原因分類

原因

解決方案

配置錯誤

SSL服務端或客戶端配置錯誤。

1. 請排查阿里云側SSL服務端本地網段的配置，確保VPC中需被訪問的網段已添加在本地網段中。具體操作，請參見修改SSL服務端。

2. 請排查客戶端VPN軟件的配置是否正確。關于如何配置客戶端，請參見配置客戶端。

SSL客戶端證書到期

SSL客戶端證書過期或無效。

1. 請排查SSL客戶端證書的有效性。

   SSL客戶端證書默認有效期為3年。

2. 請刪除現有的SSL客戶端證書及所有配置，然后重新下載、安裝SSL客戶端證書。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL客戶端證書。具體操作，請參見下載SSL客戶端證書。

客戶端連接數超限

當前SSL服務端下的客戶端連接數超限。

1. 在VPN網關實例下查看已連接的客戶端數量，確認客戶端數量是否超限。

   • 如果客戶端數量超限，您需要提升SSL服務端的連接數規格，請參見修改SSL并發連接數。

   • 如果客戶端數量超限，您不想提升SSL服務端的連接數規格，您可以將不需要的客戶端斷開連接釋放資源。客戶端斷開連接后，系統大約5分鐘后會釋放資源。

     查看客戶端連接信息，請參見查看SSL客戶端的連接信息。

2. 修改SSL服務端使用的協議為TCP，然后重新下載安裝SSL客戶端證書。具體操作，請參見修改SSL服務端和下載SSL客戶端證書。

   使用UDP協議存在不可靠連接占用連接數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

IP地址問題

VPC下的IP地址與客戶端的IP地址沖突。

請根據實際情況，修改SSL服務端的本端網段（VPC或交換機的網段）或者客戶端網段以確保兩側IP地址不沖突。具體操作，請參見修改SSL服務端。

SSL服務端的客戶端網段配置的太小，導致客戶端無法被分配IP地址。

請確保您指定的客戶端網段所包含的IP地址個數是SSL-VPN連接數的4倍及以上。更多信息，請參見創建和管理SSL服務端。

例如：您指定的客戶端網段為192.168.0.0/24，系統在為客戶端分配IP地址時，會先從192.168.0.0/24網段中劃分出一個子網掩碼為30的子網段，例如192.168.0.4/30，然后從192.168.0.4/30中分配一個IP地址供客戶端使用，剩余三個IP地址會被系統占用以保證網絡通信，此時一個客戶端會耗費4個IP地址。因此，為保證您的客戶端均能分配到IP地址，請確保您指定的客戶端網段所包含的IP地址個數是SSL-VPN連接數的4倍及以上。

VPN軟件問題

客戶端VPN軟件沖突

1. 如果您的客戶端上存在多個VPN軟件，建議僅使用一個VPN軟件建立SSL-VPN連接。

2. 嘗試重啟客戶端或者在客戶端上重新安裝VPN軟件。具體操作，請參見配置客戶端。

其他

其他原因

請嘗試通過SSL-VPN連接的日志信息自主排查故障。具體操作，請參見自主排查SSL-VPN連接問題。

原因分類

原因

解決方案

公網鏈路質量不佳

由于客戶端和VPN網關之間的公網鏈路質量不佳導致客戶端間歇性中斷下線。

請在客戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路質量情況。

如果探測到公網鏈路質量不佳（延時高或丟包率高等）可聯系運營商協助進行故障排查。

如果您使用SSL-VPN連接進行長距離通信（例如美國（硅谷）到新加坡），在客戶端訪問VPC的過程中，則可能會出現客戶端間歇性中斷下線的情況。

請在阿里云側將SSL服務端的協議修改為TCP（可靠性更好）。具體操作，請參見修改SSL服務端。

如果將SSL服務端的協議修改為TCP后，仍出現本問題，建議您使用云企業網和智能接入網關產品將客戶端連接至VPC。

SSL服務端配置變更

SSL服務端配置變更導致客戶端中斷下線。

SSL服務端修改配置后，請在客戶端重新發起連接。

原因分類

原因

解決方案

公網鏈路質量不佳

如果您使用SSL-VPN連接進行長距離通信（例如美國（硅谷）到新加坡），在客戶端訪問VPC的過程中，則可能會出現客戶端間歇性中斷下線的情況。

請在阿里云側將SSL服務端的協議修改為TCP（可靠性更好）。具體操作，請參見修改SSL服務端。

如果您使用SSL-VPN連接進行長距離通信（例如美國（硅谷）到新加坡），在將SSL服務端的協議修改為TCP后，仍出現本問題，建議您使用云企業網和智能接入網關產品將客戶端連接至VPC。

