As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Client VPN endpoints
<a name="cvpn-working-endpoints"></a>

Todas as AWS Client VPN sessões estabelecem comunicação com um endpoint Client VPN. É possível gerenciar o endpoint da Client VPN para criar, modificar, visualizar e excluir sessões de VPN do cliente com esse endpoint. Os endpoints podem ser criados e modificados usando o console Amazon VPC ou usando a CLI da AWS .

## Requisitos para criar endpoints da Client VPN
<a name="cvpn-working-create-req"></a>

**Importante**  
Um endpoint Client VPN deve ser criado na mesma AWS conta na qual a rede de destino pretendida é provisionada. Você também precisará gerar um certificado do servidor e, se necessário, um certificado do cliente. Para obter mais informações, consulte [Autenticação do cliente em AWS Client VPN](client-authentication.md).

Antes de começar, faça o seguinte:
+ Revise as regras e as limitações em [Regras e melhores práticas de uso AWS Client VPN](what-is-best-practices.md).
+ Gere o certificado do servidor e, se necessário, o certificado do cliente. Para obter mais informações, consulte [Autenticação do cliente em AWS Client VPN](client-authentication.md).

## Tipos de endereço IP
<a name="cvpn-ip-address-types"></a>

AWS Client VPN suporta configurações IPv4 -only, IPv6 -only e dual-stack para conectividade de terminais e roteamento de tráfego. A orientação a seguir ajuda você a selecionar o tipo de endereço IP apropriado com base nos recursos do dispositivo cliente, na infraestrutura de rede e nos requisitos da aplicação.

### Tipo de endereço do endpoint
<a name="cvpn-endpoint-types"></a>

O tipo de endereço do endpoint determina quais protocolos IP seu endpoint do Client VPN aceita para conexões de cliente. Essa configuração não poderá ser alterada após a criação do endpoint.

**Escolha IPv4 -somente quando:**
+ Seus dispositivos cliente oferecem suporte apenas a conexões IPv4 VPN
+ Suas ferramentas de segurança são otimizadas para inspeção IPv4 de tráfego

**Escolha IPv6 -somente quando:**
+ Todos os dispositivos cliente oferecem suporte total às IPv6 conexões
+ Você está em redes onde os IPv4 endereços estão esgotados

**Escolha pilha dupla quando:**
+ Você tiver uma combinação de dispositivos cliente com recursos de IP variados.
+ Você está gradualmente fazendo a transição de para IPv4 IPv6

### Tipo de endereço IP de tráfego
<a name="cvpn-traffic-ip-considerations"></a>

O tipo de endereço IP do tráfego controla como o Client VPN roteia o tráfego entre clientes e seus recursos de VPC, independentemente dos protocolos compatíveis do endpoint.

**Direcione o tráfego como IPv4 quando:**
+ Suporte somente para aplicativos de destino em sua VPC IPv4
+ Você tem grupos IPv4 de segurança e rede complexos ACLs
+ Você estiver se conectando com sistemas legados.

**Direcione o tráfego como IPv6 quando:**
+ Sua infraestrutura de VPC é principalmente IPv6
+ Você quiser preparar sua arquitetura de rede para o futuro.
+ Você tem aplicativos modernos criados para IPv6

## Modificação do endpoint
<a name="cvpn-endpoints-modify-req"></a>

**nota**  
Os endpoints Client VPN criados usando a configuração de início rápido podem ser modificados usando os mesmos procedimentos dos endpoints criados com a configuração padrão. Todas as opções de configuração estão disponíveis, independentemente do método de configuração usado durante a criação.

