Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Travaillez avec AWS Client VPN
<a name="cvpn-working"></a>

Les rubriques suivantes décrivent les principales tâches administratives nécessaires pour utiliser le Client VPN :
+ **Accès au portail en libre-service** : configurez l'accès au portail en libre-service du VPN client afin que les clients puissent télécharger eux-mêmes le fichier de configuration du point de terminaison du client VPN. Pour plus d'informations sur l'accès au portail en libre-service, voir[AWS Client VPN accès au portail en libre-service](cvpn-self-service-portal.md).
+ **Règles d'autorisation** — Ajoutez des règles d'autorisation pour contrôler l'accès des clients à des réseaux spécifiques. Pour plus d'informations sur l'ajout de règles d'autorisation, consultez[AWS Client VPN règles d'autorisation](cvpn-working-rules.md).
+ Listes de **révocation de certificats clients : utilisez les listes** de révocation de certificats clients pour révoquer l'accès à un point de terminaison VPN client. Pour plus d'informations sur les listes de révocation de certificats clients, consultez[AWS Client VPN listes de révocation de certificats clients](cvpn-working-certificates.md).
+ **Connexions client** : affichez ou mettez fin à une connexion client à un point de terminaison VPN client. Pour plus d'informations sur l'affichage ou la résiliation d'une connexion client, consultez[AWS Client VPN connexions client](cvpn-working-connections.md).
+ **Bannière de connexion client** — Ajoutez une bannière de texte sur une application de bureau VPN cliente lorsqu'une session VPN est établie. Vous pouvez utiliser la bannière de texte pour répondre à vos besoins en matière de réglementation et de conformité. Pour plus d'informations sur les bannières de connexion, consultez[AWS Client VPN bannières de connexion client](cvpn-working-login-banner.md).
+ **Application des itinéraires clients** : appliquez les itinéraires définis par l'administrateur sur les appareils connectés via le VPN. Pour plus d'informations sur le Client Route Enforcement, consultez[AWS Client VPN Application de l'itinéraire client](cvpn-working-cre.md). 
+ **Points de terminaison VPN** du client : configurez les points de terminaison VPN du client pour gérer et contrôler toutes les sessions VPN. Pour plus d'informations sur la configuration des points de terminaison, consultez[AWS Client VPN points de terminaison](cvpn-working-endpoints.md).
+ **Journaux de connexion** : activez la journalisation des connexions pour les points de terminaison VPN client nouveaux ou existants afin de commencer à capturer les journaux de connexion. Pour plus d'informations sur la journalisation des connexions, consultez[AWS Client VPN journaux de connexion](cvpn-working-with-connection-logs.md).
+ **Exportation du fichier de configuration client** — Configurez le fichier de configuration client dont les clients VPN ont besoin pour établir des connexions VPN. Après avoir configuré le fichier, téléchargez-le (exportez-le) pour le distribuer aux clients. Pour plus d'informations sur l'exportation d'un fichier de configuration client, consultez[AWS Client VPN exportation du fichier de configuration du terminal](cvpn-working-endpoint-export.md).
+ **Routes** — Configurez les règles d'autorisation pour chaque route VPN du Client afin de spécifier quels clients ont accès au réseau de destination. Pour plus d'informations sur la configuration des règles d'autorisation, voir [AWS Client VPN règles d'autorisation](cvpn-working-rules.md)
+ **Réseaux cibles** : associez les réseaux cibles à un point de terminaison VPN client pour permettre aux clients de s'y connecter et d'établir une connexion VPN. Pour plus d'informations sur les réseaux cibles, consultez[AWS Client VPN réseaux cibles](cvpn-working-target.md).
+ **Durée maximale de session VPN** — Définissez des options pour une durée maximale de session VPN afin de répondre à vos exigences de sécurité et de conformité. Pour plus d'informations sur la durée maximale des sessions VPN, consultez[AWS Client VPN délai d'expiration maximal d'une session VPN](cvpn-working-max-duration.md).

# AWS Client VPN accès au portail en libre-service
<a name="cvpn-self-service-portal"></a>

Si vous avez activé le portail en libre-service pour votre point de terminaison VPN Client, vous pouvez fournir à vos clients une URL du portail en libre-service. Les clients peuvent accéder au portail dans un navigateur Web et utiliser leurs informations d'identification utilisateur pour se connecter. Sur le portail, les clients peuvent télécharger le fichier de configuration du point de terminaison du client VPN et télécharger la dernière version du client AWS fourni.

Les règles suivantes s’appliquent :
+ Le portail libre-service n'est pas disponible pour les clients qui s'authentifient à l'aide d'une authentification mutuelle.
+ Le fichier de configuration disponible sur le portail en libre-service est le même que celui que vous exportez à l'aide de la console Amazon VPC ou. AWS CLI Si vous devez personnaliser le fichier de configuration avant de le distribuer aux clients, vous devez le distribuer vous-même aux clients.
+ Vous devez activer l'option de portail en libre-service pour votre point de terminaison VPN Client, sinon les clients ne peuvent pas accéder au portail. Si cette option n'est pas activée, vous pouvez modifier votre point de terminaison VPN Client pour l'activer.

Après avoir activé l'option du portail en libre-service, fournissez à vos clients l'un des éléments suivants : URLs
+ `https://self-service.clientvpn.amazonaws.com/`

  Si les clients accèdent au portail à l'aide de cette URL, ils doivent saisir l'ID du point de terminaison VPN Client avant de pouvoir se connecter.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/<endpoint-id>`

  Remplacez *<endpoint-id>* l'URL précédente par l'ID du point de terminaison de votre Client VPN, par exemple`cvpn-endpoint-0123456abcd123456`.

Vous pouvez également afficher l'URL du portail en libre-service dans le résultat de la [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI commande. L'URL est également disponible dans l'onglet **Détails** de la page **Points de terminaison VPN Client** dans la console Amazon VPC.

Pour plus d'informations sur la configuration du portail en libre-service pour une utilisation avec l'authentification fédérée, consultez [Prise en charge du portail en libre-service](federated-authentication.md#saml-self-service-support).

# AWS Client VPN règles d'autorisation
<a name="cvpn-working-rules"></a>

Les règles d'autorisation agissent comme des règles de pare-feu qui accordent l'accès aux réseaux. En ajoutant des règles d'autorisation, vous accordez à des clients spécifiques l'accès au réseau spécifié. Vous devez disposer d'une règle d’autorisation pour chaque réseau auquel vous souhaitez accorder l'accès. Vous pouvez ajouter des règles d'autorisation à un point de terminaison VPN Client à l'aide de la console et de la AWS CLI.

**Note**  
En outre, Client VPN utilise la correspondance de préfixe la plus longue lors de l'évaluation des règles d'autorisation. Consultez la rubrique de dépannage[Résolution des problèmes AWS Client VPN : les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu](ad-group-auth-rules.md)et[Priorité d’acheminement](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)dans le *Vérification Guide de l'utilisateur Amazon VPC* pour plus de détails.

## Points clés relatifs à la compréhension des règles d'autorisation
<a name="key-points-summary"></a>

Les points suivants expliquent certains comportements des règles d'autorisation :
+ Pour autoriser l'accès à un réseau de destination, une règle d'autorisation doit être explicitement ajoutée. Le comportement par défaut consiste à refuser l’accès.
+ Vous ne pouvez pas ajouter de règle d'autorisation pour *restreindre* l’accès à un réseau de destination.
+ Le CIDR `0.0.0.0/0` est traité comme un cas spécial. Il est traité en dernier, quel que soit l'ordre de création des règles d'autorisation.
+ Le CIDR `0.0.0.0/0` peut être considéré comme « n'importe quelle destination » ou « toute destination non définie par d'autres règles d'autorisation ».
+ La correspondance de préfixe le plus long est la règle qui prévaut.

**Topics**
+ [Points clés](#key-points-summary)
+ [Exemples de scénarios](#auth-rule-example-scenarios)
+ [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md)
+ [Supprimer une règle d'autorisation](cvpn-working-rule-remove.md)
+ [Affichage des règles d'autorisation](cvpn-working-rule-view.md)

## Exemples de scénarios pour les règles d'autorisation du Client VPN
<a name="auth-rule-example-scenarios"></a>

Cette section décrit le fonctionnement des règles d'autorisation AWS Client VPN. Elle contient des points clés relatifs à la compréhension des règles d'autorisation, un exemple d'architecture et une discussion d'exemples de scénario correspondant à l'exemple d’architecture.

**Scénarios**
+ [Exemple d'architecture pour les scénarios de règle d'autorisation](#example-arch-auth-rules)
+ [Accès à une destination unique](#auth-rules1)
+ [Utiliser n'importe quelle destination (0.0.0.0/0) CIDR](#auth-rules2)
+ [Correspondance de préfixe IP plus longue](#auth-rules3)
+ [CIDR superposé (même groupe)](#auth-rules4)
+ [Règle 0.0.0.0/0 supplémentaire](#auth-rules5)
+ [Ajouter une règle pour 192.168.0.0/24](#auth-rules6)
+ [Authentification fédérée SAML](#auth-rules7)
+ [Accès pour tous les groupes d'utilisateurs](#auth-rules8)

### Exemple d'architecture pour les scénarios de règle d'autorisation
<a name="example-arch-auth-rules"></a>

Le schéma suivant montre l'exemple d'architecture utilisé pour les exemples de scénario présentés dans cette section.

![\[Exemple d’architecture de VPN client\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)


### Accès à une destination unique
<a name="auth-rules1"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès au VPC du VPN client  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 

**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder uniquement à `10.0.0.0/16`.
+ Le groupe de gestionnaires peut accéder uniquement à `192.168.0.0/24`.
+ Tout le reste du trafic est supprimé par le point de terminaison du VPN client.

**Note**  
Dans ce scénario, aucun groupe d'utilisateurs n'a accès à l'Internet public.

### Utiliser n'importe quelle destination (0.0.0.0/0) CIDR
<a name="auth-rules2"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 

**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder uniquement à `10.0.0.0/16`.
+ Le groupe de gestionnaires peut accéder à l'Internet public *et* à `192.168.0.0/24`, mais ne peut pas accéder à `172.16.0.0/24` ou à `10.0.0/16`.

**Note**  
Dans ce scénario, aucune règle ne faisant référence à `192.168.0.0/24`, l'accès à ce réseau est également fourni par la règle `0.0.0.0/0`.  
Une règle contenant `0.0.0.0/0` est toujours évaluée en dernier, quel que soit l'ordre dans lequel les règles ont été créées. Pour cette raison, gardez à l'esprit que les règles évaluées avant `0.0.0.0/0` jouent un rôle pour déterminer les réseaux auxquels `0.0.0.0/0` donne accès.

### Correspondance de préfixe IP plus longue
<a name="auth-rules3"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès à un seul hôte dans le VPC de développement  |  S-xxxxx16  |  False  |  10,0.2.119/32  | 

**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du VPC de développement, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du VPC de développement.

**Note**  
Vous pouvez voir ici comment une règle avec un préfixe IP plus long est prioritaire par rapport à une règle avec un préfixe IP plus court. Si vous souhaitez que le groupe de développement ait accès à `10.0.2.119/32`, une règle supplémentaire autorisant l'équipe de développement à accéder à `10.0.2.119/32` doit être ajoutée.

### CIDR superposé (même groupe)
<a name="auth-rules4"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement  |  S-xxxxx16  |  False  |  10,0.2.119/32  | 
|  Fournir au groupe d'ingénierie un accès à un sous-réseau plus petit au sein du réseau sur site  |  S-xxxxx14  |  False  |  172,16,0,128/25  | 

**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais ne peut accéder ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie a accès à `172.16.0.0/24`, notamment au sous-réseau plus spécifique `172.16.0.128/25`.

