All Products
Search
Document Center

VPN Gateway:Troubleshoot masalah koneksi SSL-VPN

Last Updated:Apr 03, 2026

Jika Anda mengalami masalah saat menggunakan koneksi SSL-VPN, periksa log klien SSL-VPN atau log koneksi SSL-VPN di Konsol VPN Gateway untuk melakukan troubleshooting.

Informasi Latar Belakang

Topik ini menjelaskan masalah umum koneksi SSL-VPN dan cara melakukan troubleshooting-nya. Anda dapat memeriksa log klien SSL-VPN atau log koneksi SSL-VPN di Konsol VPN Gateway untuk mengidentifikasi penyebab masalah. Untuk informasi selengkapnya, lihat bagian Masalah umum koneksi SSL-VPN dan troubleshooting dalam topik ini.

  • Untuk informasi selengkapnya tentang cara mengkueri log klien SSL-VPN yang menjalankan Linux, Windows, macOS, atau Android, lihat bagian Direktori file log untuk klien SSL-VPN dalam topik ini.

  • Untuk informasi selengkapnya tentang cara mengkueri log koneksi SSL-VPN, lihat Kueri log server SSL.

Direktori file log untuk klien SSL-VPN

Direktori penyimpanan file log klien SSL-VPN bervariasi tergantung pada sistem operasi tempat aplikasi VPN diinstal. Tabel berikut menunjukkan direktori default file log untuk klien SSL-VPN pada berbagai sistem operasi. Anda dapat menemukan direktori default file log sesuai sistem operasi klien Anda dalam tabel tersebut.

Catatan

Jika Anda menentukan direktori kustom untuk menyimpan file log saat menginstal aplikasi VPN, file log tersebut akan tersimpan di direktori yang telah ditentukan.

Operating system

Default directory of the log file for the SSL-VPN client

Linux client with OpenVPN installed

/var/log/openvpn.log

Windows client with OpenVPN installed

Secara default, file log disimpan di folder log dari direktori tempat OpenVPN diinstal.

Contoh: C:\Users\User\OpenVPN\log.

macOS client with Tunnelblick installed

/Library/Application Support/Tunnelblick/Logs

macOS client with OpenVPN installed

/Library/Application Support/OpenVPN/log/connection_name.log

Masalah umum koneksi SSL-VPN dan troubleshooting

Setelah memperoleh log koneksi SSL-VPN, cari kata kunci relevan dalam log tersebut untuk mengidentifikasi masalah dan melakukan troubleshooting. Tabel berikut menjelaskan masalah, kata kunci, serta metode troubleshooting-nya.

Category

Cause

Keyword

Troubleshooting method

Network connection failure

Komunikasi jaringan tidak normal.

  • network is unreachable

  • TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

  • TLS Error: TLS handshake failed

  1. Dari klien Anda, jalankan perintah ping atau mtr untuk menguji konektivitas ke alamat IP publik VPN Gateway.

    • Jika koneksi Internet buruk akibat latensi jaringan tinggi atau kehilangan paket tinggi, hubungi penyedia layanan Internet (ISP) untuk membantu melakukan troubleshooting.

    • Jika konektivitas jaringan normal, periksa apakah informasi koneksi klien tercatat dalam log server SSL.

      Jika tidak ada catatan koneksi klien, coba ubah Port yang digunakan oleh server SSL, lalu unduh dan instal ulang sertifikat klien SSL di klien.

  2. Ubah Protocol server SSL menjadi TCP untuk meningkatkan keandalan.

    Jika Anda menggunakan koneksi SSL-VPN untuk komunikasi lintas wilayah—misalnya dari AS (Silicon Valley) ke Singapura—dan masalah tetap terjadi setelah mengubah Protocol menjadi TCP, kami merekomendasikan penggunaan Cloud Enterprise Network dan Smart Access Gateway untuk menghubungkan klien ke VPC.

  3. Jika beberapa aplikasi VPN diinstal di klien Anda, gunakan hanya satu aplikasi VPN untuk membuat koneksi SSL-VPN.

  4. Restart klien atau instal ulang aplikasi VPN di klien.

Protocol or port number mismatch

Klien dan server SSL-VPN menggunakan protokol atau port yang berbeda.

  • MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,

  • TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

Ubah Protocol dan Port di server SSL, lalu unduh dan instal ulang sertifikat klien SSL di klien.

Excessive connections

Jumlah koneksi SSL-VPN melebihi batas maksimum.

MANAGEMENT: >STATE:1676370715,WAIT,,,,,

  1. Periksa apakah jumlah klien SSL yang terhubung ke gateway VPN melebihi batas maksimum.

    • Jika batas maksimum terlampaui, tingkatkan jumlah koneksi maksimum yang didukung oleh gateway VPN.

    • Jika Anda tidak ingin meningkatkan batas koneksi meskipun batas maksimum terlampaui, putuskan koneksi klien yang tidak lagi diperlukan. Sumber daya akan dilepas lima menit setelah klien diputus.

  2. Ubah Protocol server SSL menjadi TCP, lalu unduh dan instal ulang sertifikat klien SSL.

    Langkah ini mencegah koneksi UDP yang tidak andal menghabiskan kuota koneksi. Selain itu, koneksi TCP lebih andal.

Certificate expiration

Sertifikat klien SSL telah kedaluwarsa.

VERIFY ERROR: certificate has expired

  1. Periksa periode validitas sertifikat klien SSL.

    Periode validitas default sertifikat klien SSL adalah tiga tahun.

  2. Hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

    Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan otentikasi dua faktor atau mengubah konfigurasi server SSL.

Certificate configuration error

Konfigurasi sertifikat tidak valid.

  • Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)

  • Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)

  • WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)

  • Options error: --key fails with 'vsc-****.key'

  • Options error: Please correct these errors.

Hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

Incompatible VPN application versions

Versi aplikasi VPN yang diinstal di klien tidak kompatibel dengan server SSL Alibaba Cloud.

  • Data Channel Offload doesn't support DATA_V1 packets

  • Upgrade your server to

  • suggesting an upgrade to the server version

Hapus aplikasi VPN yang ada di klien dan unduh aplikasi VPN yang kompatibel dengan server SSL. Untuk informasi selengkapnya, lihat bagian "Langkah 4: Konfigurasikan klien" dalam topik Hubungkan klien ke VPC.

Insufficient IP addresses

Blok CIDR klien yang dikonfigurasi di server SSL tidak menyediakan cukup alamat IP.

OpenVPN needs a gateway parameter for a -- route option and no default was specified by either --route-gateway or --ifconfig options

Pastikan jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN. Untuk informasi selengkapnya, lihat Buat server SSL.

Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama membagi blok CIDR tersebut menjadi subnet dengan masker subnet /30, misalnya 192.168.0.4/30. Subnet ini menyediakan hingga empat alamat IP. Sistem kemudian mengalokasikan satu alamat IP dari 192.168.0.4/30 ke klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam kasus ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan alokasi alamat IP yang mencukupi bagi klien, jumlah alamat IP dalam blok CIDR klien harus minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN terkait.

Encryption algorithm mismatch

Server SSL dan klien menggunakan paket sandi TLS yang berbeda sehingga tidak ditemukan algoritma enkripsi yang cocok.

  • TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

  • OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

Instal aplikasi VPN yang direkomendasikan oleh VPN Gateway di klien Anda. Untuk informasi selengkapnya, lihat bagian "Langkah 4: Konfigurasikan klien" dalam topik Hubungkan klien ke VPC.

Inconsistent encryption algorithms

Konfigurasi algoritma enkripsi di server SSL dan klien tidak konsisten.

Authenticate/Decrypt packet error: cipher final failed

Periksa apakah algoritma enkripsi sertifikat klien SSL yang diinstal di klien konsisten dengan algoritma enkripsi server SSL.

Jika tidak konsisten, hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

  • Algoritma enkripsi untuk sertifikat klien SSL adalah nilai bidang cipher dalam file config.ovpn.

  • Untuk melihat algoritma enkripsi server SSL, lakukan langkah-langkah berikut: Buka halaman SSL Servers di Konsol VPN Gateway. Temukan server SSL yang ingin Anda kelola, lalu klik Details di kolom Actions. Di halaman detail server SSL, lihat algoritma enkripsi yang digunakan.

Packet ID conflict

Koneksi jaringan tidak stabil atau algoritma enkripsi server SSL diatur ke none.

