AWS VPN se compose de deux services : AWS Site-to-Site VPN et AWS Client VPN. AWS Site-to-Site VPN vous permet de connecter de façon sécurisée votre réseau sur site ou votre site de succursale à votre Amazon Virtual Private Cloud (Amazon VPC). AWS Client VPN vous permet de connecter de façon sécurisée des utilisateurs à AWS ou à des réseaux sur site.

Questions d'ordre général

Q : Qu'est-ce qu'un point de terminaison Client VPN ?

R : Un point de terminaison Client VPN est une structure régionale que vous configurez pour utiliser le service. Les sessions VPN des utilisateurs finaux sont résiliées au point de terminaison Client VPN. Lors de la configuration du point de terminaison Client VPN, vous spécifiez les détails d'authentification, les informations de certificat de serveur, l'allocation d'adresse IP client, ainsi que les options de connexion et de VPN.

Q : Qu'est-ce qu'un réseau cible ?

R : Un réseau cible est un réseau que vous associez au point de terminaison Client VPN qui permet un accès sécurisé à vos ressources AWS ainsi qu'à vos ressources sur site. Les réseaux cibles sont des sous-réseaux de votre VPC Amazon.

Facturation

Q : Qu'est-ce qui définit les heures de connexion VPN facturables ?

R : Les heures de connexion VPN sont facturées chaque fois que vos connexions VPN sont indiquées comme étant disponibles. Vous pouvez déterminer l'état d'une connexion VPN via AWS Management Console, l'interface de ligne de commande (CLI) ou une API. Si vous ne voulez plus utiliser votre connexion VPN, il vous suffit de la résilier pour éviter que des heures de connexion VPN supplémentaires ne vous soient facturées.

Q : Vos prix sont-ils toutes taxes comprises ?

R : Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. En savoir plus.

Configuration et gestion d'AWS Site-to-Site VPN

Q : Puis-je utiliser AWS Management Console pour contrôler et gérer AWS Site-to-Site VPN ?

R : Oui. Vous pouvez utiliser AWS Management Console pour gérer les connexions VPN IPSec, telles que celles du service AWS Site-to-Site VPN.

Q : Quels sont les limites ou quotas par défaut sur les VPN Site-to-Site ?

R : Les détails sur les limites et les quotas AWS Site-to-Site VPN peuvent être trouvés dans notre documentation.

Connectivité AWS Site-to-Site VPN

Q : Quelles sont les options de connectivité pour mon VPC ?

R : Vous pouvez connecter votre VPC à votre centre de données interne à partir d'une connexion VPN matérielle (via la passerelle réseau privé virtuel).

Q : Comment les instances sans adresse IP publique accèdent-elles à Internet ?

R : Les instances sans adresse IP publique peuvent accéder à Internet de deux façons :

les instances sans adresse IP publique peuvent acheminer leur trafic via une passerelle NAT (translation d'adresse réseau) ou une instance NAT pour accéder à Internet. Ces instances utilisent l'adresse IP publique de la passerelle ou instance NAT pour transiter via Internet. La passerelle ou instance NAT permet une communication sortante, mais n'autorise pas les machines sur Internet à initier une connexion vers des instances à adresse privée.

Pour les VPC équipés d'une connexion VPN matérielle ou d'une connexion Direct Connect, les instances peuvent acheminer leur trafic Internet jusqu'à votre centre de données, via la passerelle réseau privé virtuel. À partir de là, il est possible d'accéder à Internet via vos points de sortie existants et les périphériques de surveillance/sécurité du réseau.

Q : Comment une connexion AWS Site-to-Site VPN fonctionne-t-elle avec Amazon VPC ?

R : Une connexion AWS Site-to-Site VPN connecte votre VPC à votre centre de données. Amazon prend en charge les connexions VPN utilisant l'Internet Protocol Security (IPsec). Les données transférées entre votre VPC et votre centre de données empruntent une connexion VPN chiffrée pour maintenir la confidentialité et l'intégrité des données en transit. Aucune passerelle Internet n'est requise pour établir une connexion Site-to-Site VPN.

Q : Qu'est-ce qu'IPsec ?

R : IPsec est une suite de protocoles de sécurisation des communications IP (Internet Protocol) par l’authentification et le chiffrement de chaque paquet IP d’un flux de données.

Q : Quels appareils de passerelle client puis-je utiliser pour me connecter à Amazon VPC ?

R : Vous pouvez créer deux types de connexions AWS Site-to-Site VPN : les connexions VPN acheminées de façon statique et les connexions VPN acheminées de façon dynamique. Les périphériques de passerelle client qui prennent en charge les connexions VPN acheminées de façon statique doivent pouvoir :

établir une association de sécurité IKE en utilisant des clés pré-partagées ;

établir des associations de sécurité IPsec en mode tunnel ;

utiliser la fonction de chiffrement AES 128 bits, AES 256 bits, GCM-16 128 bits ou GCM-16 256 bits ;

utiliser la fonction de hachage SHA-1, SHA-2 (256), SHA2 (384) ou SHA2 (512) ;

utiliser Diffie-Hellman (DH) Perfect Forward Secrecy en mode « Groupe 2 », ou l'un des groupes DH supplémentaires que nous prenons en charge ;

pratiquer une fragmentation par paquets avant le chiffrement.

En plus des capacités ci-dessus, les périphériques qui prennent en charge les connexions Site-to-Site VPN acheminées de façon dynamique doivent pouvoir :

établir des appairages Border Gateway Protocol (BGP) ;

relier des tunnels à des interfaces logiques (VPN basé sur un routage) ;

utiliser IPsec Dead Peer Detection.

Q : Quels sont les groupes Diffie-Hellman pris en charge ?

R : Nous prenons en charge les groupes Diffie-Hellman (DH) ci-dessous, pour les phases 1 et 2.

