我把这个交叉发布到了 stackoverflowhttps://stackoverflow.com/questions/62585272/my-aws-vpn-setup-results-in-no-traffic-working-when-connecting希望找到解决方案...抱歉。
我已经为我们的 VPC 创建了 VPN,但是当我从我的机器连接到它时,什么都不起作用——既无法连接互联网,也无法访问 VPN 内部端点。
我在配置中添加了公共dns-servers和。split-tunnel=enabled
VPN 设置为
`Client IPv4 CIDR 10.10.0.0/16`
已添加关联(来自 AWS 控制台的行):
cvpn-assoc-<id> subnet-<id> cvpn-endpoint-<id>  Associated sg-<id>
有两个授权规则(一个允许一切,直到我让它工作)
路由表如下所示(通过 assoc 自动添加):
cvpn-endpoint-<id> 10.1.0.0/16 subnet-<id> Nat associate  Active Default Route
这个 RT 是唯一看起来奇怪的。在 VPC 中,子网的定义是10.1.0.0/24- 但自动关联将其设置为10.1.0.0/16。但实际上没有办法10.1.0.0/24在路由表中将其设置为 ,这样做会导致范围无效的错误。
我也尝试创建具有客户端 IP CIDR 的 VPC,10.10.0.0/24但是它错误地提示它至少必须是/22。
编辑:为了满足@ron-trunk 的要求,这里尝试绘制一个简单的“图表”。
VPC - 10.1.0.0/16
Subnet1 - 10.1.0.0/24 az-1
Subnet2 - 10.1.1.0/24 az-2
Subnet3 - 10.1.2.0/24 az-3
VPN-Subnet - 10.10.0.0/16` az-3 #must be at least /22
Association:
VPN-Subnet - Subnet1
Route table:
cvpn-endpoint-<id> 10.1.0.0/16 <Subnet1-id> Nat associate  Active Default Route #this is generated
VPC-IGW Attached
答案1
看来实际问题出在授权规则上。我设置了两个(如原始问题中所述),一个对所有人开放访问权限,另一个限制特定群组的访问权限10.1.0.0/24。
指定的组存在 - 但在 IAM 上。但是,描述提到了 IDP 和/或 Active Directory,但没有提到 IAM。
我必须假设限制到 IAM 组不受支持。一旦我删除该规则(我还错误地假设完全访问规则将覆盖此规则),事情就开始正常工作(至少我可以连接到我的机器。拆分隧道功能似乎无法正常工作,因为当 VPN 连接时,我的机器上的全球互联网流量不起作用 - 但这是另一个问题)。