Após a criação de um Client VPN, é possível modificar qualquer uma das seguintes configurações: 
+ A descrição
+ O certificado de servidor
+ As opções de registro em log da conexão do cliente
+ A opção do manipulador de conexão do cliente
+ Os servidores DNS
+ A opção de túnel dividido
+ Rotas (ao usar a opção de túnel dividido)
+ Lista de revogação de certificados (CRL)
+ Regras de autorização
+ A VPC e as associações do grupo de segurança
+ O número da porta VPN
+ A opção do portal de autoatendimento
+ Duração máxima da sessão VPN
+ Habilitar ou desabilitar a reconexão automática no tempo limite da sessão
+ Habilitar ou desabilitar o texto do banner de login do cliente
+ Texto do banner de login do cliente

**nota**  
As modificações nos endpoints da Client VPN, incluindo alterações na lista de revogação de certificados (CRL), entrarão em vigor até quatro horas depois que a solicitação for aceita pelo serviça Client VPN.  
Você não pode modificar o intervalo IPv4 CIDR do cliente, as opções de autenticação, o certificado do cliente ou o protocolo de transporte após a criação do endpoint do Client VPN.

Quando você modifica qualquer um dos seguintes parâmetros em um endpoint da Client VPN, a conexão é redefinida:
+ O certificado de servidor
+ Os servidores DNS
+ A opção de túnel dividido (ligar ou desligar a compatibilidade)
+ Rotas (quando você usa a opção de túnel dividido)
+  Lista de revogação de certificados (CRL)
+ Regras de autorização
+ O número da porta VPN

**Topics**
+ [Requisitos para criar endpoints da Client VPN](#cvpn-working-create-req)
+ [Tipos de endereço IP](#cvpn-ip-address-types)
+ [Modificação do endpoint](#cvpn-endpoints-modify-req)
+ [Crie um endpoint do](cvpn-working-endpoint-create.md)
+ [Visualizar endpoints do](cvpn-working-endpoint-view.md)
+ [Modificar um endpoint do](cvpn-working-endpoint-modify.md)
+ [Excluir um endpoint](cvpn-working-endpoint-delete.md)

# Crie um AWS Client VPN endpoint
<a name="cvpn-working-endpoint-create"></a>

Crie um AWS Client VPN endpoint para permitir que seus clientes estabeleçam uma sessão de VPN usando o console Amazon VPC ou AWS CLI o .Client VPN suporta todas as combinações de tipo de endpoint (túnel dividido e túnel completo) com tipo de tráfego (,, e pilha dupla) durante a criação inicial. IPv4 IPv6 

Antes de criar um endpoint, familiarize-se com os requisitos. Para obter mais informações, consulte [Requisitos para criar endpoints da Client VPN](cvpn-working-endpoints.md#cvpn-working-create-req).

**Com criar um endpoint do Client VPN usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints da cliente VPN.** e escolha **Criar endpoint da cliente VPN**.

1. Em “Escolher método de configuração”, selecione uma das seguintes opções: 
   + Início rápido — Crie um endpoint com os padrões recomendados pela AWS
   + Padrão - defina manualmente todas as configurações do endpoint

**Configuração de início rápido:**

1. Para “Escolher método de configuração”, selecione Início rápido.

1.  Em “Client IPv4 CIDR”, insira o intervalo de endereços IP a partir do qual atribuir endereços IP do cliente. A AWS recomenda usar um bloco CIDR /22 (por exemplo, 10.0.0.0/22). 

1.  Para “VPC”, selecione a VPC a ser associada ao endpoint Client VPN. 

1.  Para “Sub-redes”, selecione uma ou mais sub-redes na VPC. Essas sub-redes serão usadas para associações de rede de destino. 

1.  Para ARN do certificado de servidor, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando. 

1.  Escolha “Create Client VPN endpoint”. 

A AWS cria automaticamente os seguintes recursos: 
+ Regra de autorização que permite que todos os usuários acessem o CIDR da VPC
+ Associação de rede de destino com as sub-redes VPC selecionadas
+ Entradas da tabela de rotas para o CIDR da VPC

 Depois que o endpoint for criado, você poderá baixar o arquivo de configuração do cliente na página de detalhes do endpoint e distribuí-lo aos seus usuários junto com o certificado e a chave do cliente. 

**Configuração padrão:**

1. Para “Escolher método de configuração”, selecione Padrão.

1. (Opcional) Forneça uma etiqueta de nome e uma descrição para o endpoint da VPN do cliente.

