Solución de problemas AWS Client VPN: las reglas de autorización para los grupos de Active Directory no funcionan según lo esperado

Problema

He configurado reglas de autorización para mis grupos de Active Directory, pero no funcionan como esperaba. He agregado una regla de autorización 0.0.0.0/0 para autorizar el tráfico en todas las redes, pero el tráfico sigue fallando en un destino CIDRs específico.

Causa

Las reglas de autorización están indexadas en la redCIDRs. Las reglas de autorización deben conceder a los grupos de Active Directory el acceso a una red CIDRs específica. Las reglas de autorización para 0.0.0.0/0 se tratan como un caso especial y, por lo tanto, se evalúan en último lugar, independientemente del orden en que se creen las reglas de autorización.

Por ejemplo, supongamos que crea cinco reglas de autorización en el siguiente orden:

En este ejemplo, la regla 2, la regla 3 y la regla 4 se evalúan en último lugar. El Grupo 1 solo tiene acceso a 10.1.0.0/16 y el Grupo 2 solo tiene acceso a 172.131.0.0/16. El Grupo 3 no tiene acceso a 10.1.0.0/16 ni 172.131.0.0/16, pero tiene acceso a todas las demás redes. Si quita las reglas 1 y 5, los tres grupos tienen acceso a todas las redes.

El cliente VPN utiliza la coincidencia de prefijos más largos al evaluar las reglas de autorización. Consulta Prioridad de ruta en la Guía del VPC usuario de Amazon para obtener más información.

Solución

Compruebe que ha creado reglas de autorización que concedan explícitamente a los grupos de Active Directory el acceso a una red específicaCIDRs. Si agrega una regla de autorización para 0.0.0.0/0, tenga en cuenta que se evaluará en último lugar y que las reglas de autorización anteriores podrían limitar las redes a las que concede acceso.