VPN Gateway:SSL-VPN接続の問題のトラブルシューティング

オペレーティングシステム

SSL-VPNクライアントのログファイルのデフォルトディレクトリ

OpenVPNがインストールされたLinuxクライアント

/var/log/openvpn.log

OpenVPNがインストールされているWindowsクライアント

デフォルトでは、ログファイルはOpenVPNがインストールされているディレクトリのlogフォルダに保存されます。

例: C:\Users\User\OpenVPN\log

TunnelblickがインストールされたmacOSクライアント

/ライブラリ /アプリケーションサポート /Tunnelblick /ログ

OpenVPNがインストールされているmacOSクライアント

/ライブラリ /アプリケーションサポート /OpenVPN/log/connection_name.log

カテゴリ

原因

キーワード

トラブルシューティング方法

ネットワーク接続の障害

ネットワーク通信が異常です。

• ネットワークに到達できない

• TLSエラー: TLSキーネゴシエーションが60秒以内に発生しませんでした (ネットワーク接続を確認してください)

• TLSエラー: TLSハンドシェイクに失敗しました

1. クライアントでpingまたはmtrコマンドを実行して、VPNゲートウェイのパブリックIPアドレスにアクセスし、インターネット接続の品質を確認します。

   • ネットワークの待ち時間が長い、パケットの損失が多いなどの理由でインターネット接続が不十分な場合は、インターネットサービスプロバイダー (ISP) に連絡して問題のトラブルシューティングを支援してください。

   • ネットワーク接続が正常な場合は、クライアントに関する接続情報がSSLサーバーのログにあるかどうかを確認します。

     クライアントの接続情報が見つからない場合は、SSLサーバーが使用するポートを変更し、SSLクライアント証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

2. 信頼性を高めるため、SSLサーバーで使用するプロトコルをTCPに変更します。

   米国 (シリコンバレー) とシンガポール間の通信など、長距離通信にSSL-VPN接続を使用し、SSLサーバーで使用するプロトコルをTCPに変更しても接続の問題が解決しない場合は、Cloud Enterprise Network (CEN) とSmart Access Gatewayを使用してクライアントを仮想プライベートクラウド (VPC) に接続することを推奨します。

3. クライアントに複数のVPNアプリケーションがインストールされている場合は、1つのVPNアプリケーションのみを使用してSSL-VPN接続を作成することを推奨します。

4. クライアントを再起動するか、クライアントにVPNアプリケーションを再インストールします。

プロトコルまたはポート番号の不一致

クライアントとSSL-VPNサーバは、異なるプロトコルまたはポートを使用する。

• 管理:> 状態: 1676379239、TCP_CONNECT ,,,,,,,

• TCP: connect to [AF_INET]*.*.*.*:1194失敗: 不明なエラー

SSLサーバーのプロトコルとポートを変更し、SSLクライアント証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

過剰な接続

SSL-VPN接続数が上限を超えています。

管理:> 州: 1676370715、待機 ,,,,,,

1. VPN gatewayに接続するSSLクライアントの数が上限を超えていないか確認してください。

   • 上限を超える場合は、VPN gatewayでサポートされている最大接続数を増やします。

   • 上限を超えていても接続上限を引き上げたくない場合は、不要になったクライアントを切断することを推奨します。 リソースは、クライアントを切断してから5分後にリリースされます。

2. SSLサーバーのプロトコルをTCPに変更し、SSLクライアント証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   これにより、信頼できないUDP接続が接続クォータを占有するのを防ぎます。 さらに、TCP接続はより信頼性があります。

証明書の有効期限

SSLクライアント証明書の有効期限が切れています。

VERIFY ERROR: 証明書の有効期限が切れました

1. SSLクライアント証明書の有効期間を確認します。

   SSLクライアント証明書のデフォルトの有効期間は3年です。

2. 現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   2要素認証を有効または無効にするか、SSLサーバーの設定を変更した後、SSLクライアント証明書を再ダウンロードしてインストールする必要があります。

