O AWS VPN é composto por dois serviços: AWS Site-to-Site VPN e AWS Client VPN. O AWS Site-to-Site VPN permite que você conecte com segurança a rede no local ou o escritório da filial ao Amazon Virtual Private Cloud (Amazon VPC). A AWS Client VPN permite conectar usuários com segurança à AWS ou redes locais.

Perguntas gerais

P: O que é um endpoint da Client VPN?

R: O endpoint da Client VPN é uma construção regional que você configura para usar o serviço. As sessões de VPN dos usuários finais terminam no endpoint da Client VPN. Como parte da configuração do endpoint da Client VPN, você especifica os detalhes da autenticação, as informações do certificado do servidor, a alocação de endereços IP do cliente, o registro em log e as opções da VPN.

P: O que é uma rede de destino?

R: Uma rede de destino é uma rede que você associa ao endpoint da Client VPN e que permite acesso seguro aos seus recursos da AWS, bem como acesso no local. Atualmente, a rede de destino é uma sub-rede no Amazon VPC.

Faturamento

P: Como são definidas as horas de conexão VPN faturáveis?

R: As horas de conexão VPN são faturadas em qualquer momento que suas conexões VPN estiverem no estado "disponível". É possível determinar o estado de uma conexão VPN por meio do Console de Gerenciamento da AWS, da ILC ou da API. Se você não quiser mais usar a conexão VPN, basta encerrá-la para evitar a cobrança de horas adicionais de conexão de VPN.

P: Os preços incluem impostos?

R: Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo ICMS e imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Saiba mais.

Configuração e gerenciamento do AWS Site-to-Site VPN

P: Posso usar o Console de Gerenciamento da AWS para controlar e gerenciar o AWS Site-to-Site VPN?

R: Sim. Você pode usar o Console de Gerenciamento da AWS para gerenciar conexões de VPN IPSec, como o AWS Site-to-Site VPN.

P: Quais são os limites ou cota padrão em Site-to-Site VPNs?

R: Você pode encontrar detalhes sobre limites e cotas do AWS Site-to-Site VPN em nossa documentação.

Conectividade do AWS Site-to-Site VPN

P: Quais são as opções de conectividade de VPN para minha VPC?

R: Você pode conectar sua VPC ao seu datacenter corporativo usando uma conexão VPN de hardware (por meio do gateway privado virtual)

P: Como as instâncias sem endereços IP públicos acessam a Internet?

R: As instâncias sem endereços IP públicos podem acessar a Internet de duas formas:

Instâncias sem endereços IP públicos podem rotear seu tráfego por meio de um gateway de NAT (conversão de endereços de rede) ou de uma instância NAT para acessar a Internet. Essas instâncias usam o endereço IP público do gateway NAT ou da instância NAT para percorrer a Internet. O gateway NAT ou a instância NAT permite a comunicação do lado de fora, mas não permite que as máquinas na Internet iniciem uma conexão com instâncias com endereços privados.

Para VPCs com uma conexão VPN de hardware ou Direct Connect, as instâncias podem rotear o tráfego de Internet por meio do gateway privado virtual para o seu datacenter atual. Lá, ele pode acessar a Internet por meio dos pontos de saída existentes e dos dispositivos de segurança/monitoramento de rede.

P: Como funciona uma conexão do AWS Site-to-Site VPN com o Amazon VPC?

R: Uma conexão do AWS Site-to-Site VPN conecta a VPC ao datacenter. A Amazon é compatível com conexões VPN de segurança Internet Protocol (IPsec). Os dados transferidos entre a VPC e o datacenter passam por uma conexão VPN criptografada para ajudar a manter a confidencialidade e a integridade dos dados em trânsito. Não é necessário ter um gateway da Internet para estabelecer uma conexão com o Site-to-Site VPN.

P: O que é IPsec?

O IPsec é um conjunto de protocolos para proteger as comunicações de Internet Protocol (IP) por meio da autenticação e da criptografia de cada pacote IP de um fluxo de dados.

P: Quais dispositivos de gateway do cliente posso usar para estabelecer conexão com o Amazon VPC?

R: Você pode criar dois tipos de conexões do AWS Site-to-Site VPN: conexões de VPN roteadas estatisticamente e conexões de VPN roteadas dinamicamente. Os dispositivos de gateway do cliente compatíveis com conexões VPN roteadas estatisticamente devem ser capazes de:

Estabelecer IKE Security Association usando Chaves pré-compartilhadas

Estabelecer IPsec Security Associations no modo de túnel

Utilize a função de criptografia de AES de 128 bits, 256 bits, 128 bits-GCM-16 ou 256-GCM-16

Utilize a função hash SHA-1, SHA-2 (256), SHA2 (384) ou SHA2 (512)

Utilize Diffie-Hellman (DH) Perfect Forward Secrecy no modo “Group 2” ou um dos outros grupos DH compatíveis

Executar a fragmentação de pacotes antes da criptografia

Além das capacidades acima, os dispositivos compatíveis com conexões do Site-to-Site VPN roteadas dinamicamente devem ser capazes de:

Estabelecer pares de Border Gateway Protocol (BGP)

Vincular túneis a interfaces lógicas (VPN baseado em rota)

Utilizar IPsec Dead Peer Detection

P: Quais grupos Diffie-Hellman têm suporte?

