SSL-VPN 接続に関するよくある質問

更新日時
Copy as MD

このトピックでは、クライアント接続の失敗やトラフィック転送の問題など、SSL-VPN 接続における一般的な問題のトラブルシューティング方法について説明します。

一般的な問題へのクイックリンク

クライアント接続の問題

SSL-VPN 接続性の問題

二要素認証の問題

二要素認証を設定する際に、別の Alibaba Cloud アカウントの IDaaS インスタンスを選択できますか。

いいえ。ご自身の Alibaba Cloud アカウントの IDaaS インスタンスのみ選択できます。

クライアント接続の失敗

次の表では、考えられる原因と解決策について説明します。

カテゴリ

原因

解決策

設定エラー

SSL サーバーまたはクライアントが正しく設定されていません。

  1. SSL サーバーの ローカル CIDR ブロック 設定を確認します。 ターゲット VPC の CIDR ブロックが ローカル CIDR ブロック に追加されていることを確認します。 詳細については、「SSL サーバーを変更する」をご参照ください。

  2. クライアント上の VPN ソフトウェアが正しく設定されていることを確認してください。クライアントの設定方法の詳細については、「クライアントの設定」をご参照ください。

期限切れの SSL クライアント証明書

SSL クライアント証明書の有効期限が切れているか、無効です。

  1. SSL クライアント証明書の有効性を確認してください。

    デフォルトでは、SSL クライアント証明書の有効期間は 3 年です。

  2. 既存の SSL クライアント証明書とそのすべての設定を削除してください。その後、新しい SSL クライアント証明書をダウンロードしてインストールしてください。

    二要素認証を有効化または無効化した後、または SSL サーバーの設定を変更した後は、SSL クライアント証明書を再ダウンロードしてインストールする必要があります。詳細については、「SSL クライアント証明書のダウンロード」をご参照ください。

接続数の上限超過

SSL サーバーに接続されているクライアントの数が上限を超えています。

  1. VPN Gateway インスタンスに接続されているクライアントの数が上限を超えていないか確認してください。

    • 同時 SSL 接続数が上限を超えている場合は、SSL サーバーの仕様をアップグレードしてください。詳細については、「同時 SSL 接続数の変更」をご参照ください。

    • または、アイドル状態のクライアントを切断してください。切断後、約 5 分でリソースが解放されます。

      クライアント接続情報を確認するには、「SSL クライアント情報の表示」をご参照ください。

  2. SSL サーバーの プロトコル[TCP] に変更します。その後、SSL クライアント証明書を再ダウンロードしてインストールします。詳細については、「SSL サーバーを変更する」および「SSL クライアント証明書をダウンロードする」をご参照ください。

    信頼性を向上させるには TCP を使用してください。UDP は信頼性の低いプロトコルであるため、不安定な接続によって接続スロットが占有される可能性があります。

IP アドレスの問題

VPC の CIDR ブロックとクライアントの CIDR ブロックが重複しています。

IP アドレスの競合を防ぐために、SSL サーバーの ローカル CIDR ブロック (VPC または vSwitch の CIDR ブロック) または クライアント CIDR ブロック を変更します。 詳細については、「SSL サーバーの変更」をご参照ください。

SSL サーバーの クライアント CIDR ブロック が小さすぎるため、クライアントに IP アドレスを割り当てられません。

指定したクライアント CIDR ブロック内の IP アドレスの数が、SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認してください。詳細については、「SSL サーバーの作成と管理」をご参照ください。

たとえば、クライアント CIDR ブロックとして 192.168.0.0/24 を指定した場合、システムはまず 192.168.0.0/24 からサブネットマスクが 30 のサブネット CIDR ブロック(例:192.168.0.4/30)を分割します。このサブネットは最大 4 つの IP アドレスを提供します。次に、システムは 192.168.0.4/30 からクライアントに 1 つの IP アドレスを割り当て、残りの 3 つの IP アドレスをネットワーク通信を確保するために使用します。この場合、1 つのクライアントが 4 つの IP アドレスを消費します。したがって、クライアントに IP アドレスを割り当てられるようにするには、クライアント CIDR ブロック内の IP アドレス数が、関連付けられた VPN ゲートウェイがサポートする最大 SSL-VPN 接続数の少なくとも 4 倍になるようにする必要があります。

