老王佛系

阅读时间： 13 分钟

如果您正在寻找一种能安全访问 AWS 资源和内部网络中托管的服务器的解决方案，那您就读对了博客！ 在客户端 VPN 端点的帮助下，您可以让来自任何地理位置的用户使用基于 OpenVPN 的 VPN 客户端访问 AWS 和企业内部的资源。 在本博客中，我们将讨论 AWS 老王佛系、其功能、组件、定价等。 我们将动手了解 AWS 老王佛系 的工作原理！ 我们将了解如何设置客户端 VPN 端点以安全访问和管理 AWS 服务。

老王佛系

在本博客中，我们将介绍

• 什么是 AWS 客户端 VPN？
• 客户端 VPN 的功能
• 客户端 VPN 的关键组件
• 客户端 VPN 的限制
• 客户端 VPN 终端定价
• 与客户端 VPN 配合使用的方案
• 在 AWS 客户端 VPN 上工作
• 生成服务器和客户端证书及密钥
• 将证书上传到 AWS 证书管理器
• 连接记录
• 创建客户端 VPN 端点
• 关联和解除关联子网
• VPN 客户端配置
• 总结

老王佛系

• 它是一项由 AWS 管理的基于客户端的 VPN 服务，将帮助我们安全地访问 AWS 资源。
• 客户端 VPN 端点也可用于内部服务器。
• 我们可以使用 OpenVPN 客户端和 AWS 客户端 VPN 从任何地点访问 AWS 资源。

老王佛系

• 托管服务

由于这是一项由 AWS 管理的服务，我们无需部署和管理任何 VPN 解决方案。

• 认证

它支持使用 Active Directory、联合身份验证和基于证书的身份验证进行客户端身份验证。

• 安全连接

它可在任何地点使用 OpenVPN 客户端提供安全的 TLS 连接。

• 深度融合

它可以与现有的 AWS 服务（如 VPC 和 AWS 目录服务）轻松集成。

• 可管理性

我们可以管理活动客户端连接，也可以终止活动客户端连接。 我们可以查看连接日志，了解客户端连接尝试的相关信息。

• 高可用性 & 弹性

它能够根据连接到 AWS 和内部部署资源的用户数量进行扩展。

老王佛系

• 客户端 VPN 端点

这是我们为启用和管理客户端 VPN 连接而创建和配置的资源。

• 客户端 VPN 网络接口

我们将在子网中创建客户端 VPN 端点，该子网与 VPC 的任何流量相关联，并将在客户端 VPN 端点的帮助下通过客户端 VPN 网络接口发送。

• VPN 客户端端口

客户端 VPN 支持 TCP 和 UDP 端口 443 和 1194。

• 客户

来自任何地点的终端用户连接到客户端 VPN 端点，创建 VPN 会话。

• 道路

客户端 VPN 端点将拥有路由表，其中包含有关可用目的地网络接口的信息。

• 授权规则

none

• 目标网络

none

• 连接记录

我们可以启用客户端 VPN 端点的连接日志，记录客户端连接，这些日志可以存储在 CloudWatch 日志组中，我们可以利用这些日志分析客户端 VPN 的使用情况，或调试连接问题。

• 自助服务门户

可以为客户端 VPN 端点启用自助服务门户，这是一个基于 Web 的门户，终端用户可以使用它下载最新版本的客户端配置和 AWS 提供的 VPN 客户端的最新版本。

老王佛系

AWS 客户端 VPN 有以下限制：

• 客户端 CIDR 范围不能与相关子网所在 VPC 的本地 CIDR 重叠，也不能与手动添加到客户端 VPN 端点路由表中的任何路由重叠。

• 客户端 CIDR 范围的块大小必须至少为 /22，且不得大于 /12。

• 客户端 CIDR 范围内的部分地址用于支持客户端 VPN 端点的可用性模型，不能分配给客户端。 因此，我们建议你分配一个 CIDR 块，其包含的 IP 地址数量是客户端 VPN 端点计划支持的最大并发连接数的两倍。

