本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS Client VPN
下列主題說明使用 Client VPN 所需的主要管理任務:
+ **存取自助式入口網站** — 設定 Client VPN 自助式入口網站的存取權,以便用戶端可以自行下載 Client VPN 端點組態檔案。如需存取自助式入口網站的資訊,請參閱 [AWS Client VPN 存取自助式入口網站](cvpn-self-service-portal.md)。
+ **授權規則** — 新增授權規則以控制用戶端對指定網路的存取。如需新增授權規則的詳細資訊,請參閱 [AWS Client VPN 授權規則](cvpn-working-rules.md)。
+ **用戶端憑證撤銷清單** — 使用用戶端憑證撤銷清單撤銷對 Client VPN 端點的存取。如需用戶端憑證撤銷清單的資訊,請參閱 [AWS Client VPN 用戶端憑證撤銷清單](cvpn-working-certificates.md)。
+ **用戶端連線** — 檢視或終止 Client VPN 端點的用戶端連線。如需有關檢視或終止用戶端連線的資訊,請參閱 [AWS Client VPN 用戶端連線](cvpn-working-connections.md)。
+ **用戶端登入橫幅** — 建立 VPN 工作階段時,在 Client VPN 桌面應用程式上新增文字橫幅。您可以使用文字橫幅來滿足您的法規和合規需求。如需登入橫幅的資訊,請參閱 [AWS Client VPN 用戶端登入橫幅](cvpn-working-login-banner.md)。
+ **用戶端路由強制執行** — 在透過 VPN 連線的裝置上強制執行管理員定義的路由。如需用戶端路由強制執行的詳細資訊,請參閱 [AWS Client VPN 用戶端路由強制執行](cvpn-working-cre.md)。
+ **Client VPN 端點** — 設定 Client VPN 端點以管理和控制所有 VPN 工作階段。如需設定端點的資訊,請參閱 [AWS Client VPN 端點](cvpn-working-endpoints.md)。
+ **連線日誌** — 為新的或現有的 Client VPN 端點啟用連線記錄,以開始擷取連線日誌。如需連線記錄的資訊,請參閱 [AWS Client VPN 連線日誌](cvpn-working-with-connection-logs.md)。
+ **用戶端組態檔案匯出** — 設定 Client VPN 用戶端建立 VPN 連線所需的用戶端組態檔案。設定檔案之後,請下載 (匯出) 檔案以分發給用戶端。如需匯出用戶端組態檔案的詳細資訊,請參閱 [AWS Client VPN 端點組態檔案匯出](cvpn-working-endpoint-export.md)。
+ **路由** — 為每個 Client VPN 路由設定授權規則,以指定哪些用戶端可存取目的地網路。如需設定授權規則的資訊,請參閱 [AWS Client VPN 授權規則](cvpn-working-rules.md)
+ **目標網路** — 將目標網路與 Client VPN 端點建立關聯,讓用戶端能夠與其連線並建立 VPN 連線。如需目標網路的相關資訊,請參閱 [AWS Client VPN 目標網路](cvpn-working-target.md)。
+ **最長 VPN 工作階段持續時間** — 設定最長 VPN 工作階段持續時間的選項,以符合您的安全和合規要求。如需 VPN 工作階段持續時間上限的相關資訊,請參閱 [AWS Client VPN VPN 工作階段持續時間逾時上限](cvpn-working-max-duration.md)。
# AWS Client VPN 存取自助式入口網站
如已為 Client VPN 端點啟用自助式入口網站,您可以為用戶端提供自助式入口網站的 URL。用戶端可以在 web 瀏覽器中存取入口網站,並使用自己的使用者型登入資料登入。在 入口網站中,用戶端可以下載 Client VPN 端點組態檔案,也可以下載 AWS 所提供用戶端的最新版本。
適用的規定如下:
+ 使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。
+ 自助式入口網站中可用的組態檔案與您使用 Amazon VPC 主控台或 匯出的組態檔案相同 AWS CLI。如果您需要先自訂組態檔案,再發佈給用戶端,您即必須自行將此自訂的檔案發佈給用戶端。
+ 您必須啟用 Client VPN 端點的自助式入口網站選項,否則用戶端無法存取入口網站。如未啟用此選項,您可以修改 Client VPN 端點以啟用選項。
啟用自助式入口網站選項之後,請為用戶端提供下列其中一個 URL:
+ `https://self-service.clientvpn.amazonaws.com/`
如果用戶端使用此 URL 存取入口網站,其必須先輸入 Client VPN 端點的 ID,才能登入。
+ `https://self-service.clientvpn.amazonaws.com/endpoints/`
使用您 Client VPN 端點的 ID (例如 `cvpn-endpoint-0123456abcd123456`) 取代前述 URL 中的 *<端點 id>*。
您也可以在 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI 命令的輸出中檢視自助式入口網站的 URL。或者,您可從 Amazon VPC 主控台中 **Client VPN Endpoints** (Client VPN 端點)頁面的 **Details** (詳細資訊) 索引標籤中取得 URL。
如需設定自助式入口網站搭配聯合身分驗證使用的詳細資訊,請參閱 [自助入口網站支援](federated-authentication.md#saml-self-service-support)。
# AWS Client VPN 授權規則
授權規則做為授與存取網路的防火牆規則。透過新增授權規則,您可以授與特定的用戶端存取至指定的網路。您應該要有每個欲授與存取權之網路的授權規則。您可以使用主控台和 AWS CLI,將授權規則新增至 Client VPN 端點。
**注意**
評估授權規則時,Client VPN 會使用最長字首比對。請參閱[《Amazon VPC 使用者指南》](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)中的故障診斷主題 [故障診斷 AWS Client VPN:Active Directory 群組的授權規則未如預期運作](ad-group-auth-rules.md) 和*路由優先順序*以取得更多詳細資訊。
## 了解授權規則的要點
以下幾點解釋了授權規則的一些行為:
+ 若要允許存取目的地網路,必須明確新增授權規則。預設行為是拒絕存取。
+ 您無法將授權規則新增至*限制*存取目的地網路。
+ `0.0.0.0/0` CIDR 會作為特殊情況來處理。不論建立授權規則的順序為何,這都是最後處理。
+ `0.0.0.0/0` CIDR 可以被視為「任何目的地」或「未由其他授權規則定義的任何目的地」。
+ 最長字首相符是優先執行的規則。
**Topics**
+ [重點](#key-points-summary)
+ [範例方案](#auth-rule-example-scenarios)
+ [新增授權規則](cvpn-working-rule-authorize-add.md)
+ [移除授權規則](cvpn-working-rule-remove.md)
+ [檢視授權規則](cvpn-working-rule-view.md)
## Client VPN 授權規則的範例案例
本節說明授權規則的運作方式 AWS Client VPN。其中包括了解授權規則的要點、範例架構,以及對應至範例架構的範例案例討論。
**案例**
+ [授權規則案例的範例架構](#example-arch-auth-rules)
+ [存取單一目的地](#auth-rules1)
+ [使用任何目的地 (0.0.0.0/0) CIDR](#auth-rules2)
+ [較長的 IP 字首比對](#auth-rules3)
+ [重疊 CIDR (相同群組)](#auth-rules4)
+ [其他 0.0.0.0/0 規則](#auth-rules5)
+ [新增 192.168.0.0/24 的規則](#auth-rules6)
+ [SAML 聯合身分驗證](#auth-rules7)
+ [所有使用者群組的存取權](#auth-rules8)
### 授權規則案例的範例架構
下圖顯示用於本節中範例案例的範例架構。
![\[Client VPN 架構範例\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### 存取單一目的地
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取 Client VPN VPC | S-xxxxx16 | False | 192.168.0.0/24 |
**產生行為**
+ 工程群組只能存取 `172.16.0.0/24`。
+ 開發群組只能存取 `10.0.0.0/16`。
+ 管理員群組只能存取 `192.168.0.0/24`。
+ 所有其他流量都會由 Client VPN 端點捨棄。
**注意**
在這個案例中,沒有使用者群組可以存取公有網際網路。
### 使用任何目的地 (0.0.0.0/0) CIDR
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
**產生行為**
+ 工程群組只能存取 `172.16.0.0/24`。
+ 開發群組只能存取 `10.0.0.0/16`。
+ 管理員群組可以存取公有網際網路*和* `192.168.0.0/24`,但無法存取 `172.16.0.0/24` 或 `10.0.0/16`。
**注意**
在這個案例中,因為沒有任何規則參考 `192.168.0.0/24`,對該網路的存取也由 `0.0.0.0/0` 規則提供。
無論規則的建立順序為何,包含 `0.0.0.0/0` 的規則一律最後評估。因此,請記住,在 `0.0.0.0/0` 之前評估的規則,會在決定 `0.0.0.0/0` 存取授予哪些網路方面發揮作用。
### 較長的 IP 字首比對
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
| 提供管理員群組存取開發 VPC 中的單一主機 | S-xxxxx16 | False | 10.0.2.119/32 |
**產生行為**
+ 工程群組只能存取 `172.16.0.0/24`。
+ 開發群組可以存取 `10.0.0.0/16`,*除了*單一主機 `10.0.2.119/32`。
+ 管理員群組可以存取公有網際網路 `192.168.0.0/24` 以及開發 VPC 內的單一主機 (`10.0.2.119/32`),但無法存取 `172.16.0.0/24` 或開發 VPC 中的其餘主機。
**注意**
在這裡,您會看到具有較長 IP 字首的規則如何優先於具有較短 IP 字首的規則。如果您希望開發群組可以存取 `10.0.2.119/32`,則需新增授予開發團隊存取 `10.0.2.119/32` 的額外規則。
### 重疊 CIDR (相同群組)
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
| 提供管理員群組存取開發 VPC 中的單一主機 | S-xxxxx16 | False | 10.0.2.119/32 |
| 提供工程群組存取內部部署網路中較小的子網路 | S-xxxxx14 | False | 172.16.0.128/25 |
**產生行為**
+ 開發群組可以存取 `10.0.0.0/16`,*除了*單一主機 `10.0.2.119/32`。
+ 管理員群組可以存取公有網際網路 `192.168.0.0/24` 以及 `10.0.0.0/16` 網路內的單一主機 (`10.0.2.119/32`),但無法存取 `172.16.0.0/24` 或 `10.0.0.0/16` 網路中的其餘主機。
+ 工程群組可存取 `172.16.0.0/24`,包括更明確的子網路 `172.16.0.128/25`。
### 其他 0.0.0.0/0 規則
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
| 提供管理員群組存取開發 VPC 中的單一主機 | S-xxxxx16 | False | 10.0.2.119/32 |
