使用SSL-VPN连接的过程中,如果SSL-VPN连接异常,您可以根据客户端的日志信息、VPN网关管理控制台SSL-VPN连接的日志信息自主排查问题。
背景信息
本文汇总了SSL-VPN连接常见错误及排查方法,您可以通过客户端的日志信息和VPN网关管理控制台SSL-VPN连接的日志信息,对照本文的汇总表自主排查,帮助您快速解决SSL-VPN连接的问题。
如何获取Linux、Windows、macOS和Android客户端日志信息,请参见SSL-VPN客户端日志目录汇总。
如何查看SSL-VPN连接的日志信息,请参见查看SSL-VPN连接日志。
SSL-VPN客户端日志目录汇总
下表列举了不同VPN软件安装在不同操作系统的客户端后,SSL-VPN连接日志文件的位置。您可以在对应位置下查看客户端的日志信息。
如果您在安装VPN软件时自定义了日志文件的位置,请您在相应位置下查看日志信息。
客户端 | SSL-VPN连接日志文件默认路径 |
Linux客户端(安装OpenVPN软件) | /var/log/openvpn.log |
Windows客户端(安装OpenVPN软件) | 日志信息默认会存储在OpenVPN软件安装目录下的log文件夹下 例如C:\Users\User\OpenVPN\log |
macOS客户端(安装Tunnelblick软件) | /Library/Application Support/Tunnelblick/Logs |
macOS客户端(安装OpenVPN软件) | /Library/Application Support/OpenVPN/log/connection_name.log |
SSL-VPN连接常见错误及排查方法汇总
在您获取SSL-VPN连接的日志信息后,您可以在下表中通过匹配日志关键字查看对应的排查方法。
错误原因分类 | 错误原因 | 日志关键字 | 排查办法 |
网络不可达 | 网络不可达,网络互通有问题 |
|
|
协议类型或端口号不匹配 | 客户端与SSL服务端的协议类型或端口号不一致 |
| 请尝试修改SSL服务端使用的协议和端口,然后重新下载SSL客户端证书并安装到客户端。 |
连接数超限 | SSL客户端连接数已达规格上限 |
|
|
证书过期 | 证书过期 |
|
|
证书配置错误 | 证书配置错误 |
| 请删除现有的SSL客户端证书及配置,然后重新下载、安装SSL客户端证书。 |
客户端VPN软件版本不兼容 | 客户端使用的VPN软件版本与阿里云SSL服务端不兼容 |
| 在客户端删除现有VPN软件,然后参见VPN文档下载安装VPN软件。 |
IP地址不足 | SSL服务端下配置的客户端网段过小导致IP地址不足 |
| 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。更多信息,请参见创建和管理SSL服务端。 例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 |
无相同加密算法 | SSL服务端没有与客户端相同的TLS密码套件,无相同加密算法可用 |
| 请在客户端中安装VPN网关产品推荐使用的VPN软件。更多信息,请参见配置客户端。 |
加密算法不一致 | SSL服务端与客户端加密算法配置不一致 |
| 请确认客户端安装的SSL客户端证书的加密算法是否与SSL服务端的加密算法一致。 如果不一致,请删除现有的SSL客户端证书及所有配置,然后重新下载SSL客户端证书并安装到客户端。
|
数据包ID冲突 | 网络连接不稳定或SSL服务端加密算法配置为none |
|
|
时间不同步 | SSL校验不通过或者是客户端的时间与服务器的时间相差太大 |
|
|
证书校验不通过 | SSL证书校验不通过 |
|
|
双因子认证失败 | 双因子认证失败 |
|
|
缺失TAP口 | 客户端缺失TAP虚拟以太网适配器,需重新创建 |
|
|
ovpnagent没有运行 | macOS操作系统的客户端下ovpnagent程序没有运行 |
|
|
客户端频繁重新连接 | 客户端主动或自动重新连接 |
|
|
相关操作
以下为您提供排查SSL-VPN连接问题时可能会用到的操作文档及相关说明:
修改SSL服务端的配置,请参见修改SSL服务端。
修改SSL服务端连接数规格,请参见修改SSL并发连接数。
创建SSL客户端证书,请参见创建和管理SSL客户端证书。
下载SSL客户端证书,请参见下载SSL客户端证书。
安装SSL客户端证书,请参见配置客户端。
查看SSL服务端日志信息,请参见查看SSL-VPN连接日志。
查看客户端连接信息,请参见查看SSL客户端的连接信息。
在排查SSL-VPN连接问题的过程中,如果您需要修改客户端的配置,请参见客户端操作指南手册。