VPN Gateway：SSL-VPN串連常見問題

原因分類

原因

解決方案

配置錯誤

SSL服務端或用戶端配置錯誤。

1. 請排查阿里雲側SSL服務端本地網段的配置，確保VPC中需被訪問的網段已添加在本地網段中。具體操作，請參見修改SSL服務端。

2. 請排查用戶端VPN軟體的配置是否正確。關於如何配置用戶端，請參見配置用戶端。

SSL用戶端認證到期

SSL用戶端認證到期或無效。

1. 請排查SSL用戶端認證的有效性。

   SSL用戶端認證預設有效期間為3年。

2. 請刪除現有的SSL用戶端認證及所有配置，然後重新下載、安裝SSL用戶端認證。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL用戶端認證。具體操作，請參見下載SSL用戶端認證。

用戶端串連數超限

當前SSL服務端下的用戶端串連數超限。

1. 在VPN網關執行個體下查看已串連的用戶端數量，確認用戶端數量是否超限。

   • 如果用戶端數量超限，您需要提升SSL服務端的串連數規格，請參見修改SSL並發串連數。

   • 如果用戶端數量超限，您不想提升SSL服務端的串連數規格，您可以將不需要的用戶端中斷連線釋放資源。用戶端中斷連線後，系統大約5分鐘後會釋放資源。

     查看用戶端串連資訊，請參見查看SSL用戶端的串連資訊。

2. 修改SSL服務端使用的協議為TCP，然後重新下載安裝SSL用戶端認證。具體操作，請參見修改SSL服務端和下載SSL用戶端認證。

   使用UDP協議存在不可靠串連佔用串連數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

IP地址問題

VPC下的IP地址與用戶端的IP地址衝突。

請根據實際情況，修改SSL服務端的本端網段（VPC或交換器的網段）或者用戶端網段以確保兩側IP地址不衝突。具體操作，請參見修改SSL服務端。

SSL服務端的用戶端網段配置的太小，導致用戶端無法被分配IP地址。

請確保您指定的用戶端網段所包含的IP地址個數是SSL-VPN串連數的4倍及以上。更多資訊，請參見建立和管理SSL服務端。

例如：您指定的用戶端網段為192.168.0.0/24，系統在為用戶端分配IP地址時，會先從192.168.0.0/24網段中劃分出一個子網路遮罩為30的子網段，例如192.168.0.4/30，然後從192.168.0.4/30中分配一個IP地址供用戶端使用，剩餘三個IP地址會被系統佔用以保證網路通訊，此時一個用戶端會耗費4個IP地址。因此，為保證您的用戶端均能分配到IP地址，請確保您指定的用戶端網段所包含的IP地址個數是SSL-VPN串連數的4倍及以上。

VPN軟體問題

用戶端VPN軟體衝突

1. 如果您的用戶端上存在多個VPN軟體，建議僅使用一個VPN軟體建立SSL-VPN串連。

2. 嘗試重啟用戶端或者在用戶端上重新安裝VPN軟體。具體操作，請參見配置用戶端。

其他

其他原因

請嘗試通過SSL-VPN串連的日誌資訊自主排查故障。具體操作，請參見自主排查SSL-VPN串連問題。

原因分類

原因

解決方案

公網鏈路品質不佳

由於用戶端和VPN網關之間的公網鏈路品質不佳導致用戶端間歇性中斷下線。

請在用戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路品質情況。

如果探測到公網鏈路品質不佳（延時高或丟包率高等）可聯絡電訊廠商協助進行故障排查。

如果您使用SSL-VPN串連進行長距離通訊（例如美國（矽谷）到新加坡），在用戶端訪問VPC的過程中，則可能會出現用戶端間歇性中斷下線的情況。

請在阿里雲側將SSL服務端的協議修改為TCP（可靠性更好）。具體操作，請參見修改SSL服務端。

如果將SSL服務端的協議修改為TCP後，仍出現本問題，建議您使用雲企業網和Smart Access Gateway產品將用戶端串連至VPC。

SSL服務端配置變更

SSL服務端配置變更導致用戶端中斷下線。

SSL服務端修改配置後，請在用戶端重新發起串連。

原因分類

原因

解決方案

公網鏈路品質不佳

如果您使用SSL-VPN串連進行長距離通訊（例如美國（矽谷）到新加坡），在用戶端訪問VPC的過程中，則可能會出現用戶端間歇性中斷下線的情況。

請在阿里雲側將SSL服務端的協議修改為TCP（可靠性更好）。具體操作，請參見修改SSL服務端。

如果您使用SSL-VPN串連進行長距離通訊（例如美國（矽谷）到新加坡），在將SSL服務端的協議修改為TCP後，仍出現本問題，建議您使用雲企業網和Smart Access Gateway產品將用戶端串連至VPC。

