Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Client VPN puntos finales
<a name="cvpn-working-endpoints"></a>

Todas las AWS Client VPN sesiones establecen comunicación con un punto final Client VPN. Puede administrar el punto de conexión de Client VPN para crear, modificar, ver y eliminar sesiones de Client VPN con ese punto de conexión. Los puntos de conexión se pueden crear y modificar mediante la consola de Amazon VPC o mediante la CLI de AWS .

## Requisitos para crear puntos de conexión de Client VPN
<a name="cvpn-working-create-req"></a>

**importante**  
Se debe crear un punto final Client VPN en la misma AWS cuenta en la que se aprovisiona la red de destino prevista. También tendrá que generar un certificado de servidor y, si es necesario, un certificado de cliente. Para obtener más información, consulte [Autenticación de cliente en AWS Client VPN](client-authentication.md).

Antes de comenzar, asegúrese de hacer lo siguiente:
+ Revise las reglas y las limitaciones en [Reglas y mejores prácticas de uso AWS Client VPN](what-is-best-practices.md).
+ Genere el certificado de servidor y, si es necesario, el certificado de cliente. Para obtener más información, consulte [Autenticación de cliente en AWS Client VPN](client-authentication.md).

## Tipos de direcciones IP
<a name="cvpn-ip-address-types"></a>

AWS Client VPN admite configuraciones IPv4 de solo pila, solo y IPv6 de doble pila para la conectividad de los puntos finales y el enrutamiento del tráfico. La siguiente guía le ayuda a seleccionar el tipo de dirección IP adecuado en función de las capacidades del dispositivo cliente, la infraestructura de red y los requisitos de la aplicación.

### Tipo de dirección del punto de conexión
<a name="cvpn-endpoint-types"></a>

El tipo de dirección del punto de conexión determina qué protocolos IP admite el punto de conexión de Client VPN para las conexiones de los clientes. Este ajuste no se puede cambiar después de la creación del punto de conexión.

**Elija -solo cuando IPv4:**
+ Sus dispositivos cliente solo admiten conexiones IPv4 VPN
+ Sus herramientas de seguridad están optimizadas para la inspección IPv4 del tráfico

**Elija IPv6 -solo cuando:**
+ Todos los dispositivos cliente son totalmente compatibles IPv6 con las conexiones
+ Estás en redes en las que las IPv4 direcciones están agotadas

**Elija doble pila cuando:**
+ Tenga una combinación de dispositivos cliente con diferentes capacidades de IP
+ Estás realizando una transición gradual de a IPv4 IPv6

### Tipo de dirección IP de tráfico
<a name="cvpn-traffic-ip-considerations"></a>

El tipo de dirección IP de tráfico controla la forma en que Client VPN enruta el tráfico entre los clientes y sus recursos de VPC, independientemente que admita el punto de conexión.

**Dirija el tráfico como IPv4 cuando:**
+ Solo admite aplicaciones de destino en su VPC IPv4
+ Tiene redes y grupos IPv4 de seguridad complejos ACLs
+ Se esté conectando a sistemas heredados

**Redirija el tráfico como IPv6 cuando:**
+ Su infraestructura de VPC es principalmente IPv6
+ Quiera preparar la arquitectura de red para el futuro
+ Tiene aplicaciones modernas diseñadas para IPv6

## Modificación de puntos de conexión
<a name="cvpn-endpoints-modify-req"></a>

**nota**  
Los puntos finales de Client VPN creados mediante la configuración de inicio rápido se pueden modificar mediante los mismos procedimientos que los puntos finales creados con la configuración estándar. Todas las opciones de configuración están disponibles independientemente del método de configuración utilizado durante la creación.

Después de crear una conexión de Client VPN, se puede modificar cualquiera de los siguientes ajustes: 
+ La descripción
+ El certificado de servidor
+ Las opciones de registro de la conexión de cliente
+ La opción del controlador de la conexión del cliente
+ Los servidores DNS
+ La opción de túnel dividido
+ Rutas (cuando se utiliza la opción de túnel dividido)
+ Lista de revocación de certificados (CRL)
+ Reglas de autorización
+ Las asociaciones de grupos de seguridad y VPC
+ El número de puerto de VPN
+ La opción del portal de autoservicio
+ El máximo de duración de la sesión VPN
+ Habilitación o deshabilitación de reconexión automática cuando se agota el tiempo de espera de sesión
+ Habilitar o desactivar el texto del banner de inicio de sesión de cliente
+ Texto del banner de inicio de sesión de cliente

**nota**  
Las modificaciones de los puntos de conexión de Client VPN, incluidos los cambios en la lista de revocación de certificados (CRL), surtirán efecto hasta cuatro horas después de que el servicio Client VPN acepte una solicitud.  
No puede modificar el rango IPv4 CIDR del cliente, las opciones de autenticación, el certificado del cliente o el protocolo de transporte una vez creado el punto final Client VPN.