VPN ソフトウェアの問題

クライアント上で VPN ソフトウェアの競合が発生しています。

  1. クライアントに複数の VPN アプリケーションがインストールされている場合は、1 つのアプリケーションのみを使用して SSL-VPN 接続を確立することを推奨します。

  2. クライアントを再起動するか、VPN ソフトウェアを再インストールしてみてください。詳細については、「クライアントの設定」をご参照ください。

その他

上記のいずれにも該当しない

SSL-VPN 接続のログを確認して、障害のトラブルシューティングを行ってください。詳細については、「SSL-VPN 接続の問題のトラブルシューティング」をご参照ください。

断続的な切断

この表では、考えられる原因と解決策について説明します。

カテゴリ

原因

解決策

信頼性の低いパブリックネットワーク

クライアントと VPN Gateway 間のパブリックネットワーク品質が低いため、断続的な切断が発生します。

クライアントで ping コマンドまたは mtr コマンドを実行して、クライアントから VPN ゲートウェイのパブリック IP アドレスまでのネットワーク品質をテストします。

ネットワーク品質が低い (たとえば、高いレイテンシーやパケット損失) 場合は、ご利用のインターネットサービスプロバイダー (ISP) にお問い合わせください。

US (Silicon Valley) から Singapore への接続など、長距離の SSL-VPN 接続では、クライアントが VPC にアクセスする際に断続的な切断が発生することがあります。

信頼性を高めるために、SSL サーバーのプロトコル[TCP]に変更します。詳細については、「SSL サーバーを変更する」をご参照ください。

プロトコル[TCP] に変更しても問題が解決しない場合は、Cloud Enterprise Network (CEN)Smart Access Gateway (SAG) を使用してクライアントを VPC に接続することをお勧めします。

SSL サーバー設定の変更

SSL サーバーの設定が変更されたため、クライアントが切断されます。

SSL サーバーの設定を変更した後、クライアントを再接続してください。

一部クライアントのみの接続

次の表に、考えられる原因と解決策を示します。

カテゴリ

原因

解決策

信頼性の低いパブリックネットワーク

US (Silicon Valley) から Singapore への接続など、長距離の SSL-VPN 接続では、クライアントが VPC にアクセスする際に断続的な切断が発生する場合があります。

信頼性を高めるために、SSL サーバーのプロトコル[TCP] に変更します。詳細については、「SSL サーバーを変更する」をご参照ください。

米国 (シリコンバレー) からシンガポールなど、長距離通信で SSL-VPN 接続を使用している場合、プロトコルTCP に変更しても問題が解消されない場合は、Cloud Enterprise Network および Smart Access Gateway を使用して、クライアントを VPC に接続することを推奨します。

接続数の上限超過

SSL サーバーに接続しているクライアント数が上限を超えています。

  1. VPN Gateway インスタンスに接続されているクライアントの数が上限を超えていないか確認してください。

    • 同時 SSL 接続数が上限を超えている場合は、SSL サーバーの仕様をアップグレードしてください。詳細については、「同時 SSL 接続数の変更」をご参照ください。

    • または、アイドル状態のクライアントを切断してください。切断後、約 5 分でリソースが解放されます。

      クライアント接続情報を確認するには、「SSL クライアント情報の表示」をご参照ください。

  2. SSL サーバーの プロトコル[TCP] に変更します。その後、SSL クライアント証明書を再ダウンロードしてインストールします。詳細については、「SSL サーバーを変更する」および「SSL クライアント証明書をダウンロードする」をご参照ください。

    信頼性を向上させるには TCP を使用してください。UDP は信頼性の低いプロトコルであるため、不安定な接続によって接続スロットが占有される可能性があります。

クライアント側の問題

クライアントまたは VPN ソフトウェアが想定どおりに動作していないため、クライアントが接続に失敗します。

クライアントを再起動するか、VPN ソフトウェアを再インストールして再設定します。VPN ソフトウェアのインストールおよび設定方法の詳細については、「クライアントを設定する」をご参照ください。

時刻のずれ

クライアントと SSL サーバーの時刻差が大きすぎるため、SSL 検証に失敗します。

クライアントと SSL サーバーの時刻差は 10 分を超えることはできません。標準時刻ソースと同期するように、クライアントの時刻を調整してください。

  1. クライアントの現在時刻を確認してください。

    たとえば、Linux オペレーティングシステムでは、date コマンドを実行して現在時刻を確認できます。標準時刻と大きく異なる場合は、時刻を調整する必要があります。

