Solución de problemas de AWS Client VPN: las reglas de autorización para grupos de Active Directory no funcionan de la forma prevista
Problema
He configurado reglas de autorización para mis grupos de Active Directory, pero no funcionan como esperaba. He agregado una regla de autorización para 0.0.0.0/0 para autorizar el tráfico para todas las redes, pero el tráfico sigue fallando para los CIDR con destinos específicos.
Causa
Las reglas de autorización se indexan en los CIDR de red. Las reglas de autorización deben conceder acceso a los grupos de Active Directory a CIDR de red específicos. Las reglas de autorización para 0.0.0.0/0 se tratan como un caso especial y, por lo tanto, se evalúan en último lugar, independientemente del orden en que se creen las reglas de autorización.
Por ejemplo, supongamos que crea cinco reglas de autorización en el siguiente orden:
-
Regla 1: Acceso del grupo 1 a
10.1.0.0/16 -
Regla 2: acceso del grupo 1 a
0.0.0.0/0 -
Regla 3: acceso del grupo 2 a
0.0.0.0/0 -
Regla 4: acceso del grupo 3 a
0.0.0.0/0 -
Regla 5: acceso del grupo 2 a
172.131.0.0/16
En este ejemplo, la regla 2, la regla 3 y la regla 4 se evalúan en último lugar. El Grupo 1 solo tiene acceso a 10.1.0.0/16 y el Grupo 2 solo tiene acceso a 172.131.0.0/16. El Grupo 3 no tiene acceso a 10.1.0.0/16 ni 172.131.0.0/16, pero tiene acceso a todas las demás redes. Si quita las reglas 1 y 5, los tres grupos tienen acceso a todas las redes.
Client VPN utiliza la coincidencia de prefijos más larga al evaluar las reglas de autorización. Consulte Prioridad de la ruta en la Guía del usuario de Amazon VPC para obtener más información.
Solución
Compruebe que las reglas de autorización que crea conceden explícitamente a los grupos de Active Directory acceso a CIDR de red específicos. Si agrega una regla de autorización para 0.0.0.0/0, tenga en cuenta que se evaluará en último lugar y que las reglas de autorización anteriores podrían limitar las redes a las que concede acceso.
