VPN Gateway:SSL-VPN接続に関するFAQ

カテゴリ

原因

解決策

無効な設定

SSLサーバーまたはクライアントの設定が無効です。

1. クライアントが仮想プライベートクラウド (VPC) でアクセスする必要があるCIDRブロックが、Alibaba cloud側のSSLサーバーのローカルネットワークパラメーターで指定されているかどうかを確認します。 詳細については、「SSLサーバーの変更」をご参照ください。

2. クライアントのVPNアプリケーションが正しく設定されているかどうかを確認します。 詳細については、「クライアントの設定」をご参照ください。

期限切れのSSLクライアント証明書

SSLクライアント証明書が無効または期限切れです。

1. SSLクライアント証明書の有効期間を確認します。

   SSLクライアント証明書のデフォルトの有効期間は3年です。

2. 現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   2要素認証を有効または無効にするか、SSLサーバーの設定を変更した後、SSLクライアント証明書を再ダウンロードしてインストールする必要があります。 詳細については、「SSLクライアント証明書のダウンロード」をご参照ください。

過剰なクライアント接続

SSLサーバに接続されているクライアントの数が上限を超えています。

1. VPN gatewayに接続されているクライアントの数が上限を超えていないか確認します。

   • 上限を超える場合は、SSLサーバーがサポートする同時SSL接続の最大数を増やす必要があります。 詳細については、「同時SSL接続の最大数の変更」をご参照ください。

   • 上限を超えていても、SSLサーバーでサポートされている同時SSL接続の最大数を増やしたくない場合は、不要になったクライアントをSSLサーバーから切断することをお勧めします。 リソースは、クライアントをSSLサーバーから切断してから5分後にリリースされます。

     SSLクライアントに関する接続情報を表示する方法の詳細については、「SSLクライアントに関する情報の表示」をご参照ください。

2. SSLサーバーが使用するプロトコルをTCPに変更します。 次に、SSLクライアント証明書を再ダウンロードしてインストールします。 詳細については、「SSLサーバーの変更」および「SSLクライアント証明書のダウンロード」をご参照ください。

   これにより、UDPを使用して作成される信頼性の低い接続を防ぎ、TCPを使用して作成される信頼性の高い接続のクォータを保存します。

IPアドレスに関連する問題

VPC内のIPアドレスがクライアントのIPアドレスと競合します。

クライアントとのIPアドレスの競合を回避するために、SSLサーバーのローカルネットワーク (VPCまたはvSwitch CIDRブロック) またはクライアントサブネットパラメーターを変更します。 詳細については、「SSLサーバーの変更」をご参照ください。

SSLサーバーのClient CIDR blockパラメーターの値として、少数のIPアドレスしか含まないCIDRブロックを指定した場合、クライアントに割り当てることができるIPアドレスが不足します。

クライアントCIDRブロックによって提供されるIPアドレスの数が、SSL-VPN接続の数の4倍以上であることを確認してください。 詳細については、「SSLサーバーの作成と管理」をご参照ください。

たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初に、192.168.0.4/30などの192.168.0.0/24から30のサブネットマスクを持つサブネットCIDRブロックを分割します。 このサブネットは最大4つのIPアドレスを提供します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、クライアントにIPアドレスを確実に割り当てるには、クライアントCIDRブロック内のIPアドレスの数が、関連付けられているVPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認する必要があります。

VPNアプリケーションに関連する問題

クライアントでVPNアプリケーションの競合が発生します。

1. クライアントに複数のVPNアプリケーションがインストールされている場合は、1つのVPNアプリケーションのみを使用してSSL-VPN接続を作成することを推奨します。

2. クライアントを再起動するか、クライアントにVPNアプリケーションを再インストールします。 詳細については、「クライアントの設定」をご参照ください。

その他の原因

この問題は他の原因で発生します。

障害のあるSSL-VPN接続のログを確認し、問題をトラブルシューティングします。 詳細については、「SSL-VPN接続の問題のトラブルシューティング」をご参照ください。

カテゴリ

原因

解決策

不安定なインターネット接続

クライアントとVPNゲートウェイ間のインターネット接続が不安定です。

クライアントでpingまたはmtrコマンドを実行して、VPNゲートウェイのパブリックIPアドレスにアクセスし、インターネット接続の品質を確認します。

インターネット接続が不安定で、ネットワークの待ち時間が長く、パケット損失率が高い場合は、インターネットサービスプロバイダー (ISP) に連絡して問題のトラブルシューティングを支援してください。

