November 2022
Autor:in des Beitrags
Bastian
IT-Architekt
LinkedIn
Veröffentlicht am
23.11.2022 von Bastian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
AWS Client VPN

Verbindungsaufbau steuern mit Lambda und Client Connection Handler

Als Client2Site VPN Service bietet AWS “Client VPN endpoints”, was unter der Haube ein OpenVPN ist.

Per Default, können sich alle User aus dem Active Directory verbinden, unabhängig einer Gruppenmitgliedschaft. Ist  für die Autorisation eine Gruppe angegeben, wird nur der Zugriff auf die Ressourcen hinter dem VPN verhindert – nicht aber die Verbindung zum VPN Server.

Das ist unschön!

Wir wollen als Lösung nur Benutzern mit der Mitgliedschaft in einer Active Directory Gruppe den Aufbau der VPN Verbindung ermöglichen. Dafür bietet AWS den Client Connect Handler. Dieser wird bei jedem VPN Verbindungaufbau kontaktiert.

Während des Verbindungsaufbaus führt der Client Connect Handler eine benutzerdefinierte Autorisierungslogik aus, nachdem der Client VPN-Service die Geräte (oder Benutzer) authentifiziert hat.

Durch eine AWS Lambda-Funktion wird der Handler implementiert und kann über die AWS-Konsole oder AWS CLI aktiviert werden.

Genug der Theorie, nun zum praktischen Teil 😉

los geht‘s

Bevor wir starten, benötigen wir ein gültiges Server Zertifikat, welches am besten in den AWS Certificates Manager importiert wird und den AWS Directory Service (AWS Managed Microsoft AD).

Und jetzt schauen wir uns Schritt-für-Schritt die nächsten Punkte an:

01 –Erstellen der AWS Lambda Function
02 – Anlegen des Client VPN Endpoints
03 – Die Target Network Associations und eine Autorisation Rule erstellen

 

01

WIR ERSTELLEN EINE AWS LAMBDA FUNCTION ALS „CLIENT CONNECT HANDLER“

Im ersten Schritt öffnen wir den AWS Lambda Service und erstellen uns per „CREATE FUNCTION“ eine neue Funktion.

Dafür benötigen wir folgende Basis Informationen. 

BASIC INFORMATION

Function name: Dieser muss beginnen mit: AWSClientVPN

Runtime: Python 3.9 

Und klicken auf „CREATE FUNCTION“. 

Jetzt werden wir zur Übersicht weitergeleitet, wo wir die Logik in der Lambda Function hinterlegen können. 

Dafür benutzen wir unseren Python Code:

[Code] 
#!/usr/bin/env python3 
import datetime 

vpn_group_sid = "S-1-5-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXX" 
def lambda_handler(event, context): 
  #print('## EVENT') 
  #print(event) 
  allow = False 
  error_msg = "You are not allowed to connect." 
  if 'groups' in event: 
    if vpn_group_sid in event['groups']: 
      allow = True 
  return { 
    "allow": allow, 
    "error-msg-on-failed-posture-compliance": error_msg, 
    "posture-compliance-statuses": [], 
    "schema-version": "v1" 
  } 
[/Code] 

TIPP: Die Meldung die der User zu sehen bekommt, wird als „error_msg“ von dem Connection Handler übergeben und kann hier in der Function leicht angepasst werden. 

 

Wir gehen wie beschrieben vor: 

  1. Code im Reiter lambda_function einfügen. 
  2. Deploy Button klicken. 
  3. Function publishen über die Auswahl: Actions – Publish new version. 

Die AWS Lambda Function wurde mit unserem Beispielcode erstellt und ist jetzt „scharf geschaltet“. 

 

02

WIR ERSTELLEN EIN CLIENT VPN

Im nächsten Schritt erstellen wir und das benötigte Client VPN. 

Dafür gehen wir zu dem entsprechenden AWS Service und erstellen einen neuen Client-VPN-Endpunkt. 

Jetzt benötigen wir das Server Zertifikat, wie in der Einleitung angesprochen, was im AWS Certificates Manager hinterlegt sein sollte.  

Du hast noch kein Zertifikat? Dann kannst Du dir z.B. mit easy-rsa relativ einfach eines erstellen.  

Im nächsten Schritt wählen wir bei den Authentication options die „User based authentication“ aus, was dazu führt, das wir die ID des AWS Directory Services angeben müssen. 

Zuletzt muss noch die Lambda Funktion die wir im ersten Schritt erstellt haben, als „Client connect Handler“ ausgewählt werden. 

 

03

TARGET NETWORK ASSOCIATIONS

Jetzt muss noch die Target Network Associations konfiguriert werden. 

Das sind die Subnetze in denen der VPN Client in das Ziel VPC kommt 

Ein Client VPN-Endpunkt benötigt mindestens eine Target Network Association, damit sich Clients damit verbinden und eine VPN-Verbindung herstellen können.  