証明書設定エラー

証明書の設定が無効です。

• オプションエラー: -- caは 'ca.crt' で失敗します: そのようなファイルまたはディレクトリはありません (errno=2)

• オプションエラー: -- certが 'vsc-****.crt' で失敗する: そのようなファイルまたはディレクトリはありません (errno=2)

• 警告: cannot stat file 'vsc-****.key': そのようなファイルまたはディレクトリはありません (errno=2)

• オプションエラー: -- keyが 'vsc-****.key' で失敗する

• オプションエラー: これらのエラーを修正してください。

現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

互換性のないVPNアプリケーションのバージョン

クライアントにインストールされているVPNアプリケーションのバージョンがAlibaba Cloud SSLサーバーと互換性がありません。

• データチャネルオフロードはDATA_V1パケットをサポートしません

• サーバーをアップグレードする

• 提案するサーバーバージョンへのアップグレード

クライアントにインストールされている既存のVPNアプリケーションを削除し、SSLサーバーと互換性のあるVPNアプリケーションをダウンロードします。 詳細については、「クライアントをVPCに接続する」トピックの「手順4: クライアントの設定」をご参照ください。

IPアドレス不足

SSLサーバーで設定されたクライアントCIDRブロックは、十分なIPアドレスを提供できません。

OpenVPNには -- routeオプションのゲートウェイパラメータが必要で、-- route-gatewayまたは -- ifconfigオプションでデフォルトが指定されていません

クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認します。 詳細については、「SSL サーバーの作成」をご参照ください。

たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初に、192.168.0.4/30などの192.168.0.0/24から30のサブネットマスクを持つサブネットCIDRブロックを分割します。 このサブネットは最大4つのIPアドレスを提供します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、クライアントにIPアドレスを確実に割り当てるには、クライアントCIDRブロック内のIPアドレスの数が、関連付けられているVPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認する必要があります。

暗号化アルゴリズムの不一致

SSLサーバーとクライアントは異なるTLS暗号スイートを使用し、一致する暗号化アルゴリズムは見つかりません。

• TLSエラー: サーバーにはクライアントと共通のTLS暗号スイートがありません。 -- tls-cipherの設定は制限が強すぎる可能性があります。

• OpenSSL: エラー: 1408A0C1:SSLルーチン: ssl3_get_client_hello: 共有暗号なし

クライアントにVPN Gatewayが推奨するVPNアプリケーションをインストールします。 詳細については、「クライアントをVPCに接続する」トピックの「手順4: クライアントの設定」をご参照ください。

一貫性のない暗号化アルゴリズム

SSLサーバーとクライアントの暗号化アルゴリズムの設定に一貫性がありません。

パケットエラーの認証 /復号化: cipher final failed

クライアントにインストールされているSSLクライアント証明書の暗号化アルゴリズムがSSLサーバーの暗号化アルゴリズムと一致しているかどうかを確認します。

暗号化アルゴリズムに矛盾がある場合は、現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

• SSLクライアント証明書の暗号化アルゴリズムは、config.ovpnファイルのcipherフィールドで指定します。

• SSLサーバーの暗号化アルゴリズムを表示するには、次の操作を実行します。VPN GatewayコンソールのSSLサーバーページに移動します。 管理するSSLサーバーを見つけます。 操作 列の 詳細 をクリックします。 SSLサーバーの詳細ページで、暗号化アルゴリズムを表示します。

パケットIDの競合

ネットワーク接続が不安定であるか、SSLサーバーの暗号化アルゴリズムがnoneに設定されています。

パケットエラーの認証 /復号化: 不正なパケットID (リプレイの可能性があります)

1. 信頼性を高めるため、SSLサーバーで使用するプロトコルをTCPに変更します。

2. SSLサーバーの暗号化アルゴリズムがnoneに設定されているかどうかを確認します。 SSLサーバーの暗号化アルゴリズムがnoneに設定されている場合、暗号化アルゴリズムパラメーターをAES-128-CBC、AES-192-CBC、またはAES-256-CBCに設定することを推奨します。

