すべてのプロダクト
Search

このプロダクト

    VPN Gateway:SSL 接続に関するよくある質問

    ドキュメントセンター

    VPN Gateway:SSL 接続に関するよくある質問

    最終更新日:Mar 01, 2026

    SSL-VPN クライアントの接続失敗、トラフィック転送の問題、暗号化の動作に関する一般的な原因と解決策。

    接続の失敗

    SSL-VPN クライアントが接続に失敗するのはなぜですか?

    SSL サーバーまたはクライアントの設定が無効

    クライアントがアクセスする必要のある VPC CIDR ブロックが、SSL サーバーの [ローカルネットワーク] パラメーターにリストされていることを確認します。次に、クライアント上の VPN アプリケーションが正しく設定されていることを確認します。

    SSL クライアント証明書の期限切れまたは無効

    SSL クライアント証明書の有効期間はデフォルトで 3 年間です。証明書の有効期限が切れている場合は、すべての設定とともに削除し、再度ダウンロードしてインストールしてください。また、以下の操作を行った後も証明書を再ダウンロードしてください。

    • 二要素認証の有効化または無効化

    • SSL サーバー設定の変更

    詳細については、「SSL クライアント証明書のダウンロード」をご参照ください。

    同時接続数が多すぎる

    接続されているクライアントの数が VPN Gateway の上限を超えている可能性があります。

    • 上限を引き上げるには、「SSL 接続の最大同時接続数の変更」をご参照ください。

    • 接続を解放するには、アイドル状態のクライアントを切断します。リソースは切断後 5 分で解放されます。詳細については、「SSL クライアント情報の表示」をご参照ください。

    • SSL サーバーの [プロトコル][TCP] に切り替え、クライアント証明書を再ダウンロードしてインストールします。TCP 接続は UDP よりも信頼性が高く、信頼性の低い接続がクォータを消費するのを防ぎます。詳細については、「SSL サーバーの変更」をご参照ください。

    IP アドレスの競合

    VPC CIDR ブロックがクライアントのローカル IP アドレスと競合する場合、SSL サーバーの [ローカルネットワーク] (VPC または vSwitch の CIDR ブロック) または [クライアント CIDR ブロック] パラメーターを変更して、重複を解消します。詳細については、「SSL サーバーの変更」をご参照ください。

    クライアント CIDR ブロックのアドレス不足

    各 SSL 接続は 4 つの IP アドレスを消費します。システムは [クライアント CIDR ブロック] から /30 のサブネットを切り出します (例: 192.168.0.0/24 から 192.168.0.4/30)。1 つのアドレスはクライアントに割り当てられ、残りの 3 つはネットワーク通信をサポートします。[クライアント CIDR ブロック] は、VPN Gateway での SSL 接続の最大数の少なくとも 4 倍の IP アドレスを提供する必要があります。

    詳細については、「SSL サーバーの作成と管理」をご参照ください。

    VPN アプリケーションの競合

    クライアントに複数の VPN アプリケーションがインストールされている場合は、1 つだけを使用して SSL-VPN 接続を作成してください。クライアントを再起動するか、VPN アプリケーションを再インストールしてください。詳細については、「クライアントの設定」をご参照ください。

    その他の原因

    特定のエラーについては、SSL-VPN 接続ログを確認してください。詳細については、「SSL-VPN 接続問題のトラブルシューティング」をご参照ください。

    接続の安定性

    クライアントが SSL サーバーから定期的に切断されるのはなぜですか?

    不安定なインターネット接続

    クライアントから VPN Gateway のパブリック IP アドレスに対して ping または mtr を実行して、リンク品質を確認します。遅延が大きい場合やパケットがドロップしている場合は、ご利用のインターネットサービスプロバイダー (ISP) にお問い合わせください。

    米国 (シリコンバレー) とシンガポール間などの長距離接続では、UDP を使用すると断続的な切断がよく発生します。信頼性を高めるために、SSL サーバーの [プロトコル][TCP] に切り替えてください。詳細については、「SSL サーバーの変更」をご参照ください。

    TCP に切り替えても問題が解決しない場合は、Cloud Enterprise Network (CEN)Smart Access Gateway (SAG) を使用してクライアントを VPC に接続することを検討してください。

    SSL サーバーの設定変更

    SSL サーバーの設定を変更すると、すべてのクライアントが切断されます。変更が適用された後に再接続してください。

    一部のクライアントしか接続できないのはなぜですか?