| 提供工程群組存取內部部署網路中較小的子網路 | S-xxxxx14 | False | 172.16.0.128/25 |
| 提供工程群組存取任何目的地 | S-xxxxx14 | False | 0.0.0.0/0 |
**產生行為**
+ 開發群組可以存取 `10.0.0.0/16`,*除了*單一主機 `10.0.2.119/32`。
+ 管理員群組可以存取公有網際網路 `192.168.0.0/24` 以及 `10.0.0.0/16` 網路內的單一主機 (`10.0.2.119/32`),但無法存取 `172.16.0.0/24` 或 `10.0.0.0/16` 網路中的其餘主機。
+ 工程群組可以存取公有網際網路 `192.168.0.0/24` 以及 `172.16.0.0/24`,包括更明確的子網路 `172.16.0.128/25`。
**注意**
請注意,工程和管理員群組現在都可以存取 `192.168.0.0/24`。這是因為兩個群組都可以存取 `0.0.0.0/0` (任何目的地) *且*沒有其他規則正在參考 `192.168.0.0/24`。
### 新增 192.168.0.0/24 的規則
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
| 提供管理員群組存取開發 VPC 中的單一主機 | S-xxxxx16 | False | 10.0.2.119/32 |
| 提供工程群組存取內部部署網路中的子網路 | S-xxxxx14 | False | 172.16.0.128/25 |
| 提供工程群組存取任何目的地 | S-xxxxx14 | False | 0.0.0.0/0 |
| 提供管理員群組存取 Client VPN VPC | S-xxxxx16 | False | 192.168.0.0/24 |
**產生行為**
+ 開發群組可以存取 `10.0.0.0/16`,*除了*單一主機 `10.0.2.119/32`。
+ 管理員群組可以存取公有網際網路 `192.168.0.0/24` 以及 `10.0.0.0/16` 網路內的單一主機 (`10.0.2.119/32`),但無法存取 `172.16.0.0/24` 或 `10.0.0.0/16` 網路中的其餘主機。
+ 工程組可以存取公有網際網路 `172.16.0.0/24` 以及 `172.16.0.128/25`。
**注意**
請注意,為管理員群組新增存取 `192.168.0.0/24` 的規則如何導致開發群組不再具有該目的地網路的存取權限。
### SAML 聯合身分驗證
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | 工程設計 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | 開發人員 | False | 10.0.0.0/16 |
| 提供管理員群組存取 Client VPN VPC | 管理員 | False | 192.168.0.0/24 |
**產生行為**
+ 使用「工程」群組屬性透過 SAML 驗證的使用者只能存取 `172.16.0.0/24`。
+ 使用「開發人員」群組屬性透過 SAML 驗證的使用者只能存取 `10.0.0.0/16`。
+ 使用「Managers」群組屬性透過 SAML 驗證的使用者只能存取 `192.168.0.0/24`。
+ 所有其他流量都會由 Client VPN 端點捨棄。
**注意**
使用 SAML 聯合身分驗證時,群組 ID 欄位會對應至識別使用者群組成員資格的 SAML 屬性值。此屬性是在 SAML 身分提供者中設定,並在身分驗證期間傳遞給 Client VPN。
### 所有使用者群組的存取權
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
| --- | --- | --- | --- |
| 提供工程群組存取內部部署網路 | S-xxxxx14 | False | 172.16.0.0/24 |
| 提供開發群組存取開發 VPC | S-xxxxx15 | False | 10.0.0.0/16 |
| 提供管理員群組存取任何目的地 | S-xxxxx16 | False | 0.0.0.0/0 |
| 提供管理員群組存取開發 VPC 中的單一主機 | S-xxxxx16 | False | 10.0.2.119/32 |
| 提供工程群組存取內部部署網路中的子網路 | S-xxxxx14 | False | 172.16.0.128/25 |
| 提供工程群組存取所有網路 | S-xxxxx14 | False | 0.0.0.0/0 |
| 提供管理員群組存取 Client VPN VPC | S-xxxxx16 | False | 192.168.0.0/24 |
| 提供所有群組的存取權 | N/A | True | 0.0.0.0/0 |
**產生行為**
+ 開發群組可以存取 `10.0.0.0/16`,*除了*單一主機 `10.0.2.119/32`。
+ 管理員群組可以存取公有網際網路 `192.168.0.0/24` 以及 `10.0.0.0/16` 網路內的單一主機 (`10.0.2.119/32`),但無法存取 `172.16.0.0/24` 或 `10.0.0.0/16` 網路中的其餘主機。
+ 工程組可以存取公有網際網路 `172.16.0.0/24` 以及 `172.16.0.128/25`。
+ 任何其他使用者群組 (例如「admin group」) 都可以存取公有網際網路,但不能存取其他規則中定義的任何其他目的地網路。
# 將授權規則新增至 AWS Client VPN 端點
您可以使用 新增授權規則,以授予或限制對 Client VPN 端點的存取 AWS 管理主控台。您可以使用 Amazon VPC 主控台或使用命令列或 API 將授權規則新增至 Client VPN 端點。
**使用 將授權規則新增至 Client VPN 端點 AWS 管理主控台**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要新增授權規則的 Client VPN 端點,選擇 **Authorization rules** (授權規則),然後選擇 **Add authorization rule** (新增授權規則)。
1. 對於 **Destination network to enable access** (要啟用存取權限的目的地網路),請以 CIDR 標記法輸入您希望使用者存取的網路 IP 地址 (例如 VPC 的 CIDR 區塊)。
1. 指定允許哪些用戶端存取指定的網路。對於 **For grant access to** (將存取權授與),請執行以下其中一項:
+ 若准許所有用戶端存取,請選擇 **Allow access to all users** (允許所有使用者存取)。
+ 若要限制特定用戶端的存取權,請選擇 **Allow access to users in a specific access group** (允許特定存取群組中使用者的存取權),然後在 **Access group ID** (存取群組 ID)中,輸入要授與存取權的群組 ID。例如,Active Directory 群組的安全性識別符 (SID),或在 SAML 型身分提供者 (IdP) 中定義的群組 ID/名稱。
+ (Active Directory) 若要取得 SID,您可以使用 Microsoft Powershell [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet,例如:
```
Get-ADGroup -Filter 'Name -eq ""'
```
或者,開啟 Active Directory 使用者和電腦工具,檢視群組的內容,移至「屬性編輯器」索引標籤,然後取得 `objectSID` 的值。如有必要,請先選擇**檢視**、**進階功能**以啟用「屬性編輯器」標籤。
+ (SAML 型聯合身分驗證) 群組 ID/名稱應與 SAML 聲明中傳回的群組屬性資訊相符。
1. 對於 **Description** (描述),輸入授權規則的簡短描述。
1. 選擇 **Add authorization rule** (新增授權規則)。
**將授權規則新增至用戶端 VPN 端點 (AWS CLI)**
使用 [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 命令。
# 從 AWS Client VPN 端點移除授權規則
您可以使用 主控台和 移除特定 Client VPN 端點的授權規則 AWS CLI。
**移除授權規則 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取新增授權規則的 Client VPN 端點,然後選擇**授權規則**。
1. 選取要刪除的授權規則,選擇**移除授權規則**,然後再次選擇**移除授權規則**以確認刪除。
**移除授權規則 (AWS CLI)**
使用 [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html) 命令。
# 檢視 AWS Client VPN 授權規則
您可以使用主控台和 AWS CLI檢視特定 Client VPN 端點的授權規則。
**檢視授權規則 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要檢視授權規則的 Client VPN 端點,然後選擇 **Authorization rules** (授權規則)。
**檢視授權規則 (AWS CLI)**
使用 [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html) 命令。
# AWS Client VPN 用戶端憑證撤銷清單
Client VPN 用戶端憑證撤銷清單用於撤銷對特定用戶端憑證之 Client VPN 端點的存取權。您可以產生撤銷清單或匯入現有的清單。您也可以匯出撤銷清單檔案的目前清單。在 Linux/macOS 或 Windows 上使用 OpenVPN 軟體來產生清單。匯入和匯出可以使用 Amazon VPC 主控台或使用 AWS CLI 來完成。
如需有關產生伺服器和用戶端憑證及金鑰的詳細資訊,請參閱[中的相互身分驗證 AWS Client VPN](mutual.md)
**注意**
如果用戶端憑證撤銷清單已過期,您就無法連線至 Client VPN 端點。您需要建立新的 ,並將其匯入 Client VPN 端點。
您只能將有限數量的項目新增至用戶端憑證撤銷清單。如需可新增至撤銷清單的項目數量詳細資訊,請參閱 [Client VPN 配額](limits.md#quotas-endpoints)。
**Topics**
+ [產生用戶端憑證撤銷清單](cvpn-working-certificates-generate.md)
+ [匯入用戶端憑證撤銷清單](cvpn-working-certificates-import.md)
+ [匯出用戶端憑證撤銷清單](cvpn-working-certificates-export.md)
# 產生 AWS Client VPN 用戶端憑證撤銷清單
您可以在 Linux/macOS 或 Windows 作業系統上產生 Client VPN 憑證撤銷清單。撤銷清單用於撤銷對特定憑證之 Client VPN 端點的存取權。如需用戶端憑證撤銷清單的詳細資訊,請參閱 [用戶端憑證撤銷清單](cvpn-working-certificates.md)。
------
#### [ Linux/macOS ]
在下列程序中,您可以使用 OpenVPN easy-rsa 命令列公用程式產生用戶端憑證撤銷清單。
**使用 OpenVPN easy-rsa 產生用戶端憑證撤銷清單**
1. 登入託管用於產生憑證之 easyrsa 安裝的伺服器。
1. 導覽到本機儲存庫中的 `easy-rsa/easyrsa3` 資料夾。
```
$ cd easy-rsa/easyrsa3
```
1. 撤銷用戶端憑證並產生用戶端撤銷清單。
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
出現提示`yes`時輸入 。
------
#### [ Windows ]
下列程序會使用 OpenVPN 軟體來產生用戶端撤銷清單。它假設您遵循[使用 OpenVPN 軟體的步驟](mutual.md)來產生用戶端和伺服器憑證和金鑰。
