VPN Gateway:トラブルシューティング

クライアント

SSL-VPN 接続ログファイルのデフォルトパス

Linux クライアント (OpenVPN ソフトウェア)

/var/log/openvpn.log

Windows クライアント (OpenVPN ソフトウェア)

デフォルトでは、ログ情報は OpenVPN ソフトウェアのインストールディレクトリにある log フォルダーに保存されます。

例: C:\Users\User\OpenVPN\log

macOS クライアント (Tunnelblick ソフトウェア)

/Library/Application Support/Tunnelblick/Logs

macOS クライアント (OpenVPN ソフトウェア)

/Library/Application Support/OpenVPN/log/connection_name.log

エラーカテゴリ

原因

ログキーワード

ソリューション

ネットワーク到達不能

ネットワーク接続の問題が発生しました。

• network is unreachable

• TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

• TLS Error: TLS handshake failed

1. クライアントで、ping または mtr コマンドを使用して、VPN Gateway のパブリック IP アドレスへの接続をテストし、パブリックネットワークリンクの品質を確認します。

   • パブリックネットワークリンクの品質が、高遅延や高いパケット損失率など、低い場合は、ISP にお問い合わせください。

   • 接続が正常な場合は、SSL サーバーログにクライアントからの接続情報が含まれているか確認します。

     クライアントの接続情報が見つからない場合は、SSL サーバーで使用されている [ポート] を変更します。その後、SSL クライアント証明書を再度ダウンロードしてクライアントにインストールします。

2. SSL サーバーの [プロトコル] を TCP に変更すると、信頼性が向上します。

   米国 (シリコンバレー) からシンガポールへの長距離通信に SSL-VPN 接続を使用しており、サーバーの [プロトコル] を TCP に変更しても問題が解決しない場合は、Cloud Enterprise Network (CEN) と Smart Access Gateway を使用してクライアントを VPC に接続します。

3. クライアントに複数の VPN アプリケーションがある場合は、1 つだけを使用して SSL-VPN 接続を確立します。

4. クライアントを再起動するか、クライアントに VPN ソフトウェアを再インストールします。

プロトコルまたはポートの不一致

クライアントのプロトコルまたはポートが、SSL サーバーのプロトコルまたはポートと一致しません。

• MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,

• TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

SSL サーバーの [プロトコル] と [ポート] を変更します。その後、SSL クライアント証明書を再度ダウンロードしてクライアントにインストールします。

接続制限の超過

SSL クライアント接続の数が最大制限に達しました。

MANAGEMENT: >STATE:1676370715,WAIT,,,,,

1. VPN Gateway インスタンスの接続済みクライアント数を確認し、制限を超過しているかどうかを判断します。

   • 制限を超過している場合は、SSL サーバーの最大同時接続数を増やすことができます。

   • 制限を超過しており、接続制限を増やしたくない場合は、不要なクライアントを切断してリソースを解放します。クライアントが切断された後、システムは約 5 分でリソースを解放します。

2. SSL サーバーの [プロトコル] を TCP に変更し、SSL クライアント証明書を再度ダウンロードしてインストールします。

   UDP プロトコルは、接続リソースを占有する信頼性の低い接続を引き起こす可能性があります。TCP プロトコルを使用すると、この問題を防止でき、より信頼性が高くなります。

証明書の期限切れ

証明書の期限が切れました。

VERIFY ERROR: certificate has expired

1. SSL クライアント証明書の有効性を確認します。

   デフォルトでは、SSL クライアント証明書は 3 年間有効です。

2. 既存の SSL クライアント証明書とそのすべての構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてインストールします。

   二要素認証を有効または無効にした後、または SSL サーバー構成を変更した後、SSL クライアント証明書を再度ダウンロードしてインストールする必要があります。

証明書構成エラー

証明書が正しく構成されていません。

• Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)

• Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)

• WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)

• Options error: --key fails with 'vsc-****.key'

• Options error: Please correct these errors.

既存の SSL クライアント証明書とその構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてインストールします。

互換性のない VPN ソフトウェアバージョン

クライアントの VPN ソフトウェアバージョンは、Alibaba Cloud SSL サーバーと互換性がありません。

• Data Channel Offload doesn't support DATA_V1 packets

• Upgrade your server to

• suggesting an upgrade to the server version

クライアントで、既存の VPN ソフトウェアを削除します。その後、VPN ドキュメントをご参照の上、推奨される VPN ソフトウェアをダウンロードしてインストールします。

IP アドレス不足

SSL サーバー用に構成されたクライアント CIDR ブロックが小さすぎるため、IP アドレスが不足しています。

OpenVPN needs a gateway parameter for a -- route option and no default was specified by either --route-gateway or --ifconfig options

クライアント CIDR ブロック内の IP アドレスの数が、SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認してください。詳細については、「SSL サーバーの作成と管理」をご参照ください。

たとえば、クライアント CIDR ブロックが 192.168.0.0/24 の場合、システムはまず 192.168.0.0/24 CIDR ブロックから 192.168.0.4/30 のような /30 サブネットマスクを持つサブネットを作成します。その後、システムは 192.168.0.4/30 から 1 つの IP アドレスをクライアントに割り当てます。他の 3 つの IP アドレスは、ネットワーク通信を確保するためにシステムによって予約されます。この場合、各クライアントは 4 つの IP アドレスを消費します。したがって、すべてのクライアントに IP アドレスを割り当てられるようにするには、クライアント CIDR ブロック内の IP アドレスの数が、SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認してください。

