SSL-VPN连接常见问题

原因分类

原因

解决方案

配置错误

SSL服务端或客户端配置错误。

1. 请排查阿里云侧SSL服务端本地网段的配置，确保VPC中需被访问的网段已添加在本地网段中。具体操作，请参见修改SSL服务端。

2. 请排查客户端VPN软件的配置是否正确。关于如何配置客户端，请参见配置客户端。

SSL客户端证书到期

SSL客户端证书过期或无效。

1. 请排查SSL客户端证书的有效性。

   SSL客户端证书默认有效期为3年。

2. 请删除现有的SSL客户端证书及所有配置，然后重新下载、安装SSL客户端证书。

   开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。具体操作，请参见下载SSL客户端证书。

客户端连接数超限

当前SSL服务端下的客户端连接数超限。

1. 在VPN网关实例下查看已连接的客户端数量，确认客户端数量是否超限。

   • 如果客户端数量超限，您需要提升SSL服务端的连接数规格，请参见修改SSL并发连接数。

   • 如果客户端数量超限，您不想提升SSL服务端的连接数规格，您可以将不需要的客户端断开连接释放资源。客户端断开连接后，系统大约5分钟后会释放资源。

     查看客户端连接信息，请参见查看SSL客户端的连接信息。

2. 修改SSL服务端使用的协议为TCP，然后重新下载安装SSL客户端证书。具体操作，请参见修改SSL服务端和下载SSL客户端证书。

   使用UDP协议存在不可靠连接占用连接数的情况，使用TCP协议可以规避该问题，且TCP协议可靠性更好。

IP地址问题

VPC下的IP地址与客户端的IP地址冲突。

请根据实际情况，修改SSL服务端的本端网段（VPC或交换机的网段）或者客户端网段以确保两侧IP地址不冲突。具体操作，请参见修改SSL服务端。

SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。

请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。更多信息，请参见创建和管理SSL服务端。

例如：您指定的客户端网段为192.168.0.0/24，系统在为客户端分配IP地址时，会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段，例如192.168.0.4/30，然后从192.168.0.4/30中分配一个IP地址供客户端使用，剩余三个IP地址会被系统占用以保证网络通信，此时一个客户端会耗费4个IP地址。因此，为保证您的客户端均能分配到IP地址，请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

VPN软件问题

客户端VPN软件冲突

1. 如果您的客户端上存在多个VPN软件，建议仅使用一个VPN软件建立SSL-VPN连接。

2. 尝试重启客户端或者在客户端上重新安装VPN软件。具体操作，请参见配置客户端。

其他

其他原因

请尝试通过SSL-VPN连接的日志信息自主排查故障。具体操作，请参见自主排查SSL-VPN连接问题。

原因分类

原因

解决方案

公网链路质量不佳

由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。

请在客户端中使用ping或mtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

如果探测到公网链路质量不佳（延时高或丢包率高等）可联系运营商协助进行故障排查。

如果您使用SSL-VPN连接进行长距离通信（例如美国（硅谷）到新加坡），在客户端访问VPC的过程中，则可能会出现客户端间歇性中断下线的情况。

请在阿里云侧将SSL服务端的协议修改为TCP（可靠性更好）。具体操作，请参见修改SSL服务端。

如果将SSL服务端的协议修改为TCP后，仍出现本问题，建议您使用云企业网和智能接入网关产品将客户端连接至VPC。

SSL服务端配置变更

SSL服务端配置变更导致客户端中断下线。

SSL服务端修改配置后，请在客户端重新发起连接。

原因分类

原因

解决方案

公网链路质量不佳

如果您使用SSL-VPN连接进行长距离通信（例如美国（硅谷）到新加坡），在客户端访问VPC的过程中，则可能会出现客户端间歇性中断下线的情况。

请在阿里云侧将SSL服务端的协议修改为TCP（可靠性更好）。具体操作，请参见修改SSL服务端。

如果您使用SSL-VPN连接进行长距离通信（例如美国（硅谷）到新加坡），在将SSL服务端的协议修改为TCP后，仍出现本问题，建议您使用云企业网和智能接入网关产品将客户端连接至VPC。

客户端连接数超限

当前SSL服务端下的客户端连接数超限。

1. 在VPN网关实例下查看已连接的客户端数量，确认客户端数量是否超限。

   • 如果客户端数量超限，您需要提升SSL服务端的连接数规格，请参见修改SSL并发连接数。

   • 如果客户端数量超限，您不想提升SSL服务端的连接数规格，您可以将不需要的客户端断开连接释放资源。客户端断开连接后，系统大约5分钟后会释放资源。

     查看客户端连接信息，请参见查看SSL客户端的连接信息。

2. 修改SSL服务端使用的协议为TCP，然后重新下载安装SSL客户端证书。具体操作，请参见修改SSL服务端和下载SSL客户端证书。

   使用UDP协议存在不可靠连接占用连接数的情况，使用TCP协议可以规避该问题，且TCP协议可靠性更好。

客户端侧异常

客户端工作异常或客户端安装的VPN软件异常导致客户端连接失败。

请尝试重新启动客户端或重新在客户端中安装、配置VPN软件。如何安装、配置VPN软件，请参见配置客户端。

时间不同步

客户端的时间与SSL服务端的时间相差太大，导致SSL校验不通过。

客户端与SSL服务端的时间偏差不能超过10分钟，建议调整客户端的时间与标准时间一致。

1. 查看客户端的当前时间。

   以Linux操作系统为例，在命令行终端执行date命令，查看客户端当前的时间。如果与标准时间相差太大，需要调整时间。

2. 通过NTP服务同步最新的时间。

   以Linux操作系统为例，在命令行终端执行以下命令同步时间。

   yum install -y ntp    #安装NTP服务
   ntpdate pool.ntp.org  #同步时间
   date #查看当前时间是否已同步