### Règle 0.0.0.0/0 supplémentaire
<a name="auth-rules5"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement  |  S-xxxxx16  |  False  |  10,0.2.119/32  | 
|  Fournir au groupe d'ingénierie un accès à un sous-réseau plus petit au sein du réseau sur site  |  S-xxxxx14  |  False  |  172,16,0,128/25  | 
|  Fournir au groupe d'ingénieurs un accès à n'importe quelle destination  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 

**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un seul hôte (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `192.168.0.0/24`, et à `172.16.0.0/24`, dont le sous-réseau plus spécifique `172.16.0.128/25`.

**Note**  
Notez que les groupes d'ingénierie et de gestion peuvent désormais accéder à `192.168.0.0/24`. Cela est dû au fait que les deux groupes ont accès à `0.0.0.0/0` (n'importe quelle destination) *et* qu’aucune autre règle ne fait référence à `192.168.0.0/24`.

### Ajouter une règle pour 192.168.0.0/24
<a name="auth-rules6"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement  |  S-xxxxx16  |  False  |  10,0.2.119/32  | 
|  Fournir au groupe d'ingénierie un accès à un sous-réseau du réseau sur site  |  S-xxxxx14  |  False  |  172,16,0,128/25  | 
|  Fournir au groupe d'ingénieurs un accès à n'importe quelle destination  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès au VPC du VPN client  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 

**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `172.16.0.0/24`, et à `172.16.0.128/25`.

**Note**  
Notez comment l’ajout de la règle permettant au groupe de gestionnaires d’accéder à `192.168.0.0/24` fait que le groupe de développement n'a plus accès à ce réseau de destination.

### Authentification fédérée SAML
<a name="auth-rules7"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  Ingénierie  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  Développeurs  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès au VPC du VPN client  |  Directeurs  |  False  |  192.168.0.0/24  | 

**Comportement obtenu**
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Engineering » peuvent uniquement y accéder. `172.16.0.0/24`
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Développeurs » peuvent uniquement y accéder. `10.0.0.0/16`
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Managers » peuvent uniquement y accéder. `192.168.0.0/24`
+ Tout le reste du trafic est supprimé par le point de terminaison du VPN client.

**Note**  
Lorsque vous utilisez l'authentification fédérée SAML, le champ ID de groupe correspond à la valeur d'attribut SAML qui identifie l'appartenance au groupe de l'utilisateur. Cet attribut est configuré dans votre fournisseur d'identité SAML et transmis au Client VPN lors de l'authentification.

### Accès pour tous les groupes d'utilisateurs
<a name="auth-rules8"></a>


| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination | 
| --- | --- | --- | --- | 
|  Fournir au groupe d'ingénierie un accès au réseau sur site  |  S-xxxxx14  |  False  |  172.16.0.0/24  | 
|  Fournir au groupe de développement un accès au VPC de développement  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Fournir au groupe de gestionnaires un accès à n'importe quelle destination  |  S-xxxxx16  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement  |  S-xxxxx16  |  False  |  10,0.2.119/32  | 
|  Fournir au groupe d'ingénierie un accès à un sous-réseau du réseau sur site  |  S-xxxxx14  |  False  |  172,16,0,128/25  | 
|  Fournir au groupe d'ingénierie un accès à tous les réseaux  |  S-xxxxx14  |  False  |  0.0.0.0/0  | 
|  Fournir au groupe de gestionnaires un accès au VPC du VPN client  |  S-xxxxx16  |  False  |  192.168.0.0/24  | 
|  Fournir un accès à tous les groupes  |  N/A  |  True  |  0.0.0.0/0  | 

**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `172.16.0.0/24`, et à `172.16.0.128/25`.
+ Tout autre groupe d'utilisateurs, par exemple le « groupe d'administrateurs », peut accéder à l'Internet public, mais à aucun des autres réseaux de destination définis dans les autres règles.

# Ajouter une règle d'autorisation à un AWS Client VPN point de terminaison
<a name="cvpn-working-rule-authorize-add"></a>

Vous pouvez ajouter une règle d'autorisation pour accorder ou restreindre l'accès à un point de terminaison VPN Client en utilisant le AWS Management Console. Une règle d'autorisation peut être ajoutée à un point de terminaison VPN client à l'aide de la console Amazon VPC ou à l'aide de la ligne de commande ou de l'API. 

**Pour ajouter une règle d'autorisation à un point de terminaison VPN client à l'aide de AWS Management Console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN client auquel ajouter la règle d'autorisation, choisissez **Authorization rules (Règles d'autorisation)**, puis **Add authorization rule (Ajouter une règle d'autorisation)**.

1. Pour **Destination network to enable access (Réseau de destination pour autoriser l'accès)**, entrez l'adresse IP, en notation CIDR, du réseau auquel les utilisateurs doivent accéder (par exemple, le bloc d'adresses CIDR de votre VPC).

1. Spécifiez les clients autorisés à accéder au réseau spécifié. Pour **Pour accorder l'accès à**, effectuez l'une des actions suivantes :
   + Pour accorder l'accès à tous les clients, choisissez **Autoriser l'accès à tous les utilisateurs**.
   + Pour restreindre l'accès à des clients spécifiques, choisissez **Autoriser l'accès aux utilisateurs d'un groupe d'accès spécifique**, puis, pour **ID de groupe d'accès**, saisissez l'ID du groupe auquel accorder l'accès. Par exemple, l'identifiant de sécurité (SID) d'un groupe Active Directory ou celui ID/name d'un groupe défini dans un fournisseur d'identité (IdP) basé sur le protocole SAML.
     + (Active Directory) Pour obtenir le SID, vous pouvez utiliser l'ADGroupapplet de commande Microsoft Powershell [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup), par exemple :

       ```
       Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'
       ```

       Vous pouvez également ouvrir l'outil Utilisateurs et ordinateurs Active Directory, afficher les propriétés du groupe, accéder à l'onglet Éditeur d'attributs et obtenir la valeur pour `objectSID`. Si nécessaire, choisissez d'abord **Affichage**, **Fonctionnalités avancées** pour activer l'onglet Éditeur d'attributs.
     + (Authentification fédérée basée sur SAML) Le groupe ID/name doit correspondre aux informations d'attribut de groupe renvoyées dans l'assertion SAML.

1. Pour **Description**, saisissez une brève description de la règle d'autorisation.

1. Choisir **Ajouter une règle d’autorisation**.

**Ajouter une règle d'autorisation à un point de terminaison VPN Client (AWS CLI)**  
Utilisez la commande [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).

# Supprimer une règle d'autorisation d'un point de AWS Client VPN terminaison
<a name="cvpn-working-rule-remove"></a>

Vous pouvez supprimer les règles d'autorisation pour un point de terminaison VPN Client spécifique à l'aide de la console et du AWS CLI.

**Pour supprimer les règles d'autorisation (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN pour lequel la règle d'autorisation a été ajoutée, puis choisissez **Règles d'autorisation**.

1. Sélectionnez la règle d'autorisation à supprimer, choisissez **Supprimer la règle d'autorisation**, puis choisissez à nouveau **Supprimer la règle d'autorisation** pour confirmer la suppression.

**Pour supprimer les règles d'autorisation (AWS CLI)**  
Utilisez la commande [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).

# Afficher les règles AWS Client VPN d'autorisation
<a name="cvpn-working-rule-view"></a>

Vous pouvez afficher les règles d'autorisation d'un point de terminaison VPN Client spécifique à l'aide de la console et de la AWS CLI.

**Pour afficher les règles d'autorisation (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client pour lequel vous souhaitez afficher les règles d'autorisation et choisir **Autorization rules (Règles d'autorisation)**.

**Pour afficher les règles d'autorisation (AWS CLI)**  
Utilisez la commande [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).

# AWS Client VPN listes de révocation de certificats clients
<a name="cvpn-working-certificates"></a>

Les listes de révocation de certificats clients VPN client sont utilisées pour révoquer l'accès à un point de terminaison VPN client pour des certificats clients spécifiques. Vous pouvez générer une liste de révocation ou importer une liste existante. Vous pouvez également exporter votre liste actuelle sous forme de fichier de liste de révocation. La génération d'une liste s'effectue à l'aide du logiciel OpenVPN sous Windows Linux/macOS ou sous Windows. L'importation et l'exportation peuvent être effectuées à l'aide de la console Amazon VPC ou à l'aide de la CLI AWS . 

Pour plus d'informations sur la génération de certificats et de clés de serveur et de client, consultez [Authentification mutuelle dans AWS Client VPN](mutual.md)

**Note**  
Si la liste de révocation de certificats clients a expiré, vous ne pouvez pas vous connecter au point de terminaison VPN du Client. Vous devrez en créer un nouveau et l'importer dans le point de terminaison VPN du Client. 

Vous ne pouvez ajouter qu'un nombre limité d'entrées à une liste de révocation de certificats clients. Pour plus d'informations sur le nombre d'entrées que vous pouvez ajouter à une liste de révocation, consultez[Quotas Client VPN](limits.md#quotas-endpoints).

**Topics**
+ [Générer une liste de révocation des certificats de client](cvpn-working-certificates-generate.md)
+ [Importer une liste de révocation des certificats de client](cvpn-working-certificates-import.md)
+ [Exporter une liste de révocation des certificats de client](cvpn-working-certificates-export.md)

# Génération d'une AWS Client VPN liste de révocation de certificats clients
<a name="cvpn-working-certificates-generate"></a>

Vous pouvez générer une liste de révocation des certificats VPN du Client sur un système d'exploitation Windows Linux/macOS ou sur un système d'exploitation Windows. La liste de révocation est utilisée pour révoquer l'accès à un point de terminaison VPN du Client pour des certificats spécifiques. Pour plus d'informations sur les listes de révocation de certificats clients, consultez[Listes de révocation des certificats de client](cvpn-working-certificates.md).

------
#### [ Linux/macOS ]

Dans la procédure suivante, vous générez une liste de révocation des certificats de client par l'intermédiaire de l'utilitaire de ligne de commande OpenVPN easy-rsa.

**Pour générer une liste de révocation des certificats de client via OpenVPN easy-rsa**

1. Ouvrez une session sur le serveur hébergeant l'installation easyrsa utilisée pour générer le certificat.

1. Accédez au dossier `easy-rsa/easyrsa3` de votre référentiel local.

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Révoquez le certificat de client et générez la liste de révocation du client.

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   Entrez `yes` lorsque vous y êtes invité.

------
#### [ Windows ]

La procédure suivante utilise le logiciel OpenVPN pour générer une liste de révocation de clients. Elle suppose que vous avez suivi les [étapes d'utilisation du logiciel OpenVPN](mutual.md) pour générer les certificats et clés client et serveur.

**Pour générer une liste de révocation des certificats de client à l'aide d'EasyRSA version 3.x.x**

1. Ouvrez une invite de commande et accédez au répertoire EasyRSA-3.x.x, en fonction de son emplacement d'installation sur votre système.

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. Exécutez le `EasyRSA-Start.bat` fichier pour démarrer le shell EasyRSA.

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. Dans le shell EasyRSA, révoquez le certificat client.

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. Entrez `yes` lorsque vous y êtes invité.

1. Générez la liste de révocation du client.

   ```
   # ./easyrsa gen-crl
   ```

1. La liste de révocation du client sera créée à l'emplacement suivant :

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**Pour générer une liste de révocation des certificats de client à l'aide des précédentes versions d'EasyRSA**

1. Ouvrez une invite de commande et accédez au répertoire OpenVPN.

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. Exécutez le fichier `vars.bat`.

   ```
   C:\> vars
   ```

1. Révoquez le certificat de client et générez la liste de révocation du client.

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# Importer une liste de révocation de certificats AWS Client VPN clients
<a name="cvpn-working-certificates-import"></a>

Vous devez disposer d'un fichier de liste de révocation des certificats clients Client VPN à importer. Pour plus d'informations sur la création d'une liste de révocation des certificats de client, consultez [Génération d'une AWS Client VPN liste de révocation de certificats clients](cvpn-working-certificates-generate.md).

Vous pouvez importer une liste de révocation des certificats de client à l'aide de la console et de la AWS CLI.

**Pour importer une liste de révocation des certificats de client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN pour lequel importer la liste de révocation des certificats de client.

