本文介绍SSL-VPN连接的常见问题。

常见问题快捷链接

客户端连接问题

SSL-VPN连接连通性问题

客户端连接失败怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因分类原因解决方案
配置错误SSL服务端或客户端配置错误。
  1. 请排查阿里云侧SSL服务端本地网段的配置,确保VPC中需被访问的网段已添加在本地网段中。具体操作,请参见修改SSL服务端
  2. 请排查客户端VPN软件的配置是否正确。关于如何配置客户端,请参见配置客户端
SSL客户端证书到期SSL客户端证书过期或无效。
  1. 请排查SSL客户端证书的有效性。

    SSL客户端证书默认有效期为3年。

  2. 请删除现有的SSL客户端证书及所有配置,然后重新下载、安装SSL客户端证书。

    开启和关闭双因子认证功能、修改SSL服务端的配置,均需要重新下载、安装SSL客户端证书。具体操作,请参见下载SSL客户端证书

客户端连接数超限当前SSL服务端下的客户端连接数超限。
  1. 在VPN网关实例下查看已连接的客户端数量,确认客户端数量是否超限。
    • 如果客户端数量超限,您需要提升SSL服务端的连接数规格,请参见修改SSL并发连接数
    • 如果客户端数量超限,您不想提升SSL服务端的连接数规格,您可以将不需要的客户端断开连接释放资源。客户端断开连接后,系统大约5分钟后会释放资源。

      查看客户端连接信息,请参见查看SSL客户端的连接信息

  2. 修改SSL服务端使用的协议TCP,然后重新下载安装SSL客户端证书。具体操作,请参见修改SSL服务端下载SSL客户端证书

    使用UDP协议存在不可靠连接占用连接数的情况,使用TCP协议可以规避该问题,且TCP协议可靠性更好。

IP地址问题VPC下的IP地址与客户端的IP地址冲突。请根据实际情况,修改SSL服务端的本端网段(VPC或交换机的网段)或者客户端网段以确保两侧IP地址不冲突。具体操作,请参见修改SSL服务端
SSL服务端的客户端网段配置的太小,导致客户端无法被分配IP地址。请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。更多信息,请参见创建SSL服务端

例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

VPN软件问题客户端VPN软件冲突
  1. 如果您的客户端上存在多个VPN软件,建议仅使用一个VPN软件建立SSL-VPN连接。
  2. 尝试重启客户端或者在客户端上重新安装VPN软件。具体操作,请参见配置客户端
其他其他原因请尝试通过SSL-VPN连接的日志信息自主排查故障。具体操作,请参见自主排查SSL-VPN连接问题

客户端之前连接成功,但间歇性中断下线怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因分类原因解决方案
公网链路质量不佳由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。请在客户端中使用pingmtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

如果探测到公网链路质量不佳(延时高或丢包率高等)可联系运营商协助进行故障排查。

如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在客户端访问VPC的过程中,则可能会出现客户端间歇性中断下线的情况。请在阿里云侧将SSL服务端的协议修改为TCP(可靠性更好)。具体操作,请参见修改SSL服务端

如果将SSL服务端的协议修改为TCP后,仍出现本问题,建议您使用云企业网智能接入网关产品将客户端连接至VPC。

SSL服务端配置变更SSL服务端配置变更导致客户端中断下线。SSL服务端修改配置后,请在客户端重新发起连接。

仅部分客户端连接成功怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因分类原因解决方案
公网链路质量不佳如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在客户端访问VPC的过程中,则可能会出现客户端间歇性中断下线的情况。请在阿里云侧将SSL服务端的协议修改为TCP(可靠性更好)。具体操作,请参见修改SSL服务端

如果您使用SSL-VPN连接进行长距离通信(例如美国(硅谷)到新加坡),在将SSL服务端的协议修改为TCP后,仍出现本问题,建议您使用云企业网智能接入网关产品将客户端连接至VPC。

客户端连接数超限当前SSL服务端下的客户端连接数超限。
  1. 在VPN网关实例下查看已连接的客户端数量,确认客户端数量是否超限。
    • 如果客户端数量超限,您需要提升SSL服务端的连接数规格,请参见修改SSL并发连接数
    • 如果客户端数量超限,您不想提升SSL服务端的连接数规格,您可以将不需要的客户端断开连接释放资源。客户端断开连接后,系统大约5分钟后会释放资源。

      查看客户端连接信息,请参见查看SSL客户端的连接信息

  2. 修改SSL服务端使用的协议TCP,然后重新下载安装SSL客户端证书。具体操作,请参见修改SSL服务端下载SSL客户端证书

    使用UDP协议存在不可靠连接占用连接数的情况,使用TCP协议可以规避该问题,且TCP协议可靠性更好。

客户端侧异常客户端工作异常或客户端安装的VPN软件异常导致客户端连接失败。请尝试重新启动客户端或重新在客户端中安装、配置VPN软件。如何安装、配置VPN软件,请参见配置客户端

客户端连接成功,但无法ping通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

原因解决方案
客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测,如果是,请修改访问控制策略。具体操作,请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的,您需要修改防火墙的入站规则允许ICMPv4-In。

客户端连接成功,但仅能单方向ping通怎么办?