**使用 EasyRSA 版本 3.x.x 產生用戶端憑證撤銷清單**
1. 開啟命令提示並巡覽至 EasyRSA-3.x.x 目錄,此目錄為在您的系統上安裝的位置。
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
1. 執行 `EasyRSA-Start.bat` 檔案以啟動 EasyRSA shell。
```
C:\> .\EasyRSA-Start.bat
```
1. 在 EasyRSA shell 中,撤銷用戶端憑證。
```
# ./easyrsa revoke client_certificate_name
```
1. 出現提示`yes`時輸入 。
1. 產生用戶端撤銷清單。
```
# ./easyrsa gen-crl
```
1. 系統會在下列位置建立用戶端撤銷清單:
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```
**使用 EasyRSA 版本產生用戶端憑證撤銷清單**
1. 開啟命令提示,然後導覽至 OpenVPN 目錄。
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
1. 執行 `vars.bat` 檔案。
```
C:\> vars
```
1. 撤銷用戶端憑證並產生用戶端撤銷清單。
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```
------
# 匯入 AWS Client VPN 用戶端憑證撤銷清單
您必須擁有要匯入的 Client VPN 用戶端憑證撤銷清單檔案。如需有關產生用戶端憑證撤銷清單的詳細資訊,請參閱[產生 AWS Client VPN 用戶端憑證撤銷清單](cvpn-working-certificates-generate.md)。
您可以使用主控台和 AWS CLI來匯入用戶端憑證撤銷清單。
**匯入用戶端憑證撤銷清單 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要匯入用戶端憑證撤銷清單的 Client VPN 端點。
1. 選擇 **Actions (動作)**,然後選擇 **Import Client Certificate CRL (匯入用戶端憑證 CRL)**。
1. 對於 **Certificate Revocation List** (憑證撤銷清單),輸入用戶端憑證撤銷清單檔案的內容,然後選擇 **Import client certificate CRL** (匯入用戶端憑證 CRL)。
**匯入用戶端憑證撤銷清單 (AWS CLI)**
使用 [import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) 命令。
```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```
# 匯出 AWS Client VPN 用戶端憑證撤銷清單
您可以使用 主控台和 匯出 Client VPN 用戶端憑證撤銷清單 AWS CLI。
**匯出用戶端憑證撤銷清單 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要匯出用戶端憑證撤銷清單的 Client VPN 端點。
1. 選擇 **Actions** (動作),選擇 **Export Client Certificate CRL** (匯出用戶端憑證 CRL),然後選擇 **Export Client Certificate CRL** (匯出用戶端憑證 CRL)。
**匯出用戶端憑證撤銷 (AWS CLI)**
使用 [export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) 命令。
# AWS Client VPN 用戶端連線
AWS Client VPN 連線是用戶端針對特定 Client VPN 端點建立的作用中 VPN 工作階段,以及該端點在過去 60 分鐘內終止的連線。用戶端成功連線到 Client VPN 端點時,即表示已建立連線。終止工作階段會結束用戶端與 Client VPN 端點的連線。
您可以檢視和終止 Client VPN 連線。檢視連線資訊會傳回資訊,例如從用戶端 CIDR 區塊範圍指派的 IP 地址、端點 ID 和時間戳記。終止工作階段會結束與端點的指定 VPN 連線。您可以使用 Amazon VPC 主控台或 AWS CLI 檢視和終止工作階段。如果您無法連線至端點,且根據錯誤,請參閱 [故障診斷 AWS Client VPN](troubleshooting.md) 以取得解決問題的步驟。
**Topics**
+ [查看用戶端連線](cvpn-working-connections-view.md)
+ [終止用戶端連線](cvpn-working-connections-disassociate.md)
# 檢視 AWS Client VPN 用戶端連線
您可以使用 Amazon VPC 主控台或 CLI 檢視作用中的 AWS Client VPN 連線。
**檢視 Client VPN 用戶端連線 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要檢視用戶端連線的 Client VPN 端點。
1. 選擇 **Connections (連線)** 索引標籤。**Connections (連線)** 索引標籤列出所有作用中和已終止的用戶端連線。
**檢視 Client VPN 用戶端連線 (AWS CLI)**
使用 [describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html) 命令。
# 終止 AWS Client VPN 用戶端連線
您可以使用 Amazon VPC 主控台或 CLI 終止 Client VPN AWS 用戶端連線。
**終止 Client VPN 用戶端連線 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取用戶端連線的 Client VPN 端點,然後選擇**連線**。
1. 選取要終止的連線,選擇**終止連線**,然後再次選擇**終止連線**以確認終止。
**終止 Client VPN 用戶端連線 (AWS CLI)**
使用 [terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html) 命令。
# AWS Client VPN 用戶端登入橫幅
AWS Client VPN 提供在建立 VPN 工作階段時,在 AWS 提供的 Client VPN 桌面應用程式上顯示文字橫幅的選項。您可以定義文字橫幅的內容來滿足法規與合規的需求。最多可使用 1400 個 UTF-8 編碼字元。
**注意**
啟用了用戶端登入橫幅後,橫幅僅會顯示在新建立的 VPN 工作階段上。現有 VPN 工作階段不會中斷,但此橫幅會在重新建立現有工作階段時顯示。
## 橫幅建立
最初會在建立 Client VPN 端點期間建立和啟用登入橫幅。如需在建立 Client VPN 端點期間啟用用戶端登入橫幅的步驟,請參閱 [建立AWS Client VPN端點](cvpn-working-endpoint-create.md)。
**Topics**
+ [橫幅建立](#configure-login-banner-endpoint-creation)
+ [設定現有端點的用戶端登入橫幅](configure-login-banner-existing-endpoint.md)
+ [停用端點的用戶端登入橫幅](disable-login-banner.md)
+ [修改現有的橫幅文字](modify-banner-text.md)
+ [檢視目前設定的登入橫幅](display-login-banner.md)
# 設定現有 AWS Client VPN 端點的用戶端登入橫幅
使用下列步驟,設定現有 Client VPN 端點的用戶端登入橫幅。
**啟用 Client VPN 端點 (主控台) 上的用戶端登入橫幅**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要修改的 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 向下捲動頁面到 **Other parameters** (其他參數) 區段。
1. 開啟 **Enable client login banner** (啟用用户端登入橫幅)。
1. 針對**用戶端登入橫幅文字**,輸入在建立 VPN 工作階段時,將在 AWS 所提供用戶端上橫幅中顯示的文字。僅限使用 UTF-8 編碼字元,最多允許 1400 個字元。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**啟用 Client VPN 端點 (AWS CLI) 上的用戶端登入橫幅**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
# 停用現有 AWS Client VPN 端點的用戶端登入橫幅
使用下列步驟,停用現有 Client VPN 端點的用戶端登入橫幅。
**停用 Client VPN 端點 (主控台) 上的用戶端登入橫幅**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要修改的 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 向下捲動頁面到 **Other parameters** (其他參數) 區段。
1. 關閉 **Enable client login banner?** (啟用用戶端登入橫幅?)。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**停用 Client VPN 端點 (AWS CLI) 上的用戶端登入橫幅**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
# 修改 AWS Client VPN 端點上現有的橫幅文字
使用下列步驟修改 Client VPN 用戶端登入橫幅上的現有文字。
**修改 Client VPN 端點 (主控台) 上的現有橫幅文字**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要修改的 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 對於 **Enable client login banner?** (啟用用戶端登入橫幅?),驗證它是否已開啟。
1. 對於**用戶端登入橫幅文字**,在建立 VPN 工作階段時,將現有文字取代為要在 AWS 所提供用戶端的橫幅中顯示的新文字。僅限使用 UTF-8 編碼字元,上限為 1400 個字元。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**修改 Client VPN 端點 (AWS CLI) 上的用戶端登入橫幅**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
# 檢視目前設定的 AWS Client VPN 登入橫幅
使用下列步驟來檢視目前設定的 Client VPN 用戶端登入橫幅。
**檢視 Client VPN 端點 (主控台) 的目前登入橫幅**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要檢視的 Client VPN 端點。
1. 請確認選取了 **Details** (詳細資訊) 索引標籤。
1. 檢視 **Client login banner text** (用戶端登入橫幅文字) 旁目前設定的登入橫幅文字。
**檢視 Client VPN 端點 (AWS CLI) 目前設定的登入橫幅**
使用 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 命令。
# AWS Client VPN 用戶端路由強制執行
Client Route Enforcement 有助於在透過 VPN 連線的裝置上強制執行管理員定義的路由。此功能可確保來自連線用戶端的網路流量不會不小心傳送到 VPN 通道之外,以協助改善您的安全狀態。
Client Route Enforcement 會監控連線裝置的主要路由表,並根據用戶端 VPN 端點中設定的網路路由,確保傳出網路流量流向 VPN 通道。這包括在偵測到與 VPN 通道衝突的路由時修改裝置上的路由表。用戶端路由強制執行同時支援 IPv4 和 IPv6 地址系列。
