全部产品
Search

搜索本产品

    VPN Gateway:Memecahkan Masalah Koneksi SSL-VPN

    文档中心

    VPN Gateway:Memecahkan Masalah Koneksi SSL-VPN

    更新时间:Jul 06, 2025

    Jika Anda mengalami masalah saat menggunakan koneksi SSL-VPN, periksa log klien SSL-VPN atau log koneksi SSL-VPN di konsol VPN Gateway untuk menyelesaikan masalah tersebut.

    Informasi Latar Belakang

    Bagian ini menjelaskan masalah umum koneksi SSL-VPN dan cara menyelesaikannya. Anda dapat memeriksa log klien SSL-VPN atau log koneksi SSL-VPN di konsol VPN Gateway untuk menyelesaikan masalah koneksi SSL-VPN. Untuk informasi lebih lanjut, lihat bagian Masalah koneksi SSL-VPN yang umum dan pemecahan masalah dari topik ini.

    Direktori file log untuk klien SSL-VPN

    Direktori penyimpanan file log klien SSL-VPN bervariasi berdasarkan sistem operasi tempat aplikasi VPN diinstal. Tabel berikut menunjukkan direktori default file log untuk klien SSL-VPN yang berjalan pada sistem operasi berbeda. Anda dapat menemukan direktori default file log klien SSL-VPN Anda sesuai dengan sistem operasi dalam tabel berikut.

    Catatan

    Jika Anda menentukan direktori kustom untuk menyimpan file log saat menginstal aplikasi VPN, Anda dapat menemukan file log di direktori tersebut.

    Sistem Operasi

    Direktori default file log untuk klien SSL-VPN

    Klien Linux dengan OpenVPN terinstal

    /var/log/openvpn.log

    Klien Windows dengan OpenVPN terinstal

    Secara default, file log disimpan di folder log dari direktori tempat OpenVPN diinstal.

    Contoh: C:\Users\User\OpenVPN\log.

    Klien macOS dengan Tunnelblick terinstal

    /Library/Application Support/Tunnelblick/Logs

    Klien macOS dengan OpenVPN terinstal

    /Library/Application Support/OpenVPN/log/connection_name.log

    Masalah koneksi SSL-VPN yang umum dan pemecahan masalah

    Setelah mendapatkan log koneksi SSL-VPN, cari kata kunci relevan dalam log untuk mengidentifikasi masalah dan menyelesaikannya. Tabel berikut menjelaskan masalah, kata kunci, dan metode pemecahan masalah.

    Kategori

    Penyebab

    Kata Kunci

    Metode Pemecahan Masalah

    Kegagalan Koneksi Jaringan

    Komunikasi jaringan tidak normal.

    • network is unreachable

    • TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

    • TLS Error: TLS handshake failed

    1. Jalankan perintah ping atau mtr di klien untuk mengakses alamat IP publik gateway VPN dan periksa kualitas koneksi Internet.

      • Jika koneksi Internet buruk karena latensi tinggi atau kehilangan paket, hubungi penyedia layanan Internet (ISP) untuk membantu menyelesaikan masalah.

      • Jika konektivitas jaringan normal, periksa apakah informasi koneksi klien ditemukan di log server SSL.

        Jika informasi koneksi klien tidak ditemukan, ubah port yang digunakan oleh server SSL, unduh ulang sertifikat klien SSL, lalu instal sertifikat di klien.

    2. Ubah protocol yang digunakan oleh server SSL menjadi TCP untuk meningkatkan keandalan.

      Jika Anda menggunakan koneksi SSL-VPN untuk komunikasi jarak jauh, seperti antara AS (Silicon Valley) dan Singapura, dan masalah konektivitas tetap ada setelah mengubah protocol menjadi TCP, kami sarankan menggunakan Cloud Enterprise Network (CEN) dan Smart Access Gateway untuk menghubungkan klien ke virtual private cloud (VPC).

    3. Jika beberapa aplikasi VPN diinstal di klien, gunakan hanya satu aplikasi VPN untuk membuat koneksi SSL-VPN.

    4. Mulai ulang klien atau instal ulang aplikasi VPN di klien.

    Ketidakcocokan Protokol atau Nomor Port

    Klien dan server SSL-VPN menggunakan protokol atau port yang berbeda.

    • MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,

    • TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

    Ubah protocol dan port server SSL, unduh ulang sertifikat klien SSL, lalu instal sertifikat di klien.

