VPN网关：自主排查SSL-VPN连接问题

例如C:\Users\User\OpenVPN\log

• network is unreachable
• TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
• TLS Error: TLS handshake failed

1. 请在客户端中使用ping或mtr命令访问VPN网关的公网IP地址以探测公网链路质量情况。
   • 如果探测到公网链路质量不佳（延时高或丢包率高等）可联系运营商协助进行故障排查。
   • 如果探测到可以正常连通，请确认在SSL服务端的日志信息中是否可以查询到客户端的连接信息。

     如果未能查询到客户端的连接信息，请尝试修改SSL服务端使用的端口，然后重新下载SSL客户端证书并安装到客户端。

2. 请将SSL服务端的协议修改为TCP（可靠性更好）。

   如果您使用SSL-VPN连接进行长距离通信（例如美国（硅谷）到新加坡），在将SSL服务端的协议修改为TCP后，仍出现本问题，建议您使用云企业网和智能接入网关产品将客户端连接至VPC。

3. 如果您的客户端上存在多个VPN软件，建议仅使用一个VPN软件建立SSL-VPN连接。
4. 尝试重启客户端或者在客户端上重新安装VPN软件。

• MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,
• TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

1. 在VPN网关实例下查看已连接的客户端数量，确认客户端数量是否超限。
   • 如果客户端数量超限，您可以提升SSL服务端的连接数规格。
   • 如果客户端数量超限，您不想提升SSL服务端的连接数规格，您可以将不需要的客户端断开连接释放资源。客户端断开连接后，系统大约5分钟后会释放资源。
2. 修改SSL服务端使用的协议为TCP，然后重新下载、安装SSL客户端证书。

   使用UDP协议存在不可靠连接占用连接数的情况，使用TCP协议可以规避该问题，且TCP协议可靠性更好。

1. 请排查SSL客户端证书的有效性。

   SSL客户端证书默认有效期为3年。

2. 请删除现有的SSL客户端证书及所有配置，然后重新下载、安装SSL客户端证书。

   开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。

• Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
• Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)
• WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)
• Options error: --key fails with 'vsc-****.key'
• Options error: Please correct these errors.

例如：您指定的客户端网段为192.168.0.0/24，系统在为客户端分配IP地址时，会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段，例如192.168.0.4/30，然后从192.168.0.4/30中分配一个IP地址供客户端使用，剩余三个IP地址会被系统占用以保证网络通信，此时一个客户端会耗费4个IP地址。因此，为保证您的客户端均能分配到IP地址，请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

• TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.
• OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

• OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
• TLS_ERROR: BIO read tls_read_plaintext error
• TLS Error: TLS object -> incoming plaintext read error
• TLS Error: TLS handshake failed

1. 客户端与SSL服务端的时间偏差不能超10分钟，建议调整客户端的时间与标准时间一致。
2. 请排查SSL客户端证书的有效性。

   SSL客户端证书默认有效期为3年。

1. 请排查SSL客户端证书的有效性。

   SSL客户端证书默认有效期为3年。

2. 请删除现有的SSL客户端证书及所有配置，然后重新下载、安装SSL客户端证书。

   开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。

• AUTH: Received control message: AUTH_FAILED
• TCP/UDP: Closing socket
• SIGUSR1[soft,auth-failure] received, process restarting
• MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

1. 请确认您输入的用户名和密码是否正确。
2. 请在IDaaS实例侧排查是否已配置了该账户、IDaaS实例是否已将该账户禁用、IDaaS实例是否已过期。更多信息，请参见什么是 IDaaS？。

   如果IDaaS实例侧配置没有问题，请尝试重新添加一个账户进行连接。

3. 请删除现有的SSL客户端证书及所有配置，然后重新下载、安装SSL客户端证书。

   开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。

• There are no TAP-Windows adapters on this system. You should be able to create a TAP
• CreateFile failed on TAP device
• All TAP-Win32 adapters on this system are currently in use

1. 请确认您在安装OpenVPN软件时是否已选中TAP Virtual Ethernet Adapter选项。

   如果您在安装OpenVPN软件时并未选中上述选项，您可以手动创建虚拟以太网适配器或者重新安装OpenVPN软件。

2. 退出OpenVPN软件，尝试以管理员权限再次运行OpenVPN软件。

1. 请在客户端的命令行界面通过以下命令手动启动ovpnagent程序。

   /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

2. 建议macOS操作系统的客户端优先使用Tunnelblick软件建立SSL-VPN连接。

• Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting
• TCP/UDP: Closing socket

1. 请排查客户端在日志显示的时间节点是否有重启或重新连接。
2. 请排查SSL客户端证书的有效性。

   SSL客户端证书默认有效期为3年。

3. 请排查客户端使用的时间。

   客户端与SSL服务端的时间偏差不能超10分钟，建议调整客户端的时间与标准时间一致。