Phase 1, groupes DH 2, 14-24.

Phase 2, groupes DH 2, 5, 14-24.

Q : Quels algorithmes sont proposés par AWS lorsqu'un changement de clé IKE est nécessaire ?

A : Par défaut, le point de terminaison d'un VPN du côté AWS proposera AES-128, SHA-1 et Groupe DH 2. Si vous souhaitez une proposition spécifique pour un changement de clé, il est recommandé d'utiliser Modify VPN Tunnel Options pour restreindre les options de tunnel aux paramètres du VPN spécifique requis.

Q : Quels sont les appareils passerelle client dont la compatibilité avec Amazon VPC a été vérifiée ?

R : Dans le guide de l'administrateur réseau, vous trouverez une liste des appareils répondant aux exigences mentionnées ci-dessus, qui sont connus pour fonctionner avec des connexions VPN matérielles et prennent en charge, via les outils de ligne de commande, la génération automatique de fichiers de configuration adaptés à votre appareil.

Q : Si mon appareil n'est pas répertorié, où puis-je trouver plus d'informations sur sa compatibilité avec Amazon VPC ?

R : Nous vous recommandons de visiter le forum Amazon VPC, car il se peut que d’autres clients utilisent déjà votre appareil.

Q : Quel est le débit maximal approximatif d'une connexion Site-to-Site VPN ?

R : Chaque connexion AWS Site-to-Site VPN a deux tunnels et chaque tunnel prend en charge un débit maximum allant jusqu'à 1,25 Gbit/s. Si votre connexion VPN est une passerelle réseau privé virtuel, les limites de débit regroupé s'appliquent.

Q : Existe-t-il une limite de débit regroupé pour la passerelle réseau privé virtuel ?

R : Une passerelle réseau privé virtuel a une limite de débit regroupé par type de connexion. Plusieurs connexions VPN à la même passerelle réseau privé virtuel sont liées par une limite de débit regroupé depuis AWS au site allant jusqu'à 1,25 Gbit/s. Pour une connexion AWS Direct Connect à une passerelle réseau privé virtuel, le débit est lié par le port physique Direct Connect lui-même. Pour connecter plusieurs VPC et atteindre des limites de débit supérieures, utilisez AWS Transit Gateway.

Q : Quels facteurs influencent le débit de ma connexion VPN ?

R : Le débit de la connexion VPN peut dépendre de plusieurs facteurs, notamment la capacité de votre passerelle client, la capacité de votre connexion, la taille moyenne des paquets, le protocole utilisé (TCP ou UDP) et la latence du réseau entre votre passerelle client et la passerelle réseau privé virtuel.

Q : Quel est le nombre maximum approximatif de paquets par seconde d'une connexion Site-to-Site VPN ?

R : Chaque connexion AWS Site-to-Site VPN dispose de deux tunnels, et chaque tunnel prend en charge jusqu'à 140 000 paquets par seconde.  

Q : Quels sont les outils disponibles pour résoudre les problèmes liés à ma configuration Site-to-Site VPN ?

R : L'API DescribeVPNConnection affiche l'état de la connexion VPN, y compris l'état (« up » (bas) / « down » (haut)) de chaque tunnel VPN et les messages d'erreur correspondants dans le cas où un tunnel serait « down ». Cette information est également affichée dans AWS Management Console.

Q : Comment connecter un VPC à mon centre de données interne ?

R : Établir une connexion VPN matérielle entre votre réseau existant et Amazon VPC vous permet d'interagir avec les instances Amazon EC2 au sein d'un VPC comme si elles étaient dans votre réseau existant. AWS n’effectue pas la traduction d’adresses réseau (NAT) sur les instances Amazon EC2 au sein d’un VPC accessible via une connexion VPN matérielle.

Q : Puis-je activer la fonction NAT de ma passerelle client derrière un routeur ou un pare-feu ?

R : Utilisez l'adresse IP publique de votre périphérique NAT.

Q : Quelle adresse IP utiliser pour mon adresse de passerelle client ?

R : Utilisez l'adresse IP publique de votre périphérique NAT.

Q : Comment désactiver la fonction NAT-T sur ma connexion ?

R : Vous devez désactiver la fonction NAT-T sur votre appareil. Si vous ne comptez pas utiliser la fonction NAT-T et qu'elle n'est pas désactivée sur votre appareil, nous tenterons d'établir un tunnel sur le port UDP 4500. Si ce port n'est pas ouvert, le tunnel ne sera pas établi.

Q : Combien d'associations de sécurité IPsec peut-on établir en même temps par tunnel ?

R : Le service AWS VPN est une solution basée sur des routages. L'utilisation d'une configuration basée sur des routages n'entraînera donc pas de limites d'associations de sécurité. Toutefois, si vous utilisez une solution basée sur des stratégies, vous devrez vous limiter à une seule association de sécurité, car le service est une solution basée sur des routages.

Q : Puis-je annoncer la plage d'adresses IP de mon VPC public sur Internet et acheminer le trafic par mon centre de données, via la connexion Site-to-Site VPN, en direction de mon VPC ?

R : Oui, vous pouvez acheminer le trafic via une connexion VPN et rendre publique la plage d'adresses depuis votre réseau interne.

Q : Quel est le nombre maximum de routes que ma connexion VPN communiquera à l'appareil passerelle client ?

R : Votre connexion VPN communiquera au maximum 1 000 routes à l'appareil passerelle client. Pour les VPN situés sur une passerelle réseau privé virtuel, les sources de route communiquées incluent des routes VPC, d'autres routes VPN et des routes d'interfaces virtuelles DX. Pour les VPN situés sur une AWS Transit Gateway, les routes communiquées sont issues de la table de routage associée à la connexion VPN. Si plus de 1 000 routes font l'objet de tentatives d'envoi, seul un sous-ensemble de 1 000 routes sera communiqué.  

