使用VPN网关的SSL-VPN功能远程接入VPC后客户端连接VPN失败

问题描述

使用VPN网关的SSL-VPN功能远程接入专有网络VPC，在完成配置后，通过客户端连接VPN时，连接失败。

问题原因

客户端连接VPN失败的原因如下：

• 端口配置错误。
• 证书过期或无效。
• 连接数超限。
• 客户端网段范围太小，导致申请不到IP地址，导致连接失败。

  说明：客户端网段是给客户端虚拟网卡分配访问地址的网段，不是指客户端已有的内网网段。

解决方案

排查无法连接VPN的具体操作如下：

1. 登录VPN网关管理控制台，在SSL服务端页面，单击操作列下的详情，检查SSL连接使用的端口是否正确。
   • 如果端口不正确，请修改端口号。

     注意：
     

     • SSL服务端不支持使用的端口为22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
     • 修改了端口号后，需要重新生成新的证书，或者手动修改证书配置文件中的端口号。 

   • 如果端口正确，请继续执行下一步。
2. 在SSL客户端页面，确认没有删除控制台的客户端证书，查看到期时间，检查证书是否过期。
   

   注意：证书默认配置有效期为3年。

   
   • 如果证书过期，请重新创建SSL客户端证书。
   • 如果证书没有过期，请确认是否修改过客户端的配置文件或者服务端的配置（如开启或关闭双因子认证功能）。如果有修改过，请重新下载证书。
3. 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上，详细说明请参见创建SSL服务端。
   例如：您指定的客户端网段为192.168.0.0/24，系统在为客户端分配IP地址时，会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段，例如192.168.0.4/30，然后从192.168.0.4/30中分配一个IP地址供客户端使用，剩余三个IP地址会被系统占用以保证网络通信，此时一个客户端会耗费4个IP地址。因此，为保证您的客户端均能分配到IP地址，请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。
4. 请参见查看SSL-VPN连接日志，通过日志信息排查SSL-VPN连接过程中的故障。
   • 如果连接数超限，需要等SSL连接数释放才能连接，大概5分钟左右就会释放。
     
   • 如果您想增加SSL并发连接数，请参见修改SSL并发连接数，进行升配。

适用于

• VPN网关