VPN Gateway:SSL-VPN 接続に関するよくある質問

カテゴリ

原因

解決策

無効な構成

SSL サーバーまたはクライアントの構成が無効です。

1. クライアントが仮想プライベートクラウド (VPC) でアクセスする必要がある CIDR ブロックが、Alibaba Cloud 側の SSL サーバーの [ローカルネットワーク] パラメーターで指定されているかどうかを確認します。 詳細については、「SSL サーバーの変更」をご参照ください。

2. クライアントの VPN アプリケーションが正しく設定されているかどうかを確認します。詳細については、「クライアントの設定」をご参照ください。

期限切れの SSL クライアント証明書

SSL クライアント証明書が無効であるか、期限切れです。

1. SSL クライアント証明書の有効期間を確認します。

   SSL クライアント証明書のデフォルトの有効期間は 3 年です。

2. 現在の SSL クライアント証明書とすべての構成を削除し、証明書を再ダウンロードしてから、クライアントに証明書をインストールします。

   二要素認証を有効または無効にした後、または SSL サーバーの構成を変更した後は、SSL クライアント証明書を再ダウンロードしてインストールする必要があります。詳細については、「SSL クライアント証明書のダウンロード」をご参照ください。

クライアント接続の超過

SSL サーバーに接続されているクライアントの数が上限を超えています。

1. VPN ゲートウェイに接続されているクライアントの数が上限を超えていないか確認します。

   • 上限を超えた場合は、SSL サーバーがサポートする同時 SSL 接続の最大数を増やす必要があります。詳細については、「同時 SSL 接続の最大数の変更」をご参照ください。

   • 上限を超えたが、SSL サーバーがサポートする同時 SSL 接続の最大数を増やしたくない場合は、不要になったクライアントを SSL サーバーから切断することをお勧めします。クライアントを SSL サーバーから切断してから 5 分後にリソースがリリースされます。

     SSL クライアントの接続情報を表示する方法の詳細については、「SSL クライアントの情報の表示」をご参照ください。

2. SSL サーバーが使用する [プロトコル] を [TCP] に変更します。次に、SSL クライアント証明書を再ダウンロードしてインストールします。詳細については、「SSL サーバーの変更」および「SSL クライアント証明書のダウンロード」をご参照ください。

   これにより、UDP を使用して作成される信頼性の低い接続が防止され、TCP を使用して作成される信頼性の高い接続のためにクォータが節約されます。

IP アドレスに関する問題

VPC 内の IP アドレスがクライアントの IP アドレスと競合しています。

クライアントとの IP アドレスの競合を回避するために、SSL サーバーの [ローカルネットワーク] (VPC または vSwitch の CIDR ブロック) または [クライアントサブネット] パラメーターを変更します。詳細については、「SSL サーバーの変更」をご参照ください。

SSL サーバーの [クライアント CIDR ブロック] パラメーターの値として少数の IP アドレスしか含まない CIDR ブロックが指定されている場合、クライアントに割り当てることができる IP アドレスが不足します。

クライアント CIDR ブロックによって提供される IP アドレスの数が、SSL-VPN 接続の数の少なくとも 4 倍であることを確認してください。詳細については、「SSL サーバーの作成と管理」をご参照ください。

たとえば、クライアント CIDR ブロックとして 192.168.0.0/24 を指定した場合、システムはまず 192.168.0.0/24 からサブネットマスクが 30 のサブネット CIDR ブロック (192.168.0.4/30 など) を分割します。このサブネットは最大 4 つの IP アドレスを提供します。次に、システムは 192.168.0.4/30 からクライアントに IP アドレスを割り当て、他の 3 つの IP アドレスをネットワーク通信の確保に使用します。この場合、1 つのクライアントが 4 つの IP アドレスを消費します。したがって、IP アドレスをクライアントに割り当てることができるようにするには、クライアント CIDR ブロック内の IP アドレスの数が、関連付けられた VPN ゲートウェイでサポートされる SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認する必要があります。

VPN アプリケーションに関する問題

クライアントで VPN アプリケーションの競合が発生します。

1. クライアントに複数の VPN アプリケーションがインストールされている場合は、1 つの VPN アプリケーションのみを使用して SSL-VPN 接続を作成することをお勧めします。

2. クライアントを再起動するか、クライアントに VPN アプリケーションを再インストールします。詳細については、「クライアントの設定」をご参照ください。

その他

その他の理由

障害のある SSL-VPN 接続のログを確認し、問題をトラブルシューティングします。詳細については、「SSL-VPN 接続の問題のトラブルシューティング」をご参照ください。