## 要求
Client Route Enforcement 僅適用於下列 AWS 提供的 Client VPN 版本:
+ Windows 5.2.0 版或更新版本 (IPv4 支援)
+ macOS 5.2.0 版或更新版本 (IPv4 支援)
+ Ubuntu 5.2.0 版或更新版本 (IPv4 支援)
+ Windows 5.3.0 版或更新版本 (IPv6 支援)
+ macOS 5.3.0 版或更新版本 (IPv6 支援)
+ Ubuntu 5.3.0 版或更新版本 (IPv6 支援)
對於雙堆疊端點,用戶端路由強制執行設定會同時套用至 IPv4 和 IPv6 堆疊。您只能為一個堆疊啟用用戶端路由強制執行。
## 路由衝突
當用戶端連線至 VPN 時,會在用戶端的本機路由表和端點的網路路由之間進行比較。如果兩個路由表項目之間的網路重疊,則會發生路由衝突。重疊網路的範例如下:
+ `172.31.0.0/16`
+ `172.31.1.0/24`
在此範例中,這些 CIDR 區塊構成路由衝突。例如, `172.31.0.0/16` 可能是 VPN 通道 CIDR。由於 `172.31.1.0/24` 具有較長的字首,因此更為具體,因此通常會優先考慮並可能將 `172.31.1.0/24` IP 範圍內的 VPN 流量重新導向至另一個目的地。這可能會導致意外的路由行為。不過,啟用用戶端路由強制執行時,會移除後者 CIDR。使用此功能時,應考慮潛在的路由衝突。
完整通道 VPN 連接會透過 VPN 連接引導所有網路流量。因此,如果啟用 Client Route Enforcement 功能,連線至 VPN 的裝置將無法存取本機網路 (LAN) 資源。如果需要本機 LAN 存取,請考慮使用分割通道模式,而非完整通道模式。如需分割通道的詳細資訊,請參閱 [分割通道 Client VPN](split-tunnel-vpn.md)。
## 考量事項
啟用用戶端路由強制執行之前,應考慮以下資訊。
+ 在連線時,如果偵測到路由衝突,此功能會更新用戶端的路由表,將流量導向 VPN 通道。建立連線之前已存在且由此功能刪除的路由將會還原。
+ 此功能僅在主要路由表上強制執行,不適用於其他路由機制。例如,強制執行不會套用至下列項目:
+ 政策型路由
+ 介面範圍路由
+ Client Route Enforcement 會在 VPN 通道開啟時保護它。通道中斷連線後或用戶端重新連線時,不會提供任何保護。
### OpenVPN 指令對雲端路由強制執行的影響
OpenVPN 組態檔案中的某些自訂指令與 Client Route Enforcement 有特定的互動:
+ `route` 指令
+ 將路由新增至 VPN 閘道時。例如,將路由新增至 VPN `192.168.100.0 255.255.255.0` 閘道。
新增至 VPN 閘道的路由會受到用戶端路由強制執行的監控,類似於任何其他 VPN 路由。其中的任何衝突路由都會被偵測並移除。
+ 新增路由至非 VPN 閘道時。例如,新增路由 `192.168.200.0 255.255.255.0 net_gateway`。
新增至非 VPN 閘道的路由會因繞過 VPN 通道而從用戶端路由強制執行中排除。其中允許衝突路由。在此範例中,用戶端路由強制執行會將路由上方排除在監控之外。
+ 與 IPv4 路由類似,新增至 VPN 閘道的 IPv6 路由會受到用戶端路由強制執行的監控,而新增至非 VPN 閘道的路由會排除在監控之外。
### 忽略的路由
用戶端路由強制執行會忽略下列 IPv4 網路的路由:
+ `127.0.0.0/8` — 預留給本機主機
+ `169.254.0.0/16` — 預留給 link-local 地址
+ `224.0.0.0/4` — 預留給多點傳送
+ `255.255.255.255/32` — 預留廣播
用戶端路由強制執行會忽略下列 IPv6 網路的路由:
+ `::1/128` — 預留給迴路
+ `fe80::/10` — 預留給 link-local 地址
+ `ff00::/8` — 預留給多點傳送
**Topics**
+ [要求](#requirements-cre)
+ [路由衝突](#route-conflict-cre)
+ [考量事項](#considerations-cre)
+ [啟用用戶端路由強制執行](activate-cre.md)
+ [停用用戶端路由強制執行](deactivate-cre.md)
+ [疑難排解 IPv6 用戶端路由強制執行](cre-ipv6-troubleshooting.md)
# 啟用 AWS Client VPN 端點的用戶端路由強制執行
您可以使用 主控台或 在現有的 Client VPN 端點上啟用 Client Route Enforcement AWS CLI。
**使用主控台啟用用戶端路由強制執行**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選擇您要修改的 Client VPN 端點,選擇**動作**,然後選擇**修改 Client VPN 端點**。
1. 向下捲動頁面到 **Other parameters** (其他參數) 區段。
1. 開啟**用戶端路由強制執行**。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**使用 啟用用戶端路由強制執行 AWS CLI)**
+ 使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
# 從 AWS Client VPN 端點停用用戶端路由強制執行
您可以使用 主控台或 在 Client VPN 端點上停用 Client Route Enforcement AWS CLI。
**使用主控台停用用戶端路由強制執行**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選擇您要修改的 Client VPN 端點,選擇**動作**,然後選擇**修改 Client VPN 端點**。
1. 向下捲動頁面到 **Other parameters** (其他參數) 區段。
1. 關閉**用戶端路由強制執行**。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**使用 停用用戶端路由強制執行 AWS CLI**
+ 使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
# 疑難排解 IPv6 用戶端路由強制執行
如果您遇到 IPv6 用戶端路由強制執行的問題,請考慮下列疑難排解步驟:
驗證用戶端版本
確保您使用的是 AWS VPN Client 5.3.0 版或更新版本,這是 IPv6 Client Route Enforcement 支援的必要項目。
檢查端點組態
確認端點已啟用用戶端路由強制執行,並已針對 IPv6 或雙堆疊流量進行設定。
檢查用戶端日誌
檢閱 AWS VPN 用戶端日誌是否有任何與 IPv6 用戶端路由強制執行相關的錯誤訊息。尋找包含「IPv6」和「用戶端路由強制執行」或「CRM」的項目。
檢查路由表
為您的作業系統使用適當的命令來檢視 IPv6 路由表:
+ Windows:`netsh interface ipv6 show route`
+ macOS:`netstat -rn -f inet6`
+ Linux:`ip -6 route`
檢查是否有衝突的路由
尋找可能與 VPN 路由衝突的任何 IPv6 路由。請特別注意具有相同目的地但不同閘道的路由。
驗證 ISP IPv6 支援
確保您的網際網路服務提供者 (ISP) 正確支援 IPv6。
如果您在嘗試這些疑難排解步驟後仍遇到 IPv6 用戶端路由強制執行的問題,請聯絡 AWS Support 以取得進一步協助。
# AWS Client VPN 端點
所有 AWS Client VPN 工作階段都會與 Client VPN 端點建立通訊。您可以管理 Client VPN 端點,以建立、修改、檢視和刪除具有該端點的用戶端 VPN 工作階段。您可以使用 Amazon VPC 主控台或使用 CLI 來 AWS 建立和修改端點。
## 建立 Client VPN 端點的需求
**重要**
Client VPN 端點必須在佈建預期目標網路的相同 AWS 帳戶中建立。您還需要產生伺服器憑證,並視需要產生用戶端憑證。如需詳細資訊,請參閱[中的用戶端身分驗證 AWS Client VPN](client-authentication.md)。
開始之前,請務必備妥下列項目:
+ 檢閱[使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md)中的規則和限制。
+ 產生伺服器憑證,並視需要取得用戶端憑證。如需詳細資訊,請參閱[中的用戶端身分驗證 AWS Client VPN](client-authentication.md)。
## IP 地址類型
AWS Client VPN 支援端點連線和流量路由的IPv4-only, IPv6-only 和雙堆疊組態。下列指引可協助您根據您的用戶端裝置功能、網路基礎設施和應用程式需求,選取適當的 IP 地址類型。
### 端點地址類型
端點地址類型會決定您的 Client VPN 端點支援哪些 IP 通訊協定進行用戶端連線。此設定無法在建立端點後變更。
**在以下情況下選擇IPv4-only:**
+ 您的用戶端裝置僅支援 IPv4 VPN 連線
+ 您的安全工具已針對 IPv4 流量檢查進行最佳化
**在以下情況下選擇IPv6-only:**
+ 所有用戶端裝置完全支援 IPv6 連線
+ 您位於 IPv4 地址耗盡的網路中
**在下列情況下選擇雙堆疊:**
+ 您混合了具有不同 IP 功能的用戶端裝置
+ 您正在逐漸從 IPv4 轉換到 IPv6
### 流量 IP 地址類型
流量 IP 地址類型控制 Client VPN 如何在用戶端和 VPC 資源之間路由流量,而不受端點支援的通訊協定影響。
**在下列情況下,將流量路由為 IPv4:**
+ VPC 中的目標應用程式僅支援 IPv4
+ 您有複雜的 IPv4 安全群組和網路 ACLs
+ 您正在連線至舊版系統
**在下列情況下,將流量路由為 IPv6:**
+ 您的 VPC 基礎設施主要是 IPv6
+ 您想要面向未來的網路架構
+ 您已為 IPv6 建置現代應用程式
## 端點修改
**注意**
使用快速入門設定建立的 Client VPN 端點可以使用與標準設定建立的端點相同的程序進行修改。無論建立期間使用的設定方法為何,所有組態選項都可使用。
建立 Client VPN 之後,您就可以修改下列任一設定:
+ 描述
+ 伺服器憑證
+ 用戶端連線日誌記錄選項
+ 用戶端連線處理常式選項
+ DNS 伺服器
+ 分割通道選項
+ 路由 (使用分割通道選項時)
+ 憑證撤銷清單 (CRL)
+ 授權規則
+ VPC 和安全群組關聯
+ VPN 連接埠號碼
+ 自助式入口網站選項
+ 最長 VPN 工作階段持續時間
+ 啟用或停用工作階段逾時時自動重新連線
+ 啟用或停用用戶端登入橫幅文字
+ 用戶端登入橫幅文字
**注意**
對 Client VPN 端點進行的修改,包括憑證撤銷清單 (CRL) 變更在內,將於 Client VPN 服務接受要求後的 4 小時內生效。
在建立 Client VPN 端點之後,您即無法修改用戶端 IPv4 CIDR 範圍、驗證選項、用戶端憑證或傳輸協定。
當您修改 Client VPN 端點上的下列參數時,連線會重設:
+ 伺服器憑證
+ DNS 伺服器
+ 分割通道選項 (開啟或關閉支援)
+ 路由 (當您使用分割通道選項時)
+ 憑證撤銷清單 (CRL)
+ 授權規則
+ VPN 連接埠號碼
**Topics**
+ [建立 Client VPN 端點的需求](#cvpn-working-create-req)
+ [IP 地址類型](#cvpn-ip-address-types)
+ [端點修改](#cvpn-endpoints-modify-req)
+ [建立端點](cvpn-working-endpoint-create.md)
+ [檢視 端點](cvpn-working-endpoint-view.md)
+ [修改端點](cvpn-working-endpoint-modify.md)
+ [刪除端點](cvpn-working-endpoint-delete.md)
# 建立AWS Client VPN端點
建立AWS Client VPN端點,讓您的用戶端能夠使用 Amazon VPC 主控台或 建立 VPN 工作階段AWS CLI。Client VPN 在初始建立期間支援端點類型 (分割通道和完整通道) 與流量類型 (IPv4、IPv6 和雙堆疊) 的所有組合。
