1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你所看到的是预期的行为。
请参见下面的两个部分并从我分享的链接中查看样例。
注意事项
当评估授权规则时,客户端VPN使用“最长前缀匹配”。有关详细信息,请参见故障排除主题 Authorization rules for Active Directory groups not working as expected 和Amazon VPC用户指南中的路由优先级。
问题
我为我的Active Directory组配置了授权规则,但它们没有按照我的期望工作。我添加了一条针对0.0.0.0/0的授权规则,以授权所有网络的流量,但特定目标CIDR的流量仍然失败。
原因
授权规则在网络CIDR上进行索引。授权规则必须授予Active Directory组访问特定的网络CIDRs。对于0.0.0.0/0
的授权规则被处理为一种特殊情况,因此无论创建授权规则的顺序如何,它们都将最后进行评估。
例如,假设您按以下顺序创建了五条授权规则:
- 规则1:允许组1访问10.1.0.0/16
- 规则2: 允许组1访问0.0.0.0/0
- 规则3: 允许组2访问0.0.0.0/0
- 规则4: 允许组3访问0.0.0.0/0
- 规则5: 允许组2访问172.131.0.0/16
在此示例中,规则2、规则3和规则4最后才被评估。组1 仅能访问10.1.0.0/16,组2仅能访问172.131.0.0/16。组3不能访问10.1.0.0/16或172.131.0.0/16,但能访问这两个CIDR以外的网路。如果您移除规则1和规则5,则3个组均能访问所有网络。
解决方法:确保您创建的授权规则中显式允许了AD组访问特定网络CIDR。例如,如果您添加了允许访问0.0.0.0/0的规则,请留意这个规则的评估顺序在最后,在它之前的授权规则可能会决定AD组实际能访问的网络CIDR。
参考:https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前