Q : Quel nombre maximum de routes peut être communiqué à ma connexion VPN à partir de mon appareil passerelle client ?

R : Vous pouvez communiquer un maximum de 100 routes à votre connexion Site-to-Site VPN sur une passerelle privée virtuelle à partir de votre appareil passerelle client ou un maximum de 1 000 routes à votre connexion Site-to-Site VPN sur une passerelle AWS Transit Gateway. Pour une connexion VPN avec des routes statiques, vous ne pourrez pas ajouter plus de 100 routes statiques. Pour une connexion VPN avec BGP, la session BGP se réinitialisera si vous tentez de communiquer plus que le maximum autorisé pour le type de passerelle.

Q : Les connexions VPN prennent-elles en charge le trafic IPv6 ?

R : Oui. Les connexions VPN vers une passerelle AWS Transit Gateway prennent en charge le trafic IPv4 ou IPv6. L'option peut être choisie lors de la création d'une nouvelle connexion VPN. Pour sélectionner l'IPv6 pour le trafic VPN, réglez l'option « À l'intérieur de la version IP » pour le tunnel VPN sur IPv6. Veuillez noter que les adresses IP du point de terminaison du tunnel et de la passerelle client sont définies sur IPv4 uniquement.

Q : Quel côté du tunnel VPN lance la session IKE (Internet Key Exchange) ?

R : Par défaut, c'est votre passerelle client (CGW) qui doit lancer la session IKE. Autrement, les points de terminaison AWS VPN peuvent lancer la session lorsque les options requises sont activées.

Q : Les connexions VPN prennent-elles en charge les adresses IP privées ?

R : Oui. La fonction Site-to-Site VPN avec adresses IP privées vous permet de déployer des connexions VPN vers AWS Transit Gateway à l'aide d'adresses IP privées. Le VPN avec adresses IP privées fonctionne sur une interface virtuelle de transit (VIF) AWS Direct Connect. Vous pouvez sélectionner des adresses IP privées comme vos adresses IP de tunnel externes tout en créant une connexion VPN. Veuillez noter que les adresses IP du point de terminaison du tunnel et de la passerelle client sont définies sur IPv4 uniquement.

Q : Y a-t-il des différences entre les interactions des protocoles de VPN avec adresses IP publiques et des protocoles de VPN avec adresses IP privées ?

R : Non, le chiffrement IPSec et l'échange de clés fonctionnent de la même manière pour les connexions Site-to-Site VPN avec adresses IP privées que pour les connexions VPN avec adresses IP publiques.

Q : Ai-je besoin d'une passerelle de transit pour le VPN avec adresses IP privées ?

R : Oui, vous avez besoin d'une passerelle de transit pour déployer des connexions VPN avec adresses IP privées. De plus, un attachement de Direct Connect pour le transport est requis pour un attachement VPN avec adresses IP privées sur la passerelle de transit. Vous devez spécifier un ID d'attachement Direct Connect lors de la configuration d'une connexion VPN avec adresses IP privées sur une passerelle de transit. Plusieurs connexions VPN avec adresses IP privées peuvent utiliser le même attachement Direct Connect pour le transport.

Q : Les VPN avec adresses IP privées prennent-ils en charge le routage statique et le BGP ?

R : Oui, les VPN avec adresses IP privées prennent en charge le routage statique ainsi que le routage dynamique à l'aide du BGP. Si votre périphérique de passerelle client prend en charge le protocole de passerelle frontière (BGP), spécifiez un routage dynamique lorsque vous configurez votre connexion Site-to-Site VPN. Si votre périphérique de passerelle client ne prend pas en charge le BGP, spécifiez un routage statique. Nous vous recommandons d'utiliser des périphériques compatibles BGP, lorsqu'ils sont disponibles, car le protocole BGP offre des contrôles de détection de présence robustes qui peuvent faciliter le basculement vers le deuxième tunnel VPN si le premier tunnel tombe en panne.

Q : Quel est le comportement d'association et de propagation de la table de routage de la passerelle de transit pour les attachements de VPN avec adresses IP privées ?

R : Le comportement d'association et de propagation de la table de routage pour un attachement de VPN avec adresses IP privées est le même que pour tout autre attachement de la passerelle de transit. Vous pouvez associer une table de routage de la passerelle de transit à l'attachement de VPN avec adresses IP privées et propager des acheminements à partir de l'attachement de VPN avec adresses IP privées vers n'importe laquelle des tables de routage de la passerelle de transit.

Q : Quel débit puis-je obtenir avec le VPN avec adresses IP privées ?

R : Tout comme les connexions Site-to-site VPN, chaque connexion VPN avec adresses IP privées prend en charge 1,25 Gbit/s de bande passante. Vous pouvez utiliser ECMP (multi-chemin à coût égal) sur plusieurs connexions VPN avec adresses IP privées pour augmenter la bande passante efficace. À titre d'exemple, pour envoyer 10 Gbit/s de trafic DX sur un VPN avec adresses IP privées, vous pouvez utiliser 4 connexions VPN avec adresses IP privées (4 connexions x 2 tunnels x 1,25 Gbit/s de bande passante) avec ECMP entre une paire de passerelle de transit et de passerelle client.

Q : Puis-je obtenir du trafic ECMP entre des connexions VPN avec adresses IP privées et des connexions VPN avec adresses IP publiques ?

R : Non, vous ne pouvez pas obtenir du trafic ECMP entre des connexions VPN avec adresses IP privées et des connexions VPN avec adresses IP publiques. L'ECMP pour les connexions VPN avec adresses IP privées ne fonctionnera que sur les connexions VPN qui ont des adresses IP privées.

Q : Qu'est-ce que la MTU (unité de transmission maximale) de la connexion VPN avec adresses IP privées ?