カテゴリ

原因

解決策

不安定なインターネット接続

クライアントと VPN ゲートウェイ間のインターネット接続が不安定です。

クライアントで ping または mtr コマンドを実行して VPN Gateway のパブリック IP アドレスにアクセスし、インターネットリンクの品質を確認します。

インターネット接続が不安定で、ネットワーク遅延やパケット損失率が高い場合は、インターネットサービスプロバイダー (ISP) に連絡して問題のトラブルシューティングを依頼してください。

米国 (シリコンバレー) とシンガポールのリージョン間の接続など、長距離で SSL-VPN 接続を使用する場合、クライアントが VPC にアクセスすると、クライアントが断続的に切断されることがあります。

接続の信頼性を向上させるために、Alibaba Cloud 側の SSL サーバーが使用する [プロトコル] を [TCP] に変更します。詳細については、「SSL サーバーの変更」をご参照ください。

SSL サーバーが使用する [プロトコル] を [TCP] に変更しても問題が解決しない場合は、Cloud Enterprise Network (CEN) と Smart Access Gateway (SAG) を使用してクライアントを VPC に接続することをお勧めします。

SSL サーバー構成の変更

SSL サーバーの構成が変更されたため、クライアントが SSL サーバーから切断されました。

SSL サーバーの構成を変更した後、クライアントを SSL サーバーに再接続します。

カテゴリ

原因

解決策

不安定なインターネット接続

米国 (シリコンバレー) とシンガポールのリージョン間の接続など、長距離で SSL-VPN 接続を使用する場合、クライアントが VPC にアクセスすると、クライアントが断続的に切断されることがあります。

接続の信頼性を向上させるために、Alibaba Cloud 側の SSL サーバーが使用する [プロトコル] を [TCP] に変更します。詳細については、「SSL サーバーの変更」をご参照ください。

長距離通信 (米国 (シリコンバレー) とシンガポール間など) に SSL-VPN 接続を使用し、SSL サーバーが使用する [プロトコル] を [TCP] に変更しても接続性の問題が解決しない場合は、Cloud Enterprise Network (CEN) と Smart Access Gateway を使用してクライアントを仮想プライベートクラウド (VPC) に接続することをお勧めします。

クライアント接続の超過

SSL サーバーに接続されているクライアントの数が上限を超えています。

1. VPN ゲートウェイに接続されているクライアントの数が上限を超えていないか確認します。

   • 上限を超えた場合は、SSL サーバーがサポートする同時 SSL 接続の最大数を増やす必要があります。詳細については、「同時 SSL 接続の最大数の変更」をご参照ください。

   • 上限を超えたが、SSL サーバーがサポートする同時 SSL 接続の最大数を増やしたくない場合は、不要になったクライアントを SSL サーバーから切断することをお勧めします。クライアントを SSL サーバーから切断してから 5 分後にリソースがリリースされます。

     SSL クライアントの接続情報を表示する方法の詳細については、「SSL クライアントの情報の表示」をご参照ください。

2. SSL サーバーが使用する [プロトコル] を [TCP] に変更します。次に、SSL クライアント証明書を再ダウンロードしてインストールします。詳細については、「SSL サーバーの変更」および「SSL クライアント証明書のダウンロード」をご参照ください。

   これにより、UDP を使用して作成される信頼性の低い接続が防止され、TCP を使用して作成される信頼性の高い接続のためにクォータが節約されます。

クライアントの例外

クライアントまたはクライアント上の VPN アプリケーションが期待どおりに実行されません。その結果、クライアントは SSL サーバーから切断されます。

クライアントを再起動するか、VPN アプリケーションを再インストールして再設定します。VPN アプリケーションのインストールと設定方法の詳細については、「クライアントの設定」をご参照ください。

時間同期の問題

クライアントと SSL サーバーの間の時間差により、SSL 検証が失敗します。

クライアントと SSL サーバーの間の時間差は 10 分を超えることはできません。クライアントのシステム時刻を標準時刻に設定することをお勧めします。

1. クライアントのシステム時刻を確認します。

   たとえば、Linux オペレーティングシステムでは、コマンドラインインターフェイスで date コマンドを実行して、クライアントの現在の時刻を表示します。時刻が標準時刻と大幅に異なる場合は、調整してください。

2. Network Time Protocol (NTP) サービスから最新の時刻を同期します。

   この例では Linux を使用します。CLI で次のコマンドを実行して、クライアントのシステム時刻を同期します。

   yum install -y ntp    # NTP サービスをインストールします。
   ntpdate pool.ntp.org  # 最新の時刻を同期します。
   date # クライアントのシステム時刻が同期されているかどうかを確認します。