R: Oferecemos suporte aos grupos Diffie-Hellman (DH) abaixo nas fases 1 e 2.

Grupos DH 2, 14-24 na fase 1.

Grupos DH 2, 5, 14-24 na fase 2.

P: Quais algoritmos a AWS propõe quando um rechaveamento IKE é necessário?

R: Por padrão, o endpoint de VPN no lado da AWS proporá AES-128, SHA-1 e DH grupo 2. Se você quiser uma proposta específica para rechaveamento, recomendamos usar as opções Modify VPN Tunnel (Modificar túnel de VPN) para restringir as opções de túnel aos parâmetros específicos de VPN necessários.

P: Quais dispositivos de gateway do cliente sabidamente funcionam com a Amazon VPC?

R: No Guia do administrador de rede, você encontrará uma lista dos dispositivos que atendem aos requisitos mencionados, conhecidos por funcionar com conexões de VPN de hardware e que oferecem suporte nas ferramentas de linha de comando para a geração automática de arquivos de configuração apropriados para o seu dispositivo.

P: Se meu dispositivo não estiver listado, onde poderei obter mais informações sobre seu uso com o Amazon VPC?

A: Recomendamos verificar o fórum do Amazon VPC, pois outros clientes já podem estar usando o dispositivo.

P: Qual é o throughput máximo aproximado de uma conexão do Site-to-Site VPN?

R: Cada conexão do AWS Site-to-Site VPN tem dois túneis e cada túnel aceita um throughput máximo de 1,25 Gbps. Se a sua conexão VPN for com um gateway privado virtual, serão aplicáveis os limites de throughput agregados.

P: Há um limite de throughput agregado para gateway privado virtual?

R: O gateway privado virtual tem um limite de throughput agregado por tipo de conexão. Várias conexões VPN com o mesmo gateway privado virtual são restritas por um limite de throughput agregado da AWS para o local de 1,25 Gbps. Para conexão do AWS Direct Connect em um gateway privado virtual, o throughput será determinado pela própria porta física do Direct Connect. Para conexão com várias VPCs e obter limites de throughput maiores, use o AWS Transit Gateway.

P: Quais fatores afetam o throughput de uma conexão VPN?

O throughput da conexão de VPN pode depender de vários fatores, como a capacidade do seu gateway do cliente, a capacidade da sua conexão, o tamanho médio dos pacotes, o protocolo usado (TCP vs. UDP) e a latência de rede entre o seu gateway do cliente e o gateway privado virtual.

P: Qual é o volume máximo aproximado de pacotes por segundo de uma conexão do Site-to-Site VPN?

R: Cada conexão do AWS Site-to-Site VPN tem dois túneis e cada túnel oferece suporte a um volume máximo de até 140.000 pacotes por segundo.  

P: Quais ferramentas estão disponíveis para ajudar a solucionar problemas da minha configuração do Site-to-Site VPN?

R: A API DescribeVPNConnection exibe o status da conexão VPN, inclusive o estado (“up”/“down”) de cada túnel VPN e mensagens de erro correspondentes se um dos túneis estiver “down”. Essas informações também são exibidas no Console de Gerenciamento da AWS.

P: Como conecto uma VPC ao meu datacenter corporativo?

R: Estabelecer uma conexão VPN de hardware entre sua rede atual e a Amazon VPC permite que você interaja com instâncias do Amazon EC2 em uma VPC como se estivessem na sua rede atual. A AWS não executa a conversão de endereços de rede (NAT) nas instâncias do Amazon EC2 em uma VPC acessada por meio de uma conexão VPN de hardware.

P: Posso aplicar NAT ao meu gateway do cliente atrás de um router ou firewall?

R: Você usará o endereço IP público do seu dispositivo NAT.

P: Que endereço IP devo usar como meu endereço de gateway do cliente?

R: Você usará o endereço IP público do seu dispositivo NAT.

P: Como eu desabilito a NAT-T na minha conexão?

R: Você precisará desabilitar a NAT-T no seu dispositivo. Se você não pretende usar uma NAT-T e ela não estiver desabilitada no seu dispositivo, nós tentaremos estabelecer um túnel sobre a porta UDP 4500. Se esta porta não estiver aberta, o túnel não será estabelecido.

P: Quantas associações de segurança IPsec podem ser estabelecidas simultaneamente por túnel?

R: O serviço AWS VPN é uma solução baseada em rotas. Portanto, você não terá limitações de associações de segurança se usar a configuração baseada em rotas. No entanto, se você usar uma solução baseada em políticas, estará limitado a uma única associação de segurança, já que o serviço é uma solução baseada em rotas.

P: Posso publicar meu intervalo de endereços IP da VPC na Internet e direcionar o tráfego por meio do datacenter, via Site-to-Site VPN e para a minha VPC?

R: Sim, você pode direcionar o tráfego por meio da conexão de VPN e publicar o intervalo de endereços com sua rede doméstica.

P: Qual é o número máximo de rotas que minha conexão VPN publicará em meu dispositivo de gateway do cliente?

