AWS VPN comprende due servizi: AWS Site-to-Site VPN e AWS Client VPN. AWS Site-to-Site VPN consente di connettere in sicurezza le reti in locale o i siti delle filiali al tuo Amazon Virtual Private Cloud (Amazon VPC). AWS Client VPN garantisce agli utenti una connessione sicura a reti in locale o AWS.

Domande generali

D: Che cos'è un endpoint di Client VPN?

R: L'endpoint di Client VPN è una struttura regionale da configurare per usare il servizio. Le sessioni VPN dell'utente finale terminano all'endpoint di Client VPN. Durante la configurazione dell'endpoint di Client VPN, specifichi i dettagli di autenticazione, le informazioni sul certificato del server, l'allocazione dell'indirizzo IP del client, la registrazione di log e le opzioni VPN.

D: Che cos'è una rete di destinazione?

R: Una rete di destinazione è una rete associata all'endpoint di Client VPN che garantisce l'accesso sicuro alla risorse AWS, nonché l'accesso in locale. Attualmente, la rete di destinazione è una sottorete in Amazon VPC.

Fatturazione

D: In che modo sono definite le ore di connessione fatturabili di VPN?

R: Le ore di connessione di VPN sono calcolate secondo la quantità di tempo in cui le connessioni VPN sono in stato "disponibile". Puoi determinare lo stato di una connessione VPN tramite la Console di gestione AWS, l'interfaccia a riga di comando o le API. Se non desideri utilizzare una connessione VPN, puoi interromperla per non incorrere in tariffe aggiuntive.

D: I prezzi includono le tasse?

R: Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Ulteriori informazioni.

Configurazione e gestione di AWS Site-to-Site VPN

D: È possibile usare la Console di gestione AWS per controllare e gestire AWS Site-to-Site VPN?

R: Sì. Puoi usare la Console di gestione AWS per gestire le connessioni VPN IPSec, come AWS Site-To-Site VPN.

D: Quali sono i limiti di default o il tetto massimo per le connessioni Site-to-Site VPN?

R: Per ulteriori informazioni sui limiti o sul tetto massimo delle connessioni AWS Site-to-Site VPN, puoi consultare la nostra documentazione.

Connettività di AWS Site-to-Site VPN

D: Quali sono le opzioni di connettività VPN per VPC?

R: Puoi connettere il tuo VPC al tuo data center aziendale tramite una connessione VPN hardware tramite un gateway virtuale privato.

D: In che modo le istanze senza indirizzi IP pubblici possono accedere a Internet?

R: Le istanze sprovviste di indirizzi IP pubblici possono accedere a Internet in due modi:

le istanze prive di indirizzi IP pubblici possono instradare il proprio traffico attraverso un gateway NAT oppure un'istanza NAT. Queste istanze usano l'indirizzo IP pubblico del gateway NAT o dell'istanza NAT per accedere a Internet. Il gateway NAT (o l'istanza NAT) consente le comunicazioni in uscita ma non permette alle macchine su Internet di avviare una connessione alle istanze con indirizzi privati.

Per i VPC con connessione VPN hardware o Direct Connect, le istanze possono instradare il traffico Internet all'interno del gateway virtuale privato fino al data center esistente. Da lì possono accedere a Internet tramite i punti di uscita esistenti e i dispositivi di protezione/monitoraggio della rete.

D: Come funziona una connessione AWS Site-to-Site VPN con Amazon VPC?

R: Una connessione AWS Site-to-Site VPN collega il VPC al tuo data center. Amazon supporta le connessioni VPN IPsec (Internet Protocol security). I dati trasferiti tra il VPC e il data center vengono instradati su una connessione VPN crittografata per proteggere la riservatezza e l'integrità dei dati in transito. Per stabilire connessioni Site-to-Site VPN non è invece necessario disporre di un Internet gateway.

D: Cosa significa IPsec?

R: IPsec è una suite di protocolli per proteggere le comunicazioni IP (Internet Protocol) mediante l'autenticazione e la crittografia dei singoli pacchetti IP del flusso di dati.

D: Quali dispositivi gateway del cliente è possibile usare per collegarsi ad Amazon VPC?

R: È possibile creare due tipi di connessioni AWS Site-to-Site VPN: con instradamento statico e con instradamento dinamico. I dispositivi gateway del cliente che supportano le connessioni VPN con instradamento statico devono essere in grado di:

Stabilire un'associazione di sicurezza tramite protocollo IKE utilizzando chiavi precondivise

Stabilire un'associazione di sicurezza tramite protocollo IPsec in modalità Tunnel

Utilizzare la funzione di crittografia AES 128 bit, 256 bit, 128 bit GCM-16 o 256-GCM-16

Utilizzare la funzione di hashing SHA-1, SHA-2 (256), SHA2 (384) o SHA2 (512)

Utilizzare lo scambio di chiavi Diffie-Hellman in modalità "Group 2" con Perfect Forward Secrecy o uno dei gruppi DH aggiuntivi supportati

Eseguire la frammentazione dei pacchetti prima della crittografia

Oltre alle funzioni fin qui citate, i dispositivi che supportano le connessioni Site-to-Site VPN con instradamento dinamico devono essere in grado di:

Configurare peer secondo il protocollo BGP (Border Gateway Protocol)

Unire tunnel a interfacce logiche (VPN basata sull'instradamento)

Utilizzare la funzione di Dead Peer Detection su protocollo IPsec

D: Quali gruppi Diffie-Hellman sono supportati?

