全部产品
Search
文档中心

VPN网关:SSL-VPN连接常见问题

更新时间:Oct 18, 2024

本文汇总了建立SSL-VPN连接时出现客户端连接失败、流量不通现象的常见原因并提供了相应的解决方案。

常见问题快捷链接

客户端连接问题

SSL-VPN连接连通性问题

客户端连接失败怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

配置错误

SSL服务端或客户端配置错误。

  1. 请排查阿里云侧SSL服务端本地网段的配置,确保VPC中需被访问的网段已添加在本地网段中。具体操作,请参见修改SSL服务端

  2. 请排查客户端VPN软件的配置是否正确。关于如何配置客户端,请参见配置客户端

SSL客户端证书到期

SSL客户端证书过期或无效。

  1. 请排查SSL客户端证书的有效性。

    SSL客户端证书默认有效期为3年。

  2. 请删除现有的SSL客户端证书及所有配置,然后重新下载、安装SSL客户端证书。

    开启和关闭双因子认证功能、修改SSL服务端的配置,均需要重新下载、安装SSL客户端证书。具体操作,请参见下载SSL客户端证书

客户端连接数超限

当前SSL服务端下的客户端连接数超限。

  1. 在VPN网关实例下查看已连接的客户端数量,确认客户端数量是否超限。

    • 如果客户端数量超限,您需要提升SSL服务端的连接数规格,请参见修改SSL并发连接数

    • 如果客户端数量超限,您不想提升SSL服务端的连接数规格,您可以将不需要的客户端断开连接释放资源。客户端断开连接后,系统大约5分钟后会释放资源。

      查看客户端连接信息,请参见查看SSL客户端的连接信息

  2. 修改SSL服务端使用的协议TCP,然后重新下载安装SSL客户端证书。具体操作,请参见修改SSL服务端下载SSL客户端证书

    使用UDP协议存在不可靠连接占用连接数的情况,使用TCP协议可以规避该问题,且TCP协议可靠性更好。

IP地址问题

VPC下的IP地址与客户端的IP地址冲突。

请根据实际情况,修改SSL服务端的本端网段(VPC或交换机的网段)或者客户端网段以确保两侧IP地址不冲突。具体操作,请参见修改SSL服务端

SSL服务端的客户端网段配置的太小,导致客户端无法被分配IP地址。

请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。更多信息,请参见创建和管理SSL服务端

例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

VPN软件问题

客户端VPN软件冲突

  1. 如果您的客户端上存在多个VPN软件,建议仅使用一个VPN软件建立SSL-VPN连接。

  2. 尝试重启客户端或者在客户端上重新安装VPN软件。具体操作,请参见配置客户端

其他

其他原因

请尝试通过SSL-VPN连接的日志信息自主排查故障。具体操作,请参见自主排查SSL-VPN连接问题

客户端之前连接成功,但间歇性中断下线怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

公网链路质量不佳

由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。

请在客户端中使用pingmtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

如果探测到公网链路质量不佳(延时高或丢包率高等)可联系运营商协助进行故障排查。

如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在客户端访问VPC的过程中,则可能会出现客户端间歇性中断下线的情况。

请在阿里云侧将SSL服务端的协议修改为TCP(可靠性更好)。具体操作,请参见修改SSL服务端

如果将SSL服务端的协议修改为TCP后,仍出现本问题,建议您使用云企业网智能接入网关产品将客户端连接至VPC。

SSL服务端配置变更

SSL服务端配置变更导致客户端中断下线。

SSL服务端修改配置后,请在客户端重新发起连接。

仅部分客户端连接成功怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

公网链路质量不佳

如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在客户端访问VPC的过程中,则可能会出现客户端间歇性中断下线的情况。

请在阿里云侧将SSL服务端的协议修改为TCP(可靠性更好)。具体操作,请参见修改SSL服务端

如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在将SSL服务端的协议修改为TCP后,仍出现本问题,建议您使用云企业网智能接入网关产品将客户端连接至VPC。