R: Sua conexão VPN publicará um número máximo de 1.000 rotas no dispositivo de gateway do cliente. Para VPNs em um gateway privado virtual, fontes de rota publicadas incluem rotas da VPC, outras rotas da VPN e rotas de interfaces virtuais DX. Para VPNs em um AWS Transit Gateway, as rotas publicadas são provenientes da tabela de rotas associadas ao vínculo da VPN. Se houver uma tentativa de envio de mais de 1.000 rotas, apenas um subconjunto de 1.000 será publicado.  

P: Qual é o número máximo de rotas que podem ser publicadas na minha conexão VPN provenientes do dispositivo de gateway do cliente?

R: Você pode publicar no máximo 100 rotas para sua conexão Site-to-Site VPN em um gateway privado virtual do dispositivo de gateway do cliente ou um máximo de 1000 rotas para sua conexão Site-to-Site VPN em um AWS Transit Gateway. Para uma conexão VPN com rotas estáticas, você não poderá adicionar mais de 100 rotas estáticas. Para uma conexão VPN com BGP, a sessão de BGP será redefinida se você tentar publicar mais do que o máximo para o tipo de gateway.

P: As conexões VPN oferecem suporte ao tráfego IPv6?

R: Sim. As conexões VPN para um AWS Transit Gateway são compatíveis com o tráfego IPv4 ou IPv6, que pode ser selecionado ao criar uma nova conexão VPN. Para selecionar IPv6 para tráfego VPN, defina a opção de túnel VPN para versão IP interna como IPv6. Observe que o endpoint do túnel e os endereços IP do gateway do cliente são somente IPv4.

P: Qual o lado do túnel de VPN que inicia a sessão do Internet Key Exchange (IKE)?

R: Por padrão, o gateway do cliente (CGW) deve iniciar o IKE. A outra opção é que os endpoints de VPN da AWS iniciem a sessão, habilitando as opções adequadas.

P: As conexões VPN são compatíveis com endereços IP privados?

R: Sim. O recurso de VPN site a site de IP privado permite implantar conexões VPN em um AWS Transit Gateway usando endereços IP privados. A VPN de IP privado funciona com base em uma interface virtual de trânsito (VIF) do AWS Direct Connect. É possível selecionar endereços IP privados como seus endereços IP de túnel externo ao criar uma nova conexão VPN. O endpoint do túnel e os endereços IP do gateway do cliente são somente IPv4.

P: Há diferenças entre as interações do protocolo VPN de IP público e privado?

R: Não, a criptografia IPSec e a troca de chaves funcionam da mesma forma para conexões VPN site a site de IP privado e para conexões VPN de IP público.

P: Preciso de um gateway de trânsito para uma VPN de IP privado?

R: Sim, você precisa de um gateway de trânsito para implantar conexões VPN de IP privado. Além disso, um anexo da VPN de IP privado no Transit Gateway necessita de uma anexo do Direct Connect para transporte. Você precisa especificar um ID de anexo do Direct Connect ao configurar uma conexão VPN de IP privado para um gateway de trânsito. Várias conexões VPN de IP privado podem usar o mesmo anexo do Direct Connect para transporte.

P: As VPNs de IP privado oferecem suporte a roteamento estático e BGP?

R: Sim, VPNs de IP privado oferecem suporte a roteamento estático e roteamento dinâmico usando BGP. Se o dispositivo de gateway do cliente for compatível com o Protocolo de Gateway da Borda (BGP), especifique o roteamento dinâmico ao configurar sua conexão VPN site a site. Se o dispositivo de gateway do cliente não oferecer suporte a BGP, especifique o roteamento estático. Recomendamos o uso de dispositivos compatíveis com BGP, quando disponíveis, porque o protocolo BGP oferece verificações robustas de detecção de atividade que podem auxiliar o failover para o segundo túnel da VPN, caso o primeiro túnel fique inativo.

P: Qual é a associação entre a tabela de rotas do gateway de trânsito e o comportamento de propagação para os anexos da VPN de IP privado?

R: A associação da tabela de rotas e o comportamento de propagação para um anexo da VPN de IP privado são os mesmos de qualquer outro anexo do gateway de trânsito. Você pode associar uma tabela de rotas do gateway de trânsito ao anexo da VPN de IP privado e propagar rotas do anexo da VPN de IP privado para qualquer uma das tabelas de rotas do gateway de trânsito.

P: Que throughput posso obter com a VPN de IP privado?

R: Como nas conexões VPN site a site normais, cada conexão VPN de IP privado comporta 1,25 Gbps de largura de banda. Você pode usar Equal Cost Multi-path (ECMP) em várias conexões VPN de IP privado para aumentar a largura de banda efetiva. Como exemplo, para enviar 10 Gbps de tráfego DX por uma VPN de IP privado, você pode usar quatro conexões VPN de IP privado (4 conexões x 2 túneis x 1,25 Gbps de largura de banda) com ECMP entre um par de gateway de trânsito e gateway do cliente.

P: Posso enviar tráfego de ECMP em conexões VPN de IP privado e VPN de IP público?