原因

解决方案

客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测，如果是，请修改访问控制策略。具体操作，请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的，您需要修改防火墙的入站规则允许ICMPv4-In。

问题场景

原因

解决方案

客户端使用ping命令访问VPC时正常，但VPC侧使用ping访问客户端失败。

客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测，如果是，请修改访问控制策略。具体操作，请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的，您需要修改防火墙的入站规则允许ICMPv4-In。

VPC侧使用ping访问客户端时正常，但客户端使用ping命令访问VPC时失败。

客户端访问VPC时的路径和VPC访问客户端时的路径不一致。

1. 如果您的网络中使用了云企业网产品，请排查客户端和VPC之间各个转发节点的路由配置，确保客户端和VPC之间互相访问时经过的路径相同。

2. 请排查VPC中被访问的资源（例如ECS实例）是否配置有公网IP地址。如果被访问的资源拥有公网IP地址，且VPC访问客户端时目的IP地址是公网IP地址，则VPC可能会通过互联网访问客户端，而非通过私网。

原因

解决方案

客户端侧缺少去往DNS服务器的路由，无法使用域名解析服务。

1. 在阿里云侧将DNS服务器的网段添加至SSL服务端的本地网段中，使客户端可以学习到DNS服务器的路由。

   例如，您使用阿里云云解析PrivateZone产品进行域名管理，您可以将100.100.2.136/32、100.100.2.138/32两个网段都加入到SSL服务端的本地网段中，使客户端可以正常使用域名解析服务。

2. 在客户端中使用ping或mtr命令探测目标应用的连通性，如果可以正常连通则表示SSL-VPN连接的客户端及服务端工作正常、路由正常，需结合当前部署的云服务和实际应用做进一步排查。

原因分类

原因

解决方案

路由问题

SSL服务端的本端网段配置缺失或者错误。

1. 请排查阿里云侧SSL服务端本端网段的配置，确保客户端要访问的网段已添加在SSL服务端的本端网段中，且配置正确。具体操作，请参见修改SSL服务端。

2. 请排查客户端是否已成功接收到SSL服务端本端网段的路由。

   • Windows操作系统的客户端可以在命令行界面使用ipconfig命令查看当前客户端被分配的IP地址；使用route print命令查看客户端是否已成功接收SSL服务端本端网段的路由。

   • Linux操作系统的客户端可以在命令行界面使用ifconfig命令查看当前客户端被分配的IP地址；使用ip route show all命令查看客户端是否已成功接收SSL服务端本端网段的路由。

网段配置问题

SSL服务端的本端网段和客户端网段有重叠。

请排查阿里云侧SSL服务端的配置，确保SSL服务端的本端网段和客户端网段之间没有重叠。具体操作，请参见修改SSL服务端。

SSL服务端关联的VPN网关下创建了IPsec-VPN连接，IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段有冲突。

请将IPsec-VPN连接关联的路由条目修改为更精确的路由条目或者修改SSL服务端的客户端网段为其他网段，以确保IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段没有冲突。具体操作，请参见编辑策略路由、编辑目的路由或修改SSL服务端。

安全组规则问题

VPC应用的安全组规则或客户端应用的访问控制策略不允许客户端和VPC之间互相访问。

1. 请排查VPC应用的安全组规则，确保安全组规则已允许客户端和VPC之间正常通信。具体操作，请参见查询安全组规则和添加安全组规则。

2. 请排查客户端应用的访问控制策略，确保访问控制策略已允许客户端和VPC之间正常通信。

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。

您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN实例进行升配或进行临时升配。具体操作，请参见变配VPN网关实例。

优化SSL服务端配置

当前SSL服务端使用UDP协议（不可靠协议）与客户端建立SSL-VPN连接。

1. 修改SSL服务端的协议为TCP。使SSL服务端通过TCP协议（可靠协议）与客户端建议SSL-VPN连接。具体操作，请参见修改SSL服务端。

2. 重新下载SSL客户端证书并安装到客户端。具体操作，请参见下载SSL客户端证书和配置客户端。

公网链路质量不佳

由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。

请在客户端中使用ping或mtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

若探测到公网链路质量不佳可联系运营商进行故障排查。

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。

您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN实例进行升配或进行临时升配。具体操作，请参见变配VPN网关实例。

VPN网关版本较低

旧版VPN网关转发性能弱，在流量过大的情况下可能会产生转发延迟高的问题。

如果您的VPN网关是在2021年04月01日之前创建的，请升级VPN网关，新版的VPN网关已优化SSL-VPN连接的转发性能。具体操作，请参见升级VPN网关。