客户端连接数超限

当前SSL服务端下的客户端连接数超限。

  1. 在VPN网关实例下查看已连接的客户端数量,确认客户端数量是否超限。

    • 如果客户端数量超限,您需要提升SSL服务端的连接数规格,请参见修改SSL并发连接数

    • 如果客户端数量超限,您不想提升SSL服务端的连接数规格,您可以将不需要的客户端断开连接释放资源。客户端断开连接后,系统大约5分钟后会释放资源。

      查看客户端连接信息,请参见查看SSL客户端的连接信息

  2. 修改SSL服务端使用的协议TCP,然后重新下载安装SSL客户端证书。具体操作,请参见修改SSL服务端下载SSL客户端证书

    使用UDP协议存在不可靠连接占用连接数的情况,使用TCP协议可以规避该问题,且TCP协议可靠性更好。

客户端侧异常

客户端工作异常或客户端安装的VPN软件异常导致客户端连接失败。

请尝试重新启动客户端或重新在客户端中安装、配置VPN软件。如何安装、配置VPN软件,请参见配置客户端

时间不同步

客户端的时间与SSL服务端的时间相差太大,导致SSL校验不通过。

客户端与SSL服务端的时间偏差不能超过10分钟,建议调整客户端的时间与标准时间一致。

  1. 查看客户端的当前时间。

    以Linux操作系统为例,在命令行终端执行date命令,查看客户端当前的时间。如果与标准时间相差太大,需要调整时间。

  2. 通过NTP服务同步最新的时间。

    以Linux操作系统为例,在命令行终端执行以下命令同步时间。

    yum install -y ntp    #安装NTP服务
    ntpdate pool.ntp.org  #同步时间
    date #查看当前时间是否已同步

客户端连接成功,但无法ping通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因

解决方案

客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测,如果是,请修改访问控制策略。具体操作,请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的,您需要修改防火墙的入站规则允许ICMPv4-In。

客户端连接成功,但仅能单方向ping通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

问题场景

原因

解决方案

客户端使用ping命令访问VPC时正常,但VPC侧使用ping访问客户端失败。

客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测,如果是,请修改访问控制策略。具体操作,请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的,您需要修改防火墙的入站规则允许ICMPv4-In。

VPC侧使用ping访问客户端时正常,但客户端使用ping命令访问VPC时失败。

客户端访问VPC时的路径和VPC访问客户端时的路径不一致。

  1. 如果您的网络中使用了云企业网产品,请排查客户端和VPC之间各个转发节点的路由配置,确保客户端和VPC之间互相访问时经过的路径相同。

  2. 请排查VPC中被访问的资源(例如ECS实例)是否配置有公网IP地址。如果被访问的资源拥有公网IP地址,且VPC访问客户端时目的IP地址是公网IP地址,则VPC可能会通过互联网访问客户端,而非通过私网。

客户端连接成功,可ping通但域名访问不通或应用业务访问不通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因

解决方案

客户端侧缺少去往DNS服务器的路由,无法使用域名解析服务。

  1. 在阿里云侧将DNS服务器的网段添加至SSL服务端的本地网段中,使客户端可以学习到DNS服务器的路由。

    例如,您使用阿里云云解析PrivateZone产品进行域名管理,您可以将100.100.2.136/32、100.100.2.138/32两个网段都加入到SSL服务端的本地网段中,使客户端可以正常使用域名解析服务。

  2. 在客户端中使用pingmtr命令探测目标应用的连通性,如果可以正常连通则表示SSL-VPN连接的客户端及服务端工作正常、路由正常,需结合当前部署的云服务和实际应用做进一步排查。

客户端连接成功,但访问不通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

路由问题

SSL服务端的本端网段配置缺失或者错误。

  1. 请排查阿里云侧SSL服务端本端网段的配置,确保客户端要访问的网段已添加在SSL服务端的本端网段中,且配置正确。具体操作,请参见修改SSL服务端

  2. 请排查客户端是否已成功接收到SSL服务端本端网段的路由。

    • Windows操作系统的客户端可以在命令行界面使用ipconfig命令查看当前客户端被分配的IP地址;使用route print命令查看客户端是否已成功接收SSL服务端本端网段的路由。