Cuando modifica cualquiera de los siguientes parámetros en un punto de enlace de Client VPN, la conexión se restablece:
+ El certificado de servidor
+ Los servidores DNS
+ La opción de túnel dividido (activar o desactivar el soporte)
+ Rutas (cuando se utiliza la opción de túnel dividido)
+  Lista de revocación de certificados (CRL)
+ Reglas de autorización
+ El número de puerto de VPN

**Topics**
+ [Requisitos para crear puntos de conexión de Client VPN](#cvpn-working-create-req)
+ [Tipos de direcciones IP](#cvpn-ip-address-types)
+ [Modificación de puntos de conexión](#cvpn-endpoints-modify-req)
+ [Creación de un punto de conexión de](cvpn-working-endpoint-create.md)
+ [Visualización de puntos de enlace de](cvpn-working-endpoint-view.md)
+ [Modificación de un punto de conexión](cvpn-working-endpoint-modify.md)
+ [Eliminación de un punto de conexión](cvpn-working-endpoint-delete.md)

# Crear un AWS Client VPN punto final
<a name="cvpn-working-endpoint-create"></a>

Cree un AWS Client VPN punto final para que sus clientes puedan establecer una sesión de VPN mediante la consola Amazon VPC o la VPN AWS CLI.Client que admite todas las combinaciones del tipo de punto final (túnel dividido y túnel completo) con el tipo de tráfico (IPv4 IPv6, y pila doble) durante la creación inicial. 

Antes de crear un punto de conexión, familiarícese con los requisitos. Para obtener más información, consulte [Requisitos para crear puntos de conexión de Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req).

**Para crear un punto de conexión de Client VPN mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)** y **Create Client VPN Endpoint (Crear punto de enlace de Client VPN)**.

1. En «Elegir método de configuración», seleccione una de las siguientes opciones: 
   + Inicio rápido: cree un punto final con los valores predeterminados recomendados por AWS
   + Estándar: configure manualmente todos los ajustes del punto final

**Configuración de inicio rápido:**

1. En «Elegir método de configuración», selecciona Inicio rápido.

1.  En « IPv4 CIDR de cliente», introduzca el rango de direcciones IP desde el que desea asignar las direcciones IP de los clientes. AWS recomienda usar un bloque CIDR /22 (por ejemplo, 10.0.0.0/22). 

1.  En «VPC», seleccione la VPC que desee asociar al punto final de Client VPN. 

1.  En «Subredes», seleccione una o más subredes en la VPC. Estas subredes se utilizarán para las asociaciones de redes de destino. 

1.  En Server certificate ARN (ARN del certificado del servidor), especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados. 

1.  Elija «Crear punto final Client VPN». 

AWS crea automáticamente los siguientes recursos: 
+ Regla de autorización que permite a todos los usuarios acceder al CIDR de la VPC
+ Asociación de la red de destino con las subredes de VPC seleccionadas
+ Entradas de la tabla de enrutamiento para el CIDR de la VPC

 Una vez creado el punto final, puede descargar el archivo de configuración del cliente desde la página de detalles del dispositivo final y distribuirlo entre los usuarios junto con el certificado y la clave del cliente. 

**Configuración estándar:**

1. En «Elegir método de configuración», selecciona Estándar.

1. (Opcional) Escriba una etiqueta de nombre y una descripción del punto de conexión de Client VPN.

1. En **Tipo de dirección IP de punto de conexión**, elija el tipo de dirección IP para el punto de conexión.
   + **IPv4**: El punto final usa IPv4 direcciones para el tráfico del túnel VPN externo.
   + **IPv6**: El punto final usa IPv6 direcciones para el tráfico del túnel VPN externo.
   + Pila **doble**: el punto final utiliza ambas IPv6 direcciones IPv4 y para el tráfico del túnel VPN exterior.