    Koneksi Berlebihan

    Jumlah koneksi SSL-VPN melebihi batas maksimum.

    MANAGEMENT: >STATE:1676370715,WAIT,,,,,

    1. Periksa apakah jumlah klien SSL yang terhubung ke gateway VPN melebihi batas maksimum.

      • Jika batas maksimum terlampaui, tingkatkan jumlah maksimum koneksi yang didukung oleh gateway VPN.

      • Jika batas maksimum terlampaui tetapi Anda tidak ingin meningkatkan batas koneksi, putuskan klien yang tidak lagi dibutuhkan. Sumber daya akan dilepaskan 5 menit setelah memutuskan klien.

    2. Ubah protocol server SSL menjadi TCP, unduh ulang sertifikat klien SSL, lalu instal sertifikat di klien.

      Ini mencegah koneksi UDP yang tidak andal mengambil kuota koneksi. Selain itu, koneksi TCP lebih andal.

    Kedaluwarsa Sertifikat

    Sertifikat klien SSL telah kedaluwarsa.

    VERIFY ERROR: certificate has expired

    1. Periksa periode validitas sertifikat klien SSL.

      Periode validitas default sertifikat klien SSL adalah tiga tahun.

    2. Hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

      Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan autentikasi dua faktor atau memodifikasi konfigurasi server SSL.

    Kesalahan Konfigurasi Sertifikat

    Konfigurasi sertifikat tidak valid.

    • Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)

    • Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)

    • WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)

    • Options error: --key fails with 'vsc-****.key'

    • Options error: Please correct these errors.

    Hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

    Versi Aplikasi VPN Tidak Kompatibel

    Versi aplikasi VPN yang diinstal di klien tidak kompatibel dengan server SSL Alibaba Cloud.

    • Data Channel Offload doesn't support DATA_V1 packets

    • Upgrade your server to

    • suggesting an upgrade to the server version

    Hapus aplikasi VPN yang ada di klien dan unduh aplikasi VPN yang kompatibel dengan server SSL. Untuk informasi lebih lanjut, lihat bagian "Langkah 4: Konfigurasikan Klien" dari topik Hubungkan Klien ke VPC.

    Alamat IP Tidak Cukup

    Blok CIDR klien yang dikonfigurasi di server SSL tidak dapat menyediakan alamat IP yang cukup.

    OpenVPN needs a gateway parameter for a -- route option and no default was specified by either --route-gateway or --ifconfig options

    Pastikan jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN. Untuk informasi lebih lanjut, lihat Buat Server SSL.

    Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama membagi blok CIDR subnet dengan subnet mask 30 dari 192.168.0.0/24, seperti 192.168.0.4/30. Subnet ini menyediakan hingga empat alamat IP. Kemudian, sistem mengalokasikan alamat IP dari 192.168.0.4/30 ke klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam hal ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan bahwa alamat IP dapat dialokasikan ke klien Anda, pastikan jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN terkait.

    Ketidakcocokan Algoritma Enkripsi

    Server SSL dan klien menggunakan suite cipher TLS yang berbeda dan tidak ada algoritma enkripsi yang cocok yang dapat ditemukan.

    • TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

    • OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

    Instal aplikasi VPN yang direkomendasikan oleh VPN Gateway di klien Anda. Untuk informasi lebih lanjut, lihat bagian "Langkah 4: Konfigurasikan Klien" dari topik Hubungkan Klien ke VPC.

    Algoritma Enkripsi Tidak Konsisten

    Konfigurasi algoritma enkripsi di server SSL dan klien tidak konsisten.

    Authenticate/Decrypt packet error: cipher final failed

    Periksa apakah algoritma enkripsi sertifikat klien SSL yang diinstal di klien konsisten dengan server SSL.

    Jika algoritma enkripsi tidak konsisten, hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

    • Algoritma enkripsi sertifikat klien SSL ditentukan oleh bidang cipher dalam file config.ovpn.

    • Untuk melihat algoritma enkripsi server SSL, lakukan operasi berikut: Pergi ke halaman Server SSL di konsol VPN Gateway. Temukan server SSL yang ingin Anda kelola. Klik Details di kolom Actions. Di halaman detail server SSL, lihat algoritma enkripsi.

    Konflik ID Paket

    Koneksi jaringan tidak stabil atau algoritma enkripsi server SSL diatur ke none.

