VPN Gateway：自主排查SSL-VPN串連問題

用戶端

SSL-VPN串連記錄檔預設路徑

Linux用戶端（安裝OpenVPN軟體）

/var/log/openvpn.log

Windows用戶端（安裝OpenVPN軟體）

日誌資訊預設會儲存在OpenVPN軟體安裝目錄下的log檔案夾下

例如C:\Users\User\OpenVPN\log

macOS用戶端（安裝Tunnelblick軟體）

/Library/Application Support/Tunnelblick/Logs

macOS用戶端（安裝OpenVPN軟體）

/Library/Application Support/OpenVPN/log/connection_name.log

錯誤原因分類

錯誤原因

日誌關鍵字

排查辦法

網路不可達

網路不可達，網路互連有問題

• network is unreachable

• TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

• TLS Error: TLS handshake failed

1. 請在用戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路品質情況。

   • 如果探測到公網鏈路品質不佳（延時高或丟包率高等）可聯絡電訊廠商協助進行故障排查。

   • 如果探測到可以正常連通，請確認在SSL服務端的日誌資訊中是否可以查詢到用戶端的串連資訊。

     如果未能查詢到用戶端的串連資訊，請嘗試修改SSL服務端使用的連接埠，然後重新下載SSL用戶端認證並安裝到用戶端。

2. 請將SSL服務端的協議修改為TCP（可靠性更好）。

   如果您使用SSL-VPN串連進行長距離通訊（例如美國（矽谷）到新加坡），在將SSL服務端的協議修改為TCP後，仍出現本問題，建議您使用雲企業網和Smart Access Gateway產品將用戶端串連至VPC。

3. 如果您的用戶端上存在多個VPN軟體，建議僅使用一個VPN軟體建立SSL-VPN串連。

4. 嘗試重啟用戶端或者在用戶端上重新安裝VPN軟體。

協議類型或連接埠號碼不匹配

用戶端與SSL服務端的協議類型或連接埠號碼不一致

• MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,

• TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

請嘗試修改SSL服務端使用的協議和連接埠，然後重新下載SSL用戶端認證並安裝到用戶端。

串連數超限

SSL用戶端串連數已達規格上限

MANAGEMENT: >STATE:1676370715,WAIT,,,,,

1. 在VPN網關執行個體下查看已串連的用戶端數量，確認用戶端數量是否超限。

   • 如果用戶端數量超限，您可以提升SSL服務端的串連數規格。

   • 如果用戶端數量超限，您不想提升SSL服務端的串連數規格，您可以將不需要的用戶端中斷連線釋放資源。用戶端中斷連線後，系統大約5分鐘後會釋放資源。

2. 修改SSL服務端使用的協議為TCP，然後重新下載、安裝SSL用戶端認證。

   使用UDP協議存在不可靠串連佔用串連數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

認證到期

認證到期

VERIFY ERROR: certificate has expired

1. 請排查SSL用戶端認證的有效性。

   SSL用戶端認證預設有效期間為3年。

2. 請刪除現有的SSL用戶端認證及所有配置，然後重新下載、安裝SSL用戶端認證。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL用戶端認證。

認證配置錯誤

認證配置錯誤

• Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)

• Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)

• WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)

• Options error: --key fails with 'vsc-****.key'

• Options error: Please correct these errors.

請刪除現有的SSL用戶端認證及配置，然後重新下載、安裝SSL用戶端認證。

用戶端VPN軟體版本不相容

用戶端使用的VPN軟體版本與阿里雲SSL服務端不相容

• Data Channel Offload doesn't support DATA_V1 packets

• Upgrade your server to

• suggesting an upgrade to the server version

在用戶端刪除現有VPN軟體，然後參見VPN文檔下載安裝VPN軟體。

IP地址不足

SSL服務端下配置的用戶端網段過小導致IP地址不足

OpenVPN needs a gateway parameter for a -- route option and no default was specified by either --route-gateway or --ifconfig options

請確保您指定的用戶端網段所包含的IP地址個數是SSL-VPN串連數的4倍及以上。更多資訊，請參見建立和管理SSL服務端。

例如：您指定的用戶端網段為192.168.0.0/24，系統在為用戶端分配IP地址時，會先從192.168.0.0/24網段中劃分出一個子網路遮罩為30的子網段，例如192.168.0.4/30，然後從192.168.0.4/30中分配一個IP地址供用戶端使用，剩餘三個IP地址會被系統佔用以保證網路通訊，此時一個用戶端會耗費4個IP地址。因此，為保證您的用戶端均能分配到IP地址，請確保您指定的用戶端網段所包含的IP地址個數是SSL-VPN串連數的4倍及以上。