用戶端串連數超限

當前SSL服務端下的用戶端串連數超限。

1. 在VPN網關執行個體下查看已串連的用戶端數量，確認用戶端數量是否超限。

   • 如果用戶端數量超限，您需要提升SSL服務端的串連數規格，請參見修改SSL並發串連數。

   • 如果用戶端數量超限，您不想提升SSL服務端的串連數規格，您可以將不需要的用戶端中斷連線釋放資源。用戶端中斷連線後，系統大約5分鐘後會釋放資源。

     查看用戶端串連資訊，請參見查看SSL用戶端的串連資訊。

2. 修改SSL服務端使用的協議為TCP，然後重新下載安裝SSL用戶端認證。具體操作，請參見修改SSL服務端和下載SSL用戶端認證。

   使用UDP協議存在不可靠串連佔用串連數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

用戶端側異常

用戶端工作異常或用戶端安裝的VPN軟體異常導致用戶端串連失敗。

請嘗試重新啟動用戶端或重新在用戶端中安裝、配置VPN軟體。如何安裝、配置VPN軟體，請參見配置用戶端。

時間不同步

用戶端的時間與SSL服務端的時間相差太大，導致SSL校正不通過。

用戶端與SSL服務端的時間偏差不能超過10分鐘，建議調整用戶端的時間與標準時間一致。

1. 查看用戶端的目前時間。

   以Linux作業系統為例，在命令列終端執行date命令，查看用戶端當前的時間。如果與標準時間相差太大，需要調整時間。

2. 通過NTP服務同步最新的時間。

   以Linux作業系統為例，在命令列終端執行以下命令同步時間。

   yum install -y ntp    #安裝NTP服務
   ntpdate pool.ntp.org  #同步時間
   date #查看目前時間是否已同步

原因

解決方案

用戶端應用的存取控制策略禁止ping命令探測。

請排查用戶端應用的存取控制策略是否禁止ping命令探測，如果是，請修改存取控制策略。具體操作，請參見用戶端操作指南手冊。

預設情況下Windows作業系統的用戶端的防火牆是禁止ping命令探測的，您需要修改防火牆的入站規則允許ICMPv4-In。

問題情境

原因

解決方案

用戶端使用ping命令訪問VPC時正常，但VPC側使用ping訪問用戶端失敗。

用戶端應用的存取控制策略禁止ping命令探測。

請排查用戶端應用的存取控制策略是否禁止ping命令探測，如果是，請修改存取控制策略。具體操作，請參見用戶端操作指南手冊。

預設情況下Windows作業系統的用戶端的防火牆是禁止ping命令探測的，您需要修改防火牆的入站規則允許ICMPv4-In。

VPC側使用ping訪問用戶端時正常，但用戶端使用ping命令訪問VPC時失敗。

用戶端訪問VPC時的路徑和VPC訪問用戶端時的路徑不一致。

1. 如果您的網路中使用了雲企業網產品，請排查用戶端和VPC之間各個轉寄節點的路由配置，確保用戶端和VPC之間互相訪問時經過的路徑相同。

2. 請排查VPC中被訪問的資源（例如ECS執行個體）是否配置有公網IP地址。如果被訪問的資源擁有公網IP地址，且VPC訪問用戶端時目的IP地址是公網IP地址，則VPC可能會通過互連網訪問用戶端，而非通過私網。

原因

解決方案

用戶端側缺少去往DNS伺服器的路由，無法使用網域名稱解析服務。

1. 在阿里雲側將DNS伺服器的網段添加至SSL服務端的本地網段中，使用戶端可以學習到DNS伺服器的路由。

   例如，您使用阿里雲雲解析PrivateZone產品進行網域名稱管理，您可以將100.100.2.136/32、100.100.2.138/32兩個網段都加入到SSL服務端的本地網段中，使用戶端可以正常使用網域名稱解析服務。

