Risoluzione dei problemi AWS Client VPN: le regole di autorizzazione per i gruppi di Active Directory non funzionano come previsto

Problema

Ho configurato delle regole di autorizzazione per i gruppi di Active Directory, ma il funzionamento non è quello previsto. Ho aggiunto una regola di autorizzazione per 0.0.0.0/0 autorizzare il traffico per tutte le reti, ma il traffico continua a fallire per una destinazione specifica. CIDRs

Causa

Le regole di autorizzazione sono indicizzate sulla rete. CIDRs Le regole di autorizzazione devono concedere ai gruppi di Active Directory l'accesso a una rete specifica. CIDRs Le regole di autorizzazione per 0.0.0.0/0 vengono gestite come un caso speciale e pertanto valutate per ultime, a prescindere dal loro ordine di creazione.

Ad esempio, si supponga di creare cinque regole di autorizzazione nel seguente ordine:

• Regola 1: accesso del gruppo 1 a 10.1.0.0/16

• Regola 2: accesso del gruppo 1 a 0.0.0.0/0

• Regola 3: accesso del gruppo 2 a 0.0.0.0/0

• Regola 4: accesso del gruppo 3 a 0.0.0.0/0

• Regola 5: accesso del gruppo 2 a 172.131.0.0/16

In questo esempio, la regola 2, la regola 3 e la regola 4 vengono valutate per ultima. Il gruppo 1 può accedere solo a 10.1.0.0/16 e il gruppo 2 può accedere solo a 172.131.0.0/16. Il gruppo 3 non può accedere a 10.1.0.0/16 o 172.131.0.0/16, ma può accedere a tutte le altre reti. Se si rimuovono le regole 1 e 5, tutti e tre i gruppi possono accedere a tutte le reti.

Il client VPN utilizza la corrispondenza dei prefissi più lunga durante la valutazione delle regole di autorizzazione. Per maggiori dettagli, consulta Route priority nella Amazon VPC User Guide.

Soluzione

Verifica di creare regole di autorizzazione che consentano esplicitamente ai gruppi di Active Directory di accedere a una rete CIDRs specifica. Se si aggiunge una regola di autorizzazione per 0.0.0.0/0, tenere presente che verrà valutata per ultima e che le regole di autorizzazione precedenti potrebbero limitare le reti a cui viene concesso l'accesso.