• none

• 客户端 VPN 不符合联邦信息处理标准 (FIPS)。

• 创建客户端 VPN 端点后，不能更改客户端 CIDR 范围。

• 与客户端 VPN 端点相关联的子网必须位于同一个 VPC 中。

• 使用相互身份验证的客户端无法使用自助服务门户。

• 不能将同一可用区的多个子网与客户端 VPN 端点关联。

• 客户端 VPN 端点不支持专用租户 VPC 中的子网关联。

• 如果 Active Directory 禁用了多因素身份验证 (MFA)，则用户密码不能使用以下格式。

SCRV1:<base64_encoded_string>:<base64_encoded_string>；

老王佛系

• 每个客户端 VPN 端点的每个活动关联按小时计费。 按小时按比例计费。
• 每个客户 VPN 连接按小时计费。 按小时比例计费。

老王佛系

• 访问 VPC

此方案以单一 VPC 为目标。 如果只想让客户访问单个 VPC 内的资源，可以执行此设置。

• 访问对等 VPC

此方案包括一个与另一个 VPC（VPC B）对等的目标 VPC（VPC A）。 如果希望客户端访问目标 VPC 和与之对等的其他 VPC 中的资源，可以执行此配置。

• 访问内部网络

实施这种方案将只允许访问内部网络中的资源。 在客户端 VPN 的帮助下，用户可以访问内部服务器。

• 访问互联网

该配置允许终端用户访问单个目标 VPC 中的资源，并允许访问互联网。

• 客户端对客户端访问

这种方案允许客户端访问单个 VPC，并使客户端能够相互路由流量。

如果客户端连接到同一个客户端 VPN 端点，并且还需要相互通信，则使用此配置。

客户端的 CIDR 范围在相互连接时可以是唯一的。

• 限制网络访问

none

如果使用基于用户的身份验证，则可根据用户组限制对网络特定部分的访问。

老王佛系

在 AWS 老王佛系 中，有两类用户角色与 老王佛系 端点交互：管理员和客户。

老王佛系

• 这管理员负责设置和配置服务。
• 这包括创建客户端 VPN 端点、关联目标网络、配置授权规则以及设置附加路由（如需要）。
• 客户端 VPN 端点设置和配置完成后，管理员下载客户端 VPN 端点配置文件，并将其分发给需要访问的客户端。
• 客户端 VPN 端点配置文件包括客户端 VPN 端点的 DNS 名称和建立 VPN 会话所需的验证信息。

老王佛系

• 这客户是最终用户。
• 这是连接到客户端 VPN 端点以建立 VPN 会话的人。
• none
• 建立 VPN 会话后，他们就可以安全地访问相关子网所在 VPC 中的资源。
• 如果配置了所需的路由和授权规则，它们还可以访问 AWS 中的其他资源、内部部署网络或其他客户端

老王佛系

• 生成服务器和客户端证书及密钥
• 将证书上传到 AWS 证书管理器

1. 上传服务器证书
2. 上传客户证书

• 连接记录

1. 创建 Cloudwatch 日志组
2. none

• 创建客户端 VPN 端点
• 关联和解除关联子网
• none

老王佛系

让我们使用 AWS 控制台创建客户端 VPC 端点。 确保在与 VPC 相同的区域创建客户端 VPN 端点。

VPN 端点服务有不同的身份验证模式。

• 相互认证

• 活动目录身份验证
• 单点登录（基于 SAML 的联合身份验证）

在本次实践中，我们将使用相互验证。

• 通过相互验证，客户端 VPN 使用证书在客户端和服务器之间进行验证。
• 证书是由证书颁发机构颁发的一种数字形式的标识。
• 当客户尝试连接客户 VPN 端点时，服务器会使用客户证书对客户进行身份验证。
• 您必须创建服务器证书和密钥，以及至少一个客户端证书和密钥。

为了相互认证，我们需要使用 OpenVPN 创建服务器和客户端证书和密钥简便易行和

生成证书后，我们应将服务器和客户端的密钥和证书上传到AWS 证书管理器.