R: I gruppi DH (Diffie-Hellman) supportati in Phase 1 e Phase 2 sono i seguenti.

Gruppi DH Phase 1: 2, 14-24.

Gruppi DH Phase 2: 2, 5, 14-24.

D: Quali algoritmi propone AWS quando è necessaria l'emissione di una nuova chiave IKE?

R: Per impostazione predefinita, poi endpoint VPN lato AWS proporrà AES-128, SHA-1 e gruppi DH 2. Se desideri che ti venga proposto qualcosa di specifico per una nuova emissione di chiave, ti consigliamo di utilizzare le opzioni di modifica del tunnel VPN per limitare le opzioni di tunnel agli specifici parametri VPN che desideri.

D: Quali dispositivi gateway del cliente sono compatibili con Amazon VPC?

R: Nel documento Network administrator guide, sono elencati i dispositivi che soddisfano i requisiti illustrati in alto e di cui è nota la compatibilità con le connessioni VPN hardware; inoltre, questi dispositivi supportano gli strumenti a riga di comando, consentendo la generazione automatica dei file di configurazione più adatti.

D: Se il dispositivo in uso non è tra quelli elencati, dove sono disponibili eventuali informazioni su come utilizzarlo con Amazon VPC?

R: Consigliamo di consultare il forum Amazon VPC, perché è possibile che altri clienti utilizzino lo stesso dispositivo.

D: Qual è, approssimativamente, il throughput massimo di una connessione Site-to-Site VPN?

R: Ciascuna connessione Site-to-Site VPN AWS ha due tunnel e ciascun tunnel supporta un throughput massimo fino a 1,25 Gbps. Se la tua connessione VPN è a un gateway virtuale privato, si applicheranno limiti di throughput aggregati.

D: Esiste un limite di throughput aggregato per gateway virtuale privato?

R: Il gateway virtuale privato ha un limite di throughput aggregato per tipo di connessione. Molteplici connessioni VPN allo stesso gateway virtuale privato sono legate da un limite di throughput aggregato da AWS a locale fino a 1,25 Gbps. Per la connessione AWS Direct Connect su un gateway virtuale privato, il throughput è legato dalla stessa porta fisica Direct Connect. Per collegare molteplici VPC e avere limiti di throughput più elevati, utilizza AWS Transit Gateway.

D: Quali fattori influenzano il throughput di una connessione VPN?

R: Vi sono diversi fattori che possono influenzare il throughput della connessione VPN. Per esempio la capacità del gateway del cliente, la velocità della connessione. le dimensioni medie dei pacchetti, il protocollo utilizzato (TCP o UDP) e la latenza della rete tra il gateway del cliente e il gateway virtuale privato.

D: Qual è, approssimativamente, il numero massimo di pacchetti al secondo di una connessione Site-to-Site VPN?

R: Ciascuna connessione Site-to-Site VPN AWS ha due tunnel e ciascun tunnel supporta un numero massimo di pacchetti al secondo fino a 140.000.  

D: Quali strumenti è possibile usare per risolvere i problemi di configurazione di Site-to-Site VPN?

R: L'API DescribeVPNConnection mostra lo stato della connessione VPN e dei singoli tunnel VPN ("attivo"/"non attivo"), inclusi gli eventuali messaggi di errore se uno dei tunnel non è attivo. Queste informazioni sono consultabili anche sulla Console di gestione AWS.

D: Come si collega un VPC al data center aziendale?

R: Stabilire una connessione VPN hardware tra la rete esistente e Amazon VPC consente di interagire con le istanze Amazon EC2 all'interno del VPC come se si trovassero all'interno della rete esistente. AWS non applica la funzione Network Address Translation (NAT) alle istanze Amazon EC2 dentro un VPC accessibile tramite connessione VPN.

D: È possibile usare la funzione NAT con un gateway del cliente protetto da router o firewall?

R: Sarà necessario utilizzare l'indirizzo IP pubblico del dispositivo NAT.

D: Quale indirizzo IP è possibile utilizzare per l'indirizzo del gateway del cliente?

R: Sarà necessario utilizzare l'indirizzo IP pubblico del dispositivo NAT.

D: Come si disabilita la funzione NAT-T su una connessione?

R: La funzione NAT-T va disabilitata sul dispositivo. Se non desideri usare la funzione NAT-T e sul dispositivo è abilitata, proveremo a stabilire un tunnel sulla porta UDP 4500. Se la porta non è aperta, non sarà stabilito alcun tunnel.

D: Quante associazioni di sicurezza tramite protocollo IPsec è possibile stabilire contemporaneamente in ogni tunnel?

R: Il servizio VPN di AWS è una soluzione basata sull'instradamento, perciò se usi una configurazione basata sull'instradamento non incorrerai in alcuna limitazione usando le associazioni di sicurezza. Se tuttavia usi una soluzione basata su policy, la limitazione sarà a una singola associazione di sicurezza poiché il servizio è una soluzione basata sull'instradamento.