R: Não, não é possível enviar tráfego de ECMP em conexões VPN de IP privado e VPN de IP público. O ECMP para VPN de IP privado só funcionará em conexões VPN que contenham endereços IP privados.

P: Qual é a unidade máxima de transmissão (MTU) da VPN de IP privado?

R: As conexões VPN de IP privado comportam 1500 bytes de MTU.

P: Uma VPN de IP privado pode ser associada a uma conta proprietária diferente da conta do gateway de trânsito?

R: Não, tanto o gateway de trânsito quanto as conexões Site-to-site VPN devem ser de propriedade da mesma conta da AWS.

P: Em quais regiões da AWS o produto AWS Site-to-site VPN e o recurso Private IP VPN estão disponíveis?

R: O produto AWS Site-to-Site VPN está disponível em todas as regiões comerciais, exceto nas regiões da AWS Ásia-Pacífico (Pequim) e Ásia-Pacífico (Ningxia). O recurso Private IP VPN tem suporte em todas as regiões da AWS em que o produto AWS Site-to-site VPN está disponível.

AWS Accelerated Site-to-Site VPN

P: Por que devo usar a Accelerated Site-to-Site VPN?

R: As conexões de VPN enfrentam disponibilidade e desempenho inconsistentes à medida que o tráfego atravessa várias redes públicas na Internet antes de atingir o endpoint de VPN na AWS. Essas redes públicas podem estar congestionadas. Cada salto pode introduzir riscos de disponibilidade e desempenho. A Accelerated Site-to-Site VPN torna a experiência do usuário mais consistente, usando a rede global da AWS altamente disponível e sem congestionamentos.

P: Como posso criar uma Accelerated Site-to-Site VPN?

R: Ao criar uma conexão VPN, defina a opção “Enable Acceleration (Habilitar aceleração)” como “true (verdadeiro)”.

P: Como descubro se a minha conexão de VPN existente é uma Accelerated Site-to-Site VPN?

R: Na descrição da sua conexão VPN, o valor de “Enable Acceleration (Habilitar aceleração)” deve estar definido como “true (verdadeiro)”.

P: Como posso converter minha Site-to-Site VPN em uma Accelerated Site-to-Site VPN?

R: Crie uma nova Accelerated Site-to-Site VPN, atualize o dispositivo de gateway do cliente para conectar-se a essa nova conexão VPN e exclua sua conexão VPN existente. Você obterá novos endereços IP (protocolo Internet) do endpoint de tunel, já que VPNs aceleradas usam intervalos de endereços IP separados de conexões de VPN não aceleradas.

P: A Accelerated Site-to-Site VPN é compatível com o gateway virtual e o AWS Transit Gateway?

R: Apenas o Transit Gateway oferece suporte para a Accelerated Site-to-Site VPN. Um Transit Gateway deve ser especificado ao criar uma conexão de VPN. O endpoint de VPN no lado da AWS é criado no Transit Gateway.

P: Uma conexão de Accelerated Site-to-Site VPN oferece dois túneis para alta disponibilidade?

R: Sim, cada conexão VPN oferece dois túneis para alta disponibilidade.

P: Há alguma diferença de protocolo entre túneis Accelerated e não Accelerated Site-to-Site VPN?

R: A NAT-T é necessária e está habilitada por padrão para conexões de Accelerated Site-to-Site VPN. Além disso, os túneis de VPN acelerados e não acelerados oferecem suporte aos mesmos protocolos de segurança IP (IPSec) e IKE (Internet Key Exchange) e também oferecem a mesma largura de banda, opções de túnel, opções de roteamento e tipos de autenticação.

P: A Accelerated Site-to-Site VPN oferece duas zonas de rede para alta disponibilidade?

R: Sim, selecionamos os endereços IP (protocolo de Internet) globais do AWS Global Accelerator de zonas de rede independentes para os dois endpoints de túnel.

P: A Accelerated Site-to-Site VPN é uma opção no AWS Global Accelerator?

R: Não, a Accelerated Site-to-Site VPN só pode ser criada por meio da AWS Site-to-Site VPN. Accelerated Site-to-Site VPNs não podem ser criadas por meio do console ou da API do AWS Global Accelerator.

P: Posso usar a Accelerated VPN através de interfaces virtuais públicas do AWS Direct Connect?

R: Não, a Accelerated Site-to-Site VPN através de interfaces virtuais públicas do Direct Connect não está disponível. Na maioria dos casos, não há benefício com a Accelerated Site-to-Site VPN quando usada através do Direct Connect pública.

P: Em quais Regiões da AWS o Accelerated Site-to-Site VPN está disponível?

R: O Accelerated Site-to-Site VPN atualmente está disponível nestas regiões da AWS: Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), Leste dos EUA (Ohio), Leste dos EUA (Norte da Virgínia), América do Sul (São Paulo), Oriente Médio (Bahrein), Europa (Estocolmo), Europa (Paris), Europa (Milão), Europa (Londres), Europa (Irlanda), Europa (Frankfurt), Canadá (Central), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Sydney), Ásia-Pacífico (Singapura), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai), Ásia-Pacífico (Hong Kong), África (Cidade do Cabo).