建立端點之前,請先熟悉需求。如需詳細資訊,請參閱[建立 Client VPN 端點的需求](cvpn-working-endpoints.md#cvpn-working-create-req)。
**使用主控台建立 Client VPN 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints (Client VPN 端點)**,然後選擇 **Create Client VPN Endpoint (建立 Client VPN 端點)**。
1. 在「選擇設定方法」下,選取下列其中一項:
+ Quickstart - 使用 AWS 建議的預設值建立端點
+ 標準 - 手動設定端點的所有設定
**快速入門設定:**
1. 對於「選擇設定方法」,選取快速入門。
1. 對於「用戶端 IPv4 CIDR」,輸入要從中指派用戶端 IP 地址的 IP 地址範圍。AWS 建議使用 /22 CIDR 區塊 (例如 10.0.0.0/22)。
1. 對於「VPC」,選取要與 Client VPN 端點建立關聯的 VPC。
1. 針對「子網路」,選取 VPC 中的一或多個子網路。這些子網路將用於目標網路關聯。
1. 對於 Server certificate ARN (伺服器憑證 ARN),指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。
1. 選擇「建立 Client VPN 端點」。
AWS 會自動建立下列資源:
+ 允許所有使用者存取 VPC CIDR 的授權規則
+ 與所選 VPC 子網路的目標網路關聯
+ VPC CIDR 的路由表項目
建立端點之後,您可以從端點詳細資訊頁面下載用戶端組態檔案,並將其與用戶端憑證和金鑰一起分發給您的使用者。
**標準設定:**
1. 對於「選擇設定方法」,選取標準。
1. (選用) 提供 Client VPN 端點的名稱標籤和說明。
1. 針對**端點 IP 地址類型**,選擇端點的 IP 地址類型:
+ **IPv4**:端點使用外部 VPN 通道流量的 IPv4 地址。
+ **IPv6**:端點使用外部 VPN 通道流量的 IPv6 地址。
+ **雙堆疊**:端點會將 IPv4 和 IPv6 地址用於外部 VPN 通道流量。
1. 針對**流量 IP 地址類型**,選擇流經端點的流量 IP 地址類型:
+ **IPv4**:端點僅支援 IPv4 流量。
+ **IPv6**:端點僅支援 IPv6 流量。
+ **雙堆疊**:端點支援 IPv4 和 IPv6 流量。
1. 對於 **Client IPv4 CIDR (用戶端 IPv4 CIDR)**,以 CIDR 標記法指定 IP 地址範圍,以從中指派用戶端 IP 地址。例如,`10.0.0.0/22`。如果您為流量 IP 地址類型選取 IPv4 或雙堆疊,則此為必要項目。
**注意**
IP 地址範圍不可以與目標網路或任何將與 Client VPN 端點建立關聯的路由重疊。用户端地址範圍必須至少為 /22 且不大於 /12 CIDR 區塊大小。建立 Client VPN 端點後,您無法變更用戶端地址範圍。
當您選取 IPv6 做為端點 IP 地址類型時,用戶端 IPv4 CIDR 欄位會停用。Client VPN 端點會從關聯的子網路配置用戶端 IPv6 地址,而且您可以在建立端點之後關聯子網路。
**注意**
對於 IPv6 流量,您不需要指定用戶端 CIDR 範圍。Amazon 會自動為用戶端指派 IPv6 CIDR 範圍。
1. 對於 **Server certificate ARN** (伺服器憑證 ARN),指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。
**注意**
在您建立 Client VPN 端點的區域中,伺服器憑證必須位於AWS Certificate Manager(ACM) 中。憑證可以使用 ACM 佈建,也可以匯入至 ACM。
如需佈建憑證或將憑證匯入 ACM 的步驟,請參閱*AWS Certificate Manager《 使用者指南*》中的[AWS Certificate Manager憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。
1. 指定當用戶端建立 VPN 連接時,用來驗證用戶端的身分驗證方法。您必須選取身分驗證方法。
+ 若要使用使用者型身分驗證,請選取 **Use user-based authentication** (使用使用者型身分驗證),然後選擇下列其中一項:
+ **Active Directory authentication** (Active Directory 身分驗證):為 Active Directory 身分驗證選擇此選項。針對 **Directory ID** (目錄 ID),指定要使用的 Active Directory ID。
+ **Federated authentication** (聯合身分驗證):為 SAML 型聯合身分驗證選擇此選項。
若為 **SAML provider ARN** (SAML 提供者 ARN),請指定 IAM SAML 身分提供者的 ARN。
(選用) 在 **Self-service SAML provider ARN** (自助式 SAML 提供者 ARN)中指定您為[支援自助式入口網站](federated-authentication.md#saml-self-service-support)所建立之 IAM SAML 身分提供者的 ARN (如果適用)。
+ 若要使用交互憑證驗證,請選取**使用交互驗證**,然後在**用戶端憑證 ARN** 中指定佈建於AWS Certificate Manager(ACM) 的用戶端憑證 ARN。
**注意**
如果伺服器和用戶端憑證是由同一家憑證授權機構 (CA) 所發行,則您可同時為伺服器和用戶端使用伺服器憑證 ARN。如果用戶端憑證是由不同的 CA 發出,則應該指定用戶端憑證 ARN。
1. (選用) 對於 **Connection logging** (連線日誌記錄),指定是否使用 Amazon CloudWatch Logs 記錄有關用戶端連線的資料。開啟 **Enable log details on client connections** (啟用用户端連線的日誌詳細資訊)。針對 **CloudWatch Logs log group name** (CloudWatch Logs 日誌群組名稱),請輸入要使用的日誌群組名稱。針對 **CloudWatch Logs log stream name** (CloudWatch Logs 日誌串流名稱),請輸入要使用的日誌串流名稱,或將此選項留白,讓我們為您建立日誌串流。
1. (選用) 對於 **Client Connect Handler** (用戶端連線處理常式),開啟 **Enable client connect handler** (啟用用戶端連線處理常式) 以執行自訂程式碼,允許或拒絕新的 Client VPN 端點連線。在 **Client Connect Handler ARN** (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN),此函數包含允許或拒絕連線的邏輯。
1. (選用) 指定哪些 DNS 伺服器要用於 DNS 解析。若要使用自訂 DNS 伺服器,請針對 **DNS 伺服器 1 IP 地址**和 **DNS 伺服器 2 IP 地址**,指定要使用的 DNS 伺服器的 IPv4 地址。對於 IPv6 或雙堆疊端點,您也可以指定 **DNS Server IPv6 1** 和 **DNS Server IPv6 2** 地址。若要使用 VPC DNS 伺服器,對於 **DNS Server 1 IP address** (DNS 伺服器 1 IP 地址)或 **DNS Server 2 IP address** (DNS 伺服器 2 IP 地址),請指定 IP 地址,並新增 VPC DNS 伺服器 IP 地址。
**注意**
請確定用戶端可以觸達 DNS 伺服器。
1. (選用) 根據預設,Client VPN 端點會使用 `UDP` 傳輸協定。若要改用 `TCP` 傳輸通訊協定,對於 **Transport Protocol** (傳輸通訊協定),請選擇 **TCP**。
**注意**
UDP 的效能通常比 TCP 更好。建立 Client VPN 端點之後,即無法變更傳輸協定。
1. (選用) 若要讓端點成為分割通道 Client VPN 端點,請開啟 **Enable split-tunnel** (啟用分割通道)。根據預設,Client VPN 端點上的分割通道會停用。
1. (選用) 請為 **VPC ID** 選擇要與 Client VPN 端點建立關聯的 VPC。**Security Group IDs** (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。
1. (選用) 對於 **VPN port** (VPN 連接埠),請選擇 VPN 連接埠號碼。預設為 443。
1. (選用) 若要產生用戶端的[自助式入口網站 URL](cvpn-self-service-portal.md),請選擇 **Enable self-service portal** (啟用自助式入口網站)。
1. (選用) 對於 **Session timeout hours** (工作階段逾時時數),從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位),或保留設定為預設的 24 小時。
1. (選用) 對於**工作階段逾時時中斷**連線,選擇是否要在達到工作階段時間上限時終止工作階段。選擇此選項需要使用者在工作階段逾時時手動重新連線至端點,否則 Client VPN 會自動嘗試重新連線。
1. (選用) 指定是否啟用用戶端登入橫幅文字。開啟 **Enable client login banner** (啟用用户端登入橫幅)。對於 **Client Login Banner Text** (用戶端登入橫幅文字),輸入當系統建立了 VPN 工作階段時,會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。
1. 選擇 **Create Client VPN Endpoint** (建立 Client VPN 端點)。
建立 Client VPN 端點之後,請執行下列動作以完成組態並讓用戶端連線:
+ Client VPN 端點的初始狀態為 `pending-associate`。只有在您建立第一個[目標網路](cvpn-working-target-associate.md)的關聯後,用戶端才能連線到 Client VPN 端點。
+ 建立[授權規則](cvpn-working-rules.md),以指定哪些用戶端具有網路的存取權。
+ 下載並準備 Client VPN 端點[組態檔案](cvpn-working-endpoint-export.md),以發佈給用戶端。
+ 指示您的用戶端使用AWS提供的用戶端或其他 OpenVPN 型用戶端應用程式來連線至 Client VPN 端點。如需詳細資訊,請參閱[「AWS Client VPN使用者指南」](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)。
**使用 建立 Client VPN 端點AWS CLI**
使用 [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 命令。
建立 IPv4 端點的範例:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
建立 IPv6 端點的範例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
建立雙堆疊端點的範例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# 檢視 AWS Client VPN 端點
您可以使用 Amazon VPC 主控台或 檢視 Client VPN 端點的相關資訊 AWS CLI。
**若要檢視 Client VPN 端點 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要檢視的 Client VPN 端點。
1. 使用 **Details** (詳細資訊)、**Target network associations** (目標網路關聯)、**Security groups** (安全群組)、**Authorization rules** (授權規則)、**Route table** (路由表)、**Connections** (連線) 和 **Tags** (標籤) 標籤來查看有關現有 Client VPN 端點的資訊。