  2. ネットワークタイムプロトコル (NTP) サービスを使用して時刻を同期してください。

    たとえば、Linux オペレーティングシステムでは、次のコマンドを実行して時刻を同期します:

    yum install -y ntp    # NTP サービスをインストールします。
    ntpdate pool.ntp.org  # 時刻を同期します。
    date                  # 時刻が同期されているか確認します。

接続後の Ping 失敗

この表では、考えられる原因と解決策について説明します。

原因

解決策

クライアントアプリケーションのアクセス制御ポリシーが ping リクエストをブロックしています。

クライアントアプリケーションのアクセス制御ポリシーが ping リクエストをブロックしているかどうかを確認してください。ブロックしている場合は、アクセス制御ポリシーを変更してください。詳細については、「クライアントのユーザーガイド」をご参照ください。

デフォルトでは、Windows OS のファイアウォールは ping リクエストをブロックします。ファイアウォールのインバウンドルールを変更して、ICMPv4-In を許可する必要があります。

宛先の ECS インスタンスの OS ファイアウォールが ICMP パケットをブロックしています。

クライアントのルートエントリが正しい (route print または ip route を実行して VPC CIDR ブロックへのルートを確認できます) にもかかわらず、VPC 内の ECS インスタンスに ping できない場合は、宛先の ECS インスタンスで OS のファイアウォール設定を確認してください:

  1. firewalld のステータスを確認するには、systemctl status firewalld を実行します。出力に active (running) と表示される場合、ファイアウォールはアクティブです。

  2. ファイアウォールの詳細を表示するには、firewall-cmd --list-all を実行します。icmp-blocks フィールドに echo-request が含まれているかどうかを確認してください。

  3. 検証のためにファイアウォールを一時的に無効にするには、systemctl stop firewalld を実行して、再度 ping を試してください。ping が成功した場合、問題の原因は firewalld です。

  4. iptables のルールを確認するには、iptables -L INPUT -n を実行して、ICMP に対する DROP または REJECT ルールがないか確認してください。

  5. SELinux を確認するには、getenforce を実行します。結果が Enforcing の場合、setenforce 0 を実行して一時的に Permissive に設定し、SELinux が原因かどうかを確認できます。

  6. インスタンスの vSwitch のネットワーク ACL が、そのインバウンドおよびアウトバウンドルールで ICMP トラフィックを許可していることを確認してください。

説明

ファイアウォールが根本原因であると確認できた場合は、ファイアウォールを無効にしたままにするのではなく、許可ルールを追加することをお勧めします。たとえば、firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" accept' を実行し、次に firewall-cmd --reload を実行してルールを適用します。

一方向の ping の問題

次の表に、考えられる原因と解決策を示します。

シナリオ

原因

解決策

クライアントから VPC への ping コマンドは成功しますが、VPC からクライアントへの ping は失敗します。

クライアントアプリケーションのアクセス制御ポリシーが ping リクエストをブロックします。

クライアントアプリケーションのアクセス制御ポリシーが ping リクエストをブロックしているかどうかを確認してください。ブロックしている場合は、アクセス制御ポリシーを変更してください。詳細については、クライアントのユーザーガイドをご参照ください。

デフォルトでは、Windows オペレーティングシステムのファイアウォールは ping リクエストをブロックします。ICMPv4-In を許可するには、ファイアウォールの受信規則を変更する必要があります。

VPC からクライアントへの ping は成功しますが、クライアントから VPC への ping コマンドは失敗します。

クライアントと VPC 間のアウトバウンドと戻りのトラフィックパスが異なります。

  1. ネットワークで Cloud Enterprise Network (CEN) を使用している場合は、クライアントと VPC 間のすべての転送ノードのルート設定を確認してください。クライアントと VPC 間のトラフィックが、双方向で同じパスを通ることを確認してください。