Visibilidade e monitoramento da AWS Site-to-Site VPN

P: Quais logs são compatíveis com a AWS Site-to-Site VPN?

A: Os logs de conexão da Site-to-Site VPN incluem detalhes sobre as atividades de estabelecimento de túneis de IP Security (IPsec), além de negociações de Internet Key Exchange (IKE) e mensagens de protocolo Dead Peer Detection (DPD). Esses logs são exportados periodicamente em intervalos de 5 minutos e entregues aos logs do CloudWatch com base no melhor esforço.

P: Os logs da Site-to-Site VPN são oferecidos para as conexões da VPN com gateways de trânsito e virtuais?

R: Sim, é possível habilitar os logs da Site-to-Site VPN para conexões da VPN baseadas tanto no gateway de trânsito, como no gateway virtual.

P: É possível habilitar os logs da Site-to-Site VPN nas minhas conexões de VPN existentes?

R: Sim, você pode habilitar os logs da Site-to-Site VPN por meio das opções de túneis quando criar ou modificar sua conexão.

P: O que acontece quando eu habilito os logs da Site-to-Site VPN nas minhas conexões de VPN existentes?

R: Quando você habilita os logs da Site-to-Site VPN em uma conexão de VPN existente usando as opções de túnel modificadas, sua conectividade no túnel é interrompida por alguns minutos. Cada conexão VPN oferece dois túneis para alta disponibilidade. É possível habilitar a criação de logs em um túnel de cada vez, para que somente o túnel modificado seja afetado. Para obter mais informações, consulte Site-to-Site VPN tunnel endpoint replacements (Substituições de endpoints no túnel da Site-to-Site VPN) no guia do usuário da AWS Site-to-Site VPN.

Configuração e gerenciamento da AWS Client VPN

P: Como configuro a AWS Client VPN?

R: O administrador de TI cria um endpoint da Client VPN, associa uma rede de destino a esse terminal e configura as políticas de acesso para permitir a conectividade dos usuários finais. O administrador de TI distribui o arquivo de configuração da VPN do cliente aos usuários finais. Os usuários finais precisarão fazer download de um cliente OpenVPN e usar o arquivo de configuração da VPN do cliente para criar sua sessão de VPN.

P: O que um usuário final deve fazer para configurar uma conexão?

R: O usuário final deve fazer download de um cliente OpenVPN para o dispositivo. Em seguida, o usuário importará o arquivo de configuração da AWS Client VPN para o cliente OpenVPN e iniciará uma conexão de VPN.

Conectividade da AWS Client VPN

P: Como habilito a conectividade com outras redes?

R: Você pode habilitar a conectividade com outras redes, como Amazon VPCs emparelhadas, redes locais via gateway virtual ou serviços da AWS, como o S3, via endpoints, redes via AWS PrivateLink ou outros recursos por meio do gateway da Internet. Para habilitar a conectividade, adicione uma rota à rede específica na tabela de rotas da Client VPN e adicione uma regra de autorização que permita o acesso à rede específica.

P: O endpoint da Client VPN pode pertencer a uma conta diferente da sub-rede associada?

R: Não, a sub-rede que está sendo associada deve estar na mesma conta que o endpoint da Client VPN.

P: Posso acessar recursos em uma VPC em uma região diferente da região em que eu configuro a sessão TLS, usando um endereço IP privado?

R: Você pode fazer isso seguindo as duas etapas: Primeiro, configure uma conexão de emparelhamento entre regiões entre a VPC de destino (na região diferente) e a VPC associada à Client VPN. Segundo, você deve adicionar uma rota e uma regra de acesso para a VPC de destino no endpoint da Client VPN. Agora, seus usuários podem acessar os recursos na VPC de destino que está em uma região diferente do endpoint da Client VPN.

P: Quais protocolos de transporte têm suporte pela Client VPN?

R: Você pode escolher TCP ou UDP para a sessão de VPN.

P: A AWS Client VPN oferece suporte a túneis divididos?

R: Sim. Você pode optar por criar um endpoint com túnel dividido habilitado ou desabilitado. Se você criou anteriormente um endpoint com túnel dividido desabilitado, poderá preferir modificá-lo para habilitar o túnel dividido. Se o túnel dividido estiver habilitado, o tráfego destinado às rotas configuradas no endpoint serão encaminhados pelo túnel de VPN. Todos os outros tipos de tráfego serão roteados por meio da sua interface de rede local. Se o túnel dividido estiver desabilitado, o tráfego do dispositivo atravessará o túnel de VPN.

Autenticação e autorização da AWS Client VPN

P: Quais mecanismos de autenticação são compatíveis com o AWS Client VPN?

R: O AWS Client VPN oferece suporte à autenticação com o Active Directory usando AWS Directory Services, a autenticação baseada em certificado e a autenticação federada por SAML 2.0.

P: Posso usar um serviço local do Active Directory para autenticar usuários?

R: Sim. A AWS Client VPN se integra ao AWS Directory Service, que permitirá a conexão com o Active Directory no local.

P: A AWS Client VPN oferece suporte para autenticação mútua?