    • Linux操作系统的客户端可以在命令行界面使用ifconfig命令查看当前客户端被分配的IP地址;使用ip route show all命令查看客户端是否已成功接收SSL服务端本端网段的路由。

网段配置问题

SSL服务端的本端网段客户端网段有重叠。

请排查阿里云侧SSL服务端的配置,确保SSL服务端的本端网段客户端网段之间没有重叠。具体操作,请参见修改SSL服务端

SSL服务端关联的VPN网关下创建了IPsec-VPN连接,IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段有冲突。

请将IPsec-VPN连接关联的路由条目修改为更精确的路由条目或者修改SSL服务端的客户端网段为其他网段,以确保IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段没有冲突。具体操作,请参见编辑策略路由编辑目的路由修改SSL服务端

安全组规则问题

VPC应用的安全组规则或客户端应用的访问控制策略不允许客户端和VPC之间互相访问。

  1. 请排查VPC应用的安全组规则,确保安全组规则已允许客户端和VPC之间正常通信。具体操作,请参见查询安全组规则添加安全组规则

  2. 请排查客户端应用的访问控制策略,确保访问控制策略已允许客户端和VPC之间正常通信。

VPN软件问题

客户端安装的OpenVPN软件版本过高或过低可能会产生兼容性问题,导致客户端无法正常接收或处理阿里云VPN网关发送的回复报文。

例如Windows系统的客户端安装了2.6.6版本的OpenVPN软件产生了当前问题,导致无法ping通云上资源。

推荐您下载使用VPN网关官网文档提供的OpenVPN软件版本。下载使用路径,请参见配置客户端

客户端连接成功,但访问过程出现丢包怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。

您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN实例进行升配。具体操作,请参见变配VPN网关实例

优化SSL服务端配置

当前SSL服务端使用UDP协议(不可靠协议)与客户端建立SSL-VPN连接。

  1. 修改SSL服务端的协议TCP。使SSL服务端通过TCP协议(可靠协议)与客户端建议SSL-VPN连接。具体操作,请参见修改SSL服务端

  2. 重新下载SSL客户端证书并安装到客户端。具体操作,请参见下载SSL客户端证书配置客户端

公网链路质量不佳

由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。

请在客户端中使用pingmtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

若探测到公网链路质量不佳可联系运营商进行故障排查。

客户端连接成功,访问正常但转发延迟高怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。

您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN实例进行升配。具体操作,请参见变配VPN网关实例

VPN网关版本较低

旧版VPN网关转发性能弱,在流量过大的情况下可能会产生转发延迟高的问题。

如果您的VPN网关是在2021年04月01日之前创建的,请升级VPN网关,新版的VPN网关已优化SSL-VPN连接的转发性能。具体操作,请参见升级VPN网关

SSL-VPN连接为什么未使用指定的加密算法进行数据加密?

原因

阿里云SSL服务端和OpenVPN(2.4.0及以上的版本)默认均开启了NCP(Non-Compliant Plaintext)模式。NCP模式是一种动态协商加密算法的方式,开启NCP模式后,客户端和SSL服务端之间建立SSL-VPN连接时将协商出ncp_ciphers列表项下双方均支持的最高安全级别的加密算法,而不使用您为SSL服务端指定的加密算法。

OpenVPN(2.4.0及以上的版本)ncp_ciphers列表项下默认使用的加密算法为AES-256-GCM和AES-128-GCM。客户端和SSL服务端之间建立SSL-VPN连接时您可以根据对应的日志信息查看双方协商出的加密算法。日志信息例如Data Channel: using negotiated cipher 'AES-256-GCM'

如果客户端使用的OpenVPN版本为2.4.0之前的版本(不支持NCP模式),则客户端和SSL服务端使用的加密算法将是您为SSL服务端指定的加密算法。

推荐方案

推荐客户端使用2.4.0及以上版本的OpenVPN,使客户端和SSL服务端之间自行协商加密算法。

说明

若客户端使用Tunnelblick软件,则客户端和SSL服务端之间默认动态协商加密算法,将使用双方均支持的最高安全级别的加密算法,您为SSL服务端指定的加密算法不生效。