  2. ECS インスタンスなどの VPC リソースにパブリック IP アドレスが割り当てられているか確認してください。リソースにパブリック IP アドレスが割り当てられており、クライアントから VPC へのトラフィックの宛先がそのリソースのパブリック IP アドレスである場合、戻りトラフィックがプライベートネットワーク経由でルーティングされるため、非対称ルーティングが発生する可能性があります。

ping は通るがアプリケーションアクセスに失敗する場合

次の表に、考えられる原因と解決策を示します。

原因

解決策

クライアントに DNS サーバーへのルートがないため、ドメイン名前解決を利用できません。

  1. クライアントが DNS サーバーへのルートを学習できるように、DNS サーバーの CIDR ブロックを SSL サーバーの ローカル CIDR ブロック に追加します。

    たとえば、ドメイン名管理に Alibaba Cloud DNS PrivateZone を使用している場合は、100.100.2.136/32 と 100.100.2.138/32 を SSL サーバーの ローカル CIDR ブロック に追加できます。これにより、クライアントはドメイン名前解決サービスを使用できます。

  2. クライアントで ping または mtr コマンドを実行し、アプリケーションへの接続をテストします。接続が正常であれば、SSL-VPN 接続、クライアント、サーバー、およびルートが想定どおりに動作しています。この場合は、デプロイ済みのクラウドサービスとアプリケーションに基づいて、追加のトラブルシューティングを実施する必要があります。

リソースアクセス障害

この表では、考えられる原因と解決策について説明します。

カテゴリ

原因

解決策

ルーティングの問題

SSL サーバーの ローカル CIDR ブロック が指定されていないか、正しく設定されていません。

  1. SSL サーバーの ローカル CIDR ブロック の設定を確認してください。クライアントがアクセスする CIDR ブロックが SSL サーバーの ローカル CIDR ブロック に正しく追加されていることを確認してください。詳細については、「SSL サーバーの変更」をご参照ください。

  2. クライアントが SSL サーバーの ローカル CIDR ブロック へのルートを受信したことを確認してください。

    • Windows クライアントで、ipconfig コマンドを実行してクライアントに割り当てられた IP アドレスを表示し、次に route print コマンドを実行して、クライアントが SSL サーバーの ローカル CIDR ブロック へのルートを受信したことを確認してください。

    • Linux クライアントで、ifconfig コマンドを実行してクライアントに割り当てられた IP アドレスを表示し、次に ip route show all コマンドを実行して、クライアントが SSL サーバーの ローカル CIDR ブロック へのルートを受信したことを確認してください。

CIDR ブロック設定の問題

SSL サーバーの ローカル CIDR ブロッククライアント CIDR ブロック と重複しています。

SSL サーバーの設定を確認し、ローカル CIDR ブロッククライアント CIDR ブロック が重複していないことを確認してください。詳細については、「SSL サーバーの変更」をご参照ください。

同じ VPN Gateway 上の IPsec-VPN 接続のルートエントリの CIDR が、SSL サーバーの クライアント CIDR ブロック と競合しています。

IPsec-VPN 接続のルートエントリをより具体的なものに変更するか、SSL サーバーの クライアント CIDR ブロック を別の CIDR ブロックに変更してください。これにより、CIDRクライアント CIDR ブロック と競合するのを防ぐことができます。詳細については、「ポリシーベースルートの変更」、「宛先ベースルートの変更」、または「SSL サーバーの変更」をご参照ください。

セキュリティグループルールの問題

VPC アプリケーションのセキュリティグループルールまたはクライアントアプリケーションのアクセス制御ポリシーが、クライアントと VPC 間の通信を許可していません。

  1. VPC アプリケーションのセキュリティグループルールを確認し、セキュリティグループルールがクライアントと VPC 間のトラフィックを許可していることを確認してください。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

  2. クライアントアプリケーションのアクセス制御ポリシーを確認し、アクセス制御ポリシーがクライアントと VPC 間のトラフィックを許可していることを確認してください。

VPN ソフトウェアの問題

クライアントの OpenVPN のバージョンが互換性がない (古すぎる、または新しすぎる) ため、クライアントが VPN Gateway からの応答パケットを受信または処理できない場合があります。

たとえば、OpenVPN 2.6.6 がインストールされている Windows クライアントは、クラウドリソースに ping できない場合があります。

VPN Gateway のドキュメントで提供されている OpenVPN のバージョンをダウンロードして使用することを推奨します。詳細については、「クライアントの設定」をご参照ください。