1. Em **Tipo de endereço IP do endpoint**, escolha o tipo de endereço IP do endpoint.
   + **IPv4**: o endpoint usa IPv4 endereços para o tráfego externo do túnel VPN.
   + **IPv6**: o endpoint usa IPv6 endereços para o tráfego externo do túnel VPN.
   + **Dual-stack**: o endpoint usa IPv6 endereços IPv4 e ambos para o tráfego externo do túnel VPN.

1. Em **Tipo de endereço IP do tráfego**, escolha o tipo de endereço IP do tráfego que flui pelo endpoint.
   + **IPv4**: o endpoint oferece suporte somente ao IPv4 tráfego.
   + **IPv6**: o endpoint oferece suporte somente ao IPv6 tráfego.
   + **Dual-stack**: o endpoint oferece suporte tanto ao tráfego quanto ao tráfego. IPv4 IPv6 

1. Para o ** IPv4 CIDR do cliente**, especifique um intervalo de endereços IP, na notação CIDR, a partir do qual atribuir endereços IP do cliente. Por exemplo, .`10.0.0.0/22` Isso é necessário se você IPv4 selecionou ou Dual-Stack para o tipo de endereço IP de tráfego.
**nota**  
O intervalo de endereços não pode se sobrepor ao intervalo de endereços da rede de destino, ao intervalo de endereços da VPC nem a nenhuma das rotas que serão associadas ao endpoint da VPN do cliente. O intervalo de endereços do cliente deve ser de, no mínimo, /22 e não maior que o tamanho do bloco CIDR /12. Não é possível alterar o intervalo de endereços do cliente depois de criar o endpoint da VPN do cliente.
Quando você seleciona IPv6 como o tipo de endereço IP do endpoint, o campo IPv4 CIDR do cliente é desativado. O endpoint Client VPN aloca IPv6 endereços de clientes de uma sub-rede associada, e você pode associar a sub-rede depois de criar o endpoint.
**nota**  
Para IPv6 tráfego, você não precisa especificar um intervalo CIDR do cliente. A Amazon atribui automaticamente intervalos de IPv6 CIDR aos clientes.

1. Para **ARN do certificado de servidor**, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.
**nota**  
O certificado do servidor deve estar presente AWS Certificate Manager(ACM) na região em que você está criando o endpoint do Client VPN. O certificado pode ser provisionado com o ACM ou importado para o ACM.  
Se quiser ver as etapas para provisionar ou importar um certificado para o ACM, consulte [Certificados do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia de usuário do AWS Certificate Manager*.

1. Especifique o método de autenticação a ser usado para autenticar os clientes quando eles estabelecer uma conexão VPN. Você deve selecionar um método de autenticação.
   + Para utilizar a autenticação baseada no usuário, selecione **Utilizar autenticação baseada no usuário** e, depois, escolha uma das seguintes opções:
     + **Autenticação do Active Directory**: escolha esta opção para autenticação do Active Directory. Em **ID do diretório**, especifique o ID do Active Directory a ser usado.
     + **Autenticação federada**: escolha esta opção para autenticação federada baseada em SAML. 

       Em **ARN do provedor SAML**, especifique o ARN do provedor de identidade SAML do IAM. 

       (Opcional) Em **ARN do provedor SAML de autoatendimento**, especifique o ARN do provedor de identidade SAML do IAM que você criou para [oferecer compatibilidade com o portal de autoatendimento](federated-authentication.md#saml-self-service-support), se aplicável.
   + Para usar a autenticação de certificado mútuo, selecione **Usar autenticação mútua** e, em seguida, para **ARN do certificado do cliente**, especifique o ARN do certificado do cliente que está provisionado no (ACM).AWS Certificate Manager
**nota**  
Se os certificados de servidor e cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor para ambos, servidor e cliente. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação diferente, o ARN do certificado do cliente deverá ser especificado.

1. (Opcional) Para **registro de conexão**, especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Ative **Enable log details on client connections** (Habilitar detalhes de log nas conexões de cliente). Em **Nome do grupo de CloudWatch registros** de registros, insira o nome do grupo de registros a ser usado. Em **Nome do fluxo de CloudWatch registros**, insira o nome do fluxo de registros a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de registros para você. 