1. En **Tipo de dirección IP del tráfico**, elija el tipo de dirección IP para el tráfico que fluye a través del punto de conexión.
   + **IPv4**: El punto final solo admite IPv4 tráfico.
   + **IPv6**: El punto final solo admite IPv6 tráfico.
   + **Doble pila**: el punto final admite ambos tipos IPv4 de IPv6 tráfico.

1. Para el ** IPv4 CIDR del cliente**, especifique un rango de direcciones IP, en notación CIDR, desde el que asignar las direcciones IP de los clientes. Por ejemplo, `10.0.0.0/22`. Esto es obligatorio si ha seleccionado IPv4 una pila doble para el tipo de dirección IP de tráfico.
**nota**  
El intervalo de direcciones no puede solaparse al intervalo de direcciones de la red de destino, al intervalo de direcciones de la VPC ni a ninguna de las rutas que se asociarán con el punto de conexión de Client VPN. El intervalo de direcciones del cliente debe tener un tamaño de bloque de CIDR mínimo de /22 y no superior a /12. No puede cambiar el intervalo de direcciones del cliente después de crear el punto de conexión de Client VPN.
 IPv6 Al seleccionar el tipo de dirección IP del punto final, el campo IPv4 CIDR del cliente se deshabilita. El punto final Client VPN asigna IPv6 las direcciones de los clientes de una subred asociada y usted puede asociar la subred después de crear el punto final.
**nota**  
Para el IPv6 tráfico, no es necesario especificar un rango de CIDR de cliente. Amazon asigna automáticamente los rangos de IPv6 CIDR a los clientes.

1. En **Server certificate ARN (ARN del certificado del servidor)**, especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados.
**nota**  
El certificado del servidor debe estar presente en AWS Certificate Manager(ACM) en la región en la que va a crear el punto final Client VPN. El certificado se puede aprovisionar con ACM o importarse a ACM.  
Para conocer los pasos para aprovisionar o importar un certificado a ACM, consulte [Certificados de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la *Guía del usuario de AWS Certificate Manager*.

1. Especifique el método de autenticación que se va a utilizar para autenticar los clientes al establecer una conexión de VPN. Debe seleccionar un método de autenticación.
   + Para usar la autenticación basada en usuarios, seleccione **Utilizar la autenticación basada en usuarios** y, a continuación, elija una de las opciones siguientes:
     + **Autenticación con Active Directory**: elija esta opción para la autenticación con Active Directory. Para **ID de directorio**, especifique el ID de Active Directory que se va a utilizar.
     + **Autenticación federada**: elija esta opción para la autenticación federada basada en SAML. 

       Para **ARN del proveedor SAML**, especifique el ARN del proveedor de identidades SAML de IAM. 

       (Opcional) En **Self-service SAML provider ARN (ARN del proveedor SAML de autoservicio)**, especifique el ARN del proveedor de identidades SAML de IAM que creó para [poder utilizar el portal de autoservicio](federated-authentication.md#saml-self-service-support), si procede.
   + Para usar la autenticación con certificado mutuo, seleccione **Usar autenticación mutua** y, a continuación, **en el ARN del certificado de cliente**, especifique el ARN del certificado de cliente aprovisionado en (ACM).AWS Certificate Manager
**nota**  
Si los certificados de servidor y cliente los ha emitido la misma entidad de certificación (CA), puede utilizar el ARN del certificado de servidor para el servidor y el cliente. Si el certificado de cliente fue emitido por una entidad de certificación distinta, debe especificarse el ARN del certificado de cliente.

1. (Opcional) Para el **registro de conexiones**, especifique si desea registrar los datos sobre las conexiones de los clientes mediante Amazon CloudWatch Logs. Active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente). En el **nombre del grupo de CloudWatch registros**, introduzca el nombre del grupo de registros que se va a utilizar. En el caso **del nombre del flujo de registro de CloudWatch registros**, introduzca el nombre del flujo de registro que desee utilizar o deje esta opción en blanco para que podamos crear un flujo de registro para usted. 

1. (Opcional) En **Client Connect Handler** (Controlador de conexión de cliente), active **Enable client connect handler** (Habilitar controlador de conexión de cliente) para ejecutar código personalizado que permita o deniegue una nueva conexión con el punto de conexión de Client VPN. En **Client Connect Handler ARN (ARN del controlador de la conexión del cliente)**, especifique el nombre de recurso de Amazon (ARN) de la función Lambda que contiene la lógica que va a permitir o a denegar las conexiones.