接続後のパケット損失

この表では、考えられる原因と解決策について説明します。

カテゴリ

原因

解決策

VPN Gateway の仕様の問題

トラフィックバーストが VPN Gateway インスタンスの帯域幅を超えています。

VPN Gateway コンソールで VPN Gateway インスタンスのトラフィックモニタリングデータを確認し、トラフィックバーストの有無を確認します。

VPN Gateway インスタンスをアップグレードするか、できます。詳細については、「VPN Gateway のアップグレードまたは更新」をご参照ください。

SSL サーバー設定

SSL サーバーは、信頼性の低いプロトコルである UDP を使用して、クライアントとの SSL-VPN 接続を確立します。

  1. SSL サーバーの プロトコル[TCP] に変更します。 これにより、SSL サーバーはクライアントとの信頼性の高い SSL-VPN 接続を確立できます。 詳細については、「SSL サーバーの変更」をご参照ください。

  2. SSL クライアント証明書を再ダウンロードし、クライアントにインストールします。詳細については、「SSL クライアント証明書のダウンロード」および「クライアントの設定」をご参照ください。

信頼性の低いパブリックネットワーク

クライアントと VPN Gateway 間のパブリックネットワーク品質が低いため、クライアントが断続的に切断されます。

クライアントで ping または mtr コマンドを実行して、クライアントから VPN Gateway のパブリック IP アドレスへのネットワーク品質をテストしてください。

ネットワーク品質が低い場合は、ご利用の ISP にお問い合わせください。

接続後の高レイテンシー

次の表に、考えられる原因と解決策を示します。

カテゴリ

原因

解決策

VPN Gateway の仕様の問題

トラフィックバーストが VPN Gateway インスタンスの帯域幅を超えています。

VPN Gateway コンソールで VPN Gateway インスタンスのトラフィックモニタリングデータを確認し、トラフィックバーストがないか調べます。

VPN Gateway インスタンスをアップグレードしてください。詳細については、「VPN Gateway のアップグレードまたは更新」をご参照ください。

古い VPN Gateway バージョン

古い VPN Gateway バージョンは転送性能が低いため、高トラフィック時に高レイテンシーが発生する可能性があります。

2021 年 4 月 1 日より前に作成された VPN Gateway をアップグレードしてください。新しいバージョンでは、SSL-VPN の転送性能が最適化されています。詳細については、「VPN Gateway のアップグレード」をご参照ください。

指定した暗号化アルゴリズムが使用されない

原因

Alibaba Cloud SSL サーバーと OpenVPN (バージョン 2.4.0 以降) はいずれも、デフォルトで NCP (非準拠のプレーンテキスト) モードが有効になっています。NCP モードは、暗号化アルゴリズムを動的にネゴシエートする方法です。このモードが有効になっている場合、クライアントと SSL サーバーは、SSL サーバーに指定した暗号化アルゴリズムを使用する代わりに、ncp_ciphers リストから双方がサポートする最もセキュリティレベルの高い暗号化アルゴリズムをネゴシエートして使用し、SSL-VPN 接続を確立します。

OpenVPN 2.4.0 以降では、ncp_ciphers リストのデフォルトの暗号化アルゴリズムは AES-256-GCM と AES-128-GCM です。クライアントが SSL サーバーとの SSL-VPN 接続を確立する際、接続ログを確認してネゴシエートされた暗号化アルゴリズムを確認できます。たとえば、ログには Data Channel: using negotiated cipher 'AES-256-GCM' が含まれる場合があります。

クライアントが NCP をサポートしていない 2.4.0 より前の OpenVPN バージョンを使用している場合、接続は SSL サーバーに指定した暗号化アルゴリズムを使用します。

推奨事項

クライアントと SSL サーバーが暗号化アルゴリズムをネゴシエートできるように、クライアントで OpenVPN 2.4.0 以降を使用することを推奨します。

説明

クライアントが Tunnelblick を使用している場合、デフォルトで暗号化アルゴリズムが動的にネゴシエートされます。相互にサポートされる最もセキュリティレベルの高いアルゴリズムが使用され、SSL サーバーに指定したアルゴリズムは有効になりません。

二要素認証用のクロスアカウント IDaaS

いいえ。ご自身の Alibaba Cloud アカウント内の IDaaS インスタンスのみ選択できます。