AWS Client VPN Client CIDR范围的目的是什么？

Question

最初是问on the AWS forums，但我有一段时间没有回音，所以我也在这里提出问题：

我最近基于this guide建立了一个客户端VPN。连接后，我可以成功访问Internet以及专用子网中的资源，因此，到目前为止，我对所有部分如何组合在一起（除了一个）（客户端CIDR范围）基本了解。这个概念给我带来了很多麻烦，我认为它将构建时间延长了2天，因为我尝试将其连接到Client VPN涉及的其他概念时遇到了所有麻烦。但是当我对某件事不完全了解时，这会困扰我，所以我对此有一些疑问：

• 如果范围不与目标网络重叠，则范围与它所属的VPC处于相同的CIDR范围是否完全受益？为什么或为什么不？
• 为什么目标网络的范围必须小到/ 27，为什么Range的大小必须是/ 22？这是否意味着在给定子网中有可用地址的情况下，可能会有2 ^ 5个以上的客户端尝试访问VPC中的资源？
• 在为专用子网设置安全组时，我注意到我必须使用基于目标子网客户端连接的CIDR范围而不是客户端CIDR范围的规则-为什么？

您可能从我的问题中可以看出，我不是网络管理员。我试图同时理解这个世界，我试图建立有用的基础架构。我的猜测是，对于那些在该领域有经验的人来说，这些问题的答案是显而易见的，但是我只是不明白。

Answer 1

这是我要澄清的尝试：

因此，范围不应与VPC CIDR超级网络（以及VPC内的各个子网）重叠，否则您可能会遇到路由冲突。所以我不确定您指的是什么？您能提供您的配置吗？

据我所知，/ 16到/ 22范围并不是技术上的限制，可能是因为AWS尚未有机会添加一项功能，使其拥有更多选择。我假设您想要较小的范围？在Azure P2S VPN中，没有这样的限制-它们的最小池为/ 29。

SG直接应用于诸如EC2而不是VPC之类的资源，但是在入站规则中，您可以直接指定CIDR-所以我不确定您指的是什么...您是否可以共享特定示例？