Problembehandlung AWS Client VPN: Autorisierungsregeln für Active Directory-Gruppen funktionieren nicht wie erwartet

Problem

Ich habe Autorisierungsregeln für meine Active Directory-Gruppen konfiguriert, aber sie funktionieren nicht wie erwartet. Ich habe eine Autorisierungsregel hinzugefügt0.0.0.0/0, um den Datenverkehr für alle Netzwerke zu autorisieren, aber der Datenverkehr schlägt für ein bestimmtes Ziel CIDRs immer noch fehl.

Ursache

Autorisierungsregeln werden im Netzwerk indexiert. CIDRs Autorisierungsregeln müssen Active Directory-Gruppen Zugriff auf ein bestimmtes Netzwerk CIDRs gewähren. Autorisierungsregelnn für 0.0.0.0/0 werden als Sonderfall behandelt und daher als letzte ausgewertet, unabhängig von der Reihenfolge, in der die Autorisierungsregelnn erstellt werden.

Angenommen, Sie erstellen drei Autorisierungsregeln in der folgenden Reihenfolge:

• Regel 1: Zugriff Gruppe 1 auf 10.1.0.0/16

• Regel 2: Zugriff Gruppe 1 auf 0.0.0.0/0

• Regel 3: Zugriff Gruppe 2 auf 0.0.0.0/0

• Regel 4: Zugriff Gruppe 3 auf 0.0.0.0/0

• Regel 5: Zugriff Gruppe 2 auf 172.131.0.0/16

In diesem Beispiel werden Regel 2, Regel 3 und Regel 4 zuletzt ausgewertet. Gruppe 1 hat nur Zugriff auf 10.1.0.0/16. Gruppe 2 hat nur Zugriff auf 172.131.0.0/16. Gruppe 3 hat keinen Zugriff auf 10.1.0.0/16 oder 172.131.0.0/16, aber sie hat Zugriff auf alle anderen Netzwerke. Wenn Sie Regel 1 und 5 entfernen, haben alle drei Gruppen Zugriff auf alle Netzwerke.

Der Client VPN verwendet bei der Auswertung der Autorisierungsregeln die längste Präfixübereinstimmung. Weitere Informationen finden Sie unter Routenpriorität im VPCAmazon-Benutzerhandbuch.

Lösung

Stellen Sie sicher, dass Sie Autorisierungsregeln erstellen, die Active Directory-Gruppen explizit Zugriff auf ein bestimmtes Netzwerk gewährenCIDRs. Wenn Sie eine Autorisierungsregel für 0.0.0.0/0 hinzufügen, denken Sie daran, dass diese zuletzt ausgewertet wird und dass vorherige Autorisierungsregeln die Netzwerke, auf die sie Zugriff gewährt, einschränken können.