原因

解決策

クライアントアプリケーションのアクセスの制御ポリシーが、ping コマンドからのプローブを禁止しています。

クライアントアプリケーションのアクセスの制御ポリシーが ping コマンドからのプローブを禁止しているかどうかを確認します。禁止している場合は、アクセスの制御ポリシーを変更します。詳細については、クライアントのユーザーガイドをご参照ください。

デフォルトでは、Windows クライアントのファイアウォールは ping コマンドからのプローブを禁止します。ICMPv4-In を許可するようにファイアウォールのインバウンドルールを変更する必要があります。

問題の説明

原因

解決策

クライアントは VPC に正常に ping できますが、VPC はクライアントに ping できません。

クライアントアプリケーションのアクセスの制御ポリシーが、ping コマンドからのプローブを禁止しています。

クライアントアプリケーションのアクセスの制御ポリシーが ping コマンドからのプローブを禁止しているかどうかを確認します。禁止している場合は、アクセスの制御ポリシーを変更します。詳細については、クライアントのユーザーガイドをご参照ください。

デフォルトでは、Windows クライアントのファイアウォールは ping コマンドからのプローブを禁止します。ICMPv4-In を許可するようにファイアウォールのインバウンドルールを変更する必要があります。

VPC はクライアントに ping できますが、クライアントは VPC に ping できません。

クライアントから VPC に ping パケットを送信するときにプローブされるパスは、VPC からクライアントに ping パケットを送信するときにプローブされるパスとは異なります。

1. CEN を使用している場合は、クライアントと VPC の間の各ノードのルート構成を確認します。クライアントと VPC が相互に通信するために同じパスを使用していることを確認してください。

2. クライアントが VPC でアクセスするリソース (Elastic Compute Service (ECS) インスタンスなど) にパブリック IP アドレスが割り当てられているかどうかを確認します。リソースにパブリック IP アドレスが割り当てられており、クライアントもパブリック IP アドレスを使用している場合、VPC は内部ネットワークではなくインターネット経由でクライアントにアクセスする可能性があります。

原因

解決策

クライアントリクエストを DNS サーバにルーティングするためのルートがクライアントに設定されていません。その結果、ドメイン名を解決できません。

1. DNS サーバの CIDR ブロックが Alibaba Cloud の SSL サーバーの [ローカルネットワーク] パラメーターの値として指定されているかどうかを確認します。これにより、クライアントは DNS サーバを指すルートを学習できます。

   たとえば、Alibaba Cloud DNS PrivateZone を使用してドメイン名を管理する場合、SSL サーバーの [ローカルネットワーク] パラメーターの値として 100.100.2.136/32 および 100.100.2.138/32 の CIDR ブロックを指定できます。これにより、クライアントは名前解決サービスを使用できます。

2. クライアントで ping または mtr コマンドを実行して、宛先アプリケーションへの接続性を確認します。アプリケーションに到達できる場合、SSL クライアントと SSL サーバーは期待どおりに動作しており、ルートは正常です。この場合、デプロイした Alibaba Cloud サービスとアプリケーションに基づいて、さらにトラブルシューティングを行う必要があります。

カテゴリ

原因

解決策

ルートの問題

SSL サーバーの [ローカルネットワーク] パラメーターが指定されていないか、パラメーター値が無効です。

1. クライアントがアクセスする必要のある CIDR ブロックが Alibaba Cloud 側の SSL サーバーの [ローカルネットワーク] パラメーターで指定されているか、および設定が有効かどうかを確認します。 詳細については、「SSL サーバーの変更」をご参照ください。

2. クライアントが、SSL サーバーの [ローカルネットワーク] パラメーターの値として指定された CIDR ブロックを指すルートを学習したかどうかを確認します。

   • Windows クライアントでは、コマンドラインインターフェイスで ipconfig コマンドを実行して、クライアントに割り当てられた IP アドレスを表示します。route print コマンドを実行して、クライアントが SSL サーバーの [ローカルネットワーク] へのルートを正常に受信したかどうかを確認します。

   • Linux クライアントでは、コマンドラインインターフェイスで ifconfig コマンドを実行して、クライアントに割り当てられた IP アドレスを表示します。ip route show all コマンドを実行して、クライアントが SSL サーバーの [ローカルネットワーク] へのルートを正常に受信したかどうかを確認します。

CIDR ブロックの問題

SSL サーバーの [ローカルネットワーク] パラメーターの値として指定された CIDR ブロックが、[クライアント CIDR ブロック] パラメーターの値として指定された CIDR ブロックと重複しています。