D: È possibile mostrare l'intervallo di indirizzi IP pubblici di un VPC su Internet e instradare il traffico attraverso il data center (tramite Site-to-Site VPN) verso il VPC?

R: Sì, puoi instradare il traffico tramite connessione VPN e mostrare l'intervallo di indirizzi dalla rete domestica.

D: Qual è il numero massimo di instradamenti che la mia connessione VPN mostrerà al mio dispositivo gateway del cliente?

R: La tua connessione VPN mostrerà un massimo di 1.000 instradamenti al dispositivo gateway del cliente. Per le connessioni VPN su un gateway virtuale privato, le origini di instradamento visualizzate includono gli instradamenti VPC, altri instradamenti VPN e instradamenti da interfacce virtuali DX. Per le connessioni VPN su un AWS Transit Gateway, gli instradamenti visualizzati provengono dalla tabella di instradamento associata all'allegato VPN. Se si cerca di inviare più di 1.000 instradamenti, ne sarà visualizzato solo un sottoinsieme di 1.000 unità.  

D: Qual è il numero massimo di instradamenti dal mio dispositivo gateway del cliente che possono essere mostrati nella mia connessione VPN?

R: Puoi mostrare un massimo di 100 instradamenti nella tua connessione VPN Site-to-Site in un gateway virtuale privato dal dispositivo gateway del cliente o un massimo di 1000 instradamenti alla connessione VPN Site-to-Site su AWS Transit Gateway. Per le connessioni VPN con instradamenti statici, non potrai aggiungere più di 100 instradamenti statici. Per le connessioni VPN con BGP, la sessione BGP sarà ripristinata se proverai a mostrare più del massimo per il tipo di gateway.

D: Le connessioni VPN supportano il traffico IPv6?

R: Sì. Le connessioni VPN verso un AWS Transit Gateway possono supportare il traffico IPv4 o IPv6; è possibile specificare la preferenza durante la creazione di una nuova connessione VPN. Per selezionare IPv6 per il traffico VPN, imposta l'opzione Tunnel VPN per Versione IP interno su IPv6. Gli indirizzi IP dell'endpoint del tunnel e del gateway del cliente sono esclusivamente IPv4.

D: Quale lato del tunnel VPN avvia la sessione di Internet Key Exchange (IKE)?

R: Per impostazione predefinita, il gateway del cliente (CGW) deve avviare IKE. In alternativa, gli endpoint VPN di AWS possono essere avviati attivando le opzioni adeguate.

D: Le connessioni VPN supportano indirizzi IP privati?

R: Sì. La funzione VPN sito-sito IP privata consente di implementare connessioni VPN a un AWS Transit Gateway utilizzando indirizzi IP privati. Una VPN IP privata funziona su un'interfaccia virtuale di transito AWS Direct Connect (VIF). Puoi selezionare gli indirizzi IP privati come indirizzi IP del tunnel esterno durante la creazione di una nuova connessione VPN. Gli indirizzi IP dell'endpoint del tunnel e del gateway del cliente sono esclusivamente IPv4.

D: Ci sono differenze tra le interazioni di protocollo VPN IP pubbliche e private?

R: No, la crittografia IPSec e lo scambio di chiavi funzionano allo stesso modo per le connessioni VPN private sito-sito che per le connessioni VPN IP pubbliche.

D: Ho bisogno di un gateway Transit per una VPN IP privata?

R: Sì, è necessario un gateway Transit per distribuire connessioni VPN IP private. Inoltre, un collegamento VPN IP privato su Transit Gateway richiede un collegamento Direct Connect per il trasporto. È necessario specificare un collegamento ID Direct Connect durante la configurazione di una connessione VPN IP privata a un gateway Transit. Più connessioni VPN IP private possono utilizzare lo stesso collegamento Direct Connect per il trasporto.

D: Le VPN IP private supportano routing statico e BGP?

R: Sì, le VPN IP private supportano il routing statico e il routing dinamico utilizzando BGP. Se il dispositivo gateway del cliente supporta il Border Gateway Protocol (BGP), specificare il routing dinamico quando si configura la connessione VPN sito-sito. Se il dispositivo gateway del cliente non supporta BGP, specificare il routing statico. Consigliamo di utilizzare dispositivi compatibili con BGP, quando disponibili, dato che il protocollo BGP offre controlli di rilevamento della vivacità solidi che possono aiutare il failover al secondo tunnel VPN se il primo tunnel si interrompe.

D: Qual è la connessione route-table del gateway Transit e il comportamento di propagazione per i collegamenti VPN IP privati?

R: La connessione route-table e il comportamento di propagazione per un collegamento VPN IP privato sono gli stessi di qualsiasi altro collegamento del gateway di transito alla VPN. È possibile associare un route-table del gateway Transit al collegamento VPN IP privato e propagare il route del collegamento VPN IP privato a qualsiasi route-table del gateway Transit.

D: Quale velocità di trasmissione effettiva posso ottenere con VPN IP private?