您可以使用篩選條件來協助縮小搜尋範圍。
**若要檢視 Client VPN 端點 (AWS CLI)**
使用 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 命令。
# 修改 AWS Client VPN 端點
您可以使用 Amazon VPC 主控台或 修改 Client VPN 端點 AWS CLI。如需有關您可以修改之 Client VPN 欄位的詳細資訊,請參閱 [端點修改](cvpn-working-endpoints.md#cvpn-endpoints-modify-req)。
## 限制
修改端點時適用下列限制
+ 對 Client VPN 端點進行的修改,包括憑證撤銷清單 (CRL) 變更在內,將於 Client VPN 服務接受要求後的 4 小時內生效。
+ 在建立 Client VPN 端點之後,您即無法修改用戶端 IPv4 CIDR 範圍、驗證選項、用戶端憑證或傳輸協定。
+ 您可以將現有的 IPv4 端點修改為端點 IP 和流量 IP 類型的雙堆疊。如果端點 IP 和流量 IP 只需要 IPv6-only,則必須建立新的端點。
+ Client VPN 不支援在建立後修改端點類型 (IPv4、IPv6、雙堆疊) 或流量類型 (IPv4、IPv6、雙堆疊)。
+ 不支援修改具有端點類型和流量類型之特定組合的 Client VPN。您無法變更為任何其他組合。必須刪除端點,並使用所需的組態重新建立。
+ 不支援 IPv6 流量的Client-to-client通訊。
## 修改 Client VPN 端點
您可以使用 主控台或 修改 Client VPN 端點 AWS CLI。
**使用主控台修改 Client VPN 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要修改的 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 在 **Description** (描述)中輸入 Client VPN 端點的簡短描述。
1. 對於**端點 IP 地址類型**,您可以將現有的 IPv4 端點修改為雙堆疊。此選項僅適用於 IPv4 端點。
1. 對於**流量 IP 地址類型**,您可以將現有的 IPv4 端點修改為雙堆疊。此選項僅適用於 IPv4 端點。
1. 對於 **Server certificate ARN** (伺服器憑證 ARN),指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。
**注意**
在您建立 Client VPN 端點的區域中,伺服器憑證必須位於 AWS Certificate Manager (ACM) 中。憑證可以使用 ACM 佈建,也可以匯入至 ACM。
1. 指定是否使用 Amazon CloudWatch Logs 記錄有關用戶端連線的資料。對於 **Enable log details on client connections** (啟用用戶端連線的日誌詳細資訊),請執行以下其中一項:
+ 若要啟用用户端連線的日誌記錄,請開啟 **Enable log details on client connections** (啟用用户端連線的日誌詳細資訊)。針對 **CloudWatch Logs log group name** (CloudWatch Logs 日誌群組名稱),請選取要使用的日誌群組名稱。對於 **CloudWatch Logs log stream name** (CloudWatch Logs 日誌串流名稱),請選取要使用的日誌串流名稱,或將此選項留白,讓我們為您建立日誌串流。
+ 若要停用用户端連線的日誌記錄,請關閉 **Enable log details on client connections** (啟用用户端連線的日誌詳細資訊)。
1. 對於 **Client connect handler** (Client 連線處理常式),若要啟用 [client connect handler](connection-authorization.md) (用端連線處理常式),請開啟 **Enable client connect handler** (啟用用户端連線處理常式)。在 **Client Connect Handler ARN** (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN),此函數包含允許或拒絕連線的邏輯。
1. 開啟或關閉 **Enable DNS servers** (啟用 DNS 伺服器)。若要使用自訂 DNS 伺服器,請針對 **DNS 伺服器 1 IP 地址**和 **DNS 伺服器 2 IP 地址**,指定要使用的 DNS 伺服器的 IPv4 地址。對於 IPv6 或雙堆疊端點,您也可以指定 **DNS Server IPv6 1** 和 **DNS Server IPv6 2** 地址。若要使用 VPC DNS 伺服器,對於 **DNS Server 1 IP address** (DNS 伺服器 1 IP 地址)或 **DNS Server 2 IP address** (DNS 伺服器 2 IP 地址),請指定 IP 地址,並新增 VPC DNS 伺服器 IP 地址。
**注意**
請確定用戶端可以觸達 DNS 伺服器。
1. 開啟或關閉 **Enable split-tunnel** (啟用分割通道)。根據預設,VPN 端點上的分割通道會關閉。
1. 對於 **VPC ID**,選擇要與 Client VPN 端點關聯的 VPC。**Security Group IDs** (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。
1. 對於 **VPN port** (VPN 連接埠),請選擇 VPN 連接埠號碼。預設為 443。
1. 若要產生用戶端的[自助式入口網站 URL](cvpn-self-service-portal.md),請選擇 **Enable self-service portal** (啟用自助式入口網站)。
1. 對於 **Session timeout hours** (工作階段逾時時數),從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位),或保留設定為預設的 24 小時。
1. 針對**工作階段逾時時中斷**連線,選擇是否要在達到工作階段時間上限時終止工作階段。選擇此選項需要使用者在工作階段逾時時手動重新連線至端點,否則 Client VPN 會自動嘗試重新連線。
1. 開啟或關閉 **Enable client login banner** (啟用用户端登入橫幅)。如果您想要使用用戶端登入橫幅,輸入當系統建立 VPN 工作階段時,會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**使用 修改 Client VPN 端點 AWS CLI**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
將 IPv4 端點修改為雙堆疊的範例:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# 刪除 AWS Client VPN 端點
您必須取消所有關聯的目標網路,才能刪除 Client VPN 端點。當您刪除 Client VPN 端點後,其狀態會變更為 `deleting`,而且用戶端無法再連線到該端點。
您可以使用主控台或 AWS CLI刪除 Client VPN 端點。
**刪除 Client VPN 端點 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要刪除的 Client VPN 端點。選擇 **Actions** (動作)、**Delete Client VPN endpoint** (刪除 Client VPN 端點)。
1. 在確認視窗中輸入 *delete* (刪除),然後選擇 **Delete** (刪除)。
**刪除 Client VPN 端點 (AWS CLI)**
使用 [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html) 命令。
# AWS Client VPN 連線日誌
您可以啟用新的或現有的 Client VPN 端點連線記錄日誌,開始擷取連線日誌。連線日誌會顯示 Client VPN 端點的日誌事件序列。啟用連線日誌記錄時,您可以在日誌群組中指定日誌串流的名稱。如未指定日誌串流,Client VPN 服務會為您建立一個日誌串流。然後,連線記錄會記錄以下資訊:用戶端連線請求、用戶端連線結果 (成功或失敗)、連線結果失敗的原因,以及來自端點的用戶端終止時間。
開始之前,您的帳戶中必須有 CloudWatch Logs 日誌群組。如需詳細資訊,請參閱《*Amazon CloudWatch Logs 使用者指南*》中的[使用日誌群組和日誌串流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。CloudWatch Logs 為付費服務。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
可以使用 Amazon VPC 主控台或 AWS CLI 建立 Client VPN 連線日誌。
**Topics**
+ [啟用新 端點的連線日誌記錄](create-connection-log-new.md)
+ [啟用現有 端點的連線日誌記錄](create-connection-log-existing.md)
+ [檢視連線日誌](view-connection-logs.md)
+ [關閉連線日誌記錄](disable-connection-logs.md)
# 啟用新 AWS Client VPN 端點的連線記錄
使用主控台或命令列建立新的 Client VPN 端點時,您可以啟用連線日誌記錄。
**使用主控台啟用新 Client VPN 端點的連線日誌記錄**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點),然後選擇 **Create Client VPN Endpoint** (建立 Client VPN 端點)。
1. 完成選項,直到您到達 **Connection Logging (連線日誌記錄)** 區段為止。如需選項的詳細資訊,請參閱 [建立AWS Client VPN端點](cvpn-working-endpoint-create.md)。
1. 在 **Connection logging** (連線日誌記錄) 下,開啟 **Enable log details on client connections** (啟用用戶端連線的日誌詳細資訊)。
1. **CloudWatch Logs log group name (CloudWatch Logs 日誌群組名稱)** 請選擇 CloudWatch Logs 日誌群組的名稱。
1. (選用) **CloudWatch Logs log stream name (CloudWatch Logs 日誌串流名稱)** 請選擇 CloudWatch Logs 日誌串流的名稱。
1. 選擇 **Create Client VPN Endpoint** (建立 Client VPN 端點)。
**使用 啟用新 Client VPN 端點的連線記錄 AWS CLI**
使用 [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 命令,並指定 `--connection-log-options` 參數。您可以指定 JSON 格式的連線日誌資訊,如下列範例所示。
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# 啟用現有 AWS Client VPN 端點的連線記錄
您可以使用主控台或命令列啟用現有 Client VPN 端點的連線日誌記錄。
