AWS 客户端 VPN 客户端 CIDR 范围的目的？

Question

最初是在 AWS 论坛上提出的，但我感觉我很长一段时间都不会收到回复，所以我也在这里提出了我的问题：

我最近根据本指南设置了一个客户端 VPN。 连接后，我能够成功访问互联网以及私有子网中的资源，因此此时我对所有部分如何组合在一起有了基本的了解，除了一个：客户端 CIDR 范围。 这个概念给我带来了很多麻烦，我认为它把构建时间延长了 2 天，因为我试图将它连接到客户端 VPN 涉及的其他概念。 但是当我不完全理解一件事时，它会困扰我，所以我有一些问题：

• 假设 Range 与目标网络不重叠，与它所在的 VPC 处于相同的 CIDR 范围是否会从中受益？ 为什么或者为什么不？
• 为什么 Range 需要大小为 /22，而目标网络可以小到 /27？ 这是否意味着由于给定子网中有可用地址，还有 2^5 个客户端可能正在尝试访问 VPC 中的资源？
• 在为私有子网设置安全组时，我注意到我必须使用基于目标子网客户端连接的 CIDR 范围的规则，而不是客户端 CIDR 范围 - 为什么会这样？

正如您可能从我的问题中看出的那样，我不是网络管理员。 我正在尝试了解那个世界，同时我正在尝试启动有用的基础设施。 我的猜测是这些问题的答案对于在该领域有经验的人来说是显而易见的，但我就是不明白。

Answer 1

以下是我的澄清尝试：

因此，该范围不应与 VPC CIDR 超网（以及 VPC 内的各个子网）重叠，否则您可能会遇到路由冲突。 所以我不确定你指的是什么？ 你能提供你的配置。

据我所知，/16 到 /22 范围只是一些不是技术限制的东西，可能是因为 AWS 没有机会添加一个功能来允许它有更多选择。 我假设你想要一个更小的范围？ 在 Azure P2S VPN 中，没有这样的限制 - 它们的最小池是 /29。

SG 直接应用于 EC2 等资源而不是 VPC，但在入站规则中，您可以直接指定 CIDR - 所以我不确定您指的是什么......您有可以分享的具体示例吗？