1. (Opcional) Especifique qué servidores DNS se van a utilizar para la resolución de DNS. Para usar servidores DNS personalizados, para la **dirección IP del servidor DNS 1 y la dirección** **IP del servidor DNS 2**, especifique las IPv4 direcciones de los servidores DNS que se van a utilizar. Para los puntos finales IPv6 o de doble pila, también puede especificar las direcciones **del servidor DNS IPv6 1** y **del servidor DNS IPv6 2**. Para utilizar un servidor DNS de la VPC, en **DNS Server 1 IP address** (Dirección IP del servidor DNS 1) o **DNS Server 2 IP address** (Dirección IP del servidor DNS 2), especifique las direcciones IP y agregue la dirección IP del servidor DNS de la VPC.
**nota**  
Asegúrese de que los clientes pueden acceder a los servidores DNS.

1. (Opcional) De forma predeterminada, el punto de conexión de Client VPN utiliza el protocolo de transporte `UDP`. Para utilizar el protocolo de transporte `TCP` en su lugar, en **Transport Protocol (Protocolo de transporte)**, seleccione **TCP**.
**nota**  
Normalmente UDP tiene mejor rendimiento que TCP. El protocolo de transporte no se puede cambiar una vez creado el punto de enlace de Client VPN.

1. (Opcional) Para que el punto de conexión sea un punto de conexión de Client VPN de túnel dividido, active **Enable split-tunnel** (Habilitar túnel dividido). De forma predeterminada, el túnel dividido en un punto de conexión de Client VPN está desactivado.

1. (Opcional) En **VPC ID (ID de VPC)**, elija la VPC que desea asociar con el punto de enlace de Client VPN. En **Security Group IDs**, elija uno o más de los grupos de seguridad de la VPC para aplicarlos al punto final Client VPN.

1. (Opcional) En **VPN port** (Puerto de VPN), elija el número de puerto de VPN. El valor predeterminado es 443.

1. (Opcional) Si desea generar una [URL del portal de autoservicio](cvpn-self-service-portal.md) para los clientes, active **Enable self-service portal** (Habilitar portal de autoservicio).

1. (Opcional) Para **Session timeout hours** (Tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas de las opciones disponibles o deje el valor predeterminado de 24 horas.

1. (Opcional) Para **Desconectarse al finalizar el tiempo de espera de la sesión**, elija si desea terminar la sesión cuando se llegue al tiempo máximo de sesión. La elección de esta opción requiere que los usuarios se vuelvan a conectar manualmente al punto de conexión al finalizar el tiempo de espera de la sesión; de lo contrario, Client VPN intentará volver a conectarse automáticamente.

1. (Opcional) Especifique si desea habilitar el texto del banner de inicio de sesión de cliente. Active **Enable client login banner** (Habilitar banner de inicio de sesión de cliente). En **Client Login Banner Text** (Texto de banner de inicio de sesión de cliente), ingrese el texto que se mostrará en un banner en los clientes proporcionados por AWS cuando se establezca una sesión de VPN. Solo caracteres con codificación UTF-8. Máximo de 1400 caracteres.

1. Elija **Create Client VPN endpoint** (Crear punto de conexión de Client VPN).

Cuando haya creado el punto de enlace de Client VPN, haga lo siguiente para completar la configuración y permitir que los clientes se conecten:
+ El estado inicial del punto de enlace de Client VPN es `pending-associate`. Los clientes solo pueden conectarse al punto de enlace de Client VPN después de asociar la primera [red de destino](cvpn-working-target-associate.md).
+ Cree una [regla de autorización](cvpn-working-rules.md) para especificar qué clientes tienen acceso a la red.
+ Descargue y prepare el [archivo de configuración](cvpn-working-endpoint-export.md) del punto de enlace de Client VPN para distribuirlo a sus clientes.
+ Indique a sus clientes que utilicen el cliente AWS proporcionado u otra aplicación cliente basada en OpenVPN para conectarse al punto final Client VPN. Para obtener más información, consulte la [Guía del usuario de AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).

**Para crear un punto final Client VPN mediante el AWS CLI**  
Utilice el comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).