無相同密碼編譯演算法

SSL服務端沒有與用戶端相同的TLS密碼套件，無相同密碼編譯演算法可用

• TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

• OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

請在用戶端中安裝VPN網關產品推薦使用的VPN軟體。更多資訊，請參見配置用戶端。

密碼編譯演算法不一致

SSL服務端與用戶端密碼編譯演算法配置不一致

Authenticate/Decrypt packet error: cipher final failed

請確認用戶端安裝的SSL用戶端認證的密碼編譯演算法是否與SSL服務端的密碼編譯演算法一致。

如果不一致，請刪除現有的SSL用戶端認證及所有配置，然後重新下載SSL用戶端認證並安裝到用戶端。

• SSL用戶端認證的密碼編譯演算法為config.ovpn檔案cipher欄位對應的值。

• 您可以在SSL服務端頁面，找到目標SSL服務端執行個體，然後在操作列單擊詳情，在SSL服務端執行個體詳情頁面，查看SSL服務端的密碼編譯演算法。

資料包ID衝突

網路連接不穩定或SSL服務端密碼編譯演算法配置為none

Authenticate/Decrypt packet error: bad packet ID (may be a replay)

1. 修改SSL服務端的協議為TCP（可靠性更好）。

2. 請確認SSL服務端的密碼編譯演算法是否為none。若是，建議修改SSL服務端的密碼編譯演算法為AES密碼編譯演算法（AES-128-CBC、AES-192-CBC或AES-256-CBC）。

3. 修改SSL服務端的配置後，請刪除現有的SSL用戶端認證及所有配置，然後重新下載SSL用戶端認證並安裝到用戶端。

時間不同步

SSL校正不通過或者是用戶端的時間與伺服器的時間相差太大

• OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

• TLS_ERROR: BIO read tls_read_plaintext error

• TLS Error: TLS object -> incoming plaintext read error

• TLS Error: TLS handshake failed

1. 用戶端與SSL服務端的時間偏差不能超10分鐘，建議調整用戶端的時間與標準時間一致。

2. 請排查SSL用戶端認證的有效性。

   SSL用戶端認證預設有效期間為3年。

認證校正不通過

SSL認證校正不通過

No server certificate verification method has been enabled

1. 請排查SSL用戶端認證的有效性。

   SSL用戶端認證預設有效期間為3年。

2. 請刪除現有的SSL用戶端認證及所有配置，然後重新下載、安裝SSL用戶端認證。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL用戶端認證。

雙因子認證失敗

雙因子認證失敗

• AUTH: Received control message: AUTH_FAILED

• TCP/UDP: Closing socket

• SIGUSR1[soft,auth-failure] received, process restarting

• MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

1. 請確認您輸入的使用者名稱和密碼是否正確。

2. 請在IDaaS執行個體側排查是否已配置了該賬戶、IDaaS執行個體是否已將該賬戶禁用、IDaaS執行個體是否已到期。更多資訊，請參見什麼是 IDaaS？。

   如果IDaaS執行個體側配置沒有問題，請嘗試重新添加一個賬戶進行串連。

3. 請刪除現有的SSL用戶端認證及所有配置，然後重新下載、安裝SSL用戶端認證。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL用戶端認證。

缺失TAP口

用戶端缺失TAP虛擬乙太網路適配器，需重新建立

• There are no TAP-Windows adapters on this system. You should be able to create a TAP

• CreateFile failed on TAP device

• All TAP-Win32 adapters on this system are currently in use

1. 請確認您在安裝OpenVPN軟體時是否已選中TAP Virtual Ethernet Adapter選項。

   如果您在安裝OpenVPN軟體時並未選中上述選項，您可以手動建立虛擬乙太網路適配器或者重新安裝OpenVPN軟體。

2. 退出OpenVPN軟體，嘗試以管理員權限再次運行OpenVPN軟體。

ovpnagent沒有運行

macOS作業系統的用戶端下ovpnagent程式沒有運行

Transport Error: socket_protect error

1. 請在用戶端的命令列介面通過以下命令手動啟動ovpnagent程式。

   /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

2. 建議macOS作業系統的用戶端優先使用Tunnelblick軟體建立SSL-VPN串連。

用戶端頻繁重新串連

用戶端主動或自動重新串連

• Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting

• TCP/UDP: Closing socket

1. 請排查用戶端在日誌顯示的時間節點是否有重啟或重新串連。

2. 請排查SSL用戶端認證的有效性。

   SSL用戶端認證預設有效期間為3年。

3. 請排查用戶端使用的時間。

   用戶端與SSL服務端的時間偏差不能超10分鐘，建議調整用戶端的時間與標準時間一致。