R: Proprio come le normali connessioni VPN sito-sito, ogni connessione VPN IP privata supporta 1,25 Gbps di larghezza di banda. È possibile utilizzare ECMP (Equal Cost Multi-path) su più connessioni VPN IP private per aumentare la larghezza di banda effettiva. Ad esempio, per inviare 10Gbps di traffico DX tramite una VPN IP privata, è possibile utilizzare 4 connessioni VPN IP private (4 connessioni x 2 tunnel x larghezza di banda 1.25 Gbps) con ECMP tra una coppia di gateway Transit e gateway del cliente.

D: Posso utilizzare il traffico ECMP su una VPN IP privata e connessioni VPN IP pubbliche?

R: No, non è possibile gestire il traffico ECMP tra connessioni VPN IP pubbliche e private. ECMP per VPN IP private funziona solo su connessioni VPN con indirizzi IP privati.

D: Cos'è la MTU (Maximum Transmission Unit, ovvero Unità massima di trasmissione) della VPN IP privata?

R: Le connessioni VPN IP private supportano 1500 byte di MTU.

D: Una VPN IP privata può essere associata a un account proprietario diverso dal proprietario dell'account gateway Transit?

R: No, sia il gateway di transito che le connessioni VPN sito-sito devono essere di proprietà dello stesso account AWS.

D: In quali regioni AWS è disponibile il servizio VPN sito-sito AWS e la funzionalità VPN IP privata?

R: Il servizio VPN sito-sito AWS è disponibile in tutte le regioni commerciali ad eccezione delle regioni AWS Asia Pacifico (Pechino) e Asia Pacifico (Ningsia). La funzione VPN IP privata è supportata in tutte le regioni AWS in cui è disponibile il servizio VPN sito-sito AWS.

VPN sito-sito AWS accelerata

Q: Per quale motivo dovrei usare Accelerated Site-to-Site VPN?

R: Le connessioni VPN sono soggette a disponibilità e prestazioni inconsistenti poiché il traffico attraversa più reti pubbliche su Internet prima di raggiungere l'endpoint VPN in AWS. Queste reti pubbliche possono essere congestionate. Ogni hop può introdurre rischi di disponibilità e prestazioni. Accelerated Site-to-Site VPN rende l'esperienza utente più coerente usando la rete globale a elevata disponibilità e priva di congestioni di AWS.

D: Come faccio a creare una Accelerated Site-to-Site VPN?

R: Quando crei una connessione VPN, imposta l'opzione "Abilita accelerazione" su "true".

D: Come faccio a scoprire se la mia connessione VPN esistente è una Accelerated Site-to-Site VPN?

R: Nella descrizione della tua connessione VPN, il valore "Abilita accelerazione" deve essere impostato su "true".

D: Come faccio a convertire la mia Site-to-Site VPN in una Accelerated Site-to-Site VPN?

R: Crea una nuova Site-To-Site VPN, aggiorna il dispositivo gateway del cliente in modo che si colleghi a questa nuova connessione VPN, quindi elimina la connessione VPN esistente. Verranno assegnati nuovi indirizzi IP dell'endpoint del tunnel poiché le VPN accelerate usano intervalli di indirizzi IP separati rispetto alle connessioni VPN non accelerate.

D: Accelerated Site-to-Site VPN è supportata sia per il gateway virtuale sia per AWS Transit Gateway?

R: Solo Transit Gateway supporta Accelerated Site-to-Site VPN. Deve essere specificato un Transit Gateway al momento della creazione della connessione VPN. L'endpoint VPN sul lato AWS viene creato sul Transit Gateway.

D: Una connessione Accelerated Site-to-Site VPN offre due tunnel per l'alta disponibilità?

R: Sì, ogni connessione VPN offre due tunnel per l'alta disponibilità.

D: Esistono differenze di protocollo tra tunnel Accelerated Site-to-Site VPN e non?

R: NAT-T è obbligatorio ed è abilitato come impostazione predefinita per le connessioni Accelerated Site-to-Site VPN. Oltre a ciò, i tunnel VPN accelerati e non accelerati supportano gli stessi protocolli di sicurezza IP (IPSec) e di scambio di chiavi Internet (IKE) e offrono anche la stessa larghezza di banda, opzioni di tunnel, opzioni di routing e tipi di autenticazione.

D: Una connessione Accelerated Site-to-Site VPN offre due zone di rete per l'alta disponibilità?

R: Sì, selezioniamo gli indirizzi di protocollo Internet (IP) globali di AWS Global Accelerator da zone di rete indipendenti per i due endpoint del tunnel.

D: La Site-to-Site VPN accelerata è un'opzione in AWS Global Accelerator?

R: No, Accelerated Site-to-Site VPN può essere creata solo tramite Site-to-Site VPN di AWS. Le Accelerated Site-to-Site VPN non possono essere create tramite la console o l'API di AWS Global Accelerator.

D: Posso utilizzare la VPN accelerata su interfacce virtuali AWS Direct Connect pubbliche?