R : Les connexions VPN avec adresses IP privées prennent en charge 1 500 octets de MTU.

Q : Une connexion VPN avec adresses IP privées peut-elle être associée à un autre compte propriétaire que celui de la passerelle de transit ?

R : Non, la passerelle de transit et les connexions Site-to-site VPN doivent être détenues par le même compte AWS.

Q : Dans quelles régions AWS le service AWS Site-to-site VPN et la fonction VPN avec adresses IP privées sont-ils disponibles ?

R : Le service AWS Site-to-Site VPN est disponible dans toutes les régions commerciales à l'exception des régions AWS Asie-Pacifique (Beijing) et AWS Asie-Pacifique (Ningxia). La fonction VPN avec adresses IP privées est prise en charge dans toutes les régions AWS où le service AWS Site-to-Site VPN est disponible.

Connexions AWS Site-to-Site VPN accélérées

Q : Pourquoi utiliser des connexions Site-to-Site VPN accélérées ?

A : Les connexions VPN présentent une disponibilité et des performances aléatoires, car le trafic parcourt de multiples réseaux publics sur Internet avant d'atteindre le point de terminaison VPN dans AWS. Ces réseaux publics peuvent être congestionnés. Chaque saut peut avoir un impact sur la disponibilité et les performances. Les connexions Site-to-Site VPN accélérées assurent une expérience client plus stable en utilisant le réseau global AWS à haute disponibilité et sans encombrement.

Q : Comment puis-je créer une connexion Site-to-Site VPN accélérée ?

R : Lors de la création d'une connexion VPN, configurez l'option « Enable Acceleration » (Activer l'accélération) sur « true » (vrai).

Q : Comment déterminer si ma connexion VPN existante est une connexion Site-to-Site VPN accélérée ?

R : Dans la description de votre connexion VPN, la valeur de l'option « Enable Acceleration » (Activer l'accélération) doit être configurée sur « true » (vrai).

Q : Comment puis-je convertir ma connexion Site-to-Site VPN existante en connexion Site-to-Site VPN accélérée ?

R : Créez une nouvelle connexion Site-to-Site VPN accélérée, mettez à jour la configuration de votre appareil passerelle client pour qu'il se connecte à cette connexion VPN et supprimez votre connexion VPN existante. De nouvelles adresses IP (Internet Protocol) de point de terminaison de tunnel seront créées, car les connexions VPN accélérées utilisent des plages d'adresses IP distinctes des plages utilisées pour les connexions non accélérées.

Q : Les connexions Site-to-Site VPN accélérées sont-elles prises en charge par les passerelles virtuelles et AWS Transit Gateway ?

R : Seul les passerelles Transit Gateway prennent en charge les connexions VPN Site-to-Site accélérées. Une passerelle Transit Gateway doit être spécifiée lors de la création de la connexion VPN. Le point de terminaison VPN côté AWS est créé sur la passerelle Transit Gateway.

Q : Les connexions Site-to-Site VPN accélérées offrent-elles deux tunnels pour une plus grande disponibilité ?

R : Oui, chaque connexion VPN offre deux tunnels pour une haute disponibilité.

Q ;: Existe-t-il des différences de protocole entre les tunnels Site-to-Site VPN accélérés et non accélérés ?

R : Une fonction NAT-T est requise et est activée par défaut pour les connexions Site-to-Site VPN accélérées. Mis à part cette distinction, les tunnels accélérés et non accélérés prennent en charge les mêmes protocoles IPSec (Internet Protocol Security) et IKE (Internet Key Exchange) et offrent la même bande passante, les mêmes options de tunnel et de routage et les mêmes types d'authentification.

Q : Les connexions Site-to-Site VPN accélérées offrent-elles deux zones de réseau pour une plus grande disponibilité ?

R : Oui, nous sélectionnons des adresses IP (Internet Protocol) globales AWS Global Accelerator de zones de réseau indépendantes pour les deux points de terminaison de tunnel.

Q : Des connexions Site-to-Site VPN accélérées peuvent-elles être établies dans AWS Global Accelerator ?

R : Non, les connexions Site-to-Site VPN accélérées peuvent uniquement être créées via le service AWS Site-to-Site VPN. Les connexions Site-to-Site VPN accélérées ne peuvent pas être créées via la console AWS Global Accelerator ou une API.

Q : Puis-je utiliser des connexions Site-to-Site VPN accélérées via des interfaces virtuelles publiques AWS Direct Connect ?

R : Non, les connexions Site-to-Site VPN accélérées ne sont pas disponibles via des interfaces virtuelles publiques AWS Direct Connect. Dans la plupart des cas, l'accélération de connexions Site-to-Site VPN ne présente pas d'avantage sur les interfaces publiques Direct Connect.

Q : Dans quelles régions AWS le VPN accéléré site à site est-il disponible ?

R : Le VPN accéléré site à site est disponible à l'heure actuelle dans les régions AWS suivantes : USA Ouest (Oregon), USA Ouest (Californie du Nord), USA Est (Ohio), USA Est (Virginie du Nord), Amérique du Sud (Sao Paulo), Moyen-Orient (Bahreïn), Europe (Stockholm), Europe (Paris), Europe (Milan), Europe (Londres), Europe (Irlande), Europe (Francfort), Canada (Centre), Asie-Pacifique (Tokyo), Asie-Pacifique (Sydney), Asie-Pacifique (Singapour), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai), Asie-Pacifique (Hong Kong) et Afrique (Le Cap).

Visibilité et surveillance AWS Site-to-Site VPN

Q : Quels journaux sont pris en charge pour AWS Site-to-Site VPN ?