产生当前问题的可能原因及解决方案请参见下表。

问题场景原因解决方案
客户端使用ping命令访问VPC时正常,但VPC侧使用ping访问客户端失败。客户端应用的访问控制策略禁止ping命令探测。

请排查客户端应用的访问控制策略是否禁止ping命令探测,如果是,请修改访问控制策略。具体操作,请参见客户端操作指南手册。

默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的,您需要修改防火墙的入站规则允许ICMPv4-In。

VPC侧使用ping访问客户端时正常,但客户端使用ping命令访问VPC时失败。客户端访问VPC时的路径和VPC访问客户端时的路径不一致。
  1. 如果您的网络中使用了云企业网产品,请排查客户端和VPC之间各个转发节点的路由配置,确保客户端和VPC之间互相访问时经过的路径相同。
  2. 请排查VPC中被访问的资源(例如ECS实例)是否配置有公网IP地址。如果被访问的资源拥有公网IP地址,且VPC访问客户端时目的IP地址是公网IP地址,则VPC可能会通过互联网访问客户端,而非通过私网。

客户端连接成功,可ping通但域名访问不通或应用业务访问不通怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因解决方案
客户端侧缺少去往DNS服务器的路由,无法使用域名解析服务。
  1. 在阿里云侧将DNS服务器的网段添加至SSL服务端的本地网段中,使客户端可以学习到DNS服务器的路由。

    例如,您使用阿里云云解析PrivateZone产品进行域名管理,您可以将100.100.2.136/32、100.100.2.138/32两个网段都加入到SSL服务端的本地网段中,使客户端可以正常使用域名解析服务。

  2. 在客户端中使用pingmtr命令探测目标应用的连通性,如果可以正常连通则表示SSL-VPN连接的客户端及服务端工作正常、路由正常,需结合当前部署的云服务和实际应用做进一步排查。

客户端连接成功,但访问不通怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因分类原因解决方案
路由问题SSL服务端的本端网段配置缺失或者错误。
  1. 请排查阿里云侧SSL服务端本端网段的配置,确保客户端要访问的网段已添加在SSL服务端的本端网段中,且配置正确。具体操作,请参见修改SSL服务端
  2. 请排查客户端是否已成功接收到SSL服务端本端网段的路由。
    • Windows操作系统的客户端可以在命令行界面使用ipconfig命令查看当前客户端被分配的IP地址;使用route print命令查看客户端是否已成功接收SSL服务端本端网段的路由。
    • Linux操作系统的客户端可以在命令行界面使用ifconfig命令查看当前客户端被分配的IP地址;使用ip route show all命令查看客户端是否已成功接收SSL服务端本端网段的路由。
网段配置问题SSL服务端的本端网段客户端网段有重叠。请排查阿里云侧SSL服务端的配置,确保SSL服务端的本端网段客户端网段之间没有重叠。具体操作,请参见修改SSL服务端
SSL服务端关联的VPN网关下创建了IPsec-VPN连接,IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段有冲突。请将IPsec-VPN连接关联的路由条目修改为更精确的路由条目或者修改SSL服务端的客户端网段为其他网段,以确保IPsec-VPN连接关联的路由条目的目标网段与SSL服务端的客户端网段没有冲突。具体操作,请参见编辑策略路由编辑目的路由修改SSL服务端
安全组规则问题VPC应用的安全组规则或客户端应用的访问控制策略不允许客户端和VPC之间互相访问。
  1. 请排查VPC应用的安全组规则,确保安全组规则已允许客户端和VPC之间正常通信。具体操作,请参见查询安全组规则添加安全组规则
  2. 请排查客户端应用的访问控制策略,确保访问控制策略已允许客户端和VPC之间正常通信。

客户端连接成功,但访问过程出现丢包怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因分类原因解决方案
优化SSL服务端配置当前SSL服务端使用UDP协议(不可靠协议)与客户端建立SSL-VPN连接。
  1. 修改SSL服务端的协议TCP。使SSL服务端通过TCP协议(可靠协议)与客户端建议SSL-VPN连接。具体操作,请参见修改SSL服务端
  2. 重新下载SSL客户端证书并安装到客户端。具体操作,请参见下载SSL客户端证书配置客户端
公网链路质量不佳由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。请在客户端中使用pingmtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。

若探测到公网链路质量不佳可联系运营商进行故障排查。

客户端连接成功,访问正常但转发延迟高怎么办?

产生当前问题的可能原因及解决方案请参见下表。
原因分类原因解决方案
VPN网关版本较低旧版VPN网关转发性能弱,在流量过大的情况下可能会产生转发延迟高的问题。如果您的VPN网关是在2021年04月01日之前创建的,请升级VPN网关,新版的VPN网关已优化SSL-VPN连接的转发性能。具体操作,请参见升级VPN网关