AUTORISATION RULE

Jetzt noch eine Autorisation Rule, diese erlaubt es Benutzer auf eine Ressource (CIDR) zuzugreifen. 

Wir konfigurieren hier die SID einer Active Directory Gruppe (mit den VPN Users) hinterlegen. 

Die Konfiguration sollten nun bereit zum Testen sein.
Der Client kann unter AWS Client VPN Download | Amazon Web Services heruntergeladen.
Die Konfiguration unseres VPN kann in AWS Client VPN endpoints heruntergeladen werden. 

Nun noch unter DATEI > PROFILE verwalten das heruntergeladene Profil hinzufügen. 

Jetzt noch VERBINDEN klicken. 

User ohne Berechtigung werden nun auch direkt getrennt: 

fazit

Durch den „Client Connection Handler“ kann ein Benutzer mit fehlender Berechtigung nun keine VPN Verbindung mehr aufbauen und wird darüber auch entsprechend Informiert. 

Vereinfachen kann man den Aufbau natürlich auch, in dem ein Cloudformation Template (Stichwort: Infrastructure as Code) dafür erstellt wird, was die benötigten Parameter abfragt und alles „am Stück“ konfiguriert bzw. erstellt. 

Hier geht es zum Yaml-File

 

 

Das könnte dich auch interessieren

Zum Infohub
Blogbeitrag

Experts Live Germany 2026 in Leipzig: Provectus vor Ort – mit neuem Azure Managed Service.

Dann sehen wir uns am 03. März 2026 auf der EXPERTS LIVE GERMANY in Leipzig. Ein besonderes Highlight: Unser Vortrag “ 12.500 € Azure‑Kosten – und niemand merkt’s“
Weiterlesen
Blogbeitrag

Datenklassifizierung als Fundament für KI-Einsatz und Voraussetzung für NIS2, DORA & KRITIS

Datenklassifizierung ist die Basis für sichere, regelkonforme Datenverarbeitung und den sinnvollen Einsatz von KI – auch im Kontext von NIS2, DORA und KRITIS.
Weiterlesen
Webinar

12.500 € verbrannt und niemand merkt’s: So verhindern Managed Services Kostenfallen und Risiken

In diesem kostenlosen Webinar erfahren Sie, wie Azure-Kostenfallen entstehen, wie Fehlkonfigurationen frühzeitig erkannt werden und welche Betriebsstandards Managed Services dafür einsetzen.
Weiterlesen
Blogbeitrag

Datenstrategie und hohe Datenqualität: Der Schlüssel für KI, Automatisierungen & Compliance

Ohne Datenstrategie keine KI: Wie Unternehmen mit hoher Datenqualität, Governance und Datenhygiene Automatisierung ermöglichen und DSGVO, NIS2, DORA & KRITIS erfüllen.
Weiterlesen
Whitepaper

ROI messbar steigern mit M365 Copilot

Erfahren Sie, wie Sie den ROI von Microsoft Copilot berechnen und KI-Adoption in messbaren Business Value verwandeln.
Weiterlesen
Blogbeitrag

Microsoft 365: Schonfrist für abgelaufene Abonnements endet

Microsoft stellt das bisherige Modell für ablaufende Microsoft-365-Abonnements grundlegend um. Ab 01. April 2026 schafft der Konzern die bekannte kostenfreie Schonfrist ab und ersetzt sie durch ein neues Abrechnungsmodell.
Weiterlesen
Blogbeitrag

Provectus Microsoft Copilot Jumpstart: Ihre Vorteile

Provectus ist Microsoft Copilot & Agents at Work Jumpstart Ready Partner und gibt die Förderung direkt an Sie weiter. So ermöglichen wir unseren Kund:innen einen finanziell erleichterten Einstieg in Microsoft Copilot und KI-Agents.
Weiterlesen
Blogbeitrag

Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) veröffentlichen Bericht zur datenschutzkonformen Nutzung von Microsoft 365

Der HBDI bestätigt: Microsoft 365 kann unter bestimmten Bedingungen DSGVO-konform eingesetzt werden. Der Bericht ordnet rechtliche und technische Aspekte ein.
Weiterlesen
Blogbeitrag

Szenario: Teams-Bot greift im Benutzerkontext auf Azure Ressourcen zu 

Im Entwicklungsverlauf eines Teams–Bots zeigt sich folgendes Anforderungsszenario: Der Bot soll im Kontext der angemeldeten Person auf weitere Azure–Ressourcen zugreifen.
Weiterlesen
Blogbeitrag

Unser Start ins Trainee-Programm bei Provectus 

Unsere Trainees berichten von den ersten Monaten im Provectus-Traineeprogramm, geben Einblicke in Workshops, Lernphasen und den täglichen Einsatz von KI-Tools und zeigen, wie sie auf ihre Rolle als Junior Professionals vorbereitet werden.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024