客戶端

SSL-VPN連接日志文件默認路徑

Linux客戶端（安裝OpenVPN軟件）

/var/log/openvpn.log

Windows客戶端（安裝OpenVPN軟件）

日志信息默認會存儲在OpenVPN軟件安裝目錄下的log文件夾下

例如C:\Users\User\OpenVPN\log

macOS客戶端（安裝Tunnelblick軟件）

/Library/Application Support/Tunnelblick/Logs

macOS客戶端（安裝OpenVPN軟件）

/Library/Application Support/OpenVPN/log/connection_name.log

錯誤原因分類

錯誤原因

日志關鍵字

排查辦法

網絡不可達

網絡不可達，網絡互通有問題

• network is unreachable

• TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

• TLS Error: TLS handshake failed

1. 請在客戶端中使用ping或mtr命令訪問VPN網關的公網IP地址以探測公網鏈路質量情況。

   • 如果探測到公網鏈路質量不佳（延時高或丟包率高等）可聯系運營商協助進行故障排查。

   • 如果探測到可以正常連通，請確認在SSL服務端的日志信息中是否可以查詢到客戶端的連接信息。

     如果未能查詢到客戶端的連接信息，請嘗試修改SSL服務端使用的端口，然后重新下載SSL客戶端證書并安裝到客戶端。

2. 請將SSL服務端的協議修改為TCP（可靠性更好）。

   如果您使用SSL-VPN連接進行長距離通信（例如美國（硅谷）到新加坡），在將SSL服務端的協議修改為TCP后，仍出現本問題，建議您使用云企業網和智能接入網關產品將客戶端連接至VPC。

3. 如果您的客戶端上存在多個VPN軟件，建議僅使用一個VPN軟件建立SSL-VPN連接。

4. 嘗試重啟客戶端或者在客戶端上重新安裝VPN軟件。

協議類型或端口號不匹配

客戶端與SSL服務端的協議類型或端口號不一致

• MANAGEMENT: >STATE:1676379239,TCP_CONNECT,,,,,,

• TCP: connect to [AF_INET]*.*.*.*:1194 failed: Unknown error

請嘗試修改SSL服務端使用的協議和端口，然后重新下載SSL客戶端證書并安裝到客戶端。

連接數超限

SSL客戶端連接數已達規格上限

MANAGEMENT: >STATE:1676370715,WAIT,,,,,

1. 在VPN網關實例下查看已連接的客戶端數量，確認客戶端數量是否超限。

   • 如果客戶端數量超限，您可以提升SSL服務端的連接數規格。

   • 如果客戶端數量超限，您不想提升SSL服務端的連接數規格，您可以將不需要的客戶端斷開連接釋放資源。客戶端斷開連接后，系統大約5分鐘后會釋放資源。

2. 修改SSL服務端使用的協議為TCP，然后重新下載、安裝SSL客戶端證書。

   使用UDP協議存在不可靠連接占用連接數的情況，使用TCP協議可以規避該問題，且TCP協議可靠性更好。

證書過期

證書過期

VERIFY ERROR: certificate has expired

1. 請排查SSL客戶端證書的有效性。

   SSL客戶端證書默認有效期為3年。

2. 請刪除現有的SSL客戶端證書及所有配置，然后重新下載、安裝SSL客戶端證書。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL客戶端證書。

證書配置錯誤

證書配置錯誤

• Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)

• Options error: --cert fails with 'vsc-****.crt': No such file or directory (errno=2)

• WARNING: cannot stat file 'vsc-****.key': No such file or directory (errno=2)

• Options error: --key fails with 'vsc-****.key'

• Options error: Please correct these errors.

請刪除現有的SSL客戶端證書及配置，然后重新下載、安裝SSL客戶端證書。

客戶端VPN軟件版本不兼容

客戶端使用的VPN軟件版本與阿里云SSL服務端不兼容

• Data Channel Offload doesn't support DATA_V1 packets

• Upgrade your server to

• suggesting an upgrade to the server version

在客戶端刪除現有VPN軟件，然后參見VPN文檔下載安裝VPN軟件。

IP地址不足

SSL服務端下配置的客戶端網段過小導致IP地址不足

OpenVPN needs a gateway parameter for a -- route option and no default was specified by either --route-gateway or --ifconfig options

請確保您指定的客戶端網段所包含的IP地址個數是SSL-VPN連接數的4倍及以上。更多信息，請參見創建和管理SSL服務端。

例如：您指定的客戶端網段為192.168.0.0/24，系統在為客戶端分配IP地址時，會先從192.168.0.0/24網段中劃分出一個子網掩碼為30的子網段，例如192.168.0.4/30，然后從192.168.0.4/30中分配一個IP地址供客戶端使用，剩余三個IP地址會被系統占用以保證網絡通信，此時一個客戶端會耗費4個IP地址。因此，為保證您的客戶端均能分配到IP地址，請確保您指定的客戶端網段所包含的IP地址個數是SSL-VPN連接數的4倍及以上。

無相同加密算法

SSL服務端沒有與客戶端相同的TLS密碼套件，無相同加密算法可用

• TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.

• OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

請在客戶端中安裝VPN網關產品推薦使用的VPN軟件。更多信息，請參見配置客戶端。

加密算法不一致

SSL服務端與客戶端加密算法配置不一致

Authenticate/Decrypt packet error: cipher final failed

請確認客戶端安裝的SSL客戶端證書的加密算法是否與SSL服務端的加密算法一致。

如果不一致，請刪除現有的SSL客戶端證書及所有配置，然后重新下載SSL客戶端證書并安裝到客戶端。

• SSL客戶端證書的加密算法為config.ovpn文件cipher字段對應的值。

• 您可以在SSL服務端頁面，找到目標SSL服務端實例，然后在操作列單擊詳情，在SSL服務端實例詳情頁面，查看SSL服務端的加密算法。

數據包ID沖突

網絡連接不穩定或SSL服務端加密算法配置為none

Authenticate/Decrypt packet error: bad packet ID (may be a replay)

1. 修改SSL服務端的協議為TCP（可靠性更好）。

2. 請確認SSL服務端的加密算法是否為none。若是，建議修改SSL服務端的加密算法為AES加密算法（AES-128-CBC、AES-192-CBC或AES-256-CBC）。

3. 修改SSL服務端的配置后，請刪除現有的SSL客戶端證書及所有配置，然后重新下載SSL客戶端證書并安裝到客戶端。

時間不同步

SSL校驗不通過或者是客戶端的時間與服務器的時間相差太大

• OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

• TLS_ERROR: BIO read tls_read_plaintext error

• TLS Error: TLS object -> incoming plaintext read error

• TLS Error: TLS handshake failed

1. 客戶端與SSL服務端的時間偏差不能超10分鐘，建議調整客戶端的時間與標準時間一致。

2. 請排查SSL客戶端證書的有效性。

   SSL客戶端證書默認有效期為3年。

證書校驗不通過

SSL證書校驗不通過

No server certificate verification method has been enabled

1. 請排查SSL客戶端證書的有效性。

   SSL客戶端證書默認有效期為3年。

2. 請刪除現有的SSL客戶端證書及所有配置，然后重新下載、安裝SSL客戶端證書。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL客戶端證書。

雙因子認證失敗

雙因子認證失敗

• AUTH: Received control message: AUTH_FAILED

• TCP/UDP: Closing socket

• SIGUSR1[soft,auth-failure] received, process restarting

• MANAGEMENT: >STATE:1676381342,RECONNECTING,auth-failure,,,,,

1. 請確認您輸入的用戶名和密碼是否正確。

2. 請在IDaaS實例側排查是否已配置了該賬戶、IDaaS實例是否已將該賬戶禁用、IDaaS實例是否已過期。更多信息，請參見什么是 IDaaS？。

   如果IDaaS實例側配置沒有問題，請嘗試重新添加一個賬戶進行連接。

3. 請刪除現有的SSL客戶端證書及所有配置，然后重新下載、安裝SSL客戶端證書。

   開啟和關閉雙因子認證功能、修改SSL服務端的配置，均需要重新下載、安裝SSL客戶端證書。

缺失TAP口

客戶端缺失TAP虛擬以太網適配器，需重新創建

• There are no TAP-Windows adapters on this system. You should be able to create a TAP

• CreateFile failed on TAP device

• All TAP-Win32 adapters on this system are currently in use

1. 請確認您在安裝OpenVPN軟件時是否已選中TAP Virtual Ethernet Adapter選項。

   如果您在安裝OpenVPN軟件時并未選中上述選項，您可以手動創建虛擬以太網適配器或者重新安裝OpenVPN軟件。

2. 退出OpenVPN軟件，嘗試以管理員權限再次運行OpenVPN軟件。

ovpnagent沒有運行

macOS操作系統的客戶端下ovpnagent程序沒有運行

Transport Error: socket_protect error

1. 請在客戶端的命令行界面通過以下命令手動啟動ovpnagent程序。

   /Library/Frameworks/OpenVPNConnect.framework/Versions/Current/usr/sbin/ovpnagent

2. 建議macOS操作系統的客戶端優先使用Tunnelblick軟件建立SSL-VPN連接。

客戶端頻繁重新連接

客戶端主動或自動重新連接

• Connection reset, restarting [-1]SIGUSR1[soft,connection-reset] received, client-instance restarting

• TCP/UDP: Closing socket

1. 請排查客戶端在日志顯示的時間節點是否有重啟或重新連接。

2. 請排查SSL客戶端證書的有效性。

   SSL客戶端證書默認有效期為3年。

3. 請排查客戶端使用的時間。

   客戶端與SSL服務端的時間偏差不能超10分鐘，建議調整客戶端的時間與標準時間一致。