    長距離または不安定な接続

    長距離 (例:米国シリコンバレーからシンガポール) で接続するクライアントは、UDP を使用すると切断される可能性が高くなります。SSL サーバーの [プロトコル][TCP] に切り替えてください。問題が解決しない場合は、CENSAG を検討してください。

    接続数の上限超過

    VPN Gateway が同時接続数の上限に達した場合、追加のクライアントは拒否されます。上限を引き上げるか、アイドル状態のクライアントを切断してください。リソースは切断後 5 分で解放されます。

    [プロトコル][TCP] に切り替えてクライアント証明書を再ダウンロードすると、信頼性の低い UDP 接続が信頼性の高い TCP 接続に置き換えられ、クォータが解放されます。詳細については、「SSL サーバーの変更」および「SSL クライアント証明書のダウンロード」をご参照ください。

    クライアントアプリケーションの問題

    接続に失敗したクライアントの VPN アプリケーションがクラッシュしたか、設定が誤っている可能性があります。クライアントを再起動するか、VPN アプリケーションを再インストールして再設定してください。詳細については、「クライアントの設定」をご参照ください。

    クロックのずれ

    クライアントと SSL サーバーの時刻差が 10 分を超えると、SSL 検証は失敗します。クライアントを Network Time Protocol (NTP) サーバーと同期させてください。

    Linux の場合:

    yum install -y ntp    # NTP サービスをインストールします。
ntpdate pool.ntp.org  # 時刻を同期します。
date                  # システム時刻を確認します。

    他のオペレーティングシステムでは、システムの日時設定を開き、時刻の自動同期を有効にしてください。

    接続性の問題

    クライアントは接続されていますが、VPC から ping を実行できません

    クライアントのファイアウォールまたはアクセス制御ポリシーが ICMP をブロックしている可能性があります。デフォルトでは、Windows のファイアウォールはインバウンドの ping リクエストをブロックします。Windows のインバウンドファイアウォールルールを変更して、[ICMPv4-In] を許可してください。他のオペレーティングシステムでは、クライアントのアクセス制御ポリシーが ICMP トラフィックを許可しているかどうかを確認してください。

    クライアントは接続されていますが、ping が一方向にしか機能しません

    クライアントは VPC に ping を実行できますが、VPC はクライアントに ping を実行できません

    クライアントのファイアウォールまたはアクセス制御ポリシーがインバウンド ICMP をブロックしています。Windows では、[ICMPv4-In] インバウンドルールを有効にしてください。他のシステムでは、クライアントのアクセス制御ポリシーを確認してください。

    VPC はクライアントに ping を実行できますが、クライアントは VPC に ping を実行できません

    往路と復路のパスが異なる可能性があります。以下の 2 つの原因を確認してください。

    1. CEN を使用している場合、クライアントと VPC 間の各ノードでのルート設定を確認してください。両方向とも同じパスをたどる必要があります。

    2. VPC 内のターゲットリソース (例:ECS インスタンス) にパブリック IP アドレスがあるかどうかを確認してください。リソースとクライアントの両方にパブリック IP がある場合、VPC は VPN トンネルではなくインターネット経由でトラフィックをルーティングする可能性があります。

    クライアントは接続されていますが、ドメイン名を解決したり、アプリケーションにアクセスしたりできません

    クライアントに DNS サーバーへのルートがない可能性があります。

    1. DNS サーバーの CIDR ブロックを SSL サーバーの [ローカルネットワーク] パラメーターに追加します。たとえば、Alibaba Cloud DNS PrivateZone を使用している場合は、100.100.2.136/32100.100.2.138/32[ローカルネットワーク] に追加します。

    2. クライアントから宛先アプリケーションに対して ping または mtr を実行します。IP でアプリケーションに到達できる場合、SSL-VPN トンネルは機能しており、問題は DNS のみです。

    詳細については、「SSL サーバーの変更」をご参照ください。

    クライアントは接続されていますが、クラウドリソースにアクセスできません

    ローカルネットワーク設定の欠落または誤り

    クライアントがアクセスする必要のある CIDR ブロックが、SSL サーバーの [ローカルネットワーク] パラメーターにリストされていることを確認します。次に、クライアントが対応するルートを学習したことを確認します。

    Windows の場合:

    ipconfig          REM クライアントに割り当てられた IP アドレスを表示します。
route print       REM クライアントがローカルネットワークのルートを受信したかどうかを確認します。

    Linux の場合:

    ifconfig          # クライアントに割り当てられた IP アドレスを表示します。
ip route show all # クライアントがローカルネットワークのルートを受信したかどうかを確認します。

    詳細については、「SSL サーバーの変更」をご参照ください。

    ローカルネットワークとクライアント CIDR ブロックの重複

    [ローカルネットワーク] パラメーターの CIDR ブロックが [クライアント CIDR ブロック] パラメーターと重複している場合、トラフィックは正しくルーティングされません。どちらかのパラメーターを調整して重複を解消してください。

