SSL-VPN 接続に関するよくある質問
このトピックでは、クライアント接続の失敗やトラフィック転送の問題など、SSL-VPN 接続における一般的な問題のトラブルシューティング方法について説明します。
一般的な問題へのクイックリンク
クライアント接続の問題
SSL-VPN 接続性の問題
二要素認証の問題
二要素認証を設定する際に、別の Alibaba Cloud アカウントの IDaaS インスタンスを選択できますか。
いいえ。ご自身の Alibaba Cloud アカウントの IDaaS インスタンスのみ選択できます。
クライアント接続の失敗
次の表では、考えられる原因と解決策について説明します。
|
カテゴリ |
原因 |
解決策 |
|
設定エラー |
SSL サーバーまたはクライアントが正しく設定されていません。 |
|
|
期限切れの SSL クライアント証明書 |
SSL クライアント証明書の有効期限が切れているか、無効です。 |
|
|
接続数の上限超過 |
SSL サーバーに接続されているクライアントの数が上限を超えています。 |
|
|
IP アドレスの問題 |
VPC の CIDR ブロックとクライアントの CIDR ブロックが重複しています。 |
IP アドレスの競合を防ぐために、SSL サーバーの ローカル CIDR ブロック (VPC または vSwitch の CIDR ブロック) または クライアント CIDR ブロック を変更します。 詳細については、「SSL サーバーの変更」をご参照ください。 |
|
SSL サーバーの クライアント CIDR ブロック が小さすぎるため、クライアントに IP アドレスを割り当てられません。 |
指定したクライアント CIDR ブロック内の IP アドレスの数が、SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認してください。詳細については、「SSL サーバーの作成と管理」をご参照ください。 たとえば、クライアント CIDR ブロックとして 192.168.0.0/24 を指定した場合、システムはまず 192.168.0.0/24 からサブネットマスクが 30 のサブネット CIDR ブロック(例:192.168.0.4/30)を分割します。このサブネットは最大 4 つの IP アドレスを提供します。次に、システムは 192.168.0.4/30 からクライアントに 1 つの IP アドレスを割り当て、残りの 3 つの IP アドレスをネットワーク通信を確保するために使用します。この場合、1 つのクライアントが 4 つの IP アドレスを消費します。したがって、クライアントに IP アドレスを割り当てられるようにするには、クライアント CIDR ブロック内の IP アドレス数が、関連付けられた VPN ゲートウェイがサポートする最大 SSL-VPN 接続数の少なくとも 4 倍になるようにする必要があります。 |
|
|
VPN ソフトウェアの問題 |
クライアント上で VPN ソフトウェアの競合が発生しています。 |
|
|
その他 |
上記のいずれにも該当しない |
SSL-VPN 接続のログを確認して、障害のトラブルシューティングを行ってください。詳細については、「SSL-VPN 接続の問題のトラブルシューティング」をご参照ください。 |
断続的な切断
この表では、考えられる原因と解決策について説明します。
|
カテゴリ |
原因 |
解決策 |
|
信頼性の低いパブリックネットワーク |
クライアントと VPN Gateway 間のパブリックネットワーク品質が低いため、断続的な切断が発生します。 |
クライアントで ネットワーク品質が低い (たとえば、高いレイテンシーやパケット損失) 場合は、ご利用のインターネットサービスプロバイダー (ISP) にお問い合わせください。 |
|
US (Silicon Valley) から Singapore への接続など、長距離の SSL-VPN 接続では、クライアントが VPC にアクセスする際に断続的な切断が発生することがあります。 |
信頼性を高めるために、SSL サーバーのプロトコルを[TCP]に変更します。詳細については、「SSL サーバーを変更する」をご参照ください。 プロトコル を [TCP] に変更しても問題が解決しない場合は、Cloud Enterprise Network (CEN) と Smart Access Gateway (SAG) を使用してクライアントを VPC に接続することをお勧めします。 |
|
|
SSL サーバー設定の変更 |
SSL サーバーの設定が変更されたため、クライアントが切断されます。 |
SSL サーバーの設定を変更した後、クライアントを再接続してください。 |
一部クライアントのみの接続
次の表に、考えられる原因と解決策を示します。
|
カテゴリ |
原因 |