1. Choisissez **Actions**, puis **Import Client Certificate CRL (Importer une liste de révocation des certificats de client)**.

1. Pour **Certificate Révocation List (Liste de révocation des certificats)**, saisissez le contenu du fichier de liste de révocation des certificats de client, puis choisissez **Import client certificate CRL (Importer une CRL de certificat client)**.

**Pour importer une liste de révocation des certificats de client (AWS CLI)**  
Utilisez la certificate-revocation-list commande [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# Exporter une liste de révocation de certificats AWS Client VPN clients
<a name="cvpn-working-certificates-export"></a>

Vous pouvez exporter les listes de révocation de certificats clients Client-VPN à l'aide de la console et du AWS CLI.

**Pour exporter une liste de révocation des certificats de client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN pour lequel exporter la liste de révocation des certificats de client.

1. Choisissez **Actions**, **Export Client Certificate CRL (Exporter une liste de révocation des certificats de client)**, puis choisissez **Export Client Certificate CRL (Exporter un CRL de certificat client)**.

**Pour exporter une liste de révocation des certificats de client (AWS CLI)**  
Utilisez la certificate-revocation-list commande [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).

# AWS Client VPN connexions client
<a name="cvpn-working-connections"></a>

AWS Client VPN les connexions sont des sessions VPN actives établies par des clients vers un point de terminaison VPN client spécifique, ainsi que des connexions qui ont été interrompues au cours des 60 dernières minutes pour ce point de terminaison. Une connexion est établie lorsqu'un client se connecte avec succès à un point de terminaison Client VPN. La fin d'une session met fin à la connexion du client au point de terminaison VPN du Client.

Vous pouvez consulter et résilier les connexions VPN du Client. L'affichage des informations de connexion renvoie des informations telles que l'adresse IP attribuée à partir de la plage de blocs CIDR du client, l'ID du point de terminaison et l'horodatage. La fin d'une session met fin à la connexion VPN spécifiée au point de terminaison. L'affichage et la fin des sessions peuvent être effectués à l'aide de la console Amazon VPC ou de la AWS CLI. Si vous ne parvenez pas à vous connecter au terminal, et en fonction de l'erreur, consultez les étapes à suivre [Résolution des problèmes AWS Client VPN](troubleshooting.md) pour résoudre le problème.

**Topics**
+ [Afficher les connexions client](cvpn-working-connections-view.md)
+ [Mettre fin à une connexion client](cvpn-working-connections-disassociate.md)

# Afficher les connexions AWS Client VPN client
<a name="cvpn-working-connections-view"></a>

Vous pouvez consulter les connexions VPN clientes actives à l'aide de la console Amazon VPC ou de la CLI AWS .

**Pour afficher les connexions client VPN du client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN pour lequel vous souhaitez afficher les connexions client.

1. Choisissez l'onglet **Connections (Connexions)**. L'onglet **Connections (Connexions)** répertorie toutes les connexions client actives et interrompues.

**Pour afficher les connexions client VPN du Client (AWS CLI)**  
Utilisez la commande [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html).

# Mettre fin à une connexion AWS Client VPN client
<a name="cvpn-working-connections-disassociate"></a>

Vous pouvez mettre fin à une connexion client VPN à l'aide de la console Amazon VPC ou de la CLI AWS .

**Pour mettre fin à une connexion client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN du client auquel le client est connecté, puis choisissez **Connexions**.

1. Sélectionnez la connexion à terminer, choisissez **Terminer la connexion**, puis choisissez à nouveau **Terminer la connexion** pour confirmer la résiliation.

**Pour mettre fin à une connexion client VPN (AWS CLI)**  
Utilisez la commande [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html).

# AWS Client VPN bannières de connexion client
<a name="cvpn-working-login-banner"></a>

AWS Client VPN offre la possibilité d'afficher une bannière de texte sur les applications de bureau VPN du Client AWS fournies lorsqu'une session VPN est établie. Vous pouvez définir le contenu de la bannière texte de manière à ce qu'il réponde à vos besoins réglementaires et de conformité. Un maximum de 1 400 caractères codés en UTF-8 peuvent être utilisés.

**Note**  
Lorsqu'une bannière de connexion client a été activée, elle s'affiche uniquement sur les nouvelles sessions VPN. Les sessions VPN existantes ne sont pas interrompues, mais la bannière s'affiche lorsqu'une session existante est rétablie.

## Création de bannières
<a name="configure-login-banner-endpoint-creation"></a>

Les bannières de connexion sont initialement créées et activées lors de la création du point de terminaison VPN du Client. Pour les étapes à suivre pour activer une bannière de connexion client lors de la création d'un point de terminaison VPN client, consultez[Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

**Topics**
+ [Création de bannières](#configure-login-banner-endpoint-creation)
+ [Configuration d'une bannière de connexion client pour un point de terminaison existant](configure-login-banner-existing-endpoint.md)
+ [Désactiver une bannière de connexion client pour un point de terminaison](disable-login-banner.md)
+ [Modifier le texte de bannière existant](modify-banner-text.md)
+ [Afficher une bannière de connexion actuellement configurée](display-login-banner.md)

# Configuration d'une bannière de connexion client pour un point de AWS Client VPN terminaison existant
<a name="configure-login-banner-existing-endpoint"></a>

Suivez les étapes suivantes afin de configurer une bannière de connexion client pour un point de terminaison Client VPN existant.

**Activer la bannière de connexion client sur un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez modifier, choisissez **Actions**, puis **Modify Client VPN Endpoint** (Modifier le point de terminaison VPN Client).

1. Faites défiler la page jusqu'à la section **Other parameters (Autres paramètres)**.

1. Activez **Enable client login banner (Activer la bannière de connexion client)**.

1. Pour **le texte de la bannière de connexion du client**, entrez le texte qui sera affiché dans une bannière sur les clients AWS fournis lorsqu'une session VPN est établie. Utilisez uniquement des caractères codés UTF-8. Un maximum de 1 400 caractères est autorisé.

1. Choisir **Modifiy Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Activer la bannière de connexion client sur un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Désactiver une bannière de connexion client pour un point de terminaison existant AWS Client VPN
<a name="disable-login-banner"></a>

Suivez les étapes suivantes afin de désactiver une bannière de connexion client pour un point de terminaison Client VPN existant.

**Désactiver la bannière de connexion client sur un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez modifier, choisissez **Actions**, puis **Modify Client VPN endpoint (Modifier le point de terminaison VPN Client)**.

1. Faites défiler la page jusqu'à la section **Other parameters (Autres paramètres)**.

1. Désactivez **Enable client login banner? (Activer la bannière de connexion client ?)**.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Désactiver la bannière de connexion client sur un point de terminaison VPN client (AWS CLI)**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Modifier le texte de bannière existant sur un AWS Client VPN point de terminaison
<a name="modify-banner-text"></a>

Suivez les étapes ci-dessous pour modifier le texte existant sur la bannière de connexion d'un client Client VPN.

**Modifier le texte de bannière existant sur un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez modifier, choisissez **Actions**, puis **Modify Client VPN point de terminaison (Modifier le point de terminaison VPN client)**.

1. Pour **Enable client login banner (Activer la bannière de connexion client ?)**, vérifiez qu'elle est activée.

1. Pour **le texte de la bannière de connexion du client**, remplacez le texte existant par le nouveau texte que vous souhaitez afficher dans une bannière sur les clients AWS fournis lorsqu'une session VPN est établie. Utilisez uniquement des caractères codés UTF-8 et un maximum de 1 400 caractères.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Modifier la bannière de connexion client sur un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Afficher une bannière de AWS Client VPN connexion actuellement configurée
<a name="display-login-banner"></a>

Suivez les étapes ci-dessous pour afficher une bannière de connexion client Client VPN actuellement configurée.

**Afficher la bannière de connexion actuelle pour un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez afficher.

1. Vérifiez que l'onglet **Summary (Récapitulatif)** est sélectionné.

1. Affichez le texte de la bannière de connexion actuellement configurée à côté de **Client login banner text (Texte de la bannière de connexion client)**. 

**Afficher la bannière de connexion actuellement configurée pour un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# AWS Client VPN Application de l'itinéraire client
<a name="cvpn-working-cre"></a>

L'application des itinéraires client permet d'appliquer les itinéraires définis par l'administrateur sur les appareils connectés via le VPN. Cette fonctionnalité permet d'améliorer votre niveau de sécurité en garantissant que le trafic réseau provenant d'un client connecté n'est pas envoyé par inadvertance en dehors du tunnel VPN.

Client Route Enforcement surveille la table de routage principale de l'appareil connecté et veille à ce que le trafic réseau sortant soit acheminé vers un tunnel VPN, conformément aux itinéraires réseau configurés dans le point de terminaison VPN du client. Cela inclut la modification des tables de routage sur un appareil si des itinéraires en conflit avec le tunnel VPN sont détectés. Client Route Enforcement soutient les deux IPv4 et IPv6 s'adresse aux familles.

## Exigences
<a name="requirements-cre"></a>

Client Route Enforcement ne fonctionne qu'avec les versions de VPN client suivantes AWS fournies :
+ Windows version 5.2.0 ou supérieure (IPv4 support)
+ macOS version 5.2.0 ou supérieure (IPv4 support)
+ Ubuntu version 5.2.0 ou supérieure (IPv4 support)
+ Windows version 5.3.0 ou supérieure (IPv6 support)
+ macOS version 5.3.0 ou supérieure (IPv6 support)
+ Ubuntu version 5.3.0 ou supérieure (IPv6 support)

Pour les points de terminaison à double pile, le paramètre Client Route Enforce s'applique à la fois aux deux IPv4 et aux IPv6 piles simultanément. Il n'est pas possible d'activer l'application de la route client pour une seule pile.

## Conflits de routage
<a name="route-conflict-cre"></a>

Lorsqu'un client est connecté au VPN, une comparaison est effectuée entre la table de routage locale du client et les routes réseau du terminal. Un conflit de routage se produira en cas de chevauchement du réseau entre deux entrées de table de routage. Voici un exemple de réseaux qui se chevauchent :
+ `172.31.0.0/16`
+ `172.31.1.0/24`

Dans cet exemple, ces blocs CIDR constituent un conflit de routage. Par exemple, il `172.31.0.0/16` peut s'agir du tunnel VPN CIDR. Comme il `172.31.1.0/24` est plus spécifique car il possède un préfixe plus long, il a généralement la priorité et redirige potentiellement le trafic VPN dans la plage d'`172.31.1.0/24`adresses IP vers une autre destination. Cela pourrait entraîner un comportement de routage involontaire. Toutefois, lorsque le Client Route Enforcement est activé, ce dernier CIDR est supprimé. Lors de l'utilisation de cette fonctionnalité, les conflits de routage potentiels doivent être pris en compte.

Les connexions VPN à tunnel complet dirigent tout le trafic réseau via la connexion VPN. Par conséquent, les appareils connectés au VPN ne pourront pas accéder aux ressources du réseau local (LAN) si la fonctionnalité Client Route Enforcement est activée. Si un accès au réseau local est requis, envisagez d'utiliser le mode tunnel partagé au lieu du mode tunnel complet. Pour plus d'informations sur le split-tunnel, consultez. [Client VPN avec tunnel partagé](split-tunnel-vpn.md)

## Considérations
<a name="considerations-cre"></a>

Les informations suivantes doivent être prises en compte avant d'activer Client Route Enforcement.
+ Au moment de la connexion, si un conflit de routage est détecté, la fonctionnalité met à jour la table de routage du client pour diriger le trafic vers le tunnel VPN. Les itinéraires qui existaient avant l'établissement de la connexion et qui ont été supprimés par cette fonctionnalité seront restaurés.
+ La fonctionnalité est appliquée uniquement sur la table de routage principale et ne s'applique pas aux autres mécanismes de routage. Par exemple, l'application de la loi n'est pas appliquée dans les cas suivants :
  + routage basé sur des politiques
  + routage adapté à l'interface
+ Le Client Route Enforcement protège le tunnel VPN lorsqu'il est ouvert. Il n'y a aucune protection après la déconnexion du tunnel ou pendant la reconnexion du client.