Ejemplo de creación de un IPv4 punto final:

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Ejemplo de creación de un IPv6 punto final:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Ejemplo de creación de un punto de conexión de doble pila:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# Visualización de puntos de enlace de AWS Client VPN
<a name="cvpn-working-endpoint-view"></a>

Puede consultar información sobre los puntos de conexión de Client VPN a través de la consola de Amazon VPC o la AWS CLI.

**Para ver los puntos de conexión de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de enlace de Client VPN que desea ver.

1. Use las pestañas **Detalles**, **Asociaciones de red de destino**, **Grupos de seguridad**, **Reglas de autorización**, **Tabla de enrutamiento**, **Conexiones** y **Etiquetas** para ver la información sobre los puntos de conexión de Client VPN existentes.

   También puede usar filtros para mejorar la búsqueda.

**Para ver los puntos de conexión de Client VPN (AWS CLI)**  
Utilice el comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modificación de un punto de conexión de AWS Client VPN
<a name="cvpn-working-endpoint-modify"></a>

Puede modificar un punto de conexión de Client VPN mediante la consola de Amazon VPC o la AWS CLI. Para obtener más información acerca de los campos que puede modificar de Client VPN, consulte [Modificación de puntos de conexión](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).

## Limitaciones
<a name="endpoints-limits"></a>

Se aplican las siguientes limitaciones para modificar un punto de conexión: 
+  Las modificaciones de los puntos de conexión de Client VPN, incluidos los cambios en la lista de revocación de certificados (CRL), surtirán efecto hasta cuatro horas después de que el servicio Client VPN acepte una solicitud.
+ No puede modificar el intervalo CIDR IPv4 del cliente, las opciones de autenticación, el certificado de cliente ni el protocolo de transporte después de crear el punto de conexión de Client VPN.
+ Puede modificar los puntos de conexión IPv4 existentes para convertirlos a doble pila, tanto los tipos de IP de punto de conexión como de tráfico. Si solo necesita IPv6 para IP de punto de conexión e IP de tráfico, debe crear un nuevo punto de conexión.
+ Client VPN no admite la modificación del tipo de punto de conexión (IPv4, IPv6, doble pila) ni del tipo de tráfico (IPv4, IPv6, doble pila) después de la creación.
+ No se admite la modificación de una Client VPN con una combinación específica de tipo de punto de conexión y tipo de tráfico. No puede cambiar a ninguna otra combinación. El punto de conexión se debe eliminar y volver a crear con la configuración deseada.
+ Los clientes IPv6 no admiten la comunicación de cliente a cliente.

## Modificación de un punto de enlace de Client VPN.
<a name="endpoint-modify"></a>

Los puntos de conexión de Client VPN se pueden modificar a través de la consola o la AWS CLI. 

**Cómo modificar un punto de conexión de Client VPN mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea modificar, elija **Actions** (Acciones) y haga clic en **Modify Client VPN Endpoint** (Modificar punto de conexión de Client VPN).

1. En **Description (Descripción)**, escriba una breve descripción del punto de enlace de Client VPN.

1. En **Tipo de dirección IP de punto de conexión**, puede modificar un punto de conexión IPv4 existente para que sea de doble pila. Esta opción solo está disponible para puntos de conexión IPv4.

1. En **Tipo de dirección IP de tráfico**, puede modificar un punto de conexión IPv4 existente para que sea de doble pila. Esta opción solo está disponible para puntos de conexión IPv4.

1. En **Server certificate ARN (ARN del certificado del servidor)**, especifique el ARN del certificado TLS que va a utilizar el servidor. Los clientes utilizan el certificado de servidor para autenticar el punto de enlace de Client VPN al que están conectados.
**nota**  
El certificado de servidor debe estar presente en AWS Certificate Manager (ACM) en la región en la que está creando el punto de enlace de Client VPN. El certificado se puede aprovisionar con ACM o importarse a ACM.

1. Indique si desea registrar datos sobre las conexiones del cliente a través de Amazon CloudWatch Logs. En **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente), realice una de las siguientes acciones:
   + Para activar el registro de la conexión del cliente, active **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente). En **CloudWatch Logs log group name** (Nombre del grupo de registro de CloudWatch Logs), seleccione el nombre del grupo de registro que se va a utilizar. En **CloudWatch Logs log stream name** (Nombre de la secuencia de registro de CloudWatch), seleccione el nombre de la secuencia de registro que se va a utilizar o deje esta opción en blanco para permitirnos crear una secuencia de registro automáticamente.
   + Para desactivar el registro de la conexión del cliente, desactive **Enable log details on client connections** (Habilitar los detalles de registro en las conexiones de cliente).