1. (Opcional) Em **Client Connect Handler** (Manipulador de conexão do cliente), ative **Enable client connect handler** (Habilitar o manipulador de conexão do cliente) para executar o código personalizado que permite ou nega uma nova conexão com o endpoint da VPN do cliente. Em **Client Connect Handler ARN (ARN do manipulador de conexão do cliente)**, especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.

1. (Opcional) Especifique quais servidores DNS devem ser usados para a resolução de DNS. Para usar servidores DNS personalizados, para o endereço IP **do Servidor DNS 1 e o endereço IP** **do Servidor DNS 2**, especifique os IPv4 endereços dos servidores DNS a serem usados. **Para endpoints de pilha dupla IPv6 ou de pilha dupla, você também pode especificar os endereços do Servidor **DNS IPv6 1 e do Servidor** DNS 2. IPv6 ** Para usar o servidor DNS da VPC, em **DNS Server 1 IP address (Endereço IP do servidor DNS 1)** ou **DNS Server 2 IP address (Endereço IP do servidor DNS 2)**, especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.
**nota**  
Verifique se os servidores DNS possam ser acessados pelos clientes.

1. (Opcional) Por padrão, o servidor da VPN do cliente usa o protocolo de transporte `UDP`. Para usar o protocolo de transporte `TCP`, em **Transport Protocol (Protocolo de transporte)**, selecione **TCP**.
**nota**  
Em geral, o UDP oferece melhor performance que o TCP. Não é possível alterar o protocolo de transporte depois de criar o endpoint da Client VPN.

1. (Opcional) Para que o endpoint seja um endpoint de VPN do cliente de túnel dividido, ative **Enable split-tunnel** (Habilitar túnel dividido). Por padrão, o túnel dividido em um endpoint da Client VPN está desabilitado.

1. (Opcional) Em **VPC ID (ID da VPC)**, selecione a VPC a ser associada ao endpoint da Client VPN. Em **Security Group IDs**, escolha um ou mais dos grupos de segurança da VPC para aplicar ao endpoint do Client VPN.

1. (Opcional) Em **VPN port (Porta VPN)**, selecione o número da porta VPN. O padrão é 443.

1. (Opcional) Para gerar um [URL do portal de autoatendimento](cvpn-self-service-portal.md) para clientes, ative **Enable self-service portal** (Habilitar portal de autoatendimento).

1. (Opcional) Em **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.

1. (Opcional) Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente.

1. (Opcional) Especifique se deseja habilitar o texto do banner de login do cliente. Ative **Enable client login banner** (Habilitar o banner de login do cliente). Em **Client login banner text** (Texto do banner de login do cliente), insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.

1. Selecione **Create Client VPN endpoint** (Criar endpoint da VPN do cliente).

Depois de criar o endpoint da Client VPN, faça o seguinte para concluir a configuração e permitir que os clientes se conectem:
+ O estado inicial do endpoint da Client VPN é `pending-associate`. Os clientes poderão se conectar ao endpoint da Client VPN somente depois que você associar a primeira [rede de destino](cvpn-working-target-associate.md).
+ Crie uma [regra de autorização](cvpn-working-rules.md) para especificar quais clientes têm acesso à rede.
+ Baixe e prepare o [arquivo de configuração](cvpn-working-endpoint-export.md) do endpoint da Client VPN para distribuir aos seus clientes.
+ Instrua seus clientes a usar o cliente AWS fornecido ou outro aplicativo cliente baseado em OpenVPN para se conectar ao endpoint do Client VPN. Para obter mais informações, consulte o [Guia do usuário do AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/).

**Para criar um endpoint Client VPN usando o AWS CLI**  
Use o comando [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html).

Exemplo de criação de um IPv4 endpoint:

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Exemplo de criação de um IPv6 endpoint:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

Exemplo de criação de endpoint de pilha dupla:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# Visualizar endpoints do AWS Client VPN
<a name="cvpn-working-endpoint-view"></a>

É possível visualizar informações sobre endpoints da Client VPN ao usar o Amazon VPC Console ou o AWS CLI.

**Como visualizar endpoints da VPN do cliente (console)**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints da cliente VPN**.

