Solução de problemas AWS Client VPN: as regras de autorização para grupos do Active Directory não funcionam conforme o esperado

Problema

Configurei regras de autorização para meus grupos do Active Directory, mas elas não estão funcionando como eu esperava. Eu adicionei uma regra de autorização 0.0.0.0/0 para autorizar o tráfego para todas as redes, mas o tráfego ainda falha no destino CIDRs específico.

Causa

As regras de autorização são indexadas na redeCIDRs. As regras de autorização devem conceder aos grupos do Active Directory acesso a uma rede específicaCIDRs. As regras de autorização para 0.0.0.0/0 são tratadas como um caso especial e, portanto, são avaliadas por último, independentemente da ordem na qual as regras de autorização são criadas.

Por exemplo, digamos que você crie cinco regras de autorização na seguinte ordem:

• Regra 1: acesso do grupo 1 a 10.1.0.0/16

• Regra 2: acesso do grupo 1 a 0.0.0.0/0

• Regra 3: acesso do grupo 2 a 0.0.0.0/0

• Regra 4: acesso do grupo 3 a 0.0.0.0/0

• Regra 5: acesso do grupo 2 a 172.131.0.0/16

Neste exemplo, a regra 2, a regra 3 e a regra 4 são avaliadas por último. O grupo 1 tem acesso somente a 10.1.0.0/16, e o grupo 2 tem acesso somente a 172.131.0.0/16. O grupo 3 não tem acesso a 10.1.0.0/16 ou a 172.131.0.0/16, mas tem acesso a todas as outras redes. Se você remover as regras 1 e 5, todos os três grupos terão acesso a todas as redes.

O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte Prioridade de rota no Guia VPC do usuário da Amazon para obter mais detalhes.

Solução

Verifique se você criou regras de autorização que concedam explicitamente aos grupos do Active Directory acesso a uma rede CIDRs específica. Se você adicionar uma regra de autorização para 0.0.0.0/0, tenha em mente que ela será avaliada por último e que as regras de autorização anteriores podem limitar as redes às quais ela concede acesso.