R: No, Accelerated Site-to-Site VPN tramite interfacce virtuali Direct Connect pubbliche non è disponibile. Nella maggior parte dei casi non vi è alcun vantaggio di accelerazione nell'utilizzare Accelerated Site-to-Site VPN su Direct Connect pubblica.

D: In quali regioni AWS è disponibile Accelerated Site-to-Site VPN?

R: VPN sito-sito accelerata è attualmente disponibile in queste regioni AWS: Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Sud America (Sao Paulo), Medio Oriente (Bahrein), Europa (Stoccolma), Europa (Parigi), Europa (Milano), Europa (Londra), Europa (Irlanda), Europa (Francoforte), Canada (Centrale), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Asia Pacifico (Singapore), Asia Pacifico (Seul), Asia Pacifico (Mumbai), Asia Pacifico (Hong Kong), Africa (Città del Capo).

Visibilità e monitoraggio di VPN sito-sito AWS

D: Quali log sono supportati per VPN sito-sito AWS?

R: I log di connessione di VPN sito-sito includono i dettagli sull'attività di creazione del tunnel IP Security (IPsec), comprese le negoziazioni IKE (Internet Key Exchange) e i messaggi del protocollo DPD (Dead Peer Detection). Questi log vengono esportati periodicamente a intervalli di 5 minuti e vengono forniti ai log di CloudWatch in base al miglior sforzo possibile.

D: I log di VPN sito-sito sono offerti per le connessioni VPN sia ai gateway di transito che ai gateway virtuali?

R: Sì, puoi abilitare i log di VPN sito-sito sia per le connessioni VPN basate sul gateway di transito sia per quelle basate sul gateway virtuale.

D: Posso abilitare i log di VPN sito-sito sulle mie connessioni VPN esistenti?

R: Sì, puoi abilitare i log di VPN sito-sito tramite le opzioni del tunnel durante la creazione o la modifica della connessione.

D: Cosa succede quando abilito i log di VPN sito-sito sulla mia connessione VPN esistente?

R: Quando abiliti i log di VPN sito-sito su una connessione VPN esistente utilizzando le opzioni di modifica del tunnel, la tua connettività sul tunnel viene interrotta per diversi minuti. Ogni connessione VPN offre due tunnel per l'alta disponibilità. Puoi abilitare la registrazione su un tunnel alla volta e solo il tunnel modificato sarà interessato. Per maggiori informazioni, consulta Sostituzioni degli endpoint del tunnel di VPN sito-sito nella Guida per l’utente di VPN sito-sito AWS.

Configurazione e gestione di VPN client di AWS

D: Come posso configurare AWS Client VPN?

R: L'amministratore IT crea un endpoint di Client VPN, associa una rete di destinazione all'endpoint e imposta le policy di accesso per consentire la connettività degli utenti finali. L'amministratore IT trasmette il file di configurazione del client VPN agli utenti finali. Gli utenti finali dovranno scaricare il client OpenVPN e usare la configurazione del client VPN per creare le proprie sessioni VPN.

D: Quali sono le operazioni che l'utente finale deve eseguire per configurare una connessione?

R: L'utente finale deve scaricare un client OpenVPN sul proprio dispositivo. Quindi, l'utente deve importare il file di configurazione di AWS Client VPN nel client OpenVPN e avviare una connessione VPN.

Connettività di AWS Client VPN

D: Come faccio ad abilitare la connettività verso altre reti?

R: Puoi abilitare la connettività verso altre reti come Amazon VPC con peering, reti in locale tramite gateway virtuali o servizi AWS (ad es. S3), tramite endpoint, reti tramite AWS PrivateLink o altre risorse attraverso Internet gateway. Per abilitare la connettività, aggiungi una route verso la rete specifica nella tabella di routing di Client VPN, quindi aggiungi le regole di autorizzazione in modo da abilitare l'accesso alla rete specifica.

D: L'endpoint di Client VPN può appartenere a un account diverso rispetto a quello associato alla sottorete?

R: No, la sottorete associata deve essere nello stesso account dell'endpoint di Client VPN.

D: Posso accedere alle risorse in un VPC all'interno di una regione diversa rispetto a quella in cui è configurata la sessione TLS, usando un indirizzo IP privato?

R: Puoi eseguire questa operazione seguendo due passaggi. Il primo passaggio prevede la configurazione di una connessione peer tra più regioni fra il VPC di destinazione (nella regione diversa) e il VPC associato a Client VPN. Il secondo passaggio prevede l'aggiunta di un route e una regola di accesso per il VPC di destinazione nell'endpoint Client VPN. Gli utenti possono ora accedere alle risorse nel VPC di destinazione che si trova in una regione diversa dall'endpoint di Client VPN.

D: Quali protocolli di trasporto sono supportati da Client VPN?

R: Puoi scegliere tra TCP o UDP per la sessione VPN.

D: AWS Client VPN supporta split tunnel?

R: Sì. È possibile scegliere di creare un endpoint con tunnel split abilitato o disabilitato. Se in precedenza è stato creato un endpoint con tunnel split disabilitato, è possibile scegliere di modificarlo per abilitare il tunnel diviso. Se il tunnel split è abilitato, il traffico destinato ai percorsi configurati sull'endpoint verrà instradato tramite il tunnel VPN. Tutto il resto del traffico verrà instradato tramite l'interfaccia di rete locale. Se il tunnel split è disabilitato, tutto il traffico dal dispositivo passerà lungo il tunnel VPN.