R : Les journaux de connexion Site to Site VPN incluent des détails sur l'activité d'établissement de tunnel de sécurité IP (IPsec), dont les négociations d'Internet Key Exchange (IKE) et les messages du protocole Dead Peer Detection (DPD). Ces journaux sont exportés périodiquement à 5 minutes d'intervalle et sont livrés dans les journaux CloudWatch lorsque cela est possible.

Q : Les journaux Site-to-Site VPN sont-ils offerts pour les connexions VPN aux passerelles de transit et passerelles virtuelles ?

R : Oui, vous pouvez autoriser les journaux Site-to-Site VPN pour les connexions passerelles de transit et passerelles virtuelles basées sur des connexions VPN.

Q : Puis-je autoriser les journaux Site-to-Site VPN sur ma connexion VPN existante ?

R : Oui, vous pouvez activer les journaux Site-to-Site VPN depuis les options de tunnel, au moment de la création ou de la modification de votre connexion.

Q : Que se passe-t-il lorsque j'autorise les journaux Site-to-Site VPN sur ma connexion VPN existante ?

R : Lorsque vos autorisez les journaux Site-to-Site VPN sur votre connexion VPN existante à l'aide des options de tunnel, votre connectivité sur les tunnels est interrompues pour plusieurs minutes maximum. Chaque connexion VPN offre deux tunnels pour une haute disponibilité. Vous pouvez autoriser les journaux sur un seul tunnel à la fois et seul le tunnel modifié sera impacté. Pour en savoir plus, consultez Remplacements du point de terminaison du tunnel Site-to-Site VPN dans le guide utilisateur d'AWS Site-to-Site VPN.

Configuration et gestion d'AWS Client VPN

Q : Comment configurer AWS Client VPN ?

R : L'administrateur IT crée un point de terminaison Client VPN, associe un réseau cible à ce point de terminaison et configure les stratégies d'accès afin de permettre la connexion des utilisateurs finaux. L'administrateur IT distribue le fichier de configuration de client VPN aux utilisateurs finaux. Les utilisateurs doivent télécharger un client OpenVPN et utiliser le fichier de configuration de client VPN pour créer leur session VPN.

Q : Quelle procédure un utilisateur final doit-il suivre pour configurer une connexion ?

R : L'utilisateur final doit télécharger un client OpenVPN sur son appareil. Ensuite, il importe le fichier de configuration AWS Client VPN dans le client OpenVPN et lance une connexion VPN.

Connectivité AWS Client VPN

Q : Comment permettre la connectivité avec d'autres réseaux ?

R : Vous pouvez permettre la connexion à d'autres réseaux comme des VPC Amazon appairés, des réseaux sur site via une passerelle virtuelle ou des services AWS, tels que S3, via des points de terminaison, des réseaux via AWS PrivateLink ou d'autres ressources via une passerelle Internet. Pour permettre cette connectivité, ajoutez une route au réseau spécifique dans la table de routage Client VPN et ajoutez une règle d'autorisation autorisant l'accès à ce réseau spécifique.

Q : Le point de terminaison Client VPN peut-il appartenir à un compte différent de celui du sous-réseau associé ?

R : Non, le sous-réseau associé doit appartenir au même compte que le point de terminaison Client VPN.

Q : Puis-je accéder à des ressources dans un VPC d'une région différente de celle dans laquelle j'ai configuré la session TLS, en utilisant une adresse IP privée ?

R : Vous pouvez y parvenir en suivant ces deux étapes : premièrement, établissez une connexion d'appareillage inter-régions entre votre VPC de destination (dans la région différente) et le Client VPN associé au VPC. Ensuite, ajoutez une route et une règle d'accès au VPC de destination dans le point de terminaison Client VPN. Vos clients peuvent désormais accéder aux ressources d'un VPC de destination qui se situe dans une région différente de celle de votre point de terminaison Client VPN.

Q : Quels protocoles de transport sont pris en charge par Client VPN ?

R : Vous avez le choix entre les protocoles TCP et UDP pour votre session VPN.

Q : AWS Client VPN prend-il en charge les tunnels fractionnés ?

R : Oui. Vous pouvez choisir de créer un point de terminaison avec le tunnel fractionné activé ou désactivé. Si vous avez précédemment créé un point de terminaison avec un tunnel fractionné désactivé, vous pouvez choisir de le modifier pour activer le tunnel fractionné. Si le tunnel fractionné est activé, le trafic destiné aux routes configurés sur le point de terminaison est acheminé via le tunnel VPN. Le trafic restant est acheminé via votre interface réseau locale. Si le tunnel fractionné est désactivé, tout le trafic provenant de l'appareil traverse le tunnel VPN.

Authentification et autorisations AWS Client VPN

Q : Quels mécanismes d'authentification AWS Client VPN prend-il en charge ?

R : AWS Client VPN prend en charge l'authentification avec Active Directory en utilisant AWS Directory Service et l'authentification par certificat et Federated Authentication en utilisant SAML-2.0.

Q : Est-il possible d'utiliser un service Active Directory sur site pour authentifier les utilisateurs ?

R : Oui. AWS Client VPN est compatible avec AWS Directory Service ce qui vous permet de vous connecter à Active Directory sur site.

Q : AWS Client VPN prend-il en charge l'authentification mutuelle ?

R : Oui, AWS Client VPN prend en charge l'authentification mutuelle. Lorsque l'authentification mutuelle elle est activée, le client doit charger le certificat racine utilisé pour générer le certificat client sur le serveur.

Q : Est-il possible d'établir une liste noire de certificats de client ?

R : Oui, AWS Client VPN prend en charge une liste de révocation de certificats (CRL) configurée de manière statique.

Q : AWS Client VPN permet-il aux clients d'apporter leurs propres certificats ?

R : Oui. Vous devez charger le certificat, le certificat d'autorité de certification (CA) racine et la clé privée du serveur. Ils sont téléchargés vers AWS Certificate Manager.