1. En **Client connect handler** (Controlador de conexión de cliente), para activar el [controlador de conexión de cliente](connection-authorization.md), active **Enable client connect handler** (Habilitar controlador de conexión de cliente). En **Client Connect Handler ARN (ARN del controlador de la conexión del cliente)**, especifique el nombre de recurso de Amazon (ARN) de la función Lambda que contiene la lógica que va a permitir o a denegar las conexiones.

1. Active o desactive **Enable DNS servers** (Habilitar servidores DNS). Para utilizar servidores DNS personalizados, en **DNS Server 1 IP address (Dirección IP de servidor de DNS 1)** y**DNS Server 2 IP address (Dirección IP de servidor de DNS 2)**, especifique las direcciones IPv4 de los servidores DNS que se van a utilizar. Para los puntos de conexión IPv6 o de doble pila, también puede especificar las direcciones **IPv6 1 de servidor de DNS** e **IPv6 2 de servidor de DNS**. Para utilizar un servidor DNS de la VPC, en **DNS Server 1 IP address** (Dirección IP del servidor DNS 1) o **DNS Server 2 IP address** (Dirección IP del servidor DNS 2), especifique las direcciones IP y agregue la dirección IP del servidor DNS de la VPC.
**nota**  
Asegúrese de que los clientes pueden acceder a los servidores DNS.

1. Active o desactive **Enable split-tunnel** (Habilitar túnel dividido). De forma predeterminada, el túnel dividido en un punto de conexión de VPN está desactivado.

1. En **VPC ID** (ID de VPC), elija la VPC que desea asociar con el punto de conexión de Client VPN. En **Security Group IDs (ID de grupo de seguridad)**, elija uno o varios grupos de seguridad de la VPC para aplicarlos al punto de enlace de Client VPN.

1. En **VPN port** (Puerto de VPN), elija el número de puerto de VPN. El valor predeterminado es 443.

1. Si desea generar una [URL del portal de autoservicio](cvpn-self-service-portal.md) para los clientes, active **Enable self-service portal** (Habilitar portal de autoservicio).

1. En **Session timeout hours** (Horas de tiempo de espera de la sesión), elija el tiempo máximo de duración de la sesión VPN deseado en horas de las opciones disponibles o deje el valor predeterminado de 24 horas.

1. En **Desconectarse al finalizar el tiempo de espera de la sesión**, elija si desea finalizar la sesión cuando termine el tiempo máximo de sesión. La elección de esta opción requiere que los usuarios se vuelvan a conectar manualmente al punto de conexión al finalizar el tiempo de espera de la sesión; de lo contrario, Client VPN intentará volver a conectarse automáticamente.

1. Active o desactive **Enable client login banner** (Habilitar banner de inicio de sesión de cliente). Si desea usar el banner de inicio de sesión de cliente, ingrese el texto que se mostrará en un banner en los clientes proporcionados por AWS cuando se establezca una sesión VPN. Solo caracteres con codificación UTF-8. Máximo de 1400 caracteres.

1. Elija **Modify Client VPN endpoint** (Modificar punto de conexión de Client VPN).

**Cómo modificar un punto de conexión de Client VPN mediante la AWS CLI**  
Utilice el comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

Ejemplo de modificación de un punto de conexión IPv4 para que sea de doble pila:

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# Eliminación de un punto de conexión de AWS Client VPN
<a name="cvpn-working-endpoint-delete"></a>

Tendrá que desconectar todas las redes de destino para poder eliminar un punto de conexión de Client VPN. Cuando se elimina un punto de enlace de Client VPN, su estado cambia a `deleting` y los clientes ya no pueden conectarse a él. 

Los puntos de enlace de Client VPN pueden eliminarse a través de la consola o la AWS CLI.

**Para eliminar un punto de enlace de Client VPN (consola)**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Client VPN Endpoints (Puntos de enlace de Client VPN)**.

1. Seleccione el punto de conexión de Client VPN que desea eliminar. Elija **Actions** (Acciones), **Delete Client VPN endpoint** (Eliminar punto de conexión de Client VPN).

1. Ingrese *delete* en la ventana de confirmación y elija **Delete** (Eliminar).

**Eliminación de un punto de enlace de Client VPN (AWS CLI)**  
Utilice el comando [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).