### Impact des directives OpenVPN sur l'application de la route vers le cloud
<a name="considerations-openvpn"></a>

Certaines directives personnalisées du fichier de configuration d'OpenVPN ont des interactions spécifiques avec le Client Route Enforcement :
+ Directive `route` 
  + Lors de l'ajout de routes à une passerelle VPN. Par exemple, ajouter la route `192.168.100.0 255.255.255.0` vers une passerelle VPN.

    Les routes ajoutées à une passerelle VPN sont surveillées par Client Route Enforcement de la même manière que toute autre route VPN. Tous les itinéraires conflictuels qu'ils contiennent seront détectés et supprimés. 
  + Lorsque vous ajoutez des itinéraires à une passerelle non VPN. Par exemple, ajouter l'itinéraire`192.168.200.0 255.255.255.0 net_gateway`.

    Les routes ajoutées à une passerelle non VPN sont exclues de l'application des itinéraires client car elles contournent le tunnel VPN. Les itinéraires conflictuels y sont autorisés. Dans l'exemple ci-dessus, l'itinéraire sera exclu de la surveillance par Client Route Enforcement. 
  + Tout comme IPv4 les routes, IPv6 les routes ajoutées à une passerelle VPN sont surveillées par Client Route Enforcement, tandis que les routes ajoutées à une passerelle non VPN sont exclues de la surveillance.

### Routes ignorées
<a name="cre-ignored"></a>

Les itinéraires vers les IPv4 réseaux suivants seront ignorés par Client Route Enforcement :
+ `127.0.0.0/8`— Réservé à l'hôte local
+ `169.254.0.0/16`— Réservé aux adresses lien-local
+ `224.0.0.0/4`— Réservé à la multidiffusion
+ `255.255.255.255/32`— Réservé à la diffusion

Les itinéraires vers les IPv6 réseaux suivants seront ignorés par Client Route Enforcement :
+ `::1/128`— Réservé au loopback 
+ `fe80::/10`— Réservé aux adresses lien-local 
+ `ff00::/8`— Réservé à la multidiffusion 

**Topics**
+ [Exigences](#requirements-cre)
+ [Conflits de routage](#route-conflict-cre)
+ [Considérations](#considerations-cre)
+ [Activer l'application de l'itinéraire client](activate-cre.md)
+ [Désactiver l'application de l'itinéraire client](deactivate-cre.md)
+ [Résoudre les problèmes liés à l'application IPv6 du routage client](cre-ipv6-troubleshooting.md)

# Activer l'application de l'itinéraire client pour un AWS Client VPN point de terminaison
<a name="activate-cre"></a>

Vous pouvez activer Client Route Enforcement sur les points de terminaison VPN client existants à l'aide de la console ou du AWS CLI.

**Pour activer Client Route Enforcement à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Client VPN endpoints (Points de terminaison VPN client)**.

1. Choisissez le point de terminaison VPN client que vous souhaitez modifier, choisissez **Actions**, puis choisissez **Modifier le point de terminaison VPN du client**.

1. Faites défiler la page jusqu'à la section **Other parameters (Autres paramètres)**.

1. Activez **Client Route Enforcement**.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Pour activer la mise en œuvre de l'itinéraire client à l'aide du AWS CLI**
+ Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Désactiver l'application de l'itinéraire client à partir d'un point de terminaison AWS Client VPN
<a name="deactivate-cre"></a>

Vous pouvez désactiver l'application de la route client sur les points de terminaison VPN du client à l'aide de la console ou du. AWS CLI

**Pour désactiver Client Route Enforcement à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Client VPN endpoints (Points de terminaison VPN client)**.

1. Choisissez le point de terminaison VPN client que vous souhaitez modifier, choisissez **Actions**, puis choisissez **Modifier le point de terminaison VPN du client**.

1. Faites défiler la page jusqu'à la section **Other parameters (Autres paramètres)**.

1. Désactivez l'**application de l'itinéraire client**.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Pour désactiver l'application de l'itinéraire client à l'aide du AWS CLI**
+ Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

# Résoudre les problèmes liés à l'application IPv6 du routage client
<a name="cre-ipv6-troubleshooting"></a>

Si vous rencontrez des problèmes avec IPv6 Client Route Enforcement, envisagez les étapes de résolution des problèmes suivantes :

Vérifier la version du client  
Assurez-vous que vous utilisez la version 5.3.0 ou supérieure du client VPN AWS, qui est requise pour le support de l'application de la route IPv6 client.

Vérifier la configuration des terminaux  
Vérifiez que l'application de l'itinéraire client est activée sur le point de terminaison et qu'il est configuré pour IPv6 le trafic à double pile.

Examiner les journaux des clients  
Consultez les journaux du client VPN AWS pour détecter tout message d'erreur lié à la mise en œuvre de l'itinéraire IPv6 client. Recherchez les entrées contenant « IPv6 » et « Client Route Enforcement » ou « CRM ».

Inspecter la table de routage  
Utilisez la commande adaptée à votre système d'exploitation pour afficher la table IPv6 de routage :  
+ Windows: `netsh interface ipv6 show route`
+ macOS : `netstat -rn -f inet6`
+ Linux : `ip -6 route`

Vérifiez les itinéraires conflictuels  
Recherchez les IPv6 itinéraires susceptibles d'entrer en conflit avec les itinéraires VPN. Portez une attention particulière aux itinéraires ayant la même destination mais des passerelles différentes.

Vérifiez le support du fournisseur de services Internet IPv6   
Assurez-vous que votre fournisseur de services Internet (ISP) prend correctement en charge IPv6.

Si vous continuez à rencontrer des problèmes liés à l'application de l'itinéraire IPv6 client après avoir essayé ces étapes de résolution des problèmes, contactez le support AWS pour obtenir une assistance supplémentaire.

# AWS Client VPN points de terminaison
<a name="cvpn-working-endpoints"></a>

Toutes les AWS Client VPN sessions établissent une communication avec un point de terminaison VPN du Client. Vous pouvez gérer le point de terminaison VPN client pour créer, modifier, afficher et supprimer des sessions VPN client avec ce point de terminaison. Les points de terminaison peuvent être créés et modifiés à l'aide de la console Amazon VPC ou de la AWS CLI.

## Exigences relatives à la création de points de terminaison VPN pour le Client
<a name="cvpn-working-create-req"></a>

**Important**  
Un point de terminaison VPN client doit être créé dans le même AWS compte sur lequel le réseau cible prévu est provisionné. Vous devrez également générer un certificat de serveur et, si nécessaire, un certificat client. Pour de plus amples informations, veuillez consulter [Authentification du client dans AWS Client VPN](client-authentication.md).

Avant de commencer, veillez à effectuer les opérations suivantes :
+ Passez en revue les règles et les limitations dans [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).
+ Générez le certificat du serveur et, si nécessaire, le certificat du client. Pour de plus amples informations, veuillez consulter [Authentification du client dans AWS Client VPN](client-authentication.md).

## Types d'adresses IP
<a name="cvpn-ip-address-types"></a>

AWS Client VPN prend en charge les IPv4 configurations uniquement, IPv6 uniquement et à double pile pour la connectivité des terminaux et le routage du trafic. Les instructions suivantes vous aident à sélectionner le type d'adresse IP approprié en fonction des capacités de votre appareil client, de l'infrastructure réseau et des exigences des applications.

### Type d'adresse du terminal
<a name="cvpn-endpoint-types"></a>

Le type d'adresse du point de terminaison détermine les protocoles IP pris en charge par votre point de terminaison VPN client pour les connexions client. Ce paramètre ne peut pas être modifié après la création du point de terminaison.

**Choisissez IPv4 -uniquement lorsque :**
+ Vos appareils clients ne prennent en charge que les connexions IPv4 VPN
+ Vos outils de sécurité sont optimisés pour l'inspection IPv4 du trafic

**Choisissez IPv6 -uniquement lorsque :**
+ Tous les appareils clients prennent entièrement en charge IPv6 les connexions
+ Vous êtes dans des réseaux où les IPv4 adresses sont épuisées

**Optez pour la technologie Dual-Stack lorsque :**
+ Vous disposez d'une combinaison d'appareils clients dotés de capacités IP différentes
+ Vous passez progressivement de IPv4 IPv6

### Type d'adresse IP de trafic
<a name="cvpn-traffic-ip-considerations"></a>

Le type d'adresse IP du trafic contrôle la manière dont le VPN du client achemine le trafic entre les clients et les ressources de votre VPC, indépendamment des protocoles pris en charge par le point de terminaison.

**Acheminez le trafic comme IPv4 lorsque :**
+ Les applications cibles de votre VPC ne sont prises en charge que IPv4
+ Vous avez des groupes IPv4 de sécurité et un réseau complexes ACLs
+ Vous vous connectez à des systèmes existants

**Acheminez le trafic comme IPv6 lorsque :**
+ Votre infrastructure VPC est principalement IPv6
+ Vous souhaitez pérenniser votre architecture réseau
+ Vous disposez d'applications modernes conçues pour IPv6

## Modification du terminal
<a name="cvpn-endpoints-modify-req"></a>

**Note**  
Les points de terminaison VPN du client créés à l'aide de la configuration de démarrage rapide peuvent être modifiés selon les mêmes procédures que les points de terminaison créés avec une configuration standard. Toutes les options de configuration sont disponibles quelle que soit la méthode de configuration utilisée lors de la création.

Après la création d'un VPN Client, vous pouvez modifier l'un des paramètres suivants : 
+ La description
+ Le certificat du serveur
+ Les options de journalisation de la connexion client
+ L'option du gestionnaire de connexion du client
+ Les serveurs DNS
+ L'option de tunnel partagé
+ Les routages (lors de l'utilisation de l'option de tunnel partagé)
+ La liste de révocation de certificats (CRL)
+ Règles d'autorisation
+ Les associations de VPC et de groupes de sécurité
+ Le numéro de port VPN
+ L'option de portail libre-service
+ Durée maximale de la session VPN
+ Activer ou désactiver la reconnexion automatique à l'expiration de la session
+ Activer ou désactiver le texte de la bannière de connexion client
+ Texte de la bannière de connexion client

**Note**  
Les modifications apportées aux points de terminaison Client VPN, y compris les modifications apportées à la liste de révocation de certificats (CRL), prendront effet jusqu'à 4 heures après l'acceptation d'une demande par le service Client VPN.  
Vous ne pouvez pas modifier la plage d'adresses IPv4 CIDR du client, les options d'authentification, le certificat client ou le protocole de transport une fois que le point de terminaison VPN du client a été créé.

Lorsque vous modifiez l'un des paramètres suivants sur un point de terminaison VPN Client, la connexion se réinitialise :
+ Le certificat du serveur
+ Les serveurs DNS
+ L'option de tunnel partagé (activation ou désactivation du support)
+ Les routages (lorsque vous utilisez l'option de tunnel partagé)
+  La liste de révocation de certificats (CRL)
+ Règles d'autorisation
+ Le numéro de port VPN

**Topics**
+ [Exigences relatives à la création de points de terminaison VPN pour le Client](#cvpn-working-create-req)
+ [Types d'adresses IP](#cvpn-ip-address-types)
+ [Modification du terminal](#cvpn-endpoints-modify-req)
+ [Créer un point de terminaison](cvpn-working-endpoint-create.md)
+ [Affichage des points de terminaison](cvpn-working-endpoint-view.md)
+ [Modifier un point de terminaison](cvpn-working-endpoint-modify.md)
+ [Supprimer un point de terminaison](cvpn-working-endpoint-delete.md)

# Création d'un AWS Client VPN point de terminaison
<a name="cvpn-working-endpoint-create"></a>

Créez un AWS Client VPN point de terminaison pour permettre à vos clients d'établir une session VPN à l'aide de la console Amazon VPC ou du VPN AWS CLI. Le VPN client prend en charge toutes les combinaisons de type de point de terminaison (tunnel partagé et tunnel complet) et de type de trafic (IPv4 IPv6, et double pile) lors de la création initiale. 