Autenticazione e autorizzazione di AWS Client VPN

D: Quali meccanismi di autenticazione supporta AWS Client VPN?

R: Client VPN supporta l'autenticazione con Active Directory utilizzando AWS Directory Services, l'autenticazione basata su certificati e l’autenticazione federata con SAML-2.0.

D: È possibile utilizzare un servizio Active Directory in locale per autenticare gli utenti?

R: Sì. AWS Client VPN si integra con AWS Directory Service che ti consentirà di connetterti ad Active Directory in locale.

D: AWS Client VPN supporta l'autenticazione reciproca?

R: Sì, AWS Client VPN supporta l'autenticazione reciproca. Se l'autenticazione reciproca è abilitata, il cliente deve caricare il certificato root usato per la creazione del certificato client sul server.

D: Posso bloccare i certificati client?

R: Sì, AWS Client VPN supporta l'elenco di revoche di certificati (CRL) configurato staticamente.

D: AWS Client VPN supporta la possibilità per un cliente di utilizzare il proprio certificato?

R: Sì. È necessario caricare il certificato, il certificato dell'autorità di certificazione (CA) di root e la chiave privata del server. Questi elementi vengono caricati in AWS Certificate Manager.

D: AWS Client VPN si integra con AWS Certificate Manager (ACM) per la creazione di certificati server?

R: Sì. Puoi usare ACM come CA subordinata legata a una CA con root esterna. ACM quindi genera il certificato del server. In questo scenario, ACM esegue anche la rotazione del certificato del server.

D: AWS Client VPN supporta posture assessment?

R: No, AWS Client VPN non supporta posture assessment. Altri servizi AWS, come Amazon Inspector, supportano il posture assessment.

D: AWS Client VPN supporta il Multi-Factor Authentication (MFA)?

R: Sì, AWS Client VPN supporta l’MFA con Active Directory utilizzando AWS Directory Services e tramite i fornitori di identità esterni (ad es. Okta).

D: In che modo AWS Client VPN supporta l'autorizzazione?

R: Configurando le regole di autorizzazione che limitano gli utenti che possono accedere a una rete. Per una rete di destinazione specificata, puoi configurare il gruppo di Active Directory/del fornitore di identità a cui è consentito l'accesso. Solo gli utenti appartenenti a questo gruppo di Active Directory/del fornitore di identità possono accedere alla rete specificata.

D: AWS Client VPN supporta un gruppo di sicurezza?

R: Client VPN supporta un gruppo di sicurezza. Puoi specificare un gruppo di sicurezza per il gruppo di associazioni. Quando viene associata una sottorete, applicheremo automaticamente il gruppo di sicurezza di default del VPC della sottorete.

D: Come posso utilizzare il gruppo di sicurezza per limitare l'accesso alle mie applicazioni solo per le connessioni Client VPN?

R: Per la tua applicazione puoi decidere di consentire l'accesso solo ai gruppi di sicurezza che sono stati applicati alla sottorete associata. In questo modo limiti l'accesso solo agli utenti connessi tramite Client VPN.

D: Nell’autenticazione federata, posso modificare il documento di metadati IDP?

R: Sì, puoi caricare un nuovo documento di metadati nel fornitore di identità associato all’endpoint del Client VPN. I metadati aggiornati vengono rilevati nel giro di 2-4 ore.

D: Posso utilizzare un client OpenVPN di terze parti per collegarmi a un endpoint del Client VPN configurato con autenticazione federata?

R: No, per il collegamento all’endpoint devi utilizzare il client software AWS Client VPN.

Visibilità e monitoraggio AWS Client VPN

D: Quali log sono supportati per AWS Client VPN?

R: Client VPN esporta il log delle connessioni in modalità best effort verso CloudWatch Logs. Questi log vengono esportati periodicamente, a intervalli di 15 minuti. I log di connessione contengono informazioni sulle richieste di connessione create e interrotte.

D: Client VPN supporta i log Amazon VPC Flow nell'endpoint?

R: No. Puoi utilizzare i log di Amazon VPC Flow nel VPC associato.

D: Posso monitorare le connessioni attive?

R: Sì, utilizzando l'interfaccia da riga di comando o la console, è possibile visualizzare le connessioni attive correnti per un endpoint e terminare le connessioni attive.

D: Posso eseguire il monitoraggio in base all'endpoint usando CloudWatch?

R: Sì. Utilizzando CloudWatch è possibile visualizzare i byte Ingress ed Egress e le connessioni attive per ciascun endpoint Client VPN.

Client VPN

D: In che modo distribuisco il software client gratuito per AWS Client VPN?

R: Il software client per AWS Client VPN è compatibile con le configurazioni AWS Client VPN esistenti. Il client supporta l'aggiunta di profili attraverso il file di configurazione OpenVPN generato dal servizio di AWS Client VPN. Una volta creato il profilo, il client si connetterà all'endpoint in base alle tue impostazioni.

