疑難排解 AWS Client VPN：使用中目錄群組的授權規則未如預期般運作

問題

我已為我的 Active Directory 群組設定授權規則，但它們並未如預期般運作。我已經添加了授權規則0.0.0.0/0來授權所有網絡的流量，但是特定目的地的流量仍然失敗CIDRs。

原因

授權規則會在網路上建立索引CIDRs。授權規則必須將特定網路的存取權授與 Active Directory 群組CIDRs。0.0.0.0/0 的授權規則會視為特殊情況來處理，因此不論建立授權規則的順序為何，都會最後才評估。

例如，假設您以下列順序建立五個授權規則：

• 規則 1：群組 1 可存取 10.1.0.0/16

• 規則 2：群組 1 可存取 0.0.0.0/0

• 規則 3：群組 2 可存取 0.0.0.0/0

• 規則 4：群組 3 可存取 0.0.0.0/0

• 規則 5：群組 2 可存取 172.131.0.0/16

在此範例中，最後評估規則 2、規則 3 和規則 4。群組 1 僅具有 10.1.0.0/16 的存取權，而群組 2 僅具有 172.131.0.0/16 的存取權。群組 3 沒有 10.1.0.0/16 或 172.131.0.0/16 的存取權，但它可以存取所有其他網路。如果您移除規則 1 和 5，則所有三個群組都可以存取所有網路。

客戶端在評估授權規則時VPN使用最長的前綴匹配。有關更多詳細信息，請參閱 Amazon VPC 用戶指南中的路線優先級。

解決方案

確認您已建立明確授與特定網路的 Active Directory 群組存取權的授權規則CIDRs。如果您新增 0.0.0.0/0 的授權規則，請記住此規則將最後評估，而前面的授權規則可能會限制其授與存取權的網路。