解決策 |
|
信頼性の低いパブリックネットワーク |
US (Silicon Valley) から Singapore への接続など、長距離の SSL-VPN 接続では、クライアントが VPC にアクセスする際に断続的な切断が発生する場合があります。 |
信頼性を高めるために、SSL サーバーのプロトコルを [TCP] に変更します。詳細については、「SSL サーバーを変更する」をご参照ください。 米国 (シリコンバレー) からシンガポールなど、長距離通信で SSL-VPN 接続を使用している場合、プロトコル を TCP に変更しても問題が解消されない場合は、Cloud Enterprise Network および Smart Access Gateway を使用して、クライアントを VPC に接続することを推奨します。 |
|
接続数の上限超過 |
SSL サーバーに接続しているクライアント数が上限を超えています。 |
|
|
クライアント側の問題 |
クライアントまたは VPN ソフトウェアが想定どおりに動作していないため、クライアントが接続に失敗します。 |
クライアントを再起動するか、VPN ソフトウェアを再インストールして再設定します。VPN ソフトウェアのインストールおよび設定方法の詳細については、「クライアントを設定する」をご参照ください。 |
|
時刻のずれ |
クライアントと SSL サーバーの時刻差が大きすぎるため、SSL 検証に失敗します。 |
クライアントと SSL サーバーの時刻差は 10 分を超えることはできません。標準時刻ソースと同期するように、クライアントの時刻を調整してください。
|
接続後の Ping 失敗
この表では、考えられる原因と解決策について説明します。
|
原因 |
解決策 |
|
クライアントアプリケーションのアクセス制御ポリシーが |
クライアントアプリケーションのアクセス制御ポリシーが デフォルトでは、Windows OS のファイアウォールは |
|
宛先の ECS インスタンスの OS ファイアウォールが ICMP パケットをブロックしています。 |
クライアントのルートエントリが正しい (
説明
ファイアウォールが根本原因であると確認できた場合は、ファイアウォールを無効にしたままにするのではなく、許可ルールを追加することをお勧めします。たとえば、 |
一方向の ping の問題
次の表に、考えられる原因と解決策を示します。
|
シナリオ |
原因 |
解決策 |
|
クライアントから VPC への |
クライアントアプリケーションのアクセス制御ポリシーが |
クライアントアプリケーションのアクセス制御ポリシーが デフォルトでは、Windows オペレーティングシステムのファイアウォールは |
|
VPC からクライアントへの |
クライアントと VPC 間のアウトバウンドと戻りのトラフィックパスが異なります。 |
|
ping は通るがアプリケーションアクセスに失敗する場合
次の表に、考えられる原因と解決策を示します。
|
原因 |
解決策 |
|
クライアントに DNS サーバーへのルートがないため、ドメイン名前解決を利用できません。 |
|
リソースアクセス障害
この表では、考えられる原因と解決策について説明します。
|
カテゴリ |
原因 |
解決策 |
|
ルーティングの問題 |
SSL サーバーの ローカル CIDR ブロック が指定されていないか、正しく設定されていません。 |
|
|
CIDR ブロック設定の問題 |
SSL サーバーの ローカル CIDR ブロック が クライアント CIDR ブロック と重複しています。 |
SSL サーバーの設定を確認し、ローカル CIDR ブロック と クライアント CIDR ブロック が重複していないことを確認してください。詳細については、「SSL サーバーの変更」をご参照ください。 |
|
同じ VPN Gateway 上の IPsec-VPN 接続のルートエントリの CIDR が、SSL サーバーの クライアント CIDR ブロック と競合しています。 |
IPsec-VPN 接続のルートエントリをより具体的なものに変更するか、SSL サーバーの クライアント CIDR ブロック を別の CIDR ブロックに変更してください。これにより、CIDR が クライアント CIDR ブロック と競合するのを防ぐことができます。詳細については、「ポリシーベースルートの変更」、「宛先ベースルートの変更」、または「SSL サーバーの変更」をご参照ください。 |
|
|
セキュリティグループルールの問題 |
VPC アプリケーションのセキュリティグループルールまたはクライアントアプリケーションのアクセス制御ポリシーが、クライアントと VPC 間の通信を許可していません。 |
|
|
VPN ソフトウェアの問題 |