**使用主控台啟用現有 Client VPN 端點的連線日誌記錄**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 在 **Connection logging** (連線日誌記錄) 下,開啟 **Enable log details on client connections** (啟用用戶端連線的日誌詳細資訊)。
1. **CloudWatch Logs log group name (CloudWatch Logs 日誌群組名稱)** 請選擇 CloudWatch Logs 日誌群組的名稱。
1. (選用) **CloudWatch Logs log stream name (CloudWatch Logs 日誌串流名稱)** 請選擇 CloudWatch Logs 日誌串流的名稱。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**使用 啟用現有 Client VPN 端點的連線記錄 AWS CLI**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令,並指定 `--connection-log-options` 參數。您可以指定 JSON 格式的連線日誌資訊,如下列範例所示。
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# 檢視 AWS Client VPN 連線日誌
您可以使用 CloudWatch Logs 主控台檢視 Client VPN 連線日誌。
**使用主控台檢視連線日誌**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中選擇 **Log groups (日誌群組)**,然後選取包含您連線日誌的日誌群組。
1. 選取 Client VPN 端點的日誌串流。
**注意**
**Timestamp (時間戳記)** 欄位顯示連線日誌發佈到 CloudWatch Logs 的時間,不是連線的時間。
如需搜尋日誌資料的詳細資訊,請參閱 *Amazon CloudWatch Logs User Guide*《Amazon CloudWatch Logs 使用者指南》中的 [Search Log Data Using Filter Patterns](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) (使用篩選條件模式搜尋日誌資料)。
# 關閉 AWS Client VPN 連線記錄
您可以使用主控台或命令列關閉 Client VPN 端點的連線日誌記錄。當您關閉連線日誌記錄時,並不會刪除 CloudWatch Logs 中現有的連線日誌。
**使用主控台關閉連線日誌記錄**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 在 **Connection logging** (連線日誌記錄) 下,關閉 **Enable log details on client connections** (啟用用戶端連線的日誌詳細資訊)。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**使用 關閉連線記錄 AWS CLI**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令,並指定 `--connection-log-options` 參數。請確定 `Enabled` 已設為 `false`。
# AWS Client VPN 端點組態檔案匯出
AWS Client VPN 端點組態檔案是用戶端 (使用者) 用來與 Client VPN 端點建立 VPN 連線的檔案。您必須下載 (匯出) 此檔案,並分發給所有需要存取 VPN 的用戶端。或者,如果您為 Client VPN 端點啟用自助式入口網站,用戶端可以登入入口網站並自行下載組態檔案。如需詳細資訊,請參閱[AWS Client VPN 存取自助式入口網站](cvpn-self-service-portal.md)。
如果您的 Client VPN 端點使用交互身分驗證,您必須[將用戶端憑證和用戶端私有金鑰新增至您下載的 .ovpn 組態檔案](add-config-file-cert-key.md)。在您新增資訊之後,用戶端可以將 .ovpn 檔案匯入到 OpenVPN 用戶端軟體。
**重要**
如果您未將用戶端憑證和用戶端私有金鑰資訊新增至檔案,則使用交互身分驗證進行驗證的用戶端將無法連線至 Client VPN 端點。
根據預設,OpenVPN 用戶端組態中的「remote-random-hostname」選項會啟用萬用字元 DNS。由於萬用字元 DNS 已啟用,用戶端不會快取端點的 IP 地址,而您將無法以 Ping 偵測端點的 DNS 名稱。
如果您的 Client VPN 端點使用 Active Directory 身分驗證,而且您在發佈用戶端組態檔案之後,在目錄上啟用了多重要素驗證 (MFA),則必須下載新檔案並將其重新發佈至用戶端。用戶端無法使用先前的組態檔案連線到 Client VPN 端點。
**Topics**
+ [匯出用戶端組態檔](export-client-config-file.md)
+ [為交互身分驗證新增用戶端憑證和金鑰資訊](add-config-file-cert-key.md)
# 匯出 AWS Client VPN 用戶端組態檔案
您可以使用 主控台或 匯出 Client VPN 用戶端組態 AWS CLI。
**匯出用戶端組態 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選擇要下載用戶端組態的 Client VPN 端點,然後選擇 **Download Client Configuration** (下載用戶端組態)。
**匯出用戶端組態 (AWS CLI)**
使用 [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) 命令,並指定輸出檔案名稱。
```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```
# 為交互身分驗證新增 AWS Client VPN 用戶端憑證和金鑰資訊
如果您的 Client VPN 端點使用交互身分驗證,您必須將用戶端憑證和用戶端私有金鑰新增至您下載的 .ovpn 組態檔案。
當您使用相互身分驗證時,無法修改用戶端憑證。
**新增用戶端憑證和金鑰資訊 (交互身分驗證)**
您可以使用下列其中一個選項。
(選項 1) 將用戶端憑證和金鑰與 Client VPN 端點組態檔案一起發佈給用戶端。在此情況下,請在組態檔案中指定憑證和金鑰的路徑。使用您偏好的文字編輯器開啟組態檔案,並將以下內容新增到檔案尾端。以用戶端憑證和金鑰的位置取代 */path/* (位置是相對於連線至端點的用戶端)。
```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```
(選項 2) 將 ```` 標籤之間的用戶端憑證內容與 ```` 標籤之間的私有金鑰內容新增至組態檔案。如果您選擇此選項,則只會將組態檔案分發給用戶端。
如果您為要連線至 Client VPN 端點的每個使用者都產生了個別的用戶端憑證和金鑰,請為每個使用者重複此步驟。
以下是包含用戶端憑證和金鑰的 Client VPN 組態檔案格式範例。
```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
Contents of CA
Contents of client certificate (.crt) file
Contents of private key (.key) file
reneg-sec 0
```
# AWS Client VPN 路由
每個 AWS Client VPN 端點都有一個路由表,描述可用的目的地網路路由。路由表中的每個路由決定網路流量導向何處。您必須為每個 Client VPN 端點路由設定授權規則,以指定哪些用戶端可以存取目標網路。
當您建立 VPC 的子網路與 Client VPN 端點的關聯時,VPC 的路由會自動新增到 Client VPN 端點的路由表。若要啟用對等 VPC、現場部署網路、區域網路 (讓用戶端彼此通訊) 或網際網路等其他網路的存取權限,您必須將路由手動新增至 Client VPN 端點的路由表。
**注意**
如果您要將多個子網路關聯至 Client VPN 端點,請務必為每個子網路建立路由,如此處所述 [故障診斷 AWS Client VPN:對對等 VPC、Amazon S3 或網際網路的存取是間歇性的](intermittent-access.md)。每個關聯的子網路應該有一組相同的路由。
## 在 Client VPN 端點上使用分割通道的考量事項
如果在 Client VPN 端點上使用分割通道,則在建立 VPN 時,Client VPN 路由表中的所有路由都會新增至用戶端路由表。如果您在建立 VPN 之後新增路由,您必須重設連線,以便將新路由傳送至用戶端。
建議您在修改 Client VPN 端點路由表之前,先考慮用戶端裝置可以處理的路由數目。
**Topics**
+ [在 Client VPN 端點上使用分割通道的考量事項](#split-tunnel-routes)
+ [建立端點路由](cvpn-working-routes-create.md)
+ [檢視端點路由](cvpn-working-routes-view.md)
+ [刪除端點路由](cvpn-working-routes-delete.md)
# 建立 AWS Client VPN 端點路由
當您建立 Client VPN 端點路由時,您可以指定應如何導向目的地網路的流量。
若要允許用戶端存取網際網路,請新增目的地 `0.0.0.0/0` 路由。
您可以使用主控台和 AWS CLI將路由新增至 Client VPN 端點。
**建立 Client VPN 端點路由 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要新增路由的 Client VPN 端點,選擇 **Route Table** (路由表),然後選擇 **Create Route** (建立路由)。
1. 對於 **Route destination** (路由目的地),指定目的地網路的 IPv4 CIDR 範圍。例如:
+ 若要新增 Client VPN 端點的 VPC 的路由,請輸入 VPC 的 IPv4 CIDR 範圍。
+ 若要新增網際網路存取的路由,請輸入 `0.0.0.0/0`
+ 若要新增對等端 VPC 的路由,請輸入對等端 VPC 的 IPv4 CIDR 範圍。
+ 若要新增內部部署網路的路由,請輸入 AWS Site-to-Site連接的 IPv4 CIDR 範圍。
1. 對於 **Subnet ID for target network association** (目標網路關聯的子網路 ID),選取與 Client VPN 端點關聯的子網路。
或者,如果您要新增區域 Client VPN 端點網路的路由,請選取 `local`。
1. (選用) 對於 **Description** (描述),輸入路由的簡短描述。
1. 選擇 **Create route (建立路由)**。
**建立 Client VPN 端點路由 (AWS CLI)**
使用 [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html) 命令。
# 檢視 AWS Client VPN 端點路由
您可以使用主控台或 AWS CLI來檢視特定 Client VPN 端點的路由。
**檢視 Client VPN 端點路由 (主控台)**
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要檢視路由的 Client VPN 端點,然後選擇 **Route Table** (路由表)。
**檢視 Client VPN 端點路由 (AWS CLI)**
使用 [describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html) 命令。
# 刪除 AWS Client VPN 端點路由
您只能刪除手動新增的 Client VPN 路由。無法刪除在建立子網路與 Client VPN 端點關聯時自動新增的路由。若要刪除自動新增的路由,您必須取消與在 Client VPN 端點建立之子網路的關聯。
您可以使用主控台或 AWS CLI從 Client VPN 端點刪除路由。
**刪除 Client VPN 端點路由 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要刪除路由的來源 Client VPN 端點,然後選擇 **Route Table** (路由表)。
1. 選取要刪除的路由,選擇 **Delete Route** (刪除路由),然後選擇 **Delete Route** (刪除路由)。