Alibaba Cloud 側の SSL サーバーの [ローカルネットワーク] パラメーターで指定された CIDR ブロックが、[クライアントサブネット] パラメーターで指定された CIDR ブロックと重複していないか確認します。詳細については、「SSL サーバーの変更」をご参照ください。

SSL サーバーに関連付けられている VPN ゲートウェイに IPsec 接続が作成されます。IPsec 接続は、[宛先 CIDR ブロック] が SSL サーバーの [クライアントサブネット] パラメーターで指定された CIDR ブロックと重複するルートに関連付けられています。

IPsec 接続に関連付けられているルートを特定のルートに変更するか、SSL サーバーの [クライアントサブネット] パラメーターを他の CIDR ブロックに設定します。これにより、ルートの [宛先 CIDR ブロック] が SSL サーバーの [クライアントサブネット] パラメーターで指定された CIDR ブロックと重複しないようになります。詳細については、「ポリシーベースのルートの変更」、「宛先ベースルートの変更」、または「SSL サーバーの変更」をご参照ください。

セキュリティグループの問題

VPC 内のアプリケーションのセキュリティグループルール、またはクライアントのネットワーク ACL が、VPC とクライアント間の通信を許可していません。

1. VPC 内のアプリケーションのセキュリティグループルールが、VPC とクライアント間の通信を許可しているかどうかを確認します。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

2. クライアントのネットワーク ACL が、クライアントと VPC 間の通信を許可しているかどうかを確認します。

VPN アプリケーションに関する問題

古いまたは最近の OpenVPN バージョンがクライアントにインストールされている場合、互換性の問題が発生する可能性があります。その結果、クライアントは VPN ゲートウェイから送信された応答を受信または処理できない場合があります。

たとえば、Windows クライアントに OpenVPN 2.6.6 がインストールされている場合、互換性の問題により、クライアントはクラウドリソースに ping パケットを送信できません。

VPN Gateway ドキュメントで推奨されている OpenVPN バージョンを使用することをお勧めします。詳細については、「クライアントの設定」をご参照ください。

カテゴリ

原因

解決策

VPN ゲートウェイの仕様の問題

データ転送中に突然のトラフィックサージが発生し、VPN ゲートウェイの最大帯域幅を超えています。

VPN Gateway コンソールで VPN ゲートウェイのトラフィック監視情報を表示して、突然のトラフィックサージが発生したかどうかを確認できます。

VPN ゲートウェイをスペックアップできます。詳細については、「VPN ゲートウェイのスペックアップまたはスペックダウン」をご参照ください。

SSL サーバー構成の最適化

SSL サーバーは、信頼性の低い UDP を使用してクライアントへの SSL-VPN 接続を確立します。

1. SSL サーバーの [プロトコル] を [TCP] に変更します。これにより、SSL サーバーは信頼性の高いプロトコルである TCP を介してクライアントとの SSL-VPN 接続を確立できます。詳細な手順については、「SSL サーバーの変更」をご参照ください。

2. SSL クライアント証明書を再ダウンロードしてインストールします。詳細については、「SSL クライアント証明書のダウンロード」および「クライアントを VPC に接続する」トピックの「ステップ 4: クライアントの設定」セクションをご参照ください。

不安定なインターネット接続

クライアントと VPN ゲートウェイ間のインターネット接続が不安定です。

クライアントで ping または mtr コマンドを実行して VPN Gateway のパブリック IP アドレスにアクセスし、インターネットリンクの品質を確認します。

インターネット接続が不安定な場合は、ISP に連絡して問題のトラブルシューティングを依頼してください。

カテゴリ

原因

解決策

VPN ゲートウェイの仕様の問題

データ転送中に突然のトラフィックサージが発生し、VPN ゲートウェイの最大帯域幅を超えています。

VPN Gateway コンソールで VPN ゲートウェイのトラフィック監視情報を表示して、突然のトラフィックサージが発生したかどうかを確認できます。

VPN Gateway インスタンスをスペックアップできます。詳細については、「仕様変更を伴う VPN Gateway インスタンスのスペックアップ、スペックダウン、または更新」をご参照ください。

VPN Gateway のバージョンが低い

以前のバージョンの VPN Gateway の転送機能は要件を満たしていません。VPN ゲートウェイが大量のトラフィックを転送する必要がある場合、応答遅延が増加します。

VPN ゲートウェイが 2021 年 4 月 1 日より前に作成された場合は、VPN ゲートウェイをスペックアップしてください。新しい VPN Gateway バージョンでは、SSL-VPN 接続のパフォーマンスが向上しています。詳細については、「VPN ゲートウェイのスペックアップまたはスペックダウン」をご参照ください。