Easy-rsa是一个建立和管理证书颁发机构和公钥的工具。

easy-rsa 项目位于 OpenVPN GitHub

首先，让我们克隆版本库到本地系统。

让我们创建一个名为 easy-rsa 的文件夹，并在其中克隆 repo。

#mkdir easy-rsa

#cd easy-rsa

#git clone

下载软件包后，请转至easyrsa3none

创建或重新初始化新的 PKI 环境、

none

为了签署请求以生成证书，我们需要 CA。 在 PKI 中创建一个新的 CA、

#./easyrsa build-ca

如果要生成不带密码的 CA，请运行以下命令。

#./easyrsa build-ca 不通过

none

#./easyrsa build-server-full server nopass

让我们生成客户证书。

#./easyrsa build-client-full client1 nopass

none

#mkdir certificates

#cp pki/ca.crt certificates/

#cp pki/issued/server.crt certificates/

none

#cp pki/private/server.key certificates/

#cp pki/private/client1.key certificates/

我们已将所有证书和密钥复制到证书文件夹。

我们需要将服务器证书上传到 ACM，以便在配置客户端 VPN 端点时使用。

老王佛系

要将证书上传到 AWS 证书管理器，请登录 AWS 证书管理器控制台。

隶属供应证书单击 "开始"，然后选择导入证书

在 "选择证书 "下，我们需要提供使用 easyrsa 生成的服务器证书详细信息。

您将被要求提供三项详细信息。

我们需要复制并粘贴相应的证书，如下图所示。

认证机构->；服务器.crt

证书私钥->；服务器.钥匙

证书链->；CA.CRT

粘贴证书后，单击 "下一步"，然后单击 "下一步"。进口.

现在应发布证书状态。

现在，按照同样的步骤，我们需要导入客户端证书和密钥。

导入服务器和客户端证书后。

记下服务器和客户端证书的 ARN ，我们将在配置客户端 VPN 端点时使用它。

老王佛系

连接日志是 AWS 老王佛系 的一项功能，可让您捕获 老王佛系 端点的连接日志。

连接日志包含连接日志条目。 每个连接日志条目都包含连接事件的相关信息，即客户端（终端用户）连接、尝试连接或断开客户端 VPN 终端连接的时间。

您可以使用这些信息进行取证，分析客户端 VPN 端点的使用情况，或调试连接问题。

在提供 AWS 老王佛系 的所有地区均可使用连接日志。

连接日志会发布到您账户中的 CloudWatch 日志组。

对于连接日志，如果希望记录客户端连接的详细信息并将日志推送到 Cloudwatch，请选择是，并提供 Cloudwatch 日志组和 Cloudwatch 日志流。

让我们继续从 Cloudwatch 控制台创建 cloudwatch 日志组和 cloudwatch 日志流。

登录 Cloudwatch 控制台，在导航窗格中，在日志下单击日志组。

点击创建日志组、提供 为日志组命名，然后单击创造

为此，请选择已创建的日志组，然后单击创建日志流

none创建.

现在，我们为客户端 VPN 创建了一个 cloudwatch 日志组和日志流，以记录所有连接。

老王佛系

登录 VPC 控制台，在导航窗格的虚拟专用网关选择客户端 VPN 终端。

点击创建客户端 VPN 端点

提供 VPN 端点的名称。

客户端 IPV4 CIDR ，这是远程用户获取 IP 地址的子网。 例如，我的系统的远程 IP 是 192.168.0.102，子网是 192.168.0.0/24。

