Fehlerbehebung bei AWS Client-VPN-Verbindungen mit macOS-Clients - AWS Client VPN
AWS bereitgestellte Client-EreignisprotokolleClient kann keine Verbindung herstellenClient ist in einem Wiederverbindungszustand blockiertClient kann kein Profil erstellenHilfstool ist erforderlich (Fehler)TunnelblickVerschlüsselungsalgorithmus "AES-256-GCM" nicht gefundenVerbindung reagiert nicht mehr und wird zurückgesetztErweiterte Schlüsselverwendung (Extended Key Usage, EKU)Abgelaufenes ZertifikatOpenVPNDNS kann nicht aufgelöst werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei AWS Client-VPN-Verbindungen mit macOS-Clients

Die folgenden Abschnitte enthalten Informationen zu Protokollierung und Problemen, die bei der Verwendung von macOS-Clients auftreten können. Stellen Sie bitte sicher, dass Sie die neueste Version dieser Clients ausführen.

AWS bereitgestellte Client-Ereignisprotokolle

Der AWS bereitgestellte Client erstellt Ereignisprotokolle und speichert sie am folgenden Ort auf Ihrem Computer.

/Users/username/.config/AWSVPNClient/logs

Die folgenden Arten von Protokollen sind verfügbar:

  • Anwendungsprotokolle: Enthalten Informationen über die Anwendung. Diesen Protokollen wird das Präfix "aws_vpn_client_" vorangestellt.

  • OpenVPN-Protokolle: Informationen über OpenVPN-Prozesse. Diesen Protokollen wird das Präfix 'ovpn_aws_vpn_client_' vorangestellt.

Der AWS bereitgestellte Client verwendet den Client-Daemon, um Root-Operationen durchzuführen. Die Daemon-Protokolle werden an den folgenden Speicherorten auf Ihrem Computer gespeichert: Die CRL ist noch gültig.

/tmp/AcvcHelperErrLog.txt
/tmp/AcvcHelperOutLog.txt

Der AWS bereitgestellte Client speichert die Konfigurationsdateien im folgenden Verzeichnis auf Ihrem Computer.

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

Client kann keine Verbindung herstellen

Problem

Der AWS angegebene Client kann keine Verbindung zum Client-VPN-Endpunkt herstellen.

Ursache

Dieses Problem kann folgende Ursachen haben:

  • Ein anderer OpenVPN-Prozess wird bereits auf Ihrem Computer ausgeführt, was den Client daran hindert, eine Verbindung herzustellen.

  • Ihre Konfigurationsdatei (OVPN) ist ungültig.

Lösung

Überprüfen Sie, ob andere OpenVPN-Anwendungen auf Ihrem Computer ausgeführt werden. Wenn dies der Fall ist, stoppen oder beenden Sie diese Prozesse und versuchen Sie erneut, eine Verbindung mit dem Client VPN-Endpunkt herzustellen. Überprüfen Sie die OpenVPN-Protokolle auf Fehler und bitten Sie Ihren Client VPN-Administrator, die folgenden Informationen zu überprüfen:

Client ist in einem Wiederverbindungszustand blockiert

Problem

Der AWS angegebene Client versucht, eine Verbindung zum Client-VPN-Endpunkt herzustellen, befindet sich jedoch in einem Zustand, in dem die Verbindung erneut hergestellt wird.

Ursache

Dieses Problem kann folgende Ursachen haben:

  • Ihr Computer ist nicht mit dem Internet verbunden.

  • Der DNS-Hostname wird nicht in eine IP-Adresse aufgelöst.

  • Ein OpenVPN-Prozess versucht unbegrenzt, sich mit dem Endpunkt zu verbinden.

Lösung

Überprüfen Sie, ob Ihr Computer mit dem Internet verbunden ist. Bitten Sie Ihren Client VPN-Administrator zu überprüfen, ob die Direktive remote in der Konfigurationsdatei in eine gültige IP-Adresse aufgelöst wird. Sie können die VPN-Sitzung auch trennen, indem Sie im AWS VPN-Client-Fenster auf Trennen klicken und erneut versuchen, eine Verbindung herzustellen.

Client kann kein Profil erstellen

Problem

Sie erhalten folgenden Fehler, wenn Sie versuchen, ein Profil mit dem von AWS bereitgestellten Client zu erstellen.

The config should have either cert and key or auth-user-pass specified.
Ursache

Wenn der Client VPN-Endpunkt die gegenseitige Authentifizierung verwendet, enthält die Konfigurationsdatei (OVPN) nicht das Client-Zertifikat und den Schlüssel.

Lösung

Stellen Sie sicher, dass Ihr Client VPN-Administrator das Client-Zertifikat und den Schlüssel zur Konfigurationsdatei hinzufügt. Weitere Informationen finden Sie unter Exportieren der Client-Konfiguration im AWS Client VPN -Administratorhandbuch.

Hilfstool ist erforderlich (Fehler)

Problem

Sie erhalten die folgende Fehlermeldung, wenn Sie versuchen, eine VPN-Verbindung herzustellen.

AWS VPN Client Helper Tool is required to establish the connection.
Lösung

Lesen Sie den folgenden Artikel auf AWS re:POST. Fehler „AWS VPN Client — Hilfstool ist erforderlich“

Tunnelblick

Die folgenden Informationen zur Fehlerbehebung wurden mit Version 3.7.8 (Build 5180) der Tunnelblick-Software unter macOS High Sierra 10.13.6 getestet.

Die Konfigurationsdatei für private Konfigurationen wird an folgendem Ort auf Ihrem Computer gespeichert.

/Users/username/Library/Application Support/Tunnelblick/Configurations

Die Konfigurationsdatei für gemeinsam genutzte Konfigurationen wird an folgendem Ort auf Ihrem Computer gespeichert.

/Library/Application Support/Tunnelblick/Shared

Die Verbindungsprotokolle werden an folgendem Ort auf Ihrem Computer gespeichert.

/Library/Application Support/Tunnelblick/Logs

Um den Protokollumfang zu erhöhen, öffnen Sie