R: Sim, a AWS Client VPN oferece suporte para autenticação mútua. Quando a autenticação mútua está habilitada, o cliente precisa fazer upload do certificado raiz usado para emitir o certificado do cliente no servidor.

P: Posso incluir certificados de cliente na lista de restrições?

R: Sim, a AWS Client VPN oferece suporte para a Lista de revogação de certificados (CRL) configurada estaticamente.

P: A AWS Client VPN oferece suporte à capacidade de um cliente trazer seu próprio certificado?

R: Sim. Você deve carregar o certificado, o certificado da autoridade de certificação (CA) raiz e a chave privada do servidor. Estes são enviados ao AWS Certificate Manager.

P: A AWS Client VPN se integra ao AWS Certificate Manager (ACM) para gerar certificados de servidor?

R: Sim. Você pode usar o ACM como uma autoridade de certificação subordinada encadeada a uma autoridade de certificação raiz externa. O ACM gera o certificado do servidor. Nesse cenário, o ACM também faz o rodízio do certificado do servidor.

P: A AWS Client VPN oferece suporte à avaliação de postura?

R: Não. A AWS Client VPN não oferece suporte à avaliação de postura. Outros serviços da AWS, como o Amazon Inspectors, oferecem suporte à avaliação da postura.

P: O AWS Client VPN oferece suporte à Multi-Factor Authentication (MFA)?

R: Sim, o AWS Client VPN oferece suporte à MFA por meio do Active Directory usando AWS Directory Services e por meio de provedores de identidade (Okta, por exemplo).

P: Como o AWS Client VPN oferece suporte para autorização?

R: Você configura regras de autorização que limitam os usuários que podem acessar uma rede. Para uma rede de destino especificada, você pode configurar o grupo do Active Directory/grupo do provedor de identidade que tem permissão de acesso. Somente os usuários pertencentes a esse grupo do Active Directory/grupo do provedor de identidade podem acessar a rede especificada.

P: O AWS Client VPN oferece suporte ao grupo de segurança?

R: A Client VPN oferece suporte a grupos de segurança. Você pode especificar um grupo de segurança para o grupo de associações. Quando uma sub-rede é associada, aplicaremos automaticamente o grupo de segurança padrão da VPC da sub-rede.

P: Como uso o grupo de segurança para restringir o acesso aos meus aplicativos apenas para conexões de Client VPN?

R: Para o seu aplicativo, você pode especificar para permitir o acesso somente dos grupos de segurança que foram aplicados à sub-rede associada. Agora, você limita o acesso a apenas usuários conectados via Client VPN.

P: Em uma autenticação federada, posso modificar o documento de metadados IDP?

R: Sim, você pode fazer upload de um novo documento de metadados em um provedor de identidade do IAM associado ao endpoint do Client VPN. Metadados atualizados são refletidos em 2 a 4 horas.

P: Posso usar um cliente terceiro do OpenVPN para conectar a um endpoint do Client VPN configurado com uma autenticação federada?

R: Não, você deve usar o cliente do software AWS Client VPN para se conectar ao endpoint.

Visibilidade e monitoramento do AWS Client VPN

P: Quais logs têm suporte da AWS Client VPN?

R: A Client VPN exporta o log de conexão como um melhor esforço para os logs do CloudWatch. Esses logs são exportados periodicamente em intervalos de 15 minutos. Os logs de conexão incluem detalhes sobre solicitações de conexão criadas e finalizadas.

P: A Client VPN oferece suporte ao Amazon VPC Flow Logs no endpoint?

R: Não. Você pode usar o Amazon VPC Flow Logs na VPC associada.

P: Posso monitorar conexões ativas?

R: Sim, usando a CLI ou o console, é possível visualizar as conexões ativas atuais para um endpoint e encerrar conexões ativas.

P: Posso monitorar por endpoint usando o CloudWatch?

R: Sim. Usando o monitor do CloudWatch, você pode ver bytes de entrada e saída e conexões ativas para cada endpoint da Client VPN.

Clientes VPN

P: Como implanto o cliente de software gratuito para o AWS Client VPN?

R: O cliente de software para o AWS Client VPN é compatível com as configurações existentes do AWS Client VPN. O cliente é compatível com a inclusão de perfis usando o arquivo de configuração do OpenVPN gerado pelo serviço AWS Client VPN. Depois que o perfil for criado, o cliente se conectará ao seu endpoint com base nas suas configurações.

P: Qual o preço adicional para usar o cliente de software do AWS Client VPN?

R: O cliente de software é fornecido gratuitamente. Haverá cobrança apenas pelo uso do serviço AWS Client VPN.

P: Qual tipo de dispositivos e versões de sistema operacional são compatíveis?

R: O cliente desktop atualmente funciona com dispositivos Windows 10 64 bits, macOS (Mojave, Catalina e Big Sur) e Ubuntu Linux (18.04 e 20.04). 

P: Meus perfis de conexão são sincronizados entre todos os meus dispositivos?

R: Não, mas os administradores de TI podem fornecer arquivos de configuração para a implantação do cliente de software deles a fim de pré-configurar as definições.

P: Preciso de permissão de administrador no meu dispositivo para executar o cliente de software do AWS Client VPN?