Avant de créer un point de terminaison, familiarisez-vous avec les exigences. Pour de plus amples informations, veuillez consulter [Exigences relatives à la création de points de terminaison VPN pour le Client](cvpn-working-endpoints.md#cvpn-working-create-req).

**Pour créer un point de terminaison Client VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Client VPN Endpoints (Points de terminaison Client VPN)**, puis choisissez **Create Client VPN Endpoint (Créer un point de terminaison Client VPN)**.

1. Sous « Choisir la méthode de configuration », sélectionnez l'une des options suivantes : 
   + Démarrage rapide - Création d'un point de terminaison avec les valeurs par défaut recommandées par AWS
   + Standard : configurez manuellement tous les paramètres du point de terminaison

**Configuration du démarrage rapide :**

1. Pour « Choisir la méthode de configuration », sélectionnez Démarrage rapide.

1.  Pour « Client IPv4 CIDR », entrez la plage d'adresses IP à partir de laquelle attribuer les adresses IP des clients. AWS recommande d'utiliser un bloc d'adresse CIDR /22 (par exemple, 10.0.0.0/22). 

1.  Pour « VPC », sélectionnez le VPC à associer au point de terminaison VPN du Client. 

1.  Pour « Sous-réseaux », sélectionnez un ou plusieurs sous-réseaux dans le VPC. Ces sous-réseaux seront utilisés pour les associations de réseaux cibles. 

1.  Pour ARN du certificat du serveur), spécifiez l'ARN du certificat TLS que le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point de terminaison VPN Client auquel ils se connectent. 

1.  Choisissez « Créer un point de terminaison VPN client ». 

AWS crée automatiquement les ressources suivantes : 
+ Règle d'autorisation permettant à tous les utilisateurs d'accéder au VPC CIDR
+ Association du réseau cible avec les sous-réseaux VPC sélectionnés
+ Entrées de table de routage pour le VPC CIDR

 Une fois le point de terminaison créé, vous pouvez télécharger le fichier de configuration du client depuis la page de détails du point de terminaison et le distribuer à vos utilisateurs avec le certificat et la clé du client. 

**Configuration standard :**

1. Pour « Choisir la méthode de configuration », sélectionnez Standard.

1. (Facultatif) Fournissez une balise de nom et une description pour le point de terminaison Client VPN.

1. Pour le **type d'adresse IP du point de terminaison**, choisissez le type d'adresse IP du point de terminaison :
   + **IPv4**: Le point de terminaison utilise IPv4 des adresses pour le trafic du tunnel VPN externe.
   + **IPv6**: Le point de terminaison utilise IPv6 des adresses pour le trafic du tunnel VPN externe.
   + **Double pile** : le point de terminaison utilise à la fois des IPv6 adresses IPv4 et des adresses pour le trafic du tunnel VPN externe.

1. Pour **le type d'adresse IP de trafic**, choisissez le type d'adresse IP pour le trafic passant par le point de terminaison :
   + **IPv4**: le point de terminaison prend uniquement en charge IPv4 le trafic.
   + **IPv6**: le point de terminaison prend uniquement en charge IPv6 le trafic.
   + **Double pile** : le point de terminaison prend en charge à la fois le IPv6 trafic IPv4 et le trafic.

1. Pour **le IPv4 CIDR client**, spécifiez une plage d'adresses IP, en notation CIDR, à partir de laquelle attribuer les adresses IP des clients. Par exemple, `10.0.0.0/22`. Cela est nécessaire si vous avez sélectionné IPv4 Dual-Stack pour le type d'adresse IP de trafic.
**Note**  
La plage d'adresses ne peut pas chevaucher la plage d’adresses du réseau cible, la plage d'adresses VPC ou les routes qui seront associées au point de terminaison VPN client. La plage d'adresses du client doit être au minimum /22 et ne doit pas dépasser la taille de bloc CIDR /12. Vous ne pouvez pas modifier la plage d'adresses client après avoir créé le point de terminaison VPN client.
Lorsque vous sélectionnez le type IPv6 d'adresse IP du point de terminaison, le champ IPv4 CIDR du client est désactivé. Le point de terminaison Client VPN alloue les IPv6 adresses des clients à partir d'un sous-réseau associé, et vous pouvez associer le sous-réseau après avoir créé le point de terminaison.
**Note**  
Pour IPv6 le trafic, il n'est pas nécessaire de spécifier une plage d'adresses CIDR client. Amazon attribue automatiquement des plages d' IPv6 adresses CIDR aux clients.

1. Pour **ARN du certificat du serveur)**, spécifiez l'ARN du certificat TLS que le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point de terminaison VPN Client auquel ils se connectent.
**Note**  
Le certificat de serveur doit être présent AWS Certificate Manager(ACM) dans la région où vous créez le point de terminaison VPN du Client. Le certificat peut être provisionné avec ACM ou importé dans ACM.  
Pour connaître les étapes de mise en service ou d'importation d'un certificat dans ACM, consultez la section [AWS Certificate Manager Certificats](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) du *guide de l'AWS Certificate Manager utilisateur*.

1. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une connexion VPN. Vous devez sélectionner une méthode d'authentification.
   + Pour utiliser l'authentification basée sur l'utilisateur, sélectionnez **Utiliser l'authentification basée sur l'utilisateur**, puis choisissez l'une des options suivantes :
     + **Authentification Active Directory** : choisissez cette option pour l'authentification Active Directory. Pour **le répertoire ID**, spécifiez l'ID d'Active Directory à utiliser.
     + **Authentification fédérée** : choisissez cette option pour l'authentification fédérée basée sur SAML. 

       Pour **l'ARN du fournisseur SAML**, spécifiez l'ARN du fournisseur d'identité SAML IAM. 

       (Facultatif) Pour **ARN du fournisseur SAML en libre-service**, spécifiez l'ARN du fournisseur d'identité SAML IAM que vous avez créé pour [prendre en charge le portail en libre-service](federated-authentication.md#saml-self-service-support), le cas échéant.
   + Pour utiliser l'authentification mutuelle par certificat, sélectionnez **Utiliser l'authentification mutuelle**, puis pour l'**ARN du certificat client**, spécifiez l'ARN du certificat client fourni dans AWS Certificate Manager(ACM).
**Note**  
Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser l'ARN du certificat du serveur pour le serveur et le client. Si le certificat client a été émis par une autre autorité de certification (CA), l'ARN du certificat client doit être spécifié.

1. (Facultatif) Pour la **journalisation des connexions**, spécifiez si vous souhaitez enregistrer les données relatives aux connexions des clients à l'aide d'Amazon CloudWatch Logs. Activez **Enable log details on client connections (Activer les détails du journal sur les connexions clientes)**. Pour **Nom du groupe de CloudWatch journaux**, entrez le nom du groupe de journaux à utiliser. Pour le **nom du flux de journal des CloudWatch journaux**, entrez le nom du flux de journal à utiliser ou laissez cette option vide pour nous permettre de créer un flux de journal pour vous. 

1. (Facultatif) Pour le **gestionnaire de connexion client**, activez **Enable client connect handler (Activer le gestionnaire de connexion client)** pour exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au point de terminaison VPN client. Pour **le gestionnaire de connexion client ARN**, spécifiez le Amazon Resource Name (ARN) de la fonction de type Lambda contenant la logique qui autorise ou rejette les connexions.

1. (Facultatif) Spécifiez les serveurs DNS à utiliser pour la résolution DNS. Pour utiliser des serveurs DNS personnalisés, pour l'**adresse IP du serveur DNS 1** **et l'adresse IP du serveur DNS 2**, spécifiez les IPv4 adresses des serveurs DNS à utiliser. Pour les IPv6 points de terminaison à double pile, vous pouvez également spécifier les adresses **du serveur DNS IPv6 1** et **du serveur DNS IPv6 2.** Pour utiliser un serveur DNS de VPC, pour les champs **Adresse IP serveur DNS 1)** ou **Adresse IP serveur DNS 2**, spécifiez les adresses IP et ajouter l'adresse IP du serveur DNS VPC.
**Note**  
Assurez-vous que les serveurs DNS peuvent être atteints par les clients.

1. (Facultatif) Par défaut, le point de terminaison VPN client utilise le protocole de transport `UDP`. Pour utiliser le protocole de transport `TCP` à la place, pour **Protocole de transport**, sélectionnez **TCP**.
**Note**  
UDP offre généralement des performances supérieures à TCP. Vous ne pouvez pas modifier le protocole de transport après avoir créé le point de terminaison VPN Client.

1. (Facultatif) Pour que le point de terminaison soit un point de terminaison de Client VPN à tunel partagé, sélectionnez **Enable split-tunnel** (Activer le tunnel partagé). Cette fonctionnalité est désactivée par défaut sur un point de terminaison Client VPN.

1. (Facultatif) Pour le champ **ID du VPC**, choisir le VPC à associer au point de terminaison VPN Client. Pour **Groupe de sécurité IDs**, choisissez un ou plusieurs groupes de sécurité du VPC à appliquer au point de terminaison VPN du Client.

1. (Facultatif) Pour le champ **Port VPN**, choisir le numéro de port VPN. La valeur par défaut est 443.

1. (Facultatif) Pour générer une [URL de portail libre-service](cvpn-self-service-portal.md) pour les clients, activez **Enable self-service portal (Activer le portail en libre-service)**.

1. (Facultatif) Pour **Session timeout hours** (Durée de la session en heures), choisissez la durée maximale de session VPN souhaitée en heures parmi les options disponibles, ou laissez la durée par défaut de 24 heures.

1. (Facultatif) Pour **Déconnecter en cas d'expiration de session**, indiquez si vous souhaitez mettre fin à la session lorsque la durée maximale de session est atteinte. Le choix de cette option nécessite que les utilisateurs se reconnectent manuellement au point de terminaison lorsque la session expire ; sinon, le Client VPN essaiera automatiquement de se reconnecter.

1. (Facultatif) Spécifiez si le texte de la bannière de connexion client doit être activé. Activez **Enable client login banner (Activer la bannière de connexion cliente)**. Ensuite, pour Client Login Banner Text (Texte de la bannière de connexion client), saisissez le texte qui sera affiché dans une bannière sur les clients fournis par AWS lorsqu'une session VPN sera établie. Caractères codés UTF-8 uniquement. 1 400 caractères maximum.

1. Sélectionnez **Create Client VPN endpoint (Créer un point de terminaison VPN client)**.

Après avoir créé le point de terminaison VPN Client, procédez comme suit pour terminer la configuration et permettre aux clients de se connecter :
+ L'état initial du point de terminaison VPN Client est `pending-associate`. Les clients peuvent uniquement se connecter au point de terminaison VPN Client une fois que vous avez associé le premier [réseau cible](cvpn-working-target-associate.md).
+ Créez une [règle d'autorisation](cvpn-working-rules.md) de manière à spécifier les clients qui ont accès au réseau.
+ Télécharger et préparez le [fichier de configuration](cvpn-working-endpoint-export.md) du point de terminaison VPN Client à distribuer à vos clients.
+ Demandez à vos clients d'utiliser le client AWS fourni ou une autre application cliente basée sur OpenVPN pour se connecter au point de terminaison VPN du Client. Pour plus d’informations, consultez le [Guide de l’utilisateur AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).

**Pour créer un point de terminaison Client VPN à l'aide du AWS CLI**  
Utilisez la commande [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).

Exemple de création d'un IPv4 point de terminaison :

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Exemple de création d'un IPv6 point de terminaison :

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Exemple de création d'un point de terminaison à double pile :

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# Afficher les points de AWS Client VPN terminaison
<a name="cvpn-working-endpoint-view"></a>

Vous pouvez consulter des informations sur les points de terminaison VPN du Client à l'aide de la console Amazon VPC ou du. AWS CLI

**Pour afficher les points de terminaison VPN client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client à afficher.

1. Utilisez les onglets **Details (Détails)**, **Target network associations (Associations de réseau cible)**, **Security groups (Groupes de sécurité)**, **Authorization rules (Règles d'autorisation)**, **Route table (Table de routage)**, **Connections (Connexions)** et **Tags (Balises)** pour afficher les informations sur les points de terminaison VPN client existants.