Q : AWS Client VPN s'intègre-t-il avec AWS Certificate Manager (ACM) pour générer des certificats de serveur ?

R : Oui. Vous pouvez utiliser ACM comme autorité de certification subordonnée chaînée à une autorité de certification racine externe. ACM génère alors le certificat de serveur. Dans ce scénario, ACM assure également le renouvellement des certificats de serveur.

Q : AWS Client VPN prend-il en charge les évaluations de posture ?

R : Non. AWS Client VPN ne prend pas en charge les évaluations de posture. D'autres services AWS, comme Amazon Inspectors, prennent en charge les évaluations de posture.

Q : AWS Client VPN prend-il en charge Multi-Factor Authentication (MFA) ?

R : AWS Client VPN prend en charge MFA via Active Directory en utilisant AWS Directory Service et via des fournisseurs d'identité externes (Okta, par exemple).

Q : Comment AWS Client VPN prend-il en charge les autorisations ?

R : Vous pouvez configurer des règles d'autorisation qui restreignent l'accès à un réseau à certains utilisateurs. Pour un réseau de destination donné, vous pouvez configurer le groupe Active Directory/fournisseur d'identité dont l'accès est autorisé. Seuls les utilisateurs appartenant au groupe Active Directory/fournisseur d'identité peuvent alors accéder au réseau spécifié.

Q : AWS Client VPN prend-il en charge les groupes de sécurité ?

R : AWS Client VPN prend en charge les groupes de sécurité. Vous pouvez spécifier un groupe de sécurité pour le groupe des associations. Lorsqu'un sous-réseau est associé, nous appliquerons automatiquement le groupe de sécurité par défaut au VPC du sous-réseau.

Q : Comment utiliser un groupe de sécurité pour restreindre l'accès à mes applications aux connexions Client VPN uniquement ?

R : Vous pouvez configurer l'accès à une de vos applications de manière à ce qu'il soit exclusivement autorisé depuis les groupes de sécurité qui ont été appliqués au sous-réseau associé. Désormais, vous pouvez alors limiter l'accès aux seuls utilisateurs connectés via Client VPN.

Q : Dans Federated Authentication, est-il possible de modifier le document de métadonnées IDP ?

R : Oui, vous pouvez charger un nouveau document de métadonnées dans le fournisseur d'identité IAM associé au point de terminaison Client VPN. Les métadonnées mises à jour sont reflétées dans 2 à 4 heures.

Q : Puis-je utiliser un client OpenVPN tiers pour me connecter à un point de terminaison Client VPN configuré avec Federated Authentication ?

R : Non, vous devez utiliser le logiciel AWS Client VPN pour vous connecter au point de terminaison.

Visibilité et surveillance AWS Client VPN

Q : Quels journaux sont pris en charge pour AWS Client VPN ?

R : Client VPN exporte les journaux de connexion vers CloudWatch Logs comme service de niveau « meilleur effort ». Ces journaux sont exportés régulièrement toutes les 15 minutes. Ils contiennent des informations sur les demandes de connexion créées et terminées.

Q : Client VPN prend-il en charge les journaux de flux Amazon VPC dans le point de terminaison ?

R : Non. Vous pouvez utiliser les journaux de flux Amazon VPC dans le VPC associé.

Q : Puis-je surveiller les connexions actives ?

R : Oui, en utilisant l'interface de ligne de commande (CLI) ou la console, vous pouvez afficher les connexions actives actuelles pour un point de terminaison et en résilier si vous le souhaitez.

Q : Puis-je effectuer un suivi par point de terminaison en utilisant CloudWatch ?

R : Oui. En utilisant le moniteur CloudWatch vous pouvez afficher les octets entrants et sortants et les connexions actives pour chaque point de terminaison Client VPN.

Clients VPN

Q : Comment déployer le client de logiciel gratuit pour AWS Client VPN ?

R : Le logiciel client pour AWS Client VPN est compatible avec les configurations existantes d'AWS Client VPN. Le client prend en charge l'ajout de profils à l'aide du fichier de configuration OpenVPN généré par le service VPN client AWS. Une fois le profil créé, le client se connecte à votre point de terminaison en fonction de vos paramètres.

Q : Quel est le prix supplémentaire pour utiliser le logiciel client d'AWS Client VPN ?

A :Le logiciel client est fourni gratuitement. Vous ne serez facturé que pour l'utilisation du service VPN client AWS.

Q : Quels sont les types d'appareils et les versions de système d'exploitation pris en charge ?

R : Le client pour bureau prend actuellement en charge les appareils 64 bits Windows 10, macOS (Mojave, Catalina et Big Sur) et Ubuntu Linux (18.04 et 20.04). 

Q : Mes profils de connexion se synchronisent-ils entre tous mes appareils ?

R : Non, mais les administrateurs informatiques peuvent fournir des fichiers de configuration pour le déploiement de leur client logiciel afin de préconfigurer les paramètres.

R : Ai-je besoin d'une autorisation d'administrateur sur mon appareil pour exécuter le logiciel client d'AWS Client VPN ?

R : Oui. Vous devez disposer d'un accès administrateur pour installer l'application sur Windows et Mac. Ensuite, aucun accès administrateur n'est nécessaire.

Q : Quel protocole VPN est utilisé par le client d'AWS Client VPN ?

R : AWS Client VPN, y compris le logiciel client, prend en charge le protocole OpenVPN.

R : Toutes les fonctionnalités prises en charge par le service VPN client AWS seront-elles prises en charge à l'aide du client logiciel ?

R : Oui. Le client prend en charge toutes les fonctionnalités fournies par le service VPN client AWS.

R : Le client logiciel d'AWS Client VPN autorise-t-il l'accès au LAN lorsqu'il est connecté ?