米国 (シリコンバレー) とシンガポールのリージョン間の接続など、長距離のSSL-VPN接続を使用する場合、クライアントがVPCにアクセスすると、クライアントが断続的に切断されることがあります。

接続の信頼性を向上させるために、Alibaba Cloud側のSSLサーバーが使用するプロトコルをTCPに変更します。 詳細については、「SSLサーバーの変更」をご参照ください。

SSLサーバーが使用するプロトコルをTCPに変更しても問題が解決しない場合は、Cloud Enterprise Network (CEN) とSmart Access Gateway (SAG) を使用してクライアントをVPCに接続することを推奨します。

SSLサーバー構成の変更

SSLサーバーの設定が変更されているため、クライアントはSSLサーバーから切断されます。

SSLサーバーの設定を変更した後、クライアントをSSLサーバーに再接続します。

カテゴリ

原因

解決策

不安定なインターネット接続

米国 (シリコンバレー) とシンガポールのリージョン間の接続など、長距離のSSL-VPN接続を使用する場合、クライアントがVPCにアクセスすると、クライアントが断続的に切断されることがあります。

接続の信頼性を向上させるために、Alibaba Cloud側のSSLサーバーが使用するプロトコルをTCPに変更します。 詳細については、「SSLサーバーの変更」をご参照ください。

米国 (シリコンバレー) とシンガポール間の通信など、長距離通信にSSL-VPN接続を使用し、SSLサーバーで使用するプロトコルをTCPに変更しても接続の問題が解決しない場合は、Cloud Enterprise Network (CEN) とSmart Access Gatewayを使用してクライアントを仮想プライベートクラウド (VPC) に接続することを推奨します。

過剰なクライアント接続

SSLサーバに接続されているクライアントの数が上限を超えています。

1. VPN gatewayに接続されているクライアントの数が上限を超えていないか確認します。

   • 上限を超える場合は、SSLサーバーがサポートする同時SSL接続の最大数を増やす必要があります。 詳細については、「同時SSL接続の最大数の変更」をご参照ください。

   • 上限を超えていても、SSLサーバーでサポートされている同時SSL接続の最大数を増やしたくない場合は、不要になったクライアントをSSLサーバーから切断することをお勧めします。 リソースは、クライアントをSSLサーバーから切断してから5分後にリリースされます。

     SSLクライアントに関する接続情報を表示する方法の詳細については、「SSLクライアントに関する情報の表示」をご参照ください。

2. SSLサーバーが使用するプロトコルをTCPに変更します。 次に、SSLクライアント証明書を再ダウンロードしてインストールします。 詳細については、「SSLサーバーの変更」および「SSLクライアント証明書のダウンロード」をご参照ください。

   これにより、UDPを使用して作成される信頼性の低い接続を防ぎ、TCPを使用して作成される信頼性の高い接続のクォータを保存します。

クライアント例外

クライアントまたはクライアント上のVPNアプリケーションが期待どおりに実行されません。 その結果、クライアントはSSLサーバーから切断されます。

クライアントを再起動するか、VPNアプリケーションを再インストールして再構成します。 VPNアプリケーションのインストール方法と設定方法の詳細については、「クライアントの設定」をご参照ください。

時間同期の問題

クライアントとSSLサーバーの時間差により、SSL検証が失敗します。

クライアントとSSLサーバー間の時間差は10分を超えることはできません。 クライアントのシステム時刻を標準時刻に設定することを推奨します。

1. クライアントのシステム時間を確認します。

   この例ではLinuxが使用されています。 CLIでdateコマンドを実行して、クライアントのシステム時刻を確認します。 クライアントのシステム時間が標準時間と大きく異なる場合は、クライアントのシステム時間を調整します。

2. Network time Protocol (NTP) サービスの最新時刻を同期します。

   この例ではLinuxが使用されています。 CLIで次のコマンドを実行して、クライアントのシステム時間を同期します。

   yum install -y ntp    # Install the NTP service.
   ntpdate pool.ntp.org  # Synchronize the latest time.
   date # Check whether the system time of the client is synchronized.

