As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Crie um AWS Client VPN endpoint Crie um AWS Client VPN endpoint para permitir que seus clientes estabeleçam uma sessão de VPN usando o console Amazon VPC ou AWS CLI o .Client VPN suporta todas as combinações de tipo de endpoint (túnel dividido e túnel completo) com tipo de tráfego (,, e pilha dupla) durante a criação inicial. IPv4 IPv6 Antes de criar um endpoint, familiarize-se com os requisitos. Para obter mais informações, consulte [Requisitos para criar endpoints da Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req). **Com criar um endpoint do Client VPN usando o console** 1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. No painel de navegação, escolha **Endpoints da cliente VPN.** e escolha **Criar endpoint da cliente VPN**. 1. Em “Escolher método de configuração”, selecione uma das seguintes opções: + Início rápido — Crie um endpoint com os padrões recomendados pela AWS + Padrão - defina manualmente todas as configurações do endpoint **Configuração de início rápido:** 1. Para “Escolher método de configuração”, selecione Início rápido. 1. Em “Client IPv4 CIDR”, insira o intervalo de endereços IP a partir do qual atribuir endereços IP do cliente. A AWS recomenda usar um bloco CIDR /22 (por exemplo, 10.0.0.0/22). 1. Para “VPC”, selecione a VPC a ser associada ao endpoint Client VPN. 1. Para “Sub-redes”, selecione uma ou mais sub-redes na VPC. Essas sub-redes serão usadas para associações de rede de destino. 1. Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando. 1. Escolha “Create Client VPN endpoint”. A AWS cria automaticamente os seguintes recursos: + Regra de autorização que permite que todos os usuários acessem o CIDR da VPC + Associação de rede de destino com as sub-redes VPC selecionadas + Entradas da tabela de rotas para o CIDR da VPC Depois que o endpoint for criado, você poderá baixar o arquivo de configuração do cliente na página de detalhes do endpoint e distribuí-lo aos seus usuários junto com o certificado e a chave do cliente. **Configuração padrão:** 1. Para “Escolher método de configuração”, selecione Padrão. 1. (Opcional) Forneça uma etiqueta de nome e uma descrição para o endpoint da VPN do cliente. 1. Em **Tipo de endereço IP do endpoint**, escolha o tipo de endereço IP do endpoint. + **IPv4**: o endpoint usa IPv4 endereços para o tráfego externo do túnel VPN. + **IPv6**: o endpoint usa IPv6 endereços para o tráfego externo do túnel VPN. + **Dual-stack**: o endpoint usa IPv6 endereços IPv4 e ambos para o tráfego externo do túnel VPN. 1. Em **Tipo de endereço IP do tráfego**, escolha o tipo de endereço IP do tráfego que flui pelo endpoint. + **IPv4**: o endpoint oferece suporte somente ao IPv4 tráfego. + **IPv6**: o endpoint oferece suporte somente ao IPv6 tráfego. + **Dual-stack**: o endpoint oferece suporte tanto ao tráfego quanto ao tráfego. IPv4 IPv6 1. Para o ** IPv4 CIDR do cliente**, especifique um intervalo de endereços IP, na notação CIDR, a partir do qual atribuir endereços IP do cliente. Por exemplo, .`10.0.0.0/22` Isso é necessário se você IPv4 selecionou ou Dual-Stack para o tipo de endereço IP de tráfego. **nota** O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de endereços da VPC nem a nenhuma das rotas que serão associadas ao endpoint da VPN do cliente. O intervalo de endereços do cliente deve ser de, no mínimo, /22 e não maior que o tamanho do bloco CIDR /12. Não é possível alterar o intervalo de endereços do cliente depois de criar o endpoint da VPN do cliente. Quando você seleciona IPv6 como o tipo de endereço IP do endpoint, o campo IPv4 CIDR do cliente é desativado. O endpoint Client VPN aloca IPv6 endereços de clientes de uma sub-rede associada, e você pode associar a sub-rede depois de criar o endpoint. **nota** Para IPv6 tráfego, você não precisa especificar um intervalo CIDR do cliente. A Amazon atribui automaticamente intervalos de IPv6 CIDR aos clientes. 1. Para **ARN do certificado de servidor**, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando. **nota** O certificado do servidor deve estar presente AWS Certificate Manager(ACM) na região em que você está criando o endpoint do Client VPN. O certificado pode ser provisionado com o ACM ou importado para o ACM. Se quiser ver as etapas para provisionar ou importar um certificado para o ACM, consulte [Certificados do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia de usuário do AWS Certificate Manager*. 1. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Você deve selecionar um método de autenticação. + Para utilizar a autenticação baseada no usuário, selecione **Utilizar autenticação baseada no usuário** e, depois, escolha uma das seguintes opções: + **Autenticação do Active Directory**: escolha esta opção para autenticação do Active Directory. Em **ID do diretório**, especifique o ID do Active Directory a ser usado. + **Autenticação federada**: escolha esta opção para autenticação federada baseada em SAML. Em **ARN do provedor SAML**, especifique o ARN do provedor de identidade SAML do IAM. (Opcional) Em **ARN do provedor SAML de autoatendimento**, especifique o ARN do provedor de identidade SAML do IAM que você criou para [oferecer compatibilidade com o portal de autoatendimento](federated-authentication.md#saml-self-service-support), se aplicável. + Para usar a autenticação de certificado mútuo, selecione **Usar autenticação mútua** e, em seguida, para **ARN do certificado do cliente**, especifique o ARN do certificado do cliente que está provisionado no (ACM).AWS Certificate Manager **nota** Se os certificados de servidor e cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor para ambos, servidor e cliente. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação diferente, o ARN do certificado do cliente deverá ser especificado. 1. (Opcional) Para **registro de conexão**, especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Ative **Enable log details on client connections** (Habilitar detalhes de log nas conexões de cliente). Em **Nome do grupo de CloudWatch registros** de registros, insira o nome do grupo de registros a ser usado. Em **Nome do fluxo de CloudWatch registros**, insira o nome do fluxo de registros a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de registros para você. 1. (Opcional) Em **Client Connect Handler** (Manipulador de conexão do cliente), ative **Enable client connect handler** (Habilitar o manipulador de conexão do cliente) para executar o código personalizado que permite ou nega uma nova conexão com o endpoint da VPN do cliente. Em **Client Connect Handler ARN (ARN do manipulador de conexão do cliente)**, especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões. 1. (Opcional) Especifique quais servidores DNS devem ser usados para a resolução de DNS. Para usar servidores DNS personalizados, para o endereço IP **do Servidor DNS 1 e o endereço IP** **do Servidor DNS 2**, especifique os IPv4 endereços dos servidores DNS a serem usados. **Para endpoints de pilha dupla IPv6 ou de pilha dupla, você também pode especificar os endereços do Servidor **DNS IPv6 1 e do Servidor** DNS 2. IPv6 ** Para usar o servidor DNS da VPC, em **DNS Server 1 IP address (Endereço IP do servidor DNS 1)** ou **DNS Server 2 IP address (Endereço IP do servidor DNS 2)**, especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC. **nota** Verifique se os servidores DNS possam ser acessados pelos clientes. 1. (Opcional) Por padrão, o servidor da VPN do cliente usa o protocolo de transporte `UDP`. Para usar o protocolo de transporte `TCP`, em **Transport Protocol (Protocolo de transporte)**, selecione **TCP**. **nota** Em geral, o UDP oferece melhor performance que o TCP. Não é possível alterar o protocolo de transporte depois de criar o endpoint da Client VPN. 1. (Opcional) Para que o endpoint seja um endpoint de VPN do cliente de túnel dividido, ative **Enable split-tunnel** (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint da Client VPN está desabilitado. 1. (Opcional) Em **VPC ID (ID da VPC)**, selecione a VPC a ser associada ao endpoint da Client VPN. Em **Security Group IDs**, escolha um ou mais dos grupos de segurança da VPC para aplicar ao endpoint do Client VPN. 1. (Opcional) Em **VPN port (Porta VPN)**, selecione o número da porta VPN. O padrão é 443. 1. (Opcional) Para gerar um [URL do portal de autoatendimento](cvpn-self-service-portal.md) para clientes, ative **Enable self-service portal** (Habilitar portal de autoatendimento). 1. (Opcional) Em **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas. 1. (Opcional) Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente. 1. (Opcional) Especifique se deseja habilitar o texto do banner de login do cliente. Ative **Enable client login banner** (Habilitar o banner de login do cliente). Em **Client login banner text** (Texto do banner de login do cliente), insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres. 1. Selecione **Create Client VPN endpoint** (Criar endpoint da VPN do cliente). Depois de criar o endpoint da Client VPN, faça o seguinte para concluir a configuração e permitir que os clientes se conectem: + O estado inicial do endpoint da Client VPN é `pending-associate`. Os clientes poderão se conectar ao endpoint da Client VPN somente depois que você associar a primeira [rede de destino](cvpn-working-target-associate.md). + Crie uma [regra de autorização](cvpn-working-rules.md) para especificar quais clientes têm acesso à rede. + Baixe e prepare o [arquivo de configuração](cvpn-working-endpoint-export.md) do endpoint da Client VPN para distribuir aos seus clientes. + Instrua seus clientes a usar o cliente AWS fornecido ou outro aplicativo cliente baseado em OpenVPN para se conectar ao endpoint do Client VPN. Para obter mais informações, consulte o [Guia do usuário do AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/). **Para criar um endpoint Client VPN usando o AWS CLI** Use o comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html). Exemplo de criação de um IPv4 endpoint: ``` aws ec2 create-client-vpn-endpoint \ --client-cidr-block "172.31.0.0/16" \ --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \ --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \ --connection-log-options Enabled=false ``` Exemplo de criação de um IPv6 endpoint: ``` aws ec2 create-client-vpn-endpoint \ --endpoint-ip-address-type "ipv6" \ --traffic-ip-address-type "ipv6" \ --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \ --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \ --connection-log-options Enabled=false ``` Exemplo de criação de endpoint de pilha dupla: ``` aws ec2 create-client-vpn-endpoint \ --endpoint-ip-address-type "dual-stack" \ --traffic-ip-address-type "dual-stack" \ --client-cidr-block "172.31.0.0/16" \ --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \ --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \ --connection-log-options Enabled=false ```