R : Oui, vous pouvez accéder à votre réseau local lorsque vous êtes connecté à AWS VPN Client.

R : Quelles fonctionnalités d'authentification le logiciel client prend-il en charge ?

R : Le logiciel client VPN AWS Client prend en charge tous les mécanismes d'authentification offerts par le service VPN AWS Client : authentification avec Active Directory en utilisant AWS Directory Service, authentification par certificat et Federated Authentication en utilisant SAML-2.0.

R : Quel type de journalisation client sera pris en charge par AWS Client VPN ?

R : Lorsqu'un utilisateur tente de se connecter, les informations de la configuration de la connexion sont enregistrées. Les tentatives de connexion sont enregistrées jusqu'à 30 jours avec une taille de fichier maximale de 90 Mo.

R : Puis-je combiner le client logiciel d'AWS Client VPN et les clients OpenVPN basés sur des normes se connectant au point de terminaison AWS Client VPN?

R : Oui, en supposant que le type d'authentification défini sur le point de terminaison AWS Client VPN est pris en charge par le client OpenVPN normalisé.

R : Où télécharger le logiciel client d'AWS Client VPN

R : Vous pouvez télécharger le client générique sans aucune personnalisation à partir de la page du produit AWS Client VPN. Les administrateurs informatiques peuvent choisir d'héberger le téléchargement dans leur propre système.

R : Puis-je exécuter plusieurs types de clients VPN sur un même appareil ?

R : Nous ne recommandons pas d'exécuter plusieurs clients VPN sur un appareil. Cela peut provoquer des conflits ou les clients VPN peuvent interférer entre eux et provoquer des connexions infructueuses. Cela dit, le VPN client AWS peut être installé avec un autre client VPN.

Passerelle réseau privé virtuel

Q : Quelle est cette fonction ?

R : Pour toute nouvelle passerelle réseau privé virtuel, le numéro de système autonome privé configurable (ASN) permet aux clients de définir l'ASN du côté Amazon de la session BGP pour les VPN et les VIF privés d'AWS Direct Connect.

Q : Combien coûte l'utilisation de cette fonctionnalité ?

R : Cette fonction n'entraîne aucuns frais supplémentaires.

Q : Comment puis-je configurer/assigner mon ASN pour qu'il puisse être annoncé comme un ASN du côté Amazon ?

R : Vous pouvez configurer/assigner un ASN pour qu'il soit annoncé comme un ASN du côté d'Amazon lors de la création de la nouvelle passerelle réseau privé virtuel. Vous pouvez créer une passerelle réseau virtuel à l'aide de la console VPC ou d'un appel d'API EC2/CreateVpnGateway.

Q : Quels ASN Amazon a-t-il affectés avant cette fonctionnalité ?

R : Amazon a affecté les ASN suivants : UE Ouest (Dublin) 9059, Asie-Pacific (Singapour) 17493 et Asie-Pacific (Tokyo) 10124. Toutes les autres régions ont reçu l'ASN 7224. Ces ASN sont qualifiés « d'ASN public existant » de leur région.

Q : Puis-je utiliser un ASN, qu'il soit public ou privé ?

R : Vous pouvez assigner n'importe quel ASN privé du côté Amazon. Vous pouvez assigner « l'ASN public existant » de la région jusqu'au 30 juin 2018, mais vous ne pouvez assigner aucun autre ASN public. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Pourquoi ne puis-je pas affecter d'ASN public pour la partie Amazon de la session BGP ?

R : Amazon ne valide pas la propriété des ASN. C'est pourquoi nous limitons les ASN pour la partie Amazon aux ASN privés. Nous voulons protéger les clients contre l'usurpation de BGP.

Q : Quel ASN puis-je choisir ?

R : Vous pouvez choisir n'importe quel ASN. La plage d'ASN privés 16 bits va de 64512 à 65534. Vous pouvez également fournir des ASN 32 bits entre 4200000000 et 4294967294.

Amazon fournira un ASN par défaut pour la passerelle réseau virtuel si vous n'en choisissez aucun. Jusqu'au 30 juin 2018, Amazon continuera de fournir « l'ASN public existant » de la région. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Qu'arrivera-t-il si j'essaie d'assigner un ASN public à la partie Amazon de la session BGP ?

R : Nous vous demanderons de saisir à la place un ASN privé lorsque vous tenterez de créer la passerelle réseau virtuel, à moins que ce ne soit « l'ASN public existant » de la région.

Q : Si je ne fournis aucun ASN pour la partie Amazon de la session BGP, quel ASN dois-je m'attendre à recevoir de la part d'Amazon ?

R : Amazon fournira un ASN pour la passerelle réseau virtuel si vous n'en choisissez aucun. Jusqu'au 30 juin 2018, Amazon continuera de fournir « l'ASN public existant » de la région. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Où puis-je voir l'ASN de la partie Amazon ?

R : Vous pouvez voir l'ASN de la partie Amazon sur la page relative à la passerelle réseau virtuel de la console VPC et dans la réponse de l'API EC2/DescribeVpnGateways.

Q : Si j'ai un ASN public, est-ce qu'il fonctionnera avec un ASN privé du côté AWS ?

R : Oui, vous pouvez assigner à la partie Amazon de la session BGP un ASN privé et un ASN public à la vôtre.

Q : Je dispose de VIF déjà configurées et j'aimerais configurer un ASN différent pour la partie Amazon de la session BGP sur une VIF existante. Comment puis-je procéder à cette modification ?

Vous devrez créer une nouvelle passerelle réseau privé avec l'ASN souhaité, puis créer une nouvelle VIF avec la nouvelle passerelle réseau privé. La configuration de votre appareil requiert également la modification appropriée.

Q : Je dispose de connexions VPN déjà configurées et je souhaite modifier l'ASN de la partie Amazon de la session BGP de ces VPN. Comment puis-je procéder à cette modification ?