1. Selecione o endpoint da Client VPN a ser visualizado.

1. Use as guias **Detalhes**, **Associações de rede de destino**, **Grupos de segurança**, **Regras de autorização**, **Tabela de rotas**, **Conexões** e **Tags** para visualizar informações sobre os endpoints existentes do Client VPN.

   Você também pode usar filtros para ajudar a refinar a pesquisa.

**Como visualizar endpoints da VPN do cliente (AWS CLI)**  
Use o comando [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html).

# Modificar um endpoint do AWS Client VPN
<a name="cvpn-working-endpoint-modify"></a>

É possível modificar um endpoint da Client VPN usando o Amazon VPC Console ou o AWS CLI. Para obter mais informações sobre os campos da Client VPN que podem ser modificados, consulte [Modificação do endpoint](cvpn-working-endpoints.md#cvpn-endpoints-modify-req).

## Limitações
<a name="endpoints-limits"></a>

As seguintes limitações são aplicáveis ao modificar um endpoint: 
+  As modificações nos endpoints da Client VPN, incluindo alterações na lista de revogação de certificados (CRL), entrarão em vigor até quatro horas depois que a solicitação for aceita pelo serviça Client VPN.
+ Não é possível modificar o intervalo CIDR IPv4 do cliente, as opções de autenticação, o certificado do cliente nem o protocolo de transporte após a criação do endpoint da Client VPN.
+ É possível modificar os endpoints IPv4 existentes para pilha dupla para os tipos de IP de endpoint e IP de tráfego. Se você precisar somente de IPv6 para IP de endpoint e IP de tráfego, deverá criar outro endpoint.
+ O Client VPN não permite modificar o tipo de endpoint (IPv4, IPv6 e pilha dupla) ou do tipo de tráfego (IPv4, IPv6 e pilha dupla) após a criação.
+ O Client VPN que tem uma combinação específica de tipo de endpoint e tipo de tráfego não pode ser alterado. Não é possível alterá-la para nenhuma outra combinação. O endpoint deve ser excluído e recriado com a configuração desejada.
+ Não é possível usar a comunicação de cliente para cliente para tráfego IPv6.

## Modificar um endpoint do Client VPN
<a name="endpoint-modify"></a>

É possível modificar um endpoint do Client VPN usando tanto o console quanto a AWS CLI. 

**Como modificar um endpoint do Client VPN usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints da cliente VPN**.

1. Selecione o endpoint da VPN do cliente a ser modificado, escolha **Actions** (Ações) e **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).

1. Em **Description (Descrição)**, digite uma breve descrição do endpoint da Client VPN.

1. Em **Tipo de endereço IP do endpoint**, você pode modificar um endpoint IPv4 existente para pilha dupla. Essa opção está disponível somente para endpoints IPv4.

1. Em **Tipo de endereço IP do tráfego**, você pode modificar um endpoint IPv4 existente para pilha dupla. Essa opção está disponível somente para endpoints IPv4.

1. Para **ARN do certificado de servidor**, especifique o ARN do certificado TLS a ser usado pelo servidor. Os clientes usam o certificado de servidor para autenticar o endpoint da Client VPN. ao qual estão se conectando.
**nota**  
O certificado de servidor deve estar presente no AWS Certificate Manager (ACM) na região em que o endpoint do cliente VPN está sendo criado. O certificado pode ser provisionado com o ACM ou importado para o ACM.

1. Especifique se deseja registrar dados sobre conexões de clientes usando o Amazon CloudWatch Logs. Em **Enable log details on client connections** (Habilitar detalhes de log em conexões de cliente), siga um destes procedimentos:
   + Para ativar o log de conexão de cliente, ative **Enable log details on client connections** (Habilitar detalhes de log em conexões de cliente). Em **CloudWatch Logs log group name** (Nome do grupo de logs do CloudWatch Logs), selecione o nome do grupo de logs a ser usado. Em **CloudWatch Logs log stream name** (Nome do stream de logs do CloudWatch Logs), selecione o nome do fluxo de logs a ser usado ou deixe essa opção em branco para que possamos criar um fluxo de logs para você.
   + Para desabilitar o log de conexão de cliente, desabilite a opção **Habilitar detalhes de log em conexões de cliente**.