客戶端連接數超限

當前SSL服務端下的客戶端連接數超限。

1. 在VPN網關實例下查看已連接的客戶端數量，確認客戶端數量是否超限。

   • 如果客戶端數量超限，您需要提升SSL服務端的連接數規格，請參見修改SSL并發連接數。

   • 如果客戶端數量超限，您不想提升SSL服務端的連接數規格，您可以將不需要的客戶端斷開連接釋放資源。客戶端斷開連接后，系統大約5分鐘后會釋放資源。

     查看客戶端連接信息，請參見查看SSL客戶端的連接信息。

2. 修改SSL服務端使用的協議為TCP，然后重新下載安裝SSL客戶端證書。具體操作，請參見修改SSL服務端和下載SSL客戶端證書。

   使用UDP協議存在不可靠連接占用連接數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

客戶端側異常

客戶端工作異常或客戶端安裝的VPN軟件異常導致客戶端連接失敗。

請嘗試重新啟動客戶端或重新在客戶端中安裝、配置VPN軟件。如何安裝、配置VPN軟件，請參見配置客戶端。

時間不同步

客戶端的時間與SSL服務端的時間相差太大，導致SSL校驗不通過。

客戶端與SSL服務端的時間偏差不能超過10分鐘，建議調整客戶端的時間與標準時間一致。

1. 查看客戶端的當前時間。

   以Linux操作系統為例，在命令行終端執行date命令，查看客戶端當前的時間。如果與標準時間相差太大，需要調整時間。

2. 通過NTP服務同步最新的時間。

   以Linux操作系統為例，在命令行終端執行以下命令同步時間。

   yum install -y ntp    #安裝NTP服務
   ntpdate pool.ntp.org  #同步時間
   date #查看當前時間是否已同步

原因

解決方案

客戶端應用的訪問控制策略禁止ping命令探測。

請排查客戶端應用的訪問控制策略是否禁止ping命令探測，如果是，請修改訪問控制策略。具體操作，請參見客戶端操作指南手冊。

默認情況下Windows操作系統的客戶端的防火墻是禁止ping命令探測的，您需要修改防火墻的入站規則允許ICMPv4-In。

問題場景

原因

解決方案

客戶端使用ping命令訪問VPC時正常，但VPC側使用ping訪問客戶端失敗。

客戶端應用的訪問控制策略禁止ping命令探測。

請排查客戶端應用的訪問控制策略是否禁止ping命令探測，如果是，請修改訪問控制策略。具體操作，請參見客戶端操作指南手冊。

默認情況下Windows操作系統的客戶端的防火墻是禁止ping命令探測的，您需要修改防火墻的入站規則允許ICMPv4-In。

VPC側使用ping訪問客戶端時正常，但客戶端使用ping命令訪問VPC時失敗。

客戶端訪問VPC時的路徑和VPC訪問客戶端時的路徑不一致。

1. 如果您的網絡中使用了云企業網產品，請排查客戶端和VPC之間各個轉發節點的路由配置，確保客戶端和VPC之間互相訪問時經過的路徑相同。

2. 請排查VPC中被訪問的資源（例如ECS實例）是否配置有公網IP地址。如果被訪問的資源擁有公網IP地址，且VPC訪問客戶端時目的IP地址是公網IP地址，則VPC可能會通過互聯網訪問客戶端，而非通過私網。

原因

解決方案

客戶端側缺少去往DNS服務器的路由，無法使用域名解析服務。

1. 在阿里云側將DNS服務器的網段添加至SSL服務端的本地網段中，使客戶端可以學習到DNS服務器的路由。

   例如，您使用阿里云云解析PrivateZone產品進行域名管理，您可以將100.100.2.136/32、100.100.2.138/32兩個網段都加入到SSL服務端的本地網段中，使客戶端可以正常使用域名解析服務。

2. 在客戶端中使用ping或mtr命令探測目標應用的連通性，如果可以正常連通則表示SSL-VPN連接的客戶端及服務端工作正常、路由正常，需結合當前部署的云服務和實際應用做進一步排查。