2. 在用戶端中使用ping或mtr命令探測目標應用的連通性，如果可以正常連通則表示SSL-VPN串連的用戶端及服務端工作正常、路由正常，需結合當前部署的雲端服務和實際應用做進一步排查。

原因分類

原因

解決方案

路由問題

SSL服務端的本端網段配置缺失或者錯誤。

1. 請排查阿里雲側SSL服務端本端網段的配置，確保用戶端要訪問的網段已添加在SSL服務端的本端網段中，且配置正確。具體操作，請參見修改SSL服務端。

2. 請排查用戶端是否已成功接收到SSL服務端本端網段的路由。

   • Windows作業系統的用戶端可以在命令列介面使用ipconfig命令查看當前用戶端被分配的IP地址；使用route print命令查看用戶端是否已成功接收SSL服務端本端網段的路由。

   • Linux作業系統的用戶端可以在命令列介面使用ifconfig命令查看當前用戶端被分配的IP地址；使用ip route show all命令查看用戶端是否已成功接收SSL服務端本端網段的路由。

網段配置問題

SSL服務端的本端網段和用戶端網段有重疊。

請排查阿里雲側SSL服務端的配置，確保SSL服務端的本端網段和用戶端網段之間沒有重疊。具體操作，請參見修改SSL服務端。

SSL服務端關聯的VPN網關下建立了IPsec-VPN串連，IPsec-VPN串連關聯的路由條目的目標網段與SSL服務端的用戶端網段有衝突。

請將IPsec-VPN串連關聯的路由條目修改為更精確的路由條目或者修改SSL服務端的用戶端網段為其他網段，以確保IPsec-VPN串連關聯的路由條目的目標網段與SSL服務端的用戶端網段沒有衝突。具體操作，請參見編輯策略路由、編輯目的路由或修改SSL服務端。

安全性群組規則問題

VPC應用的安全性群組規則或用戶端應用的存取控制策略不允許用戶端和VPC之間互相訪問。

1. 請排查VPC應用的安全性群組規則，確保安全性群組規則已允許用戶端和VPC之間正常通訊。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

2. 請排查用戶端應用的存取控制策略，確保存取控制策略已允許用戶端和VPC之間正常通訊。

VPN軟體問題

用戶端安裝的OpenVPN軟體版本過高或過低可能會產生相容性問題，導致用戶端無法正常接收或處理阿里雲VPN網關發送的回複報文。

例如Windows系統的用戶端安裝了2.6.6版本的OpenVPN軟體產生了當前問題，導致無法ping通雲上資源。

推薦您下載使用VPN網關官網文檔提供的OpenVPN軟體版本。下載使用路徑，請參見配置用戶端。

原因分類

原因

解決方案

VPN網關規格問題

在流量互連過程中出現流量突發的情況超過了VPN網關執行個體的頻寬規格。

您可以在VPN網關管理主控台查看VPN網關執行個體的流量監控資訊確認是否有流量突發的情況。

您可以對VPN執行個體進行升配。具體操作，請參見變更配置VPN網關執行個體。

最佳化SSL服務端配置

當前SSL服務端使用UDP協議（不可靠協議）與用戶端建立SSL-VPN串連。

1. 修改SSL服務端的協議為TCP。使SSL服務端通過TCP協議（可靠協議）與用戶端建議SSL-VPN串連。具體操作，請參見修改SSL服務端。

2. 重新下載SSL用戶端認證並安裝到用戶端。具體操作，請參見下載SSL用戶端認證和配置用戶端。

公網鏈路品質不佳

由於用戶端和VPN網關之間的公網鏈路品質不佳導致用戶端間歇性中斷下線。

請在用戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路品質情況。

若探測到公網鏈路品質不佳可聯絡電訊廠商進行故障排查。

原因分類

原因

解決方案

VPN網關規格問題

在流量互連過程中出現流量突發的情況超過了VPN網關執行個體的頻寬規格。

您可以在VPN網關管理主控台查看VPN網關執行個體的流量監控資訊確認是否有流量突發的情況。

您可以對VPN執行個體進行升配。具體操作，請參見變更配置VPN網關執行個體。

VPN網關版本較低

舊版VPN網關轉寄效能弱，在流量過大的情況下可能會產生轉寄延遲高的問題。

如果您的VPN網關是在2021年04月01日之前建立的，請升級VPN網關，新版的VPN網關已最佳化SSL-VPN串連的轉寄效能。具體操作，請參見升級VPN網關。