1. Em **Client connect handler** (Manipulador de conexão de cliente), ative **Enable client connect handler** (Habilitar manipulador de conexão de cliente) para ativar o [manipulador de conexão de cliente](connection-authorization.md). Em **Client Connect Handler ARN (ARN do manipulador de conexão do cliente)**, especifique o nome de recurso da Amazon (ARN) da função do Lambda que contém a lógica que permite ou nega conexões.

1. Habilite ou desabilite a opção **Habilitar servidores DNS**. Para usar servidores de DNS personalizados, em **Endereço IP do servidor de DNS 1** e **Endereço IP do servidor de DNS 2**, especifique os endereços IPv4 dos servidores de DNS a serem usados. Para endpoints IPv6 ou de pilha dupla, também é possível especificar endereços de **Servidor de DNS IPv6 1** e **Servidor de DNS IPv6 2**. Para usar o servidor DNS da VPC, em **DNS Server 1 IP address (Endereço IP do servidor DNS 1)** ou **DNS Server 2 IP address (Endereço IP do servidor DNS 2)**, especifique os endereços IP e adicione o endereço IP do servidor DNS da VPC.
**nota**  
Verifique se os servidores DNS possam ser acessados pelos clientes.

1. Habilite ou desabilite a opção **Habilitar túnel dividido**. Por padrão, o túnel dividido em um endpoint da VPN está desativado.

1. Em **VPC ID** (ID da VPC), escolha a VPC a ser associada ao endpoint da VPN do cliente. Em **Security Group IDs (IDs de grupo de segurança)**, selecione um ou mais grupos de segurança da VPC a serem aplicados ao endpoint da Client VPN.

1. Em **VPN port (Porta VPN)**, selecione o número da porta VPN. O padrão é 443.

1. Para gerar um [URL do portal de autoatendimento](cvpn-self-service-portal.md) para clientes, ative **Enable self-service portal** (Habilitar portal de autoatendimento).

1. Em **Session timeout hours** (Horas do tempo limite da sessão), escolha o tempo máximo desejado de duração da sessão VPN em horas, conforme as opções disponíveis, ou deixe definido como padrão de 24 horas.

1. Em **Desconectar-se no tempo limite da sessão**, escolha se você deseja encerrar a sessão quando o tempo máximo da sessão for atingido. A escolha dessa opção exige que os usuários se reconectem manualmente ao endpoint quando a sessão expirar; do contrário, o Client VPN tentará se reconectar automaticamente.

1. Habilite ou desabilite a opção **Habilitar o banner de login do cliente**. Se quiser usar o banner de login do cliente, insira o texto que será exibido em um banner nos clientes fornecidos pela AWS quando uma sessão VPN for estabelecida. Somente caracteres com codificação UTF-8. Máximo de 1400 caracteres.

1. Escolha **Modify Client VPN endpoint** (Modificar endpoint da VPN do cliente).

**Como modificar um endpoint do Client VPN usando a AWS CLI**  
Use o comando [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html).

Exemplo de modificação de um endpoint IPv4 para pilha dupla:

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# Excluir um endpoint do AWS Client VPN
<a name="cvpn-working-endpoint-delete"></a>

Você deverá desassociar todas as redes de destino para excluir um endpoint da VPN do cliente. Ao excluir um endpoint da Client VPN, seu estado é alterado para `deleting` e os clientes não podem mais se conectar a ele. 

É possível excluir um endpoint da Client VPN usando o console ou a AWS CLI.

**Para excluir um endpoint da Client VPN (console)**

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints da cliente VPN**.

1. Escolha o endpoint da VPN do cliente a ser excluído. Escolha **Actions** (Ações), **Delete Client VPN endpoint** (Excluir endpoint da VPN do cliente).

1. Insira *delete* (excluir) na janela de confirmação e escolha** Delete** (Excluir).

**Para excluir um endpoint da Client VPN (AWS CLI)**  
Use o comando [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html).