因此，在提供客户端 IPV4 CIDR 之前，我们应与网络团队核实，获取正确的子网详细信息，并创建客户端 VPN 端点。

隶属认证信息, 选择服务器证书 ARN , 这将取自 ACM。

对于验证选项 , none然后选择客户证书 ARN。

对于连接记录选择是然后选择已创建的 cloudwatch 日志组和日志流。

默认情况下，客户端 VPN 使用 UDP 传输协议，要使用 TCP 传输协议，请选择技术合作计划（TCP

然后选择VPC ID客户端 VPN 端点应与之关联，然后选择一个或多个 VPC 安全组应用于客户端 VPN。

然后选择 VPN 的端口号，默认端口为 443。

可选项，为客户生成自助服务门户、启用自助服务门户

none客户可以通过浏览器访问门户网站，下载客户 VPN 端点配置文件，还可以下载 AWS 提供的最新版客户端。

提供所有所需详细信息后，点击创建客户端 VPN 端点

一旦创建了客户端 VPN 端点，它就会出现在一个待协理州。

我们需要将客户端 VPN 端点与 VPC 和子网关联起来。

none协会并点击协理

选择虚拟PC和none与 VPN 端点相关联。

然后点击协理.端点的状态将处于联系州。

VPN 端点需要几分钟才能相关.

最后，VPC 和子网位于相关状态，客户端 VPN 端点处于可用的使用。

老王佛系

如果要从客户端 VPN 端点添加或删除子网，请转到 VPC 控制台。

选择客户端 VPN 端点 ，在关联下单击协理(要添加新的子网）

选择要与客户端 VPN 关联的 VPC 和子网，然后单击协理

您的新子网已关联。

要从客户端 VPN 中解除关联/删除子网，请在"......协会选择子网，然后单击脱离关系

老王佛系

客户端 VPN 端点准备就绪后，我们需要客户端与 VPN 端点建立 VPN 连接。

为此，我们需要在用户系统上安装一个 VPN 客户端工具。

在 Ubuntu 上，我们可以使用以下命令安装 OpenVPN 客户端、

sudo apt-get install openvpn

对于 Windows 和 MacOS，可从以下网址下载 VPN 客户端。

VPN 客户端安装到最终用户系统后，我们需要 .ovpn 文件，即 OpenVPN 客户端配置文件。

none

选择客户端 VPN 端点none下载客户端配置然后点击下载

我们可以将客户端证书和密钥（先前已生成）与 .ovpn 配置文件一起分发给最终用户。

打开 .ovpn 配置文件，将以下配置添加到文件/的末尾

cert /path/client.crt

密钥 /path/client.key

将证书和密钥添加到配置文件后。 保存并关闭文件。

在 Linux 系统上，我们可以使用以下命令建立 VPN 连接。

none

你应该会得到如下所示的回复。

我们已经建立了与 VPC 端点的连接，现在可以访问 VPC 中的 AWS 资源。

最后，我们需要配置授权进入页面上的客户端 VPN 端点。

在这里，我们将提到托管所有 AWS 资源的目标网络。

目标网络为虚拟PC本身。 由于我们使用的是相互验证，因此 "授予 "访问权限允许none

none

我们已经使用客户端 VPN 成功建立了 VPN 连接，因此我们应该能够在 VPN 端点的帮助下访问 AWS 资源。

在客户端 VPN 端点的帮助下，我们应该能够访问专用服务器和 EC2、RDS 等端点。

老王佛系

在本博客中，我们实施了一个解决方案，允许在客户端 VPN 端点的帮助下安全访问 AWS 资源。 我们还讨论了建立客户端 VPN 连接的不同方法，以实现不同的目的。 我们将在接下来的博客中讨论更多有关安全的问题。 请继续关注我们即将发布的关于 AWS 和相关技术的新博客，了解所有最新信息。

如有任何疑问，请随时发表评论，我们很乐意为您提供帮助！

同时...

none

本博客是我们为建立一个知识渊博、能力超群的技术社区所做努力的一部分。 在工作坠落我们致力于为通过 AWS 认证的人才提供最好的技术和薪酬机会。 如果您想与全球客户合作，打造一流的产品，同时赚取丰厚的报酬，请到以下公司试一试workfall.com/partner今天。