D: Qual è il prezzo aggiuntivo per utilizzare il software client di AWS Client VPN?

R: Il software client viene fornito senza costi aggiuntivi. Ti verrà addebitato soltanto l'utilizzo del servizio AWS Client VPN.

D: Quale tipo di dispositivi e versioni dei sistemi operativi sono supportati?

R: Il client desktop al momento supporta dispositivi con Windows 10 a 64 bit, macOS (Mojave, Catalina e Big Sur) e Ubuntu Linux (18.04 e 20.04). 

D: I miei profili di connessione si sincronizzano con tutti i miei dispositivi?

R: No, ma gli amministratori IT possono fornire file di configurazione per la distribuzione del loro software client per preconfigurare le impostazioni.

D: Sono necessarie autorizzazioni da amministratore sul mio dispositivo per eseguire il software client di AWS Client VPN?

R: Sì. È necessario un accesso da amministratore per installare l'applicazione sia su Windows che Mac. Dopo questo punto, non è più richiesto l'accesso da amministratore.

D: Quale protocollo VPN è utilizzato dal client di AWS Client VPN?

R: AWS Client VPN, compreso il software client, supporta il protocollo OpenVPN.

D: Tutte le funzionalità supportate dal servizio AWS Client VPN saranno supportate attraverso il software client?

R: Sì. Il client supporta tutte le funzionalità fornite dal servizio AWS Client VPN.

D: Il software client di AWS Client VPN consente un accesso LAN quando connesso?

R: Sì, puoi accedere alla rete dell'area locale quando connesso ad AWS Client VPN.

D: Quali capacità di autenticazione supporta il software client?

R: Il client software AWS Client VPN supporta tutti i meccanismi di autenticazione offerti dal servizio AWS Active Directory: autenticazione con Active Directory tramite AWS Directory Services, autenticazione basata su certificati e autenticazione federata con SAML-2.0.

D: Quale tipo di registrazione del client sarà supportata da AWS Client VPN?

R: Quando un utente cerca di connettersi, vengono registrati i dettagli della configurazione della connessione. I tentativi di connessione rimangono salvati fino a 30 giorni con una dimensione massima del file di 90 MB.

D: Posso mescolare il software client di AWS Client VPN e i client OpenVPN basati su standard nella connessione a un endpoint AWS Client VPN?

R: Sì, ammesso che il tipo di autenticazione definito sull'endpoint di AWS Client VPN sia supportato dal client OpenVPN basato sugli standard.

D: Dove posso scaricare il client software di AWS Client VPN?

R: Puoi scaricare il client generico senza personalizzazioni dalla pagina del prodotto AWS Client VPN. Gli amministratori IT possono scegliere di ospitare il download all'interno del loro sistema.

D: Posso eseguire più tipi di client VPN su un unico dispositivo?

R: Non raccomandiamo l'esecuzione di più client VPN su un dispositivo. Ciò può causare conflitti o l'interferenza tra loro dei client VPN, dando luogo a errori nelle connessioni. Detto ciò, AWS Client VPN può essere installato assieme ad un altro client VPN.

Gateway virtuale privato

D: In cosa consiste questa funzionalità?

R: Per ogni nuovo gateway virtuale, l'uso di Autonomous System Number (ASN) privati permette ai clienti di impostare l'ASN della sessione BGP lato Amazon per le VPN e le interfacce virtuali private di AWS Direct Connect.

D: Quali costi prevede questa funzionalità?

R: Questa funzionalità non prevede costi aggiuntivi.

D: In che modo è possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon?

R: È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway virtuale privato. Puoi creare un gateway virtuale mediante la console di VPC o una chiamata all'API EC2/CreateVpnGateway.

D: Quali numeri ASN assegnava Amazon prima che entrasse in funzione questa funzionalità?

R: Amazon assegnava i seguenti numeri ASN: 9059 in UE occidentale (Dublino), 17493 in Asia Pacifico (Singapore) e 10124 in Asia Pacifico (Tokyo). A tutte le altre regioni veniva assegnato il numero ASN 7224. Questi ASN sono noti come "ASN pubblici legacy".

D: È possibile utilizzare un qualsiasi numero ASN, pubblico o privato?

R: È possibile assegnare qualsiasi numero ASN privato al lato Amazon. Fino al 30 giugno 2018, è possibile assegnare uno degli "ASN pubblici legacy"; non è possibile assegnare altri numeri ASN pubblici. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Perché non è possibile assegnare un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

R: Non è Amazon a convalidare la proprietà dei numeri ASN, pertanto limita i numeri ASN lato Amazon ai numeri privati. Il nostro obiettivo è proteggere i clienti dallo spoofing BGP.

D: Quali numeri ASN è possibile scegliere?

R: È possibile scegliere qualsiasi numero ASN privato. Gli intervalli per i numeri ASN privati a 16 bit includono quelli tra 64512 e 65534. È anche possibile fornire numeri ASN a 32 bit tra 4200000000 e 4294967294.

Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno di default. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Cosa accade se viene assegnato un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

R: Al momento della creazione del gateway virtuale, verrà chiesto di inserire nuovamente un numero ASN privato, a meno che non si tratti del numero "ASN pubblico legacy" della regione.

