我的AWS设置导致连接时没有流量工作。

Question

我把它交叉到堆栈溢出这里，https://stackoverflow.com/questions/62585272/my-aws-vpn-setup-results-in-no-traffic-working-when-connecting希望找到一个解决方案.很抱歉。

我已经为我们的VPC创建了一个VPN，但是当我从我的机器连接到它时，没有什么工作--互联网也不能，也不能到达VPN--内部端点。

我在配置中添加了公共dns-servers和split-tunnel=enabled。

VPN设置为

`Client IPv4 CIDR 10.10.0.0/16`

添加了一个关联(来自AWS控制台的行)：

cvpn-assoc-<id>     subnet-<id>    cvpn-endpoint-<id>      Associated     sg-<id>

有两条授权规则(一条允许一切，直到我开始工作为止)

路由表如下(通过assoc自动添加)：

cvpn-endpoint-<id>  10.1.0.0/16 subnet-<id>  Nat      associate     Active      Default Route

这个RT是唯一看起来奇怪的东西。在VPC中，子网有10.1.0.0/24的定义，但是自动关联将它设置为10.1.0.0/16。但实际上无法将其设置为路由表中的10.1.0.0/24，这样做会导致范围无效的错误。

我还尝试用10.10.0.0/24的客户端IP CIDR创建VPC，但后来它犯了错误，说它至少必须是/22。

编辑:试着遵从“罗恩-躯干”S的要求，这里是一个简单的“图表”的尝试。

VPC           -     10.1.0.0/16
   Subnet1    -     10.1.0.0/24   az-1
   Subnet2    -     10.1.1.0/24   az-2
   Subnet3    -     10.1.2.0/24   az-3

   VPN-Subnet -     10.10.0.0/16` az-3  #must be at least /22

   Association: 
   VPN-Subnet - Subnet1

   Route table: 
   cvpn-endpoint-<id>    10.1.0.0/16    <Subnet1-id>  Nat      associate     Active      Default Route  #this is generated

   VPC-IGW    Attached

Answer 1

看起来真正的问题是授权规则。我设置了两个(正如在最初的问题中所描述的)，一个是对每个人开放的访问，另一个是对10.1.0.0/24上特定组的限制。

指定的组存在-但在IAM上。但是，描述中提到了一些关于IDP和/或Active Directory的内容，但没有提到IAM。

我必须假定，对IAM组的限制是不支持的。一旦我删除了这个规则(我也错误地认为完全访问规则会覆盖这个规则)，事情就开始工作了(至少我可以连接到我的机器上。分裂隧道功能似乎无法正常工作，因为当VPN连接时，我机器上的全球互联网流量无法工作--但这是另一个问题)。