原因

解決策

クライアントのネットワークアクセス制御リスト (ACL) は、pingパケットをブロックします。

クライアントのネットワークACLがpingパケットをブロックしているかどうかを確認します。 ネットワークACLがpingパケットをブロックする場合は、ネットワークACLを変更します。 詳細については、クライアントのユーザーガイドを参照してください。

デフォルトでは、Windowsクライアントのファイアウォールはpingパケットをブロックします。 ICMPv4-Inを有効にするには、ファイアウォールのインバウンドルールを設定する必要があります。

問題の内容

原因

解決策

VPCにはクライアントからのpingパケットでアクセスできますが、VPCからのpingパケットではクライアントにアクセスできません。

クライアントのネットワークACLがpingパケットをブロックします。

クライアントのネットワークACLがpingパケットをブロックしているかどうかを確認します。 ネットワークACLがpingパケットをブロックする場合は、ネットワークACLを変更します。 詳細については、クライアントのユーザーガイドを参照してください。

デフォルトでは、Windowsクライアントのファイアウォールはpingパケットをブロックします。 ICMPv4-Inを有効にするには、ファイアウォールのインバウンドルールを設定する必要があります。

クライアントにはVPCからのpingパケットでアクセスできますが、クライアントからのpingパケットではVPCにアクセスできません。

クライアントからVPCにpingパケットを送信するときにプローブされるパスは、VPCからクライアントにpingパケットを送信するときにプローブされるパスとは異なります。

1. CENを使用する場合は、クライアントとVPC間の各ノードのルート設定を確認します。 クライアントとVPCが同じパスを使用して相互に通信することを確認します。

2. ECS (Elastic Compute Service) インスタンスなど、VPC内のクライアントがアクセスするリソースにパブリックIPアドレスが割り当てられているかどうかを確認します。 リソースにパブリックIPアドレスが割り当てられ、クライアントもパブリックIPアドレスを使用する場合、VPCは内部ネットワークではなくインターネット経由でクライアントにアクセスできます。

原因

解決策

クライアント要求をDNSサーバーにルーティングするためのルートはクライアントに設定されていません。 その結果、ドメイン名を解決できません。

1. DNSサーバーのCIDRブロックがAlibaba Cloud上のSSLサーバーのLocal Networkパラメーターの値として指定されているかどうかを確認します。 これにより、クライアントはDNSサーバーを指すルートを学習できます。

   たとえば、Alibaba Cloud DNS PrivateZoneを使用してドメイン名を管理する場合、SSLサーバーのLocal Networkパラメーターの値として、100.100.2.136/32および100.100.2.138/32 CIDRブロックを指定できます。 このようにして、クライアントはドメイン名解決サービスを使用できます。

2. クライアントでpingまたはmtrコマンドを実行して、アプリケーションにアクセスします。 アプリケーションにアクセスできる場合、クライアントとSSLサーバーは期待どおりに実行され、ルートは有効です。 この場合、デプロイしたクラウドサービスとアプリケーションに基づいて問題をさらにトラブルシューティングする必要があります。

カテゴリ

原因

解決策

ルートの問題

SSLサーバーのローカルネットワークパラメーターが指定されていないか、パラメーターの値が無効です。

1. クライアントがアクセスする必要があるCIDRブロックが、Alibaba Cloud側のSSLサーバーのローカルネットワークパラメーターで指定されているかどうか、および設定が有効かどうかを確認します。 詳細については、「SSLサーバーの変更」をご参照ください。

2. クライアントがSSLサーバーのローカルネットワークパラメーターの値として指定されたCIDRブロックを指すルートを学習したかどうかを確認します。

   • Windowsクライアントの場合、CLIでipconfigコマンドを実行して、クライアントに割り当てられているIPアドレスを確認できます。 route printコマンドを実行して、クライアントがSSLサーバーのLocal Networkパラメーターの値として指定されたCIDRブロックを指すルートを学習したかどうかを確認できます。

   • Linuxクライアントの場合、CLIでifconfigコマンドを実行して、クライアントに割り当てられているIPアドレスを確認できます。 ip route show allコマンドを実行して、クライアントがSSLサーバーのLocal Networkパラメーターの値として指定されたCIDRブロックを指すルートを学習したかどうかを確認できます。