3. SSLサーバーの設定を変更した後、現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

時間同期の問題

SSL検証が失敗するか、クライアントとSSLサーバーの時間差が10分を超えています。

• OpenSSL: エラー: 1416F086:SSLルーチン: tls_process_server_certificate:certificate verify failed

• TLS_ERROR: BIO read tls_read_plaintexエラー

• TLSエラー: TLSオブジェクト-> 受信プレーンテキスト読み取りエラー

• TLSエラー: TLSハンドシェイクに失敗しました

1. クライアントとSSLサーバー間の時間差は10分を超えることはできません。 クライアント時刻を標準時刻に設定することを推奨します。

2. SSLクライアント証明書の有効期間を確認します。

   SSLクライアント証明書のデフォルトの有効期間は3年です。

証明書の検証失敗

SSL証明書の検証に失敗します。

サーバー証明書の検証方法が有効になっていません

1. SSLクライアント証明書の有効期間を確認します。

   SSLクライアント証明書のデフォルトの有効期間は3年です。

2. 現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   2要素認証を有効または無効にするか、SSLサーバーの設定を変更した後、SSLクライアント証明書を再ダウンロードしてインストールする必要があります。

二要素認証の失敗

2要素認証は失敗します。

• AUTH: Received control message: AUTH_FAILED

• TCP/UDP: クローズソケット

• SIGUSR1[soft,auth-failure] 受信、プロセス再起動

• 管理:> 州: 1676381342、再接続、認証-失敗 ,,,,,

1. 入力したユーザー名とパスワードが有効かどうかを確認します。

2. アカウントがIdentity as a Service (IDaaS) インスタンスで設定されているか、IDaaSインスタンスによってアカウントが無効になっているか、IDaaSインスタンスの有効期限が切れているかを確認します。 詳細については、「」をご参照ください。IDaaSとは

   問題がIDaaSインスタンスに起因しない場合は、別のアカウントを使用してサービスに接続します。

3. 現在のSSLクライアント証明書とすべての設定を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   2要素認証を有効または無効にするか、SSLサーバーの設定を変更した後、SSLクライアント証明書を再ダウンロードしてインストールする必要があります。

テストアクセスポート (TAP) がありません

クライアントにはTAP仮想イーサネットアダプタがありません。

• このシステムにはTAP-Windowsアダプタはありません。 TAPを作成できるはずです

• TAPデバイスでCreateFileが失敗しました

• このシステムのすべてのTAP-Win32アダプタが現在使用されています

1. OpenVPNのインストール時に [TAP Virtual Ethernet Adapter] を選択するかどうかを確認します。

   OpenVPNのインストール時にオプションを選択しなかった場合は、TAP仮想イーサネットアダプターを作成するか、OpenVPNを再インストールする必要があります。

2. OpenVPNを閉じます。 次に、管理者としてOpenVPNを実行します。

無効化されたovpnagentプログラム

macOSクライアントのovpnagentプログラムが実行されていません。

トランスポートエラー: socket_protectエラー

1. クライアントのCLIを使用して次のコマンドを実行し、ovpnagentプログラムを起動します。

   /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

2. macOSクライアントを使用する場合は、Tunnelblickを使用してSSL-VPN接続を作成することを推奨します。

頻繁なクライアント再接続

クライアントは自動的にサーバーに再接続します。

• 接続リセット、再起動 [-1]SIGUSR1 [ソフト、接続リセット] 受信、クライアントインスタンスの再起動

• TCP/UDP: クローズソケット

1. ログに表示された時点でクライアントが再起動または再接続するかどうかを確認します。

2. SSLクライアント証明書の有効期間を確認します。

   SSLクライアント証明書のデフォルトの有効期間は3年です。

3. クライアントのシステム時間を確認します。

   クライアントとSSLサーバー間の時間差は10分を超えることはできません。 クライアント時刻を標準時刻に設定することを推奨します。