共通の暗号化アルゴリズムなし

SSL サーバーとクライアントは共通の TLS 暗号スイートを共有していません。

• TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

• OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

VPN Gateway が推奨する VPN ソフトウェアをクライアントにインストールします。詳細については、「クライアントの構成」をご参照ください。

暗号化アルゴリズムの不一致

SSL サーバーの暗号化アルゴリズムがクライアントの暗号化アルゴリズムと一致しません。

Authenticate/Decrypt packet error: cipher final failed

インストールされている SSL クライアント証明書の暗号化アルゴリズムが、SSL サーバーの暗号化アルゴリズムと同じであることを確認します。

同じでない場合は、既存の SSL クライアント証明書とそのすべての構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてクライアントにインストールします。

• SSL クライアント証明書の暗号化アルゴリズムは、config.ovpn ファイルの cipher フィールドの値です。

• SSL サーバーページで、ターゲットの SSL サーバーインスタンスを見つけます。操作 列で 詳細 をクリックします。インスタンス詳細ページで、SSL サーバーの暗号化アルゴリズムを表示できます。

パケット ID の競合

ネットワーク接続が不安定であるか、SSL サーバーの暗号化アルゴリズムが「なし」に設定されています。

Authenticate/Decrypt packet error: bad packet ID (may be a replay)

1. SSL サーバーの [プロトコル] を TCP に変更すると、信頼性が向上します。

2. SSL サーバーの 暗号化アルゴリズム が [なし] に設定されているか確認します。設定されている場合は、SSL サーバーの 暗号化アルゴリズム を、AES-128-CBC、AES-192-CBC、または AES-256-CBC などの AES アルゴリズムに変更します。

3. SSL サーバー構成を変更した後、既存の SSL クライアント証明書とそのすべての構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてクライアントにインストールします。

時刻の同期なし

SSL 検証が失敗するか、クライアントとサーバー間の時間差が大きすぎます。

• OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

• TLS_ERROR: BIO read tls_read_plaintext error

• TLS Error: TLS object -> incoming plaintext read error

• TLS Error: TLS handshake failed

1. クライアントと SSL サーバー間の時間差は 10 分を超えてはなりません。クライアントの時刻を標準時刻に合わせて調整します。

2. SSL クライアント証明書の有効性を確認します。

   デフォルトでは、SSL クライアント証明書は 3 年間有効です。

証明書検証の失敗

SSL 証明書検証が失敗しました。

No server certificate verification method has been enabled

1. SSL クライアント証明書の有効性を確認します。

   デフォルトでは、SSL クライアント証明書は 3 年間有効です。

2. 既存の SSL クライアント証明書とそのすべての構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてインストールします。

   二要素認証を有効または無効にした後、または SSL サーバー構成を変更した後、SSL クライアント証明書を再度ダウンロードしてインストールする必要があります。

二要素認証の失敗

二要素認証が失敗しました。

• AUTH: Received control message: AUTH_FAILED

• TCP/UDP: Closing socket

• SIGUSR1[soft,auth-failure] received, process restarting

• MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

1. 入力したユーザー名とパスワードが正しいことを確認します。

2. IDaaS インスタンスを確認し、アカウントが正しく構成されているか、アカウントが無効になっているか、または IDaaS インスタンスの期限が切れているかを確認します。詳細については、「IDaaS とは」をご参照ください。

   IDaaS インスタンスが正しく構成されている場合は、新しいアカウントを追加して再度接続してみてください。

3. 既存の SSL クライアント証明書とそのすべての構成を削除します。その後、SSL クライアント証明書を再度ダウンロードしてインストールします。

   二要素認証を有効または無効にした後、または SSL サーバー構成を変更した後、SSL クライアント証明書を再度ダウンロードしてインストールする必要があります。

TAP アダプターの欠落

クライアントに TAP 仮想イーサネットアダプターが欠落しており、再作成する必要があります。

• There are no TAP-Windows adapters on this system. You should be able to create a TAP

• CreateFile failed on TAP device

• All TAP-Win32 adapters on this system are currently in use

1. OpenVPN インストール中に [TAP 仮想イーサネットアダプター] オプションを選択したことを確認します。

   インストール中にこのオプションを選択しなかった場合は、仮想イーサネットアダプターを手動で作成するか、OpenVPN ソフトウェアを再インストールできます。

2. OpenVPN ソフトウェアを終了し、管理者権限で再度実行してみてください。

ovpnagent が実行されていません

macOS クライアントで ovpnagent プログラムが実行されていません。

Transport Error: socket_protect error

1. クライアントのコマンドラインインターフェイスで、次のコマンドを実行して ovpnagent プログラムを手動で開始します。

   /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

2. macOS クライアントの場合、Tunnelblick ソフトウェアを使用して SSL-VPN 接続を確立します。

クライアントが頻繁に再接続

クライアントがアクティブに、または自動的に再接続します。

• Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting

• TCP/UDP: Closing socket

1. ログに表示されている時刻にクライアントが再起動または再接続されたか確認します。

2. SSL クライアント証明書の有効性を確認します。

   デフォルトでは、SSL クライアント証明書は 3 年間有効です。

3. クライアントの時刻を確認します。

   クライアントと SSL サーバー間の時間差は 10 分を超えてはなりません。クライアントの時刻を標準時刻に合わせて調整します。