Solução de problemas AWS Client VPN: regras de autorização para grupos do Active Directory não funcionando conforme esperado
Problema
Configurei regras de autorização para meus grupos do Active Directory, mas elas não estão funcionando como eu esperava. Adicionei uma regra de autorização para 0.0.0.0/0 para autorizar o tráfego para todas as redes, mas ainda há falha no tráfego para CIDRs de destino específicos.
Causa
As regras de autorização são indexadas em CIDRs de rede. As regras de autorização devem conceder aos grupos do Active Directory acesso a CIDRs de rede específicos. As regras de autorização para 0.0.0.0/0 são tratadas como um caso especial e, portanto, são avaliadas por último, independentemente da ordem na qual as regras de autorização são criadas.
Por exemplo, digamos que você crie cinco regras de autorização na seguinte ordem:
-
Regra 1: acesso do grupo 1 a
10.1.0.0/16 -
Regra 2: acesso do grupo 1 a
0.0.0.0/0 -
Regra 3: acesso do grupo 2 a
0.0.0.0/0 -
Regra 4: acesso do grupo 3 a
0.0.0.0/0 -
Regra 5: acesso do grupo 2 a
172.131.0.0/16
Neste exemplo, a regra 2, a regra 3 e a regra 4 são avaliadas por último. O grupo 1 tem acesso somente a 10.1.0.0/16, e o grupo 2 tem acesso somente a 172.131.0.0/16. O grupo 3 não tem acesso a 10.1.0.0/16 ou a 172.131.0.0/16, mas tem acesso a todas as outras redes. Se você remover as regras 1 e 5, todos os três grupos terão acesso a todas as redes.
O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte Prioridade de rota no Guia do usuário do Amazon VPC para obter mais detalhes.
Solução
Verifique se as regras de autorização criadas concedem explicitamente aos grupos do Active Directory acesso a CIDRs de rede específicos. Se você adicionar uma regra de autorização para 0.0.0.0/0, tenha em mente que ela será avaliada por último e que as regras de autorização anteriores podem limitar as redes às quais ela concede acesso.
