使用VPN网关的SSL-VPN功能远程接入VPC后客户端连接VPN失败

问题描述

使用VPN网关的SSL-VPN功能远程接入专有网络VPC,在完成配置后,通过客户端连接VPN时,连接失败。

问题原因

客户端连接VPN失败的原因如下:

  • 端口配置错误。
  • 证书过期或无效。
  • 连接数超限。
  • 客户端网段范围太小,导致申请不到IP地址,导致连接失败。
    说明:客户端网段是给客户端虚拟网卡分配访问地址的网段,不是指客户端已有的内网网段。

解决方案

排查无法连接VPN的具体操作如下:

  1. 登录VPN网关管理控制台,在SSL服务端页面,单击操作列下的详情,检查SSL连接使用的端口是否正确。
    • 如果端口不正确,请修改端口号。
      注意
      • SSL服务端不支持使用的端口为22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
      • 修改了端口号后,需要重新生成新的证书,或者手动修改证书配置文件中的端口号。 
    • 如果端口正确,请继续执行下一步。
  2. SSL客户端页面,确认没有删除控制台的客户端证书,查看到期时间,检查证书是否过期。
    注意:证书默认配置有效期为3年。
    • 如果证书过期,请重新创建SSL客户端证书。
    • 如果证书没有过期,请确认是否修改过客户端的配置文件或者服务端的配置(如开启或关闭双因子认证功能)。如果有修改过,请重新下载证书。
  3. 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上,详细说明请参见创建SSL服务端
    例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。
  4. 请参见查看SSL-VPN连接日志,通过日志信息排查SSL-VPN连接过程中的故障。
    • 如果连接数超限,需要等SSL连接数释放才能连接,大概5分钟左右就会释放。
    • 如果您想增加SSL并发连接数,请参见修改SSL并发连接数,进行升配。

适用于

  • VPN网关