CIDRブロックの問題

SSLサーバーのLocal Networkパラメーターの値として指定されたCIDRブロックは、Client CIDR blockパラメーターの値として指定されたCIDRブロックと重複しています。

Alibaba Cloud側のSSLサーバーのLocal Networkパラメーターで指定されたCIDRブロックが、Client Subnetパラメーターで指定されたCIDRブロックと重複しているかどうかを確認します。 詳細については、「SSLサーバーの変更」をご参照ください。

SSLサーバーに関連付けられているVPNゲートウェイにIPsec-VPN接続が作成されます。 IPsec-VPN接続は、宛先CIDRブロックがSSLサーバーのClient Subnetパラメーターで指定されたCIDRブロックと重複するルートに関連付けられています。

IPsec-VPN接続に関連付けられているルートを特定のルートに変更するか、SSLサーバーのClient Subnetパラメーターを他のCIDRブロックに設定します。 これにより、ルートの宛先CIDRブロックが、SSLサーバーのClient Subnetパラメーターで指定されたCIDRブロックと重複しないようになります。 詳細については、「ポリシーベースのルートの変更」「宛先ベースのルートの変更」または「SSLサーバーの変更」をご参照ください。

セキュリティグループの問題

VPC内のアプリケーションのセキュリティグループルール、またはクライアントのネットワークACLにより、VPCとクライアントが相互に通信できなくなります。

1. VPC内のアプリケーションのセキュリティグループルールにより、VPCがクライアントと通信できるかどうかを確認します。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

2. クライアントのネットワークACLでVPCとの通信が許可されているかどうかを確認します。

VPNアプリケーションに関連する問題

古いまたは最近のOpenVPNバージョンがクライアントにインストールされている場合、互換性の問題が発生する可能性があります。 その結果、クライアントは、VPNゲートウェイによって送信された応答の受信または処理に失敗する可能性がある。

たとえば、OpenVPN 2.6.6がWindowsクライアントにインストールされている場合、クライアントは互換性の問題により、pingパケットをクラウドリソースに送信できません。

VPN Gatewayのドキュメントで提案されているOpenVPNバージョンを使用することを推奨します。 詳細については、「クライアントの設定」をご参照ください。

カテゴリ

原因

解決策

VPNゲートウェイ仕様の問題

データ転送中に突然のトラフィックサージが発生し、VPNゲートウェイの最大帯域幅を超えます。

VPN gatewayコンソールでVPN Gatewayのトラフィック監視情報を表示して、突然のトラフィック急増が発生していないかどうかを確認できます。

VPNゲートウェイをアップグレードできます

. 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。

SSLサーバー構成の問題

SSLサーバーは、信頼できないUDPを使用してクライアントへのSSL-VPN接続を確立します。

1. SSLサーバーが使用するプロトコルをTCPに変更します。 TCPはUDPよりも信頼性が高い。 詳細については、「SSLサーバーの変更」をご参照ください。

2. SSLクライアント証明書を再ダウンロードしてインストールします。 詳細については、「SSLクライアント証明書のダウンロード」および「VPCへのクライアントの接続」トピックの「手順4: クライアントの設定」セクションをご参照ください。

不安定なインターネット接続

クライアントとVPNゲートウェイ間のインターネット接続が不安定です。

クライアントでpingまたはmtrコマンドを実行して、VPNゲートウェイのパブリックIPアドレスにアクセスし、インターネット接続の品質を確認します。

インターネット接続が不安定な場合は、ISPに連絡して問題のトラブルシューティングを支援してください。

カテゴリ

原因

解決策

VPNゲートウェイ仕様の問題

データ転送中に突然のトラフィックサージが発生し、VPNゲートウェイの最大帯域幅を超えます。

VPN gatewayコンソールでVPN Gatewayのトラフィック監視情報を表示して、突然のトラフィック急増が発生していないかどうかを確認できます。

VPNゲートウェイをアップグレードできます

. 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。

低バージョンのVPN Gateway

以前のバージョンのVPN Gatewayの転送機能が要件を満たしていません。 VPNゲートウェイが大量のトラフィックを転送する必要がある場合、応答遅延が増加します。

VPNゲートウェイが2021 4月1日より前に作成された場合は、VPNゲートウェイをアップグレードします。 後のバージョンのVPN GatewayのSSL-VPN接続のパフォーマンスが向上します。 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。