Я перекрестил это с stackoverflow здесь https://stackoverflow.com/questions/62585272/my-aws-vpn-setup-results-in-no-traffic-working-when-connecting в надежде найти решение ... Извинения.
Я создал VPN для нашего VPC, но когда я подключаюсь к нему со своей машины, ничего не работает - ни Интернет, ни я не могу подключиться к внутренним конечным точкам VPN.
Я добавил общедоступные dns-servers и split-tunnel=enabled к конфигурации.
VPN настроен на
`Client IPv4 CIDR 10.10.0.0/16`
Добавлена ассоциация (строка из консоли AWS):
cvpn-assoc-<id> subnet-<id> cvpn-endpoint-<id>  Associated sg-<id>
Есть два правила авторизации (одно разрешает все, пока оно не заработает)
Таблица маршрутов выглядит так (была добавлена автоматически через ассоциированный объект):
cvpn-endpoint-<id> 10.1.0.0/16 subnet-<id> Nat associate  Active Default Route
Этот RT - единственное, что выглядит странно. В VPC подсеть имеет определение 10.1.0.0/24 - но автоматическая ассоциация устанавливает его на 10.1.0.0/16. Но на самом деле нет возможности установить его на 10.1.0.0/24 в таблице маршрутизации, это приведет к ошибке о недопустимом диапазоне.
Я также попытался создать VPC с клиентским IP CIDR 10.10.0.0/24 но затем он ошибался, говоря, что это должно быть по крайней мере /22.
EDIT: пытаясь выполнить запрос @ ron-trunk, вот попытка простой «диаграммы».
VPC - 10.1.0.0/16
Subnet1 - 10.1.0.0/24 az-1
Subnet2 - 10.1.1.0/24 az-2
Subnet3 - 10.1.2.0/24 az-3
VPN-Subnet - 10.10.0.0/16` az-3 #must be at least /22
Association:
VPN-Subnet - Subnet1
Route table:
cvpn-endpoint-<id> 10.1.0.0/16 <Subnet1-id> Nat associate  Active Default Route #this is generated
VPC-IGW Attached
Похоже, настоящая проблема была в правилах авторизации. Я установил два (как описано в исходном вопросе), один с открытым доступом для всех, а другой с ограничением для определенной группы на 10.1.0.0/24.
Указанная группа существует - но в IAM. Однако в описании что-то говорится об IDP и / или Active Directory, но не упоминается IAM.
Я должен предположить, что ограничение на группу IAM не поддерживается. Как только я удалил это правило (я также ошибочно предположил, что правило полного доступа переопределит это), все начало работать (по крайней мере, я могу подключиться к своим машинам. Функциональность разделенного туннеля, похоже, работает неправильно, в том, что мой глобальный интернет-трафик на моем компьютере не работает при подключении через VPN - но это уже другая проблема).