R: Sim. Você precisa de acesso de administrador para instalar o app no Windows e no Mac. Depois desse ponto, o acesso de administrador não é necessário.

P: Que protocolo de VPN é usado pelo cliente do AWS Client VPN?

R: O AWS Client VPN, incluindo o cliente de software, é compatível com o protocolo OpenVPN.

P: Todos os recursos serão compatíveis com o serviço AWS Client VPN com o uso do cliente de software?

R: Sim. O cliente é compatível com todos os recursos fornecidos pelo serviço AWS Client VPN.

P: O cliente de software do AWS Client VPN permite o acesso por LAN quando conectado?

R: Sim, é possível acessar a sua rede de área local quando conectado ao AWS VPN Client.

P: Para quais recursos de autenticação o cliente de software oferece suporte?

R: O cliente do software AWS Client VPN oferece suporte a todos os mecanismos de autenticação oferecidos pelo serviço do AWS Client VPN — a autenticação com o Active Directory usando AWS Directory Services, a autenticação baseada em certificado e a autenticação federada por SAML 2.0.

P: Que tipo de registro de log do cliente será compatível com o AWS Client VPN?

R: Quando o usuário tentar estabelecer uma conexão, os detalhes da configuração da conexão ficam registrados em log. As tentativas de conexão ficam salvas por até 30 dias, com um tamanho máximo de arquivo de 90 MB.

P: Posso misturar o cliente de software do AWS Client VPN e clientes OpenVPN baseados em padrões ao estabelecer a conexão com o endpoint do AWS Client VPN?

R: Sim, assumindo que o tipo de autenticação definido no endpoint do AWS Client VPN é compatível com o cliente OpenVPN baseado em padrões.

P: Onde posso fazer download do cliente de software do AWS Client VPN?

R: Você pode fazer download do cliente genérico sem personalizações da página do produto AWS Client VPN. Os administradores de TI podem optar por hospedar o download em seu próprio sistema.

P: Posso executar vários tipos de clientes VPN em um dispositivo?

R: Não recomendamos executar vários clientes VPN em um dispositivo. Isso pode causar conflitos ou os clientes VPN podem interferir um no outro e resultar em conexões malsucedidas. Dito isso, o AWS Client VPN pode ser instalado junto de outro cliente VPN.

Gateway privado virtual

P: O que é esse recurso?

R: Para qualquer novo gateway virtual, o Autonomous System Number (ASN – Número de sistema autônomo) privado configurável permite que os clientes definam o ASN no lado da Amazon da sessão do BGP para VPNs e VIFs privadas do AWS Direct Connect.

P: Qual é o custo do uso desse recurso?

R: Não há cobrança adicional para esse recurso.

P: Como posso configurar/atribuir meu ASN para ser anunciado como ASN no lado da Amazon?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Gateway privado virtual (gateway virtual). Um gateway virtual pode ser criado usando o console da VPC ou uma chamada à API EC2/CreateVpnGateway.

P: Antes deste recurso, qual era o ASN atribuído pela Amazon?

R: A Amazon atribuiu os seguintes ASNs: UE Oeste (Dublin) 9059; Ásia-Pacífico (Cingapura) 17493 e Ásia-Pacífico (Tóquio) 10124. Todas as outras regiões receberam um ASN 7224. Esses ASNs são conhecidos como “ASN público legado” da região.

P: Posso usar qualquer ASN: público ou privado?

R: Você pode atribuir qualquer ASN privado para o lado da Amazon. Você pode atribuir o “ASN público legado” da região até 30 de junho de 2018. Você não pode atribuir nenhum outro ASN público. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Por que não posso atribuir um ASN público para a parte da Amazon da sessão do BGP?

R: A Amazon não valida a propriedade de ASNs. Portanto, estamos limitando o ASN do lado da Amazon a ASNs privados. Queremos proteger os clientes contra spoofing de BGP.

P: Qual ASN posso escolher?

R: Você pode escolher qualquer ASN privado. Os intervalos para ASNs privados de 16 bits incluem 64512 a 65534. Você também pode fornecer ASNs de 32 bits entre 4200000000 e 4294967294.

Se você não escolher um ASN, a Amazon fornecerá um ASN padrão para o gateway virtual. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: O que acontecerá se eu tentar atribuir um ASN público para a parte da Amazon da sessão do BGP?

Solicitaremos que você insira novamente um ASN privado quando tentar criar o gateway virtual, a menos que seja o “ASN público legado” da região.

P: Se eu não fornecer um ASN para a parte da Amazon da sessão do BGP, qual ASN será atribuído pela Amazon?

R: Se você não escolher um ASN, a Amazon fornecerá um ASN para o gateway virtual. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Onde posso ver o ASN no lado da Amazon?

R: Você pode ver o ASN no lado da Amazon na página do gateway virtual do console da VPC e na resposta da API EC2/DescribeVpnGateways.

P: Se eu tiver um ASN público, ele funcionará com um ASN privado no lado da AWS?

R: Sim. Você pode configurara o lado da Amazon da sessão do BGP com um ASN privado e o seu lado com um ASN público.