**刪除 Client VPN 端點路由 (AWS CLI)**
使用 [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html) 命令。
# AWS Client VPN 目標網路
目標網路是 VPC 中的子網路。 AWS Client VPN 端點必須至少有一個目標網路,才能讓用戶端與其連線並建立 VPN 連線。
如需您可以設定之存取類型的詳細資訊 (例如,讓您的用戶端存取網際網路),請參閱 [Client VPN 的案例和範例](how-it-works.md#scenario)。
## Client VPN 目標網路需求
建立目標網路時,適用下列規則:
+ 子網路必須具有至少 /27 位元遮罩的 CIDR 區塊,例如 10.0.0.0/27。子網路也必須隨時至少有 20 個可用的 IP 地址。
+ 子網路的 CIDR 區塊不得與 Client VPN 端點的用戶端 CIDR 範圍重疊。
+ 如果將多個子網路與 Client VPN 端點建立關聯,則每個子網路必須位於不同的可用區域。我們建議您與至少兩個子網路建立關聯,來提供可用區域備援。
+ 如果您在建立 Client VPN 端點時指定了 VPC,則子網路必須位於相同的 VPC 中。如果您尚未建立 VPC 與 Client VPN 端點的關聯,您可選擇任一 VPC 中的任一子網路。
所有其他子網路關聯都必須來自相同的 VPC。若要從不同 VPC 建立子網路關聯,您必須先修改 Client VPN 端點並變更與其相關聯的 VPC。如需詳細資訊,請參閱[修改 AWS Client VPN 端點](cvpn-working-endpoint-modify.md)。
當您將子網路與 Client VPN 端點建立關聯時,我們會自動將其中佈建相關聯子網路的 VPC 本機路由新增到 Client VPN 端點的路由表。
**注意**
關聯目標網路之後,當您向連接的 VPC 新增或移除其他 CIDR 時,您必須執行以下其中一個操作,以更新用戶端 VPN 端點路由表的本機路由:
從目標網路取消關聯 Client VPN 端點,然後將 Client VPN 端點關聯至目標網路。
手動將路由新增至用戶端 VPN 端點路由表或從用戶端 VPN 端點路由表移除路由。
當您將第一個子網路與 Client VPN 端點建立關聯後,Client VPN 端點的狀態會從 `pending-associate` 變成 `available`,而且用戶端能夠建立 VPN 連接。
**Topics**
+ [建立目標網路的需求](#cvpn-create-target-reqs)
+ [將目標網路與端點建立關聯](cvpn-working-target-associate.md)
+ [將安全群組套用到目標網路](cvpn-working-target-apply.md)
+ [檢視目標網路](cvpn-working-target-view.md)
+ [取消目標網路與端點的關聯](cvpn-working-target-disassociate.md)
# 將目標網路與 AWS Client VPN 端點建立關聯
您可以使用 Amazon VPC 主控台或 CLI,將一或多個目標網路 (子網路) 與 Client VPN AWS 端點建立關聯。將目標網路與 Client VPN 端點建立關聯之前,請先熟悉需求。請參閱 [建立目標網路的需求](cvpn-working-target.md#cvpn-create-target-reqs)。
**建立目標網路與 Client VPN 端點的關聯 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要與目標網路關聯的 Client VPN 端點,選擇 **Target network associations** (目標網路關聯),然後選擇 **Associate target network** (關聯目標網路)。
1. 對於 **VPC**,選擇子網路所在的 VPC。如果您在建立 Client VPN 端點時指定了 VPC,或者您有先前的子網路關聯,則其必須是相同的 VPC。
1. 對於 **Choose a subnet to associate** (選擇要關聯的子網路),選擇要和 Client VPN 端點關聯的子網路。
1. 選擇 **Associate target network** (關聯目標網路)。
**建立目標網路與 Client VPN 端點 (AWS CLI) 的關聯**
使用 [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) 命令。
# 在 中將安全群組套用至目標網路 AWS Client VPN
建立 Client VPN 端點時,您可以指定要套用至目標網路的安全群組。當您將第一個目標網路與 Client VPN 端點建立關聯時,我們會自動套用相關聯子網路所在 VPC 的預設安全群組。如需詳細資訊,請參閱[安全群組](client-authorization.md#security-groups)。
您可以變更 Client VPN 端點的安全群組。您需要的安全群組規則,取決於您要設定的 VPN 存取種類。如需詳細資訊,請參閱[Client VPN 的案例和範例](how-it-works.md#scenario)。
**將安全群組套用到目標網路 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要套用安全群組的 Client VPN 端點。
1. 選擇 **Security Groups** (安全群組),然後選擇 **Apply Security Group** (套用安全群組)。
1. 從 **Security group IDs** (安全群組 ID) 選擇適當的安全群組。
1. 選擇 **Apply Security Groups** (套用安全群組)。
**將安全群組套用到目標網路 (AWS CLI)**
使用 [apply-security-groups-to-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html) 命令。
# 檢視 AWS Client VPN 目標網路
您可以使用主控台或 AWS CLI來檢視與 Client VPN 端點相關聯的目標。
**檢視目標網路 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取 Client VPN 端點,然後選擇 **Target network associations** (目標網路關聯)。
**使用 檢視目標網路 AWS CLI**
使用 [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) 命令。
# 取消目標網路與 AWS Client VPN 端點的關聯
在您取消目標網路的關聯時,系統會刪除手動新增至 Client VPN 端點路由表的任何路由,以及建立目標網路關聯時自動建立的路由 (VPC 的本機路由)。如果您取消所有目標網路與 Client VPN 端點的關聯,用戶端就無法再建立 VPN 連接。
**取消目標網路與 Client VPN 端點的關聯 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取目標網路要關聯的 Client VPN 端點,然後選擇 **Target network associations** (目標網路關聯)。
1. 選取要取消關聯的目標網路,選擇 **Disassociate** (取消關聯),然後選擇 **Disassociate target network** (取消關聯目標網路)。
**取消目標網路與 Client VPN 端點 (AWS CLI) 的關聯**
使用 [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) 命令。
# AWS Client VPN VPN 工作階段持續時間逾時上限
AWS Client VPN 針對最長 VPN 工作階段持續時間提供數個選項,這是用戶端連線至 Client VPN 端點所允許的最長時間。您可以設定較短的 VPN 工作階段持續時間上限,以協助滿足安全和合規要求。根據預設,VPN 工作階段最長持續時間為 24 小時。設定工作階段持續時間上限後,您可以控制達到該逾時時該工作階段會發生的情況。工作階段逾時中斷連線選項可讓您終止工作階段,或自動嘗試重新連線至端點。終止工作階段可讓您透過強制執行最長 VPN 工作階段持續時間,進一步控制端點安全性。如果工作階段設定為在達到最長時間時終止,使用者將需要重新連線並提供其身分驗證憑證,才能重新建立 VPN 連線。
當工作階段逾時中斷連線設定為自動重新連線,並達到工作階段時間上限時,
+ 在快取的使用者登入資料 (Active Directory) 或憑證型身分驗證 (相互身分驗證) 的情況下,會自動建立新的工作階段。若要完全中斷連線而不自動重新連線,這些使用者應該手動中斷連線。
+ 在聯合身分驗證 (SAML) 的情況下,不會自動建立新的工作階段。這些使用者必須在工作階段逾時過期後再次驗證,才能重新建立 VPN 連線。
**注意**
當最大 VPN 工作階段持續時間值從其目前值減少時,任何連接至端點且時間超過新設定持續時間的作用中 VPN 工作階段都會中斷連線。
變更工作階段逾時中斷連線選項會將新設定套用至任何目前開啟的工作階段。
## 在建立 AWS Client VPN 端點期間設定 VPN 工作階段上限
VPN 工作階段的持續時間是在建立 Client VPN 端點期間設定。如需建立 Client VPN 端點和設定工作階段持續時間上限的步驟,[建立AWS Client VPN端點](cvpn-working-endpoint-create.md)請參閱 。
**Topics**
+ [在建立端點期間設定 VPN 工作階段上限](#configure-max-duration-endpoint-creation)
+ [檢視目前 VPN 工作階段持續時間上限](display-max-duration.md)
+ [修改 VPN 工作階段持續時間上限](modify-max-timeout.md)
# 檢視 AWS Client VPN 目前的 VPN 工作階段持續時間上限
使用下列步驟來檢視目前的 Client VPN 最長 VPN 工作階段持續時間。
**檢視 Client VPN 端點 (主控台) 目前的 VPN 工作階段持續時間上限**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要檢視的 Client VPN 端點。
1. 請確認選取了 **Details** (詳細資訊) 索引標籤。
1. 檢視工作階段**逾時小時數旁的目前 VPN 工作階段**持續時間上限,以及是否啟用或停用**逾時時中斷**連線。
**檢視 Client VPN 端點 (AWS CLI) 目前的 VPN 工作階段持續時間上限**
使用 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 命令。
# 修改 AWS Client VPN 工作階段持續時間上限和逾時行為
使用下列步驟修改現有的 Client VPN 最長 VPN 工作階段持續時間,並變更工作階段逾時行為的中斷連線。
**修改 Client VPN 端點 (主控台) 現有的 VPN 工作階段持續時間上限**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取您要修改的 Client VPN 端點,選擇 **Actions** (動作),然後選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
1. 對於 **Session timeout hours** (工作階段逾時時數),選擇所需的 VPN 工作階段持續時間上限 (以小時為單位)。
1. 針對**工作階段逾時時中斷連線**,選擇是否要在達到工作階段逾時上限時中斷連線工作階段。根據預設,這會在您第一次修改端點時關閉。
1. 選擇 **Modify Client VPN Endpoint** (修改 Client VPN 端點)。
**修改 Client VPN 端點 (AWS CLI) 現有的 VPN 工作階段持續時間上限**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。