Authenticate/Decrypt packet error: bad packet ID (may be a replay)

  1. Ubah protocol yang digunakan oleh server SSL menjadi TCP untuk meningkatkan keandalan.

  2. Periksa apakah Encryption Algorithm untuk server SSL diatur ke none. Jika ya, ubah Encryption Algorithm menjadi algoritma AES, seperti AES-128-CBC, AES-192-CBC, atau AES-256-CBC.

  3. Setelah mengubah konfigurasi server SSL, hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

Time synchronization issue

Otentikasi SSL gagal atau selisih waktu antara klien dan server SSL melebihi 10 menit.

  • OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

  • TLS_ERROR: BIO read tls_read_plaintext error

  • TLS Error: TLS object -> incoming plaintext read error

  • TLS Error: TLS handshake failed

  1. Selisih waktu antara klien dan server SSL tidak boleh melebihi 10 menit. Kami merekomendasikan agar Anda mengatur waktu klien sesuai waktu standar.

  2. Periksa periode validitas sertifikat klien SSL.

    Periode validitas default sertifikat klien SSL adalah tiga tahun.

Certificate verification failure

Otentikasi sertifikat SSL gagal.

No server certificate verification method has been enabled

  1. Periksa periode validitas sertifikat klien SSL.

    Periode validitas default sertifikat klien SSL adalah tiga tahun.

  2. Hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

    Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan otentikasi dua faktor atau mengubah konfigurasi server SSL.

Two-factor authentication failure

Otentikasi dua faktor gagal.

  • AUTH: Received control message: AUTH_FAILED

  • TCP/UDP: Closing socket

  • SIGUSR1[soft,auth-failure] received, process restarting

  • MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

  1. Periksa apakah username dan password yang Anda masukkan valid.

  2. Periksa apakah akun dikonfigurasi pada instans Identity as a Service (IDaaS), dinonaktifkan oleh instans IDaaS, atau instans IDaaS telah kedaluwarsa. Untuk informasi selengkapnya, lihat Apa itu IDaaS?

    Jika masalah bukan disebabkan oleh instans IDaaS, gunakan akun lain untuk menghubungkan ke layanan.

  3. Hapus sertifikat klien SSL beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal di klien.

    Anda harus mengunduh ulang dan menginstal sertifikat klien SSL setelah mengaktifkan atau menonaktifkan otentikasi dua faktor atau mengubah konfigurasi server SSL.

Test access port (TAP) missing

Klien tidak memiliki adaptor Ethernet virtual TAP.

  • There are no TAP-Windows adapters on this system. You should be able to create a TAP

  • CreateFile failed on TAP device

  • All TAP-Win32 adapters on this system are currently in use

  1. Pastikan Anda memilih opsi TAP virtual Ethernet adapter saat menginstal perangkat lunak OpenVPN.

    Jika opsi tersebut tidak dipilih saat instalasi OpenVPN, buat adaptor Ethernet virtual TAP atau instal ulang OpenVPN.

  2. Tutup OpenVPN, lalu jalankan sebagai administrator.

Disabled ovpnagent program

Program ovpnagent pada klien macOS tidak berjalan.

Transport Error: socket_protect error

  1. Jalankan perintah berikut menggunakan CLI klien untuk memulai program ovpnagent:

    /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent
  2. Kami merekomendasikan penggunaan Tunnelblick untuk membuat koneksi SSL-VPN pada klien macOS.

Frequent client reconnection

Klien secara otomatis terhubung ulang ke server.

  • Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting

  • TCP/UDP: Closing socket

  1. Periksa apakah klien melakukan restart atau terhubung ulang pada waktu yang tercantum dalam log.

  2. Periksa periode validitas sertifikat klien SSL.

    Periode validitas default sertifikat klien SSL adalah tiga tahun.

  3. Periksa waktu sistem klien.

    Selisih waktu antara klien dan server SSL tidak boleh melebihi 10 menit. Kami merekomendasikan agar Anda mengatur waktu klien sesuai waktu standar.

Referensi

Bagian ini mencantumkan referensi yang mungkin Anda perlukan untuk melakukan troubleshooting masalah koneksi SSL-VPN.

Catatan

Jika Anda perlu mengubah konfigurasi klien saat melakukan troubleshooting masalah koneksi SSL-VPN, rujuk panduan pengguna klien tersebut.