SSL VPN客户端连接失败

问题描述

在完成SSL VPN配置后，通过客户端远程访问VPC中的资源时，无法连接。

问题原因

• 配置错误。
• 证书过期或无效。
• 连接数超限。
• VPC网络中的IP地址与客户端的IP地址冲突。
• 配置的客户端网段Cidr范围太小，导致申请不到IP地址，导致连接失败。

解决方案

1. 检查客户端路由是否正常，具体操作如下：
   • Windows客户端：执行以下命令，查看客户端本地路由，检查是否有包含云上网段路由。
     

     route print -4

     系统显示类似如下。
     
   • Linux或Mac客户端：执行以下命令，查看客户端本地路由，检查是否有包含云上网段路由。

     netstat -nr

     系统显示类似如下。
     
2. 配置错误：
   • 请根据客户端实际情况参见以下文档，检查配置。
     
     • Linux客户端远程连接
     • Windows客户端远程连接
     • Mac客户端远程连接
     • 手机（iOS系统）自带的VPN软件远程连接
   • 请检查客户端config.ovpn配置文件中配置的服务端口和IP地址是否正确。
3. 证书问题：
   • 证书默认配置有效期为3年。
   • 请确保使用正确的证书，开启和关闭双因子认证功能，或者修改过配置，则需要重新下载证书。
4. 连接数超限：请参见查看SSL-VPN连接日志，通过日志信息排查SSL-VPN连接过程中的故障。
   • 如果连接数超限，需要等SSL连接数释放才能连接，大概5分钟左右就会释放。
   • 如果您想增加SSL并发连接数，请参见修改SSL并发连接数，进行升配。
5. IP地址冲突问题：请根据实际情况，修改本端网段（VPC或交换机的网段）或者客户端网段的地址。
6. 客户端网段Cidr范围太小：请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上，详细说明请参见创建SSL服务端。
   例如：您指定的客户端网段为192.168.0.0/24，系统在为客户端分配IP地址时，会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段，例如192.168.0.4/30，然后从192.168.0.4/30中分配一个IP地址供客户端使用，剩余三个IP地址会被系统占用以保证网络通信，此时一个客户端会耗费4个IP地址。因此，为保证您的客户端均能分配到IP地址，请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

适用于

• VPN网关