   Vous pouvez également utiliser des filtres pour affiner votre recherche.

**Pour afficher les points de terminaison VPN client (AWS CLI)**  
Utilisez la commande [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modifier un AWS Client VPN point de terminaison
<a name="cvpn-working-endpoint-modify"></a>

Vous pouvez modifier le point de terminaison d'un Client VPN à l'aide de la console Amazon VPC ou du. AWS CLI Pour plus d'informations sur les champs que vous pouvez modifier, consultez[Modification du terminal](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).

## Limites
<a name="endpoints-limits"></a>

Les limites suivantes s'appliquent lors de la modification d'un point de terminaison : 
+  Les modifications apportées aux points de terminaison Client VPN, y compris les modifications apportées à la liste de révocation de certificats (CRL), prendront effet jusqu'à 4 heures après l'acceptation d'une demande par le service Client VPN.
+ Vous ne pouvez pas modifier la plage d'adresses IPv4 CIDR du client, les options d'authentification, le certificat client ou le protocole de transport une fois que le point de terminaison VPN du client a été créé.
+ Vous pouvez modifier les IPv4 points de terminaison existants en double pile pour les types d'IP de point de terminaison et de trafic. Si vous n'avez besoin IPv6 que de l'adresse IP du point de terminaison et de l'adresse IP du trafic, vous devez créer un nouveau point de terminaison.
+ Client VPN ne prend pas en charge la modification du type de point de terminaison (IPv4 IPv6,, dual-stack) ou du type de trafic (IPv4, IPv6, dual-stack) après la création.
+ La modification d'un Client VPN avec une combinaison spécifique de type de point de terminaison et de type de trafic n'est pas prise en charge. Vous ne pouvez pas passer à une autre combinaison. Le point de terminaison doit être supprimé et recréé avec la configuration souhaitée.
+ Client-to-client la communication pour le IPv6 trafic n'est pas prise en charge.

## Modifier un point de terminaison VPN Client
<a name="endpoint-modify"></a>

Vous pouvez modifier le point de terminaison d'un Client VPN à l'aide de la console ou du AWS CLI. 

**Pour modifier le point de terminaison d'un Client VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client à modifier, choisir **Actions**, puis choisir **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

1. Dans le champ **Description**, saisir une brève description pour le point de terminaison VPN Client.

1. Pour le **type d'adresse IP du point de terminaison**, vous pouvez modifier un point de IPv4 terminaison existant en un point de terminaison à double pile. Cette option n'est disponible que pour les IPv4 points de terminaison.

1. Pour le **type d'adresse IP de trafic**, vous pouvez modifier un point de IPv4 terminaison existant en un point de terminaison à double pile. Cette option n'est disponible que pour les IPv4 points de terminaison.

1. Pour **ARN du certificat du serveur)**, spécifiez l'ARN du certificat TLS que le serveur devra utiliser. Les clients utilisent le certificat de serveur pour authentifier le point de terminaison VPN Client auquel ils se connectent.
**Note**  
Le certificat de serveur doit être présent AWS Certificate Manager (ACM) dans la région où vous créez le point de terminaison VPN du Client. Le certificat peut être provisionné avec ACM ou importé dans ACM.

1. Spécifiez si vous souhaitez enregistrer les données relatives aux connexions des clients à l'aide d'Amazon CloudWatch Logs. Pour **Enable log details on client connections (Activer les détails de journalisation sur les connexions client)**, effectuez l'une des actions suivantes :
   + Pour activer la journalisation de la connexion client, choisissez **Enable log details on client connections (Activer les détails du journal sur les connexions client)**. Pour **Nom du groupe de CloudWatch journaux**, sélectionnez le nom du groupe de journaux à utiliser. Pour le **nom du flux de journal des CloudWatch journaux**, sélectionnez le nom du flux de journal à utiliser ou laissez cette option vide pour nous permettre de créer un flux de journal pour vous.
   + Pour désactiver la journalisation de la connexion client, désactivez **Enable log details on client connections (Activer les détails du journal sur les connexions client)**.

1. Pour **Client connect handler (Gestionnaire de connexions client)**, pour activer le [Gestionnaire de connexions client](connection-authorization.md), activez **Enable Client Connect Handler (Activer le gestionnaire de connexions client)**. Pour **le gestionnaire de connexion client ARN**, spécifiez le Amazon Resource Name (ARN) de la fonction de type Lambda contenant la logique qui autorise ou rejette les connexions.

1. Activez ou désactivez **Enable DNS servers (Activer les serveurs DNS)**. Pour utiliser des serveurs DNS personnalisés, pour l'**adresse IP du serveur DNS 1** **et l'adresse IP du serveur DNS 2**, spécifiez les IPv4 adresses des serveurs DNS à utiliser. Pour les IPv6 points de terminaison à double pile, vous pouvez également spécifier les adresses **du serveur DNS IPv6 1** et **du serveur DNS IPv6 2.** Pour utiliser un serveur DNS de VPC, pour les champs **Adresse IP serveur DNS 1)** ou **Adresse IP serveur DNS 2**, spécifiez les adresses IP et ajouter l'adresse IP du serveur DNS VPC.
**Note**  
Assurez-vous que les serveurs DNS peuvent être atteints par les clients.

1. Activez ou désactivez **Enable split-tunnel (Activer le tunnel partagé)**. Cette fonctionnalité est désactivée par défaut sur un point de terminaison VPN.

1. Pour le champ **VPC ID) (ID du VPC**, choisissez le VPC à associer au point de terminaison VPN client. Pour **Groupe de sécurité IDs**, choisissez un ou plusieurs groupes de sécurité du VPC à appliquer au point de terminaison VPN du Client.

1. Pour le champ **Port VPN**, choisissez le numéro de port VPN. La valeur par défaut est 443.

1. Pour générer une [URL de portail libre-service](cvpn-self-service-portal.md) pour les clients, choisissez **Enable self-service portal (Activer le portail en libre-service)**.

1. Pour **Session timeout hours (Durée de la session en heures)**, choisissez la durée maximale de session VPN souhaitée en heures parmi les options disponibles, ou laissez la durée par défaut de 24 heures.

1. Pour **Déconnecter en cas d'expiration de session**, indiquez si vous souhaitez mettre fin à la session lorsque la durée maximale de session est atteinte. Le choix de cette option nécessite que les utilisateurs se reconnectent manuellement au point de terminaison lorsque la session expire ; sinon, le Client VPN essaiera automatiquement de se reconnecter.

1. Activez ou désactivez **Enable client login banner (Activer la bannière de connexion client)**. Si vous souhaitez utiliser le texte de la bannière de connexion client, saisissez le texte qui sera affiché dans une bannière sur les clients fournis par AWS lorsqu'une session VPN sera établie. Caractères codés UTF-8 uniquement. 1 400 caractères maximum.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Pour modifier le point de terminaison d'un Client VPN à l'aide du AWS CLI**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

Exemple de modification d'un point de IPv4 terminaison vers un système Dual-Stack :

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# Supprimer un point de AWS Client VPN terminaison
<a name="cvpn-working-endpoint-delete"></a>

Vous devrez dissocier tous les réseaux cibles associés avant de pouvoir supprimer un point de terminaison VPN client. Lorsque vous supprimez un point de terminaison VPN Client, son état devient `deleting` et les clients ne peuvent plus s'y connecter. 

Vous pouvez supprimer un point de terminaison VPN Client à l'aide de la console ou de la AWS CLI.

**Pour supprimer un point de terminaison VPN Client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client à supprimer. Choisissez **Actions**, **Delete Client VPN endpoint (Supprimer le point de terminaison VPN client)**.

1. Entrez *delete* dans la fenêtre de confirmation, puis choisissez **Delete (Supprimer)**.

**Supprimer un point de terminaison VPN Client (AWS CLI)**  
Utilisez la commande [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).

# AWS Client VPN journaux de connexion
<a name="cvpn-working-with-connection-logs"></a>

Vous pouvez activer la journalisation des connexions pour un point de terminaison Client VPN nouveau ou existant et commencer à capturer les journaux de connexion. Les journaux de connexion indiquent la séquence des événements du journal pour le point de terminaison VPN du Client. Lorsque vous activez la journalisation des connexions, vous pouvez spécifier le nom d'un flux de journaux dans le groupe de journaux. Si vous ne spécifiez pas de flux de journal, le service Client VPN en crée un pour vous. La journalisation des connexions enregistre ensuite les informations suivantes : demandes de connexion client, résultats de la connexion client (réussite ou échec), raisons de l'échec de la connexion et heure d'arrêt du client depuis le point de terminaison. 

Avant de commencer, vous devez disposer d'un groupe de CloudWatch journaux Logs dans votre compte. Pour plus d'informations, consultez la section [Travailler avec des groupes de journaux et des flux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de * CloudWatch journaux dans le guide de l'utilisateur Amazon Logs*. Des frais s'appliquent pour l'utilisation CloudWatch des journaux. Pour plus d'informations, consultez les [ CloudWatch tarifs Amazon](https://aws.amazon.com/cloudwatch/pricing/).

Les journaux de connexion VPN du Client peuvent être créés à l'aide de la console Amazon VPC ou de la CLI AWS .

**Topics**
+ [Activer la journalisation des connexions pour un nouveau point de terminaison](create-connection-log-new.md)
+ [Activer la journalisation des connexions pour un point de terminaison existant](create-connection-log-existing.md)
+ [Afficher les journaux de connexion](view-connection-logs.md)
+ [Désactiver la journalisation de la connexion](disable-connection-logs.md)

# Activer la journalisation des connexions pour un nouveau AWS Client VPN point de terminaison
<a name="create-connection-log-new"></a>

Vous pouvez activer la journalisation des connexions lorsque vous créez un point de terminaison Client VPN à l'aide de la console ou de la ligne de commande.

**Pour activer la journalisation des connexions pour un nouveau point de terminaison Client VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Client VPN Endpoints (Points de terminaison Client VPN)**, puis choisissez **Create Client VPN endpoint (Créer un point de terminaison VPN client)**.

1. Remplissez les options jusqu'à ce que vous atteigniez la section **Enregistrement des connexions**. Pour plus d’informations sur ces options, consultez [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md).

1. Sous **Connection logging (Journalisation des connexions)**, activez **Enable log details on client connections (Activer les détails du journal sur les connexions clientes)**.

1. Pour le **nom du groupe de CloudWatch journaux** de journaux, choisissez le nom du groupe de CloudWatch journaux de journaux.

1. (Facultatif) Pour le **nom du flux du journal des CloudWatch journaux**, choisissez le nom du flux du journal CloudWatch des journaux.

1. Sélectionnez **Create Client VPN endpoint (Créer un point de terminaison VPN client)**.

**Pour activer la journalisation des connexions pour un nouveau point de terminaison VPN client à l'aide du AWS CLI**  
Utilisez la [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)commande et spécifiez le `--connection-log-options` paramètre. Vous pouvez spécifier les informations des journaux de connexion au format JSON, comme illustré dans l'exemple suivant.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# Activer la journalisation des connexions pour un point de AWS Client VPN terminaison existant
<a name="create-connection-log-existing"></a>

Vous pouvez activer la journalisation des connexions pour un point de terminaison Client VPN existant à l'aide de la console ou de la ligne de commande.

**Pour activer la journalisation des connexions pour un point de terminaison Client VPN existant à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN, choisissez **Actions**, puis **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

1. Sous **Connection loggin (Journalisation des connexions)**, Activez **Enable log details on client connections (Activer les détails du journal sur les connexions clientes)**.

1. Pour le **nom du groupe de CloudWatch journaux** de journaux, choisissez le nom du groupe de CloudWatch journaux de journaux.

1. (Facultatif) Pour le **nom du flux du journal des CloudWatch journaux**, choisissez le nom du flux du journal CloudWatch des journaux.