原因分類

原因

解決方案

路由問題

SSL服務端的本端網段配置缺失或者錯誤。

1. 請排查阿里云側SSL服務端本端網段的配置，確保客戶端要訪問的網段已添加在SSL服務端的本端網段中，且配置正確。具體操作，請參見修改SSL服務端。

2. 請排查客戶端是否已成功接收到SSL服務端本端網段的路由。

   • Windows操作系統的客戶端可以在命令行界面使用ipconfig命令查看當前客戶端被分配的IP地址；使用route print命令查看客戶端是否已成功接收SSL服務端本端網段的路由。

   • Linux操作系統的客戶端可以在命令行界面使用ifconfig命令查看當前客戶端被分配的IP地址；使用ip route show all命令查看客戶端是否已成功接收SSL服務端本端網段的路由。

網段配置問題

SSL服務端的本端網段和客戶端網段有重疊。

請排查阿里云側SSL服務端的配置，確保SSL服務端的本端網段和客戶端網段之間沒有重疊。具體操作，請參見修改SSL服務端。

SSL服務端關聯的VPN網關下創建了IPsec-VPN連接，IPsec-VPN連接關聯的路由條目的目標網段與SSL服務端的客戶端網段有沖突。

請將IPsec-VPN連接關聯的路由條目修改為更精確的路由條目或者修改SSL服務端的客戶端網段為其他網段，以確保IPsec-VPN連接關聯的路由條目的目標網段與SSL服務端的客戶端網段沒有沖突。具體操作，請參見編輯策略路由、編輯目的路由或修改SSL服務端。

安全組規則問題

VPC應用的安全組規則或客戶端應用的訪問控制策略不允許客戶端和VPC之間互相訪問。

1. 請排查VPC應用的安全組規則，確保安全組規則已允許客戶端和VPC之間正常通信。具體操作，請參見查詢安全組規則和添加安全組規則。

2. 請排查客戶端應用的訪問控制策略，確保訪問控制策略已允許客戶端和VPC之間正常通信。

VPN軟件問題

客戶端安裝的OpenVPN軟件版本過高或過低可能會產生兼容性問題，導致客戶端無法正常接收或處理阿里云VPN網關發送的回復報文。

例如Windows系統的客戶端安裝了2.6.6版本的OpenVPN軟件產生了當前問題，導致無法ping通云上資源。

推薦您下載使用VPN網關官網文檔提供的OpenVPN軟件版本。下載使用路徑，請參見配置客戶端。

原因分類

原因

解決方案

VPN網關規格問題

在流量互通過程中出現流量突發的情況超過了VPN網關實例的帶寬規格。

您可以在VPN網關管理控制臺查看VPN網關實例的流量監控信息確認是否有流量突發的情況。

您可以對VPN實例進行升配或進行臨時升配。具體操作，請參見變配VPN網關實例。

優化SSL服務端配置

當前SSL服務端使用UDP協議（不可靠協議）與客戶端建立SSL-VPN連接。

1. 修改SSL服務端的協議為TCP。使SSL服務端通過TCP協議（可靠協議）與客戶端建議SSL-VPN連接。具體操作，請參見修改SSL服務端。

2. 重新下載SSL客戶端證書并安裝到客戶端。具體操作，請參見下載SSL客戶端證書和配置客戶端。

公網鏈路質量不佳

由于客戶端和VPN網關之間的公網鏈路質量不佳導致客戶端間歇性中斷下線。

請在客戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路質量情況。

若探測到公網鏈路質量不佳可聯系運營商進行故障排查。

原因分類

原因

解決方案

VPN網關規格問題

在流量互通過程中出現流量突發的情況超過了VPN網關實例的帶寬規格。

您可以在VPN網關管理控制臺查看VPN網關實例的流量監控信息確認是否有流量突發的情況。

您可以對VPN實例進行升配或進行臨時升配。具體操作，請參見變配VPN網關實例。

VPN網關版本較低

舊版VPN網關轉發性能弱，在流量過大的情況下可能會產生轉發延遲高的問題。

如果您的VPN網關是在2021年04月01日之前創建的，請升級VPN網關，新版的VPN網關已優化SSL-VPN連接的轉發性能。具體操作，請參見升級VPN網關。