    Authenticate/Decrypt packet error: bad packet ID (may be a replay)

    1. Ubah protokol yang digunakan oleh server SSL menjadi TCP untuk meningkatkan keandalan.

    2. Periksa apakah Encryption Algorithm server SSL diatur ke none. Jika algoritma enkripsi server SSL diatur ke none, kami sarankan Anda mengatur parameter Encryption Algorithm menjadi AES-128-CBC, AES-192-CBC, atau AES-256-CBC.

    3. Setelah memodifikasi konfigurasi server SSL, hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

    Masalah Sinkronisasi Waktu

    Verifikasi SSL gagal atau selisih waktu antara klien dan server SSL lebih dari 10 menit.

    • OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

    • TLS_ERROR: BIO read tls_read_plaintext error

    • TLS Error: TLS object -> incoming plaintext read error

    • TLS Error: TLS handshake failed

    1. Selisih waktu antara klien dan server SSL tidak boleh lebih dari 10 menit. Kami sarankan Anda mengatur waktu klien ke waktu standar.

    2. Periksa periode validitas sertifikat klien SSL.

      Periode validitas default sertifikat klien SSL adalah tiga tahun.

    Kegagalan Verifikasi Sertifikat

    Verifikasi sertifikat SSL gagal.

    No server certificate verification method has been enabled

    1. Periksa periode validitas sertifikat klien SSL.

      Periode validitas default sertifikat klien SSL adalah tiga tahun.

    2. Hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

      Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan autentikasi dua faktor atau memodifikasi konfigurasi server SSL.

    Kegagalan Autentikasi Dua Faktor

    Autentikasi dua faktor gagal.

    • AUTH: Received control message: AUTH_FAILED

    • TCP/UDP: Closing socket

    • SIGUSR1[soft,auth-failure] received, process restarting

    • MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

    1. Periksa apakah nama pengguna dan kata sandi yang Anda masukkan valid.

    2. Periksa apakah akun dikonfigurasi pada instance Identity as a Service (IDaaS), akun dinonaktifkan oleh instance IDaaS, dan instance IDaaS telah kedaluwarsa. Untuk informasi lebih lanjut, lihat Apa itu IDaaS?

      Jika masalah tidak disebabkan oleh instance IDaaS, gunakan akun lain untuk terhubung ke layanan.

    3. Hapus sertifikat klien SSL saat ini dan semua konfigurasi, unduh ulang sertifikat, lalu instal sertifikat di klien.

      Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan autentikasi dua faktor atau memodifikasi konfigurasi server SSL.

    Port Akses Tes (TAP) Hilang

    Klien tidak memiliki adaptor Ethernet virtual TAP.

    • There are no TAP-Windows adapters on this system. You should be able to create a TAP

    • CreateFile failed on TAP device

    • All TAP-Win32 adapters on this system are currently in use

    1. Periksa apakah Anda memilih TAP Virtual Ethernet Adapter saat menginstal OpenVPN.

      Jika Anda tidak memilih opsi tersebut saat menginstal OpenVPN, Anda perlu membuat adaptor Ethernet virtual TAP atau menginstal ulang OpenVPN.

    2. Tutup OpenVPN. Kemudian, jalankan OpenVPN sebagai administrator.

    Program ovpnagent Dinonaktifkan

    Program ovpnagent pada klien macOS tidak berjalan.

    Transport Error: socket_protect error

    1. Jalankan perintah berikut menggunakan CLI klien untuk memulai program ovpnagent:

      /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

    2. Kami sarankan Anda menggunakan Tunnelblick untuk membuat koneksi SSL-VPN jika Anda menggunakan klien macOS.

    Rekoneksi Klien yang Sering

    Klien secara otomatis menyambung ulang ke server.

    • Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting

    • TCP/UDP: Closing socket

    1. Periksa apakah klien memulai ulang atau menyambung ulang pada waktu yang ditampilkan dalam log.

    2. Periksa periode validitas sertifikat klien SSL.

      Periode validitas default sertifikat klien SSL adalah tiga tahun.

    3. Periksa waktu sistem klien.

      Selisih waktu antara klien dan server SSL tidak boleh lebih dari 10 menit. Kami sarankan Anda mengatur waktu klien ke waktu standar.

    Referensi

    Berikut adalah daftar referensi yang mungkin Anda perlukan untuk memecahkan masalah koneksi SSL-VPN.

    Catatan

    Jika Anda ingin memodifikasi konfigurasi klien saat memecahkan masalah koneksi SSL-VPN, lihat panduan pengguna klien.