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Pour activer la journalisation des connexions pour un point de terminaison VPN Client existant à l'aide du AWS CLI**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) et spécifiez le paramètre `--connection-log-options`. Vous pouvez spécifier les informations des journaux de connexion au format JSON, comme illustré dans l'exemple suivant.

```
{
    "Enabled": true,
    "CloudwatchLogGroup": "ClientVpnConnectionLogs",
    "CloudwatchLogStream": "NewYorkOfficeVPN"
}
```

# Afficher les journaux AWS Client VPN de connexion
<a name="view-connection-logs"></a>

Vous pouvez consulter les journaux de connexion de votre Client VPN à l'aide de la console CloudWatch Logs.

**Pour afficher vos journaux de connexion à l'aide de la console**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation, choisissez **Groupes de journaux**, puis sélectionnez le groupe de journaux contenant vos journaux de connexion. 

1. Sélectionnez le flux de journaux pour votre point de terminaison Client VPN.
**Note**  
La colonne **Horodatage** indique l'heure à laquelle le journal des connexions a été publié dans CloudWatch Logs, et non l'heure de la connexion.

Pour plus d'informations sur la recherche de données de journal, consultez la section [Rechercher des données de journal à l'aide de modèles de filtre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.

# Désactiver l'enregistrement des AWS Client VPN connexions
<a name="disable-connection-logs"></a>

Vous pouvez désactiver la journalisation des connexions pour un point de terminaison VPN client à l'aide de la console ou de la ligne de commande. Lorsque vous désactivez la journalisation des connexions, les journaux de connexion existants dans CloudWatch les journaux ne sont pas supprimés.

**Pour désactiver l'enregistrement des connexions à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN client, choisissez **Actions**, puis **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

1. Sous **Connection logging (Journalisation des connexions)**, désactivez **Enable log details on client connections (Activer les détails du journal sur les connexions clientes)**.

1. Choisir **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Pour désactiver la journalisation des connexions à l'aide du AWS CLI**  
Utilisez la [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html)commande et spécifiez le `--connection-log-options` paramètre. Assurez-vous que cette valeur `Enabled` est définie sur `false`.

# AWS Client VPN exportation du fichier de configuration du terminal
<a name="cvpn-working-endpoint-export"></a>

Le fichier de configuration du point de AWS Client VPN terminaison est le fichier que les clients (utilisateurs) utilisent pour établir une connexion VPN avec le point de terminaison VPN du client. Vous devez télécharger (exporter) ce fichier et le distribuer à tous les clients qui ont besoin d'accéder au VPN. Sinon, si vous avez activé le portail en libre-service pour le point de terminaison de votre Client VPN, les clients peuvent se connecter au portail et télécharger eux-mêmes le fichier de configuration. Pour de plus amples informations, veuillez consulter [AWS Client VPN accès au portail en libre-service](cvpn-self-service-portal.md).

Si votre point de terminaison VPN Client utilise l'authentification mutuelle, vous devez [ajouter le certificat du client et la clé privée du client au fichier de configuration .ovpn](add-config-file-cert-key.md) que vous téléchargez. Une fois que vous avez ajouté ces informations, les clients peuvent importer le fichier .ovpn dans le logiciel client OpenVPN.

**Important**  
Si vous n'ajoutez pas le certificat du client et les informations de clé privée du client au fichier, les clients qui s'authentifient via une authentification mutuelle ne peuvent pas se connecter au point de terminaison VPN Client.

Par défaut, l'option « remote-random-hostname » dans la configuration du client OpenVPN active le DNS générique. le DNS à caractère de remplacement étant activé, le client ne met pas en cache l'adresse IP du point de terminaison et vous ne pourrez pas faire un ping au nom DNS du point de terminaison. 

Si votre point de terminaison VPN Client utilise l'authentification Active Directory et si vous activez l'authentification multi-facteur (MFA) sur votre répertoire après avoir distribué le fichier de configuration client, vous devez télécharger un nouveau fichier et le redistribuer à vos clients. Les clients ne peuvent pas utiliser le fichier de configuration précédent pour se connecter au point de terminaison VPN Client.

**Topics**
+ [Exporter le fichier de configuration du client](export-client-config-file.md)
+ [Ajoutez le certificat client et les informations clés pour l'authentification mutuelle](add-config-file-cert-key.md)

# Exporter le fichier de configuration du AWS Client VPN client
<a name="export-client-config-file"></a>

Vous pouvez exporter la configuration du client VPN du client à l'aide de la console ou du AWS CLI.

**Pour exporter la configuration du client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client pour lequel télécharger la configuration du client et choisir **Télécharger la configuration du client**.

**Pour exporter la configuration du client (AWS CLI)**  
Utilisez la commande [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) et spécifiez le nom du fichier de sortie.

```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```

# Ajoutez le certificat AWS Client VPN client et les informations clés pour l'authentification mutuelle
<a name="add-config-file-cert-key"></a>

Si votre point de terminaison VPN Client utilise l'authentification mutuelle, vous devez ajouter le certificat du client et la clé privée du client au fichier de configuration .ovpn que vous téléchargez.

Vous ne pouvez pas modifier le certificat du client lorsque vous utilisez l'authentification mutuelle.

**Pour ajouter le certificat du client et les informations du clé (authentification mutuelle)**  
Vous pouvez utiliser l'une des options suivantes.

(Option 1) Distribuer le certificat et la clé du client aux clients, ainsi que le fichier de configuration du point de terminaison VPN Client. Dans ce cas, spécifiez le chemin d'accès au certificat et à la clé dans le fichier de configuration. Ouvrez le fichier de configuration avec l'éditeur de texte de votre choix et ajoutez le texte suivant à la fin du fichier. Remplacez */path/* par l'emplacement du certificat client et de la clé (l'emplacement est relatif au client qui se connecte au point de terminaison).

```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```

(Option 2) Ajoutez le contenu du certificat de client entre les balises `<cert>``</cert>` et le contenu de la clé privée entre les balises `<key>``</key>` dans le fichier de configuration. Si vous choisissez cette option, vous ne distribuez que le fichier de configuration à vos clients.

Si vous avez généré des certificats client et des clés distincts pour chaque utilisateur qui se connectera au point de terminaison VPN Client, répétez cette étape pour chacun d'eux.

Voici un exemple du format d'un fichier de configuration VPN Client qui inclut le certificat client et la clé.

```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0
```

# AWS Client VPN itinéraires
<a name="cvpn-working-routes"></a>

Chaque AWS Client VPN point de terminaison possède une table de routage qui décrit les itinéraires réseau de destination disponibles. Chaque acheminement dans la table de routage détermine où le trafic réseau est dirigé. Vous devez configurer des règles d'autorisation pour chaque acheminement de point de terminaison VPN Client pour spécifier les clients qui ont accès au réseau de destination.

Lorsque vous associez un sous-réseau d'un VPC à un point de terminaison VPN Client, un acheminement du VPC est automatiquement ajoutée à la table de routage du point de terminaison VPN Client. Pour permettre l'accès à des réseaux supplémentaires, tels que les réseaux VPCs homologues sur site, le réseau local (pour permettre aux clients de communiquer entre eux) ou Internet, vous devez ajouter manuellement une route à la table de routage du point de terminaison du client VPN.

**Note**  
Si vous associez plusieurs sous-réseaux au point de terminaison VPN Client, vous devez vous assurer de créer un acheminement pour chaque sous-réseau, comme décrit ici [Résolution des problèmes AWS Client VPN : l'accès à un VPC pair, à Amazon S3 ou à Internet est intermittent](intermittent-access.md). Chaque sous-réseau associé doit comporter un ensemble d'acheminements identique.

## Considérations relatives à l'utilisation du tunnel partagé sur les points de terminaison VPN du Client
<a name="split-tunnel-routes"></a>

Lorsque vous utilisez le tunnel partagé sur un point de terminaison VPN Client, toutes les routes qui se trouvent dans les tables de routage VPN Client sont ajoutées à la table de routage client lorsque le VPN est établi. Si vous ajoutez un acheminement après l'établissement du VPN, vous devez réinitialiser la connexion afin que la nouvelle route soit envoyée au client.

Nous vous recommandons de prendre en compte le nombre d’acheminement que le périphérique client peut gérer avant de modifier la table de routage des points de terminaison VPN Client.

**Topics**
+ [Considérations relatives à l'utilisation du tunnel partagé sur les points de terminaison VPN du Client](#split-tunnel-routes)
+ [Création d'un acheminement de point de terminaison](cvpn-working-routes-create.md)
+ [Affichage d’acheminements de points de terminaison](cvpn-working-routes-view.md)
+ [Suppression d'un acheminement de point de terminaison](cvpn-working-routes-delete.md)

# Création d'un itinéraire de point de AWS Client VPN terminaison
<a name="cvpn-working-routes-create"></a>

Lorsque vous créez un itinéraire de point de terminaison Client VPN, vous spécifiez la manière dont le trafic doit être dirigé vers le réseau de destination.

Pour autoriser les clients d'accéder à Internet, ajouter un acheminement de destination `0.0.0.0/0`.

Vous pouvez ajouter des acheminements vers un point de terminaison VPN Client à l'aide de la console et de AWS CLI.

**Pour créer un acheminement de point de terminaison VPN Client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN client auquel vous souhaitez ajouter la route, choisissez **Route table (Table de routage)**, puis **Create route (Créer la route)**.

1. Pour **Route destination**, spécifiez la plage d' IPv4 adresses CIDR pour le réseau de destination. Exemples :
   + Pour ajouter une route pour le VPC du point de terminaison VPN du Client, entrez la plage d'adresses CIDR du VPC. IPv4 
   + Pour ajouter un acheminement pour l'accès à Internet, saisir `0.0.0.0/0`.
   + Pour ajouter une route pour un VPC apparenté, entrez la plage CIDR du VPC apparenté. IPv4 
   + Pour ajouter un itinéraire pour un réseau local, entrez la plage d'adresses IPv4 CIDR de la connexion AWS Site-to-Site VPN.

1. Pour **Subnet ID for target network association (ID de sous-réseau de l'association réseau cible)**, sélectionnez le sous-réseau associé au point de terminaison VPN client.

   Sinon, si vous ajoutez une route pour le réseau du point de terminaison VPN client local, sélectionnez `local`.

1. Pour **Description**, entrez une brève description de la route.

1. Choisissez **Create Route (Créer un itinéraire)**.

**Pour créer un acheminement de point de terminaison VPN Client (AWS CLI)**  
Utilisez la commande [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html).

# Afficher les itinéraires des AWS Client VPN terminaux
<a name="cvpn-working-routes-view"></a>

Vous pouvez afficher les acheminements d'un point de terminaison VPN Client spécifique à l'aide de la console ou de AWS CLI.

**Pour afficher les acheminements de point de terminaison VPN Client (console)**

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client pour lequel vous souhaitez afficher les acheminements, puis choisissez **Route table (Table de routage**.

**Pour afficher les acheminements de point de terminaison VPN Client (AWS CLI)**  
Utilisez la commande [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html).

# Supprimer un itinéraire de point de AWS Client VPN terminaison
<a name="cvpn-working-routes-delete"></a>

Vous ne pouvez supprimer que les routes VPN du Client que vous avez ajoutées manuellement. Vous ne pouvez pas supprimer les acheminementss ajoutées automatiquement lors de l’association d’un sous-réseau au point de terminaison VPN Client. Pour supprimer les routes qui ont été ajoutées automatiquement, vous devez dissocier le sous-réseau qui a initié leur création à partir du point de terminaison VPN Client.

Vous pouvez supprimer un acheminement d'un point de terminaison VPN Client à l'aide de la console ou de AWS CLI.

**Pour supprimer un acheminement de point de terminaison VPN Client (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client à partir duquel vous souhaitez supprimer la route, puis choisissez **Route table (Table de routage)**.

1. Sélectionnez la route à supprimer, choisissez **Delete route (Supprimer la route)**, puis **Delete route (Supprimer la route)**.

**Pour supprimer un acheminement de point de terminaison VPN Client (AWS CLI)**  
Utilisez la commande [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).