D: Se non viene fornito un numero ASN per la parte relativa ad Amazon di una sessione BGP, quale numero ASN assegnerà Amazon?

R: Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Dove è possibile visualizzare il numero ASN lato Amazon?

R: È possibile visualizzare il numero ASN lato Amazon nella pagina del gateway virtuale nella console di VPC o richiamando l'API EC2/DescribeVpnGateways.

D: Se è disponibile un numero ASN pubblico, può essere utilizzato con un numero ASN privato lato AWS?

R: Sì, puoi configurare la sessione BGP lato Amazon con un numero ASN privato e il tuo lato con un numero ASN pubblico.

D: Dispongo di un'interfaccia virtuale privata già configurata e desidero impostare un numero ASN lato Amazon differente per la sessione BGP su un'interfaccia virtuale esistente. In che modo è possibile apportare questa modifica?

R: Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e creare una nuova interfaccia virtuale con tale gateway appena creato. Anche la configurazione del dispositivo dovrà essere modificata di conseguenza.

D: Dispongono di connessioni VPN già configurate e desidero modificarne il numero ASN lato Amazon per la sessione BGP di tali VPN. In che modo è possibile apportare questa modifica?

R: Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e ricreare le connessioni VPN tra i gateway del cliente e il nuovo gateway virtuale.

D: Dispongo già di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per il nuovo gateway virtuale privato, quale numero ASN sarà assegnato lato Amazon?

R: Amazon assegnerà il numero 64512 lato Amazon al nuovo gateway virtuale.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon. Desidero utilizzare lo stesso numero ASN pubblico assegnato da Amazon per una nuova interfaccia virtuale privata o una nuova connessione VPN. Come si fa?

R: È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway virtuale privato. Il gateway virtuale può essere creato utilizzando la console o una chiamata all'API EC2/CreateVpnGateway. Come menzionato in precedenza, fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per la nuova interfaccia virtuale privata o connessione VPN utilizzando lo stesso gateway virtuale, quale numero ASN sarà assegnato lato Amazon?

R: Amazon assegnerà alla nuova interfaccia virtuale o nuova connessione VPN il numero ASN 7224. Il numero ASN lato Amazon per la nuova interfaccia virtuale privata o connessione VPN viene ereditato dal gateway virtuale esistente ed è il numero ASN di default.

D: Desidero collegare diverse interfacce virtuali private a un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

R: No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, ma non per ciascuna interfaccia virtuale. Il numero ASN lato Amazon per le interfacce virtuali viene ereditato dal gateway virtuale collegato.

D: Desidero creare diverse connessioni VPN per un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

R: No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, non per ciascuna connessione VPN. Il numero ASN lato Amazon per le connessioni VPN viene ereditato dal gateway virtuale.

D: Dove è possibile selezionare un numero ASN personalizzato?

R: Al momento della creazione di un gateway virtuale nella console di VPC, deseleziona la casella che chiede se desideri ottenere un numero ASN della sessione BGP generato automaticamente da Amazon e indica un numero ASN privato per il lato Amazon della sessione BGP. Una volta configurato il gateway virtuale con un numero ASN lato Amazon, le interfacce private virtuali o le connessioni VPN create tramite il gateway utilizzeranno tale numero ASN.

D. Sto usando CloudHub. Sarà necessario aggiornare la configurazione in futuro?

R: No, non sarà necessario apportare alcuna modifica.

D: Desidero selezionare un numero ASN a 32 bit. Quali intervalli di ASN privati a 32 bit sono disponibili?

R: Sono supportati i numeri ASN a 32 bit compresi tra 4200000000 e 4294967294.

D: Una volta creato il gateway virtuale, è possibile modificare il numero ASN lato Amazon?

R: No, non è possibile modificare il numero ASN lato Amazon dopo la creazione del gateway. È possibile eliminare il gateway virtuale e ricrearne un nuovo con l'ASN desiderato.

D: È disponibile una nuova API per configurare o assegnare il numero ASN lato Amazon?

R: No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/CreateVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

D: È disponibile una nuova API per visualizzare il numero ASN lato Amazon?

R: No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/DescribeVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

D: Quali ASN posso utilizzare per configurare il mio gateway del cliente (CGW)?

R: si possono usare ASN nell'intervallo 1 - 2147483647 con le eccezioni annotate. Consulta la sezione opzioni di gateway del cliente per la tua connessione VPN sito-sito AWS della guida utente AWS VPN.   

D: Voglio usare ASN a 32 bit per il mio gateway del cliente. È supportato l’intervallo privato a 32 bit ASN?

R: Sì. Ricorda che l'ASN privato nell'intervallo (da 4200000000 a 4294967294) NON è attualmente supportato per la configurazione del gateway del cliente. Consulta la sezione Opzioni di gateway del cliente per la connessione VPN sito-sito AWS della guida per l'utente di AWS VPN.   

Ulteriori informazioni sui prezzi

Prezzi semplici, quindi è facile sapere cosa è giusto per te.

Ulteriori informazioni 
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Inizia subito nella console

Inizia a usare la VPN di AWS nella console AWS.

Inizia