クライアントの OpenVPN のバージョンが互換性がない (古すぎる、または新しすぎる) ため、クライアントが VPN Gateway からの応答パケットを受信または処理できない場合があります。 たとえば、OpenVPN 2.6.6 がインストールされている Windows クライアントは、クラウドリソースに ping できない場合があります。 |
VPN Gateway のドキュメントで提供されている OpenVPN のバージョンをダウンロードして使用することを推奨します。詳細については、「クライアントの設定」をご参照ください。 |
接続後のパケット損失
この表では、考えられる原因と解決策について説明します。
|
カテゴリ |
原因 |
解決策 |
|
VPN Gateway の仕様の問題 |
トラフィックバーストが VPN Gateway インスタンスの帯域幅を超えています。 VPN Gateway コンソールで VPN Gateway インスタンスのトラフィックモニタリングデータを確認し、トラフィックバーストの有無を確認します。 |
VPN Gateway インスタンスをアップグレードするか、できます。詳細については、「VPN Gateway のアップグレードまたは更新」をご参照ください。 |
|
SSL サーバー設定 |
SSL サーバーは、信頼性の低いプロトコルである UDP を使用して、クライアントとの SSL-VPN 接続を確立します。 |
|
|
信頼性の低いパブリックネットワーク |
クライアントと VPN Gateway 間のパブリックネットワーク品質が低いため、クライアントが断続的に切断されます。 |
クライアントで ネットワーク品質が低い場合は、ご利用の ISP にお問い合わせください。 |
接続後の高レイテンシー
次の表に、考えられる原因と解決策を示します。
|
カテゴリ |
原因 |
解決策 |
|
VPN Gateway の仕様の問題 |
トラフィックバーストが VPN Gateway インスタンスの帯域幅を超えています。 VPN Gateway コンソールで VPN Gateway インスタンスのトラフィックモニタリングデータを確認し、トラフィックバーストがないか調べます。 |
VPN Gateway インスタンスをアップグレードしてください。詳細については、「VPN Gateway のアップグレードまたは更新」をご参照ください。 |
|
古い VPN Gateway バージョン |
古い VPN Gateway バージョンは転送性能が低いため、高トラフィック時に高レイテンシーが発生する可能性があります。 |
2021 年 4 月 1 日より前に作成された VPN Gateway をアップグレードしてください。新しいバージョンでは、SSL-VPN の転送性能が最適化されています。詳細については、「VPN Gateway のアップグレード」をご参照ください。 |
指定した暗号化アルゴリズムが使用されない
原因
Alibaba Cloud SSL サーバーと OpenVPN (バージョン 2.4.0 以降) はいずれも、デフォルトで NCP (非準拠のプレーンテキスト) モードが有効になっています。NCP モードは、暗号化アルゴリズムを動的にネゴシエートする方法です。このモードが有効になっている場合、クライアントと SSL サーバーは、SSL サーバーに指定した暗号化アルゴリズムを使用する代わりに、ncp_ciphers リストから双方がサポートする最もセキュリティレベルの高い暗号化アルゴリズムをネゴシエートして使用し、SSL-VPN 接続を確立します。
OpenVPN 2.4.0 以降では、ncp_ciphers リストのデフォルトの暗号化アルゴリズムは AES-256-GCM と AES-128-GCM です。クライアントが SSL サーバーとの SSL-VPN 接続を確立する際、接続ログを確認してネゴシエートされた暗号化アルゴリズムを確認できます。たとえば、ログには Data Channel: using negotiated cipher 'AES-256-GCM' が含まれる場合があります。
クライアントが NCP をサポートしていない 2.4.0 より前の OpenVPN バージョンを使用している場合、接続は SSL サーバーに指定した暗号化アルゴリズムを使用します。
推奨事項
クライアントと SSL サーバーが暗号化アルゴリズムをネゴシエートできるように、クライアントで OpenVPN 2.4.0 以降を使用することを推奨します。
クライアントが Tunnelblick を使用している場合、デフォルトで暗号化アルゴリズムが動的にネゴシエートされます。相互にサポートされる最もセキュリティレベルの高いアルゴリズムが使用され、SSL サーバーに指定したアルゴリズムは有効になりません。
二要素認証用のクロスアカウント IDaaS
いいえ。ご自身の Alibaba Cloud アカウント内の IDaaS インスタンスのみ選択できます。