# AWS Client VPN réseaux cibles
<a name="cvpn-working-target"></a>

Un réseau cible est un sous-réseau dans un VPC. Un AWS Client VPN point de terminaison doit disposer d'au moins un réseau cible pour permettre aux clients de s'y connecter et d'établir une connexion VPN. 

Pour plus d'informations sur les types d'accès que vous pouvez configurer (par exemple, permettre à vos clients d'accéder à Internet), consultez[Scénarios et exemples pour Client VPN](how-it-works.md#scenario).

## Configuration requise pour le réseau cible du VPN client
<a name="cvpn-create-target-reqs"></a>

Lors de la création d'un réseau cible, les règles suivantes s'appliquent :
+ Le sous-réseau doit avoir un bloc d'adresse CIDR avec au moins un masque de bits /27, par exemple 10.0.0.0/27. Le sous-réseau doit également disposer d'au moins 20 adresses IP disponibles à tout moment.
+ Le bloc d'adresse CIDR du sous-réseau ne peut pas chevaucher la plage CIDR client du point de terminaison Client VPN.
+ Si vous associez plusieurs sous-réseaux à un point de terminaison Client VPN, chaque sous-réseau doit se trouver dans une zone de disponibilité différente. Nous vous recommandons d'associer au moins deux sous-réseaux pour fournir la redondance de zone de disponibilité.
+ Si vous avez spécifié un VPC lorsque vous avez créé le point de terminaison Client VPN, le sous-réseau doit se trouver dans le même VPC. Si vous n'avez pas encore associé un VPC au point de terminaison Client VPN, vous pouvez choisir n'importe quel sous-réseau dans n'importe quel VPC. 

  Toutes les futures associations de sous-réseau doivent se trouver dans le même VPC. Pour associer un sous-réseau à partir d'un autre VPC, vous devez d'abord modifier le point de terminaison Client VPN et modifier le VPC qui lui est associé. Pour de plus amples informations, veuillez consulter [Modifier un AWS Client VPN point de terminaison](cvpn-working-endpoint-modify.md).

Lorsque vous associez un sous-réseau à un point de terminaison Client VPN, nous ajoutons automatiquement la route locale du VPC dans lequel le sous-réseau associé est alloué à la table de routage du point de terminaison Client VPN.

**Note**  
Une fois vos réseaux cibles associés, lorsque vous ajoutez ou supprimez des éléments supplémentaires CIDRs à votre VPC rattaché, vous devez effectuer l'une des opérations suivantes pour mettre à jour la route locale de la table de routage de votre point de terminaison VPN Client :  
Dissociez votre point de terminaison Client VPN du réseau cible, puis associez-le à nouveau.
Ajoutez manuellement la route vers la table de routage du point de terminaison Client VPN client ou supprimez-la.

Après avoir associé le premier sous-réseau au point de terminaison Client VPN, l'état du point de terminaison Client VPN passe de `pending-associate` à `available` et les clients sont en mesure d'établir une connexion VPN.

**Topics**
+ [Conditions requises pour créer un réseau cible](#cvpn-create-target-reqs)
+ [Associer un réseau cible à un point de terminaison](cvpn-working-target-associate.md)
+ [Application d'un groupe de sécurité à un réseau cible](cvpn-working-target-apply.md)
+ [Affichage des réseaux cibles](cvpn-working-target-view.md)
+ [Dissocier un réseau cible d'un point de terminaison](cvpn-working-target-disassociate.md)

# Associer un réseau cible à un AWS Client VPN point de terminaison
<a name="cvpn-working-target-associate"></a>

Vous pouvez associer un ou plusieurs réseaux cibles (sous-réseaux) à un point de terminaison VPN client à l'aide de la console Amazon VPC ou de la AWS CLI. Avant d'associer un réseau cible à un point de terminaison VPN du Client, familiarisez-vous avec les exigences. Consultez [Conditions requises pour créer un réseau cible](cvpn-working-target.md#cvpn-create-target-reqs).

**Pour associer un réseau cible à un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN auquel associer le réseau cible, choisissez **Target network associations (Associations du réseau cible)**, puis choisissez **Associate target network (Associer le réseau cible)**.

1. Pour **VPC**, choisissez le VPC dans lequel le sous-réseau est situé. Si vous avez spécifié un VPC lorsque vous avez créé le point de terminaison Client VPN ou si vous disposez d'associations de sous-réseau précédentes, il doit se trouver dans le même VPC.

1. Pour **Choose a subnet to associate (Choisir un sous-réseau à associer)**, choisissez le sous-réseau à associer au point de terminaison Client VPN.

1. Choisissez **Associate target network (Associer le réseau cible)**.

**Pour associer un réseau cible à un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html).

# Appliquer un groupe de sécurité à un réseau cible dans AWS Client VPN
<a name="cvpn-working-target-apply"></a>

Lorsque vous créez un point de terminaison Client VPN, vous pouvez spécifier les groupes de sécurité à appliquer au réseau cible. Lorsque vous associez le premier réseau cible à un point de terminaison Client VPN, nous appliquons automatiquement le groupe de sécurité par défaut du VPC dans lequel le sous-réseau associé est situé. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](client-authorization.md#security-groups).

Vous pouvez modifier les groupes de sécurité du point de terminaison Client VPN. Les règles de groupe de sécurité dont vous avez besoin dépendent du type d'accès VPN que vous souhaitez configurer. Pour de plus amples informations, veuillez consulter [Scénarios et exemples pour Client VPN](how-it-works.md#scenario).

**Pour appliquer un groupe de sécurité à un réseau cible (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN auquel vous souhaitez appliquer les groupes de sécurité.

1. Choisissez **Security Groups** (Groupes de sécurité), puis choisissez **Create security group** (Créer un groupe de sécurité).

1. Sélectionnez le ou les groupes de sécurité appropriés dans **Groupe de sécurité IDs**.

1. Choisissez **Apply Security Groups (Appliquer les groupes de sécurité)**.

**Pour appliquer un groupe de sécurité à un réseau cible (AWS CLI)**  
Utilisez la client-vpn-target-network commande [apply-security-groups-to-](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html).

# Afficher les réseaux AWS Client VPN cibles
<a name="cvpn-working-target-view"></a>

Vous pouvez afficher les cibles associées à un point de terminaison Client VPN à l'aide de la console ou de la AWS CLI.

**Pour afficher les réseaux cibles (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN et choisissez **Target network associations (Associations de réseau cible)**.

**Pour afficher les réseaux cibles à l'aide du AWS CLI**  
Utilisez la commande [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html).

# Dissocier un réseau cible d'un point de terminaison AWS Client VPN
<a name="cvpn-working-target-disassociate"></a>

Lorsque vous dissociez un réseau cible, les routes qui ont été ajoutées manuellement à la table de routage du point de terminaison Client VPN sont supprimées, ainsi que la route qui a été créée automatiquement lors de l'association du réseau cible (la route locale du VPC). Si vous dissociez tous les réseaux cible d'un point de terminaison Client VPN, les clients ne peuvent plus établir de connexion VPN. 

**Pour dissocier un réseau cible d'un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison Client VPN avec lequel le réseau cible est associé et choisissez **Target network associations (Associations de réseau cible)**.

1. Sélectionnez le réseau cible à dissocier, choisissez **Disassociate (Dissocier)**, puis choisissez **Disassociate target network (Dissocier le réseau cible)**.

**Pour dissocier un réseau cible d'un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html).

# AWS Client VPN délai d'expiration maximal d'une session VPN
<a name="cvpn-working-max-duration"></a>

AWS Client VPN propose plusieurs options pour la durée maximale de session VPN, qui est la durée maximale autorisée pour une connexion client au point de terminaison VPN du Client. Vous pouvez configurer une durée maximale de session VPN plus courte pour répondre aux exigences de sécurité et de conformité. Par défaut, la durée maximale de session VPN est de 24 heures. Une fois que vous avez défini la durée maximale de session, vous pouvez contrôler ce qui se passe avec cette session lorsque ce délai est atteint. L'option de déconnexion en cas d'expiration de session vous permet de mettre fin à la session ou de tenter automatiquement de vous reconnecter au point de terminaison. La fin d'une session vous permet de mieux contrôler la sécurité des terminaux en imposant une durée maximale de session VPN. Si une session est configurée pour se terminer lorsque la durée maximale est atteinte, les utilisateurs devront se reconnecter et fournir leurs informations d'authentification afin de rétablir la connexion VPN. 

Lorsque le délai de déconnexion à l'expiration de la session est défini pour se reconnecter automatiquement et que la durée maximale de session est atteinte, 
+ une nouvelle session est automatiquement établie dans le cas d'informations d'identification utilisateur mises en cache (Active Directory) ou d'une authentification basée sur des certificats (authentification mutuelle). Pour se déconnecter complètement et ne pas se reconnecter automatiquement, ces utilisateurs doivent se déconnecter manuellement. 
+ une nouvelle session n'est pas automatiquement établie dans le cas de l'authentification fédérée (SAML). Ces utilisateurs doivent s'authentifier à nouveau après l'expiration du délai d'expiration de la session pour rétablir la connexion VPN.

**Note**  
Lorsque la valeur maximale de la durée de session VPN est réduite par rapport à sa valeur actuelle, toutes les sessions VPN actives connectées au point de terminaison pendant une période supérieure à la durée nouvellement définie sont déconnectées.
La modification de l'option de déconnexion en cas d'expiration de session applique le nouveau paramètre à toutes les sessions actuellement ouvertes.

## Configuration de la session VPN maximale lors de la création d'un AWS Client VPN point de terminaison
<a name="configure-max-duration-endpoint-creation"></a>

La durée d'une session VPN est configurée lors de la création d'un point de terminaison VPN Client. Consultez [Création d'un AWS Client VPN point de terminaison](cvpn-working-endpoint-create.md) les étapes à suivre pour créer un point de terminaison VPN pour le Client et définir la durée maximale de session.

**Topics**
+ [Configuration de la session VPN maximale lors de la création d'un point de terminaison](#configure-max-duration-endpoint-creation)
+ [Afficher la durée maximale de session VPN actuelle](display-max-duration.md)
+ [Modifier la durée maximale d'une session VPN](modify-max-timeout.md)

# Afficher la durée maximale de session VPN AWS Client VPN actuelle
<a name="display-max-duration"></a>

Suivez les étapes ci-dessous pour afficher la durée maximale actuelle de la session VPN du Client.

**Afficher la durée maximale de session VPN actuelle pour un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez afficher.

1. Vérifiez que l'onglet **Summary (Récapitulatif)** est sélectionné.

1. Affichez la durée maximale actuelle de la session VPN à côté des **heures d'expiration de session** et si la **fonction Déconnexion au délai** d'expiration est activée ou désactivée.

**Afficher la durée maximale de session VPN actuelle pour un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modifier la durée maximale de AWS Client VPN session et le comportement du délai d'expiration
<a name="modify-max-timeout"></a>

Suivez les étapes ci-dessous pour modifier la durée maximale de session VPN d'un Client VPN existant et modifier le comportement de déconnexion en cas d'expiration de session.

**Modifier une durée maximale de session VPN existante pour un point de terminaison Client VPN (console)**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Client VPN endpoints (Points de terminaison VPN client)**.

1. Sélectionnez le point de terminaison VPN Client que vous souhaitez modifier, choisissez **Actions**, puis **Modify Client VPN Endpoint** (Modifier le point de terminaison VPN Client).

1. Pour **Session timeout hours** (Durée de la session en heures), choisissez la durée maximale de session VPN souhaitée en heures.

1. Pour **Déconnecter en cas d'expiration de session**, indiquez si vous souhaitez déconnecter une session lorsque le délai d'expiration maximal de session est atteint. Par défaut, cette option est désactivée la première fois que vous modifiez un point de terminaison. 

1. Choisissez **Modify Client VPN endpoint (Modifier le point de terminaison VPN client)**.

**Modifier une durée maximale de session VPN existante pour un point de terminaison Client VPN (AWS CLI)**  
Utilisez la commande [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).