    IPsec-VPN ルートの競合

    同じ VPN Gateway 上の IPsec-VPN 接続に、宛先 CIDR ブロックが SSL サーバーの [クライアント CIDR ブロック] と重複するルートがある場合、トラフィックは誤ってルーティングされます。IPsec-VPN ルートをより具体的なルートに変更するか、[クライアント CIDR ブロック] を重複しない範囲に変更してください。

    セキュリティグループまたはネットワーク ACL によるトラフィックのブロック

    VPC 内のターゲットリソース (例:ECS インスタンス) のセキュリティグループルールを確認してください。ルールはクライアント CIDR ブロックからのトラフィックを許可する必要があります。また、クライアント側のネットワーク ACL も確認してください。

    OpenVPN のバージョン互換性

    古いまたは非常に新しい OpenVPN バージョンは、互換性の問題を引き起こす可能性があります。たとえば、Windows 上の OpenVPN 2.6.6 では、クライアントがクラウドリソースに ping を実行できなくなる場合があります。VPN Gateway ドキュメントで推奨されている OpenVPN バージョンを使用してください。詳細については、「クライアントの設定」をご参照ください。

    パフォーマンスの問題

    クライアントは接続されていますが、パケット損失が発生します

    VPN Gateway の帯域幅超過

    トラフィックが急増すると、VPN Gateway の帯域幅を超える可能性があります。VPN Gateway コンソールでトラフィックのモニタリングデータを確認してください。帯域幅が継続的に上限に達している場合は、VPN Gateway をスペックアップしてください。詳細については、「VPN Gateway のスペックアップまたはスペックダウン」をご参照ください。

    UDP プロトコルの信頼性の低さ

    UDP は配信を保証しません。信頼性の高い転送のために、SSL サーバーの [プロトコル][TCP] に切り替え、SSL クライアント証明書を再ダウンロードしてインストールしてください。

    不安定なインターネット接続

    クライアントから VPN Gateway のパブリック IP アドレスに対して ping または mtr を実行します。リンクが不安定な場合は、ご利用の ISP にお問い合わせください。

    クライアントは接続されていますが、遅延が大きいです

    VPN Gateway の帯域幅超過

    VPN Gateway コンソールのトラフィックモニタリングデータを確認します。トラフィックの急増がゲートウェイの帯域幅を超える場合、VPN Gateway をスペックアップするか、必要があります。詳細については、「VPN ゲートウェイのスペックアップまたはスペックダウン」をご参照ください。

    古い VPN Gateway バージョン

    2021 年 4 月 1 日より前に作成された VPN Gateway は、転送パフォーマンスが低くなっています。トラフィックが多い状況では遅延が増加します。SSL-VPN パフォーマンスが向上した新しいバージョンにスペックアップしてください。詳細については、「SSL-VPN 用の VPN ゲートウェイのスペックアップ」をご参照ください。

    暗号化とセキュリティ

    SSL-VPN 接続で、指定したものとは異なる暗号化アルゴリズムが使用されるのはなぜですか?

    これは、Negotiable Crypto Parameters (NCP) モードがアクティブな場合に想定される動作です。

    Alibaba Cloud の SSL サーバーと OpenVPN 2.4.0 以降の両方で、NCP はデフォルトで有効になっています。接続設定中、クライアントとサーバーは ncp_ciphers リストから最も安全なアルゴリズムをネゴシエートし、SSL サーバーに手動で指定したアルゴリズムは無視します。

    OpenVPN 2.4.0 以降では、デフォルトの ncp_ciphers リストに AES-256-GCM と AES-128-GCM が含まれています。接続ログでネゴシエートされたアルゴリズムを確認してください。

    Data Channel: using negotiated cipher 'AES-256-GCM'

    クライアントが OpenVPN 2.4.0 より前のバージョンを実行しており、NCP をサポートしていない場合、SSL サーバーは指定したアルゴリズムにフォールバックします。

    推奨事項: OpenVPN 2.4.0 以降を使用すると、サーバーが利用可能な最も強力な暗号を動的にネゴシエートできます。

    説明

    クライアントが Tunnelblick を使用している場合、SSL サーバーは常に暗号化アルゴリズムを動的にネゴシエートします。SSL サーバーに指定したアルゴリズムは有効になりません。

    別の Alibaba Cloud アカウントの IDaaS インスタンスを二要素認証に使用できますか?

    いいえ。IDaaS インスタンスは、ご自身の Alibaba Cloud アカウントに属している必要があります。

    関連トピック