées dans ce sous-réseau. Le trafic envoyé au cloud privé virtuel (VPC) depuis le point de terminaison Client VPN est envoyé via une interface réseau Client VPN. Ensuite, la traduction d’adresse réseau source (SNAT) est appliquée. Cela signifie que l’adresse IP source de la plage d’adresses CIDR du client est traduite en adresse IP de l’interface réseau Client VPN.
Pour permettre aux utilisateurs finaux de votre Client VPN d’accéder à des ressources AWS spécifiques, procédez comme suit :
- Configurez le routage entre le sous-réseau associé au point de terminaison Client VPN et le réseau de la ressource cible. Si la ressource cible se trouve dans le même VPC que celui associé au point de terminaison, vous n’avez pas besoin d’ajouter de route. Dans ce cas, la route locale du VPC est utilisée pour transférer le trafic. Si la ressource cible ne se trouve pas dans le même VPC que celui associé au point de terminaison, ajoutez la route correspondante dans la table de routage des sous-réseaux associée au point de terminaison Client VPN.
- Configurez le groupe de sécurité de la ressource cible pour autoriser le trafic entrant et sortant via le sous-réseau associé au point de terminaison Client VPN. Pour utiliser les groupes de sécurité appliqués au terminal, vous pouvez également faire référence au groupe de sécurité attaché au point de terminaison dans la règle de groupe de sécurité de la ressource cible.
- Configurez la liste de contrôle d’accès au réseau (ACL réseau) de la ressource cible pour autoriser le trafic entrant et sortant via le sous-réseau associé au point de terminaison Client VPN.
- Autorisez l’accès de l’utilisateur final aux ressources cibles dans la règle d’autorisation du point de terminaison Client VPN. Pour en savoir plus, consultez la page Règles d’autorisation AWS Client VPN.
- Vérifiez que la table de routage Client VPN contient une route pour la plage réseau de la ressource cible. Pour en savoir plus, consultez les pages Routes AWS Client VPN et Réseaux cibles AWS Client VPN.
- Autorisez l’accès sortant aux ressources cibles dans le groupe de sécurité associé au point de terminaison Client VPN.
Remarque : lorsque plusieurs sous-réseaux sont associés à votre point de terminaison Client VPN, vous devez autoriser l’accès depuis chacun des CIDR du sous-réseau Client VPN client vers :
- Les groupes de sécurité de la ressource cible
- Les ACL réseau de la ressource cible
Créez les routes, les règles de groupe de sécurité et les règles d’autorisation nécessaires pour établir la connectivité, en fonction du type de ressources auquel vos utilisateurs accèdent. Pour en savoir plus sur la configuration de l’accès, consultez la page Scénarios et exemples pour Client VPN.
Remarque : en fonction de votre cas d’utilisation, vous pouvez établir une connexion Client VPN aux VPC et continuer à acheminer le trafic Internet via la passerelle locale. Pour ce faire, configurez un point de terminaison Client VPN à tunnel partagé.
Informations connexes
Comment fonctionne AWS Client VPN