R : Vous devrez créer une nouvelle passerelle réseau virtuel avec l'ASN souhaité, puis recréer vos connexions VPN entre les passerelles clients et la nouvelle passerelle.

Q : J'ai déjà une passerelle réseau virtuel et une connexion VIF/VPN configurée qui utilise un ASN public assigné à Amazon 7224. Si Amazon génère automatiquement l'ASN pour la nouvelle passerelle réseau privé virtuel privée, quel ASN côté Amazon recevrai-je ?

R : Amazon affectera l'ASN 64512 à la partie Amazon pour la nouvelle passerelle réseau privé.

Q : J'ai une passerelle réseau privé et une connexion VIF/VPN configurée qui utilise un ASN public assigné à Amazon. Je souhaite utiliser le même ASN public assigné à Amazon pour la nouvelle connexion VIF/VPN que je crée. Quelle est la marche à suivre ?

R : Vous pouvez configurer/assigner un ASN pour qu'il soit annoncé comme un ASN du côté d'Amazon lors de la création de la nouvelle passerelle réseau privé virtuel. Vous pouvez créer une passerelle réseau privé virtuel à l'aide de la console ou d'un appel d'API EC2/CreateVpnGateway. Comme évoqué plus tôt, Amazon continuera de fournir « l'ASN public existant » de la région jusqu'au 30 juin 2018. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : J'ai une passerelle réseau virtuel et une connexion VIF/VPN configurée qui utilise un ASN public affecté à Amazon 7224. Si Amazon génère automatiquement l'ASN de la nouvelle connexion VIF/VPN créée à l'aide de la même passerelle réseau privé virtuel, quel ASN Amazon sera assigné ?

R : Amazon affectera l'ASN 7224 à la partie Amazon pour la nouvelle connexion VIF/VPN. L'ASN côté Amazon pour votre nouvelle connexion VIF/VPN provient de votre passerelle réseau virtuel existante et est définie par défaut sur cet ASN.

Q : Je joins plusieurs VIF privées à une seule passerelle réseau virtuel. Chaque VIF dispose-t-elle d'un ASN pour la partie Amazon distinct ?

R : Non. Vous pouvez assigner/configurer un ASN pour la partie Amazon distinct pour chaque passerelle réseau privée, mais pas pour chaque VIF. L'ASN Amazon pour la VIF provient de l'ASN Amazon de la passerelle réseau virtuel jointe.

Q : Je crée plusieurs connexions VPN vers une seule passerelle réseau virtuel. Chaque connexion VPN peut-elle disposer d'un ASN côté Amazon distinct ?

R : Non, vous pouvez assigner/configurer un ASN côté Amazon distinct pour chaque passerelle réseau privé virtuel, mais pas pour chaque connexion VPN. L'ASN côté Amazon pour la connexion VPN provient de l'ASN côté Amazon de la passerelle réseau virtuel.

Q : Où puis-je sélectionner mon propre ASN ?

R : Lors de la création d'une passerelle réseau virtuel dans la console VPC, décochez la case vous demandant si vous souhaitez avoir un ASN pour la partie Amazon de la session BGP généré automatiquement et indiquez votre propre ASN pour la partie Amazon de la session BGP. Une fois la passerelle réseau virtuel configurée avec l'ASN côté Amazon, les VIF privées et les connexions VPN créés à l'aide de la passerelle réseau virtuel utiliseront votre ASN côté Amazon.

Q. J'utilise déjà CloudHub. Est-ce que je devrai ajuster mes configurations à l'avenir ?

R : Vous n'aurez aucune modification à apporter.

Q : J'aimerais sélectionner un ASN 32 bits. Quelle est la plage d'ASN 32 bits privés ?

R : Nous prendrons en charge les ASN 32 bits de 4200000000 à 4294967294.

Q : Une fois la passerelle réseau virtuel créée, puis-je changer ou modifier l'ASN côté Amazon ?

R : Non. Vous ne pouvez pas modifier l'ASN de la partie Amazon après la création. Vous pouvez supprimer la passerelle réseau virtuel et recréer une passerelle avec l'ASN désiré.

Q : Existe-t-il une nouvelle API pour configurer/assigner l'ASN côté Amazon ?

R : Non. Vous pouvez y parvenir avec la même API qu'auparavant (EC2/CreateVpnGateway). Nous venons d'ajouter un nouveau paramètre (amazonSideAsn) à cette API.

Q : Existe-t-il une nouvelle API pour visualiser l'ASN côté Amazon ?

R : Non. Vous pouvez visualiser l'ASN Amazon avec la même API qu'auparavant (EC2/DescribeVpnGateways). Nous venons d'ajouter un nouveau paramètre (amazonSideAsn) à cette API.

Q : Quels ASN puis-je utiliser pour configurer ma passerelle client (CGW) ?

A : L'ASN compris entre 1 et 2147483647 avec des exceptions relevées peut être utilisé. Veuillez vous référer à la section Options de passerelles clients pour votre connexion AWS Site-to-Site VPN du guide de l'utilisateur d'AWS VPN.   

Q : Je veux utiliser l'ASN de 32 bits pour ma passerelle client. L'ASN privé à plage de 32 bits est-il pris en charge ?

R : Oui. Veuillez noter que l'ASN privé dans la plage de (4200000000 à 4294967294) N'est actuellement PAS pris en charge pour la configuration de la passerelle client. Veuillez vous référer à la section Options de passerelles clients pour votre connexion AWS Site-to-Site VPN du guide de l'utilisateur d'AWS VPN.   

En savoir plus sur la tarification

Tarification simple qui vous permet de déterminer facilement la solution qui vous convient.

En savoir plus 
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencez à créer sur la console

Commencez à créer avec AWS VPN dans la console AWS.

Démarrer