P: Tenho VIFs privadas já configuradas e quero definir um ASN do lado da Amazon diferente para a sessão do BGP em uma VIF já existente. Como posso fazer essa alteração?

R: Será necessário criar um novo gateway virtual com o ASN desejado e criar uma nova VIF com esse gateway virtual recém-criado. A configuração do seu dispositivo também precisa ser alterada para refletir essas modificações.

P: Eu tenho conexões VPN já configuradas e quero modificar o ASN do lado da Amazon para a sessão do BGP dessas VPNs. Como posso fazer essa alteração?

Será necessário criar um novo gateway virtual com o ASN desejado e recriar as conexões de VPN entre os gateways do cliente e esse gateway virtual recém-criado.

P: Já tenho um gateway virtual e uma conexão de VIF/VPN privada configurada usando o ASN público 7224, atribuído pela Amazon. Se a Amazon gerar automaticamente o ASN para o novo gateway virtual privado, qual ASN do lado da Amazon será atribuído?

A Amazon atribuirá o ASN no lado da Amazon 64512 para o novo gateway virtual.

P: Tenho um gateway virtual e uma VIF privada/conexão VPN configurada usando o ASN público atribuído pela Amazon. Quero usar o mesmo ASN público atribuído pela Amazon para uma nova VIF privada/conexão VPN que estou criando. Como posso fazer isso?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Gateway privado virtual (gateway virtual). Você pode criar o gateway virtual usando o console ou a chamada de API EC2/CreateVpnGateway. Como observado anteriormente, até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Tenho um gateway virtual e uma VIF privada/conexão VPN configurada usando o ASN público atribuído pela Amazon, que é 7224. Se a Amazon gerar automaticamente o ASN para a nova VIF privada/conexão VPN usando o mesmo gateway virtual, qual ASN do lado da Amazon será atribuído?

R: A Amazon atribuirá o ASN no lado da Amazon 7224 para a nova conexão de VIF/VPN. O ASN no lado da Amazon para a nova VIF/conexão VPN privada é herdado do gateway virtual existente e passa a ser o ASN padrão.

P: Estou anexando várias VIFs privadas a um único gateway virtual. É possível que cada VIF tenha um ASN do lado da Amazon separado?

R: Não. Você pode atribuir/configurar ASNs no lado da Amazon separados para cada gateway virtual, mas não para cada VIF. O ASN do lado da Amazon para uma VIF é herdado do ASN do lado da Amazon do gateway virtual associado.

P: Estou criando várias conexões VPN para um único gateway virtual. É possível que cada conexão VPN tenha um ASN separado do lado da Amazon?

R: Não. Você pode atribuir/configurar ASNs do lado da Amazon separados para cada gateway virtual, mas não para cada conexão VPN. O ASN do lado da Amazon para conexões VPN é herdado do ASN do lado da Amazon do gateway virtual.

P: Onde posso escolher o meu próprio ASN?

R: Ao criar um gateway virtual na console da VPC, desmarque a caixa que pergunta se você quer um BGP ASN da Amazon gerado automaticamente e forneça o seu próprio ASN privado para a parte da Amazon da sessão do BGP. Depois que o gateway virtual é configurado com o ASN no lado da Amazon, as VIFs privadas ou conexões VPN criadas usando o gateway virtual usarão o seu ASN no lado da Amazon.

P: Atualmente, uso o CloudHub. Será necessário ajustar as configurações no futuro?

R: Não será necessário fazer nenhuma alteração.

P: Eu quero selecionar um ASN de 32 bits. Qual é o intervalo dos ASNs privados de 32 bits?

R: Ofereceremos suporte a ASNs de 32 bits de 4200000000 a 4294967294.

P: Após a criação do gateway virtual, poderei trocar ou modificar o ASN no lado da Amazon?

R: Não. Não é possível modificar o ASN no lado da Amazon após a criação. Você pode excluir o gateway virtual e recriar um novo gateway virtual com o ASN desejado.

P: Há uma nova API para configurar/atribuir o ASN no lado da Amazon?

R: Não. Isso pode ser feito com a mesma API de antes (EC2/CreateVpnGateway). Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

P: Há uma nova API para exibir o ASN do lado da Amazon?

R: Não. O ASN do lado da Amazon pode ser exibido com a mesma API EC2/DescribeVpnGateways. Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

P: Que ASNs posso usar para configurar meu gateway do cliente (CGW)?

R: Você pode usar um ASN no intervalo de 1 a 2147483647, com exceções observadas. Consulte a seção Opções de gateway do cliente para a conexão do AWS Site-to-Site VPN do manual do usuário do AWS VPN.   

P: Quero usar um ASN de 32 bits para meu gateway do cliente. Há suporte para ASN privado de intervalo de 32 bits?

R: Sim. Atualmente, o ASN privado no intervalo de (4200000000 a 4294967294) NÃO é compatível com a configuração do gateway do cliente. Consulte a seção Opções de gateway do cliente para a conexão de AWS Site-to-Site VPN do manual do usuário da VPN da AWS.   

Saiba mais sobre preços

Preços simples, para que seja fácil saber o que é certo para você.

Saiba mais 
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Comece a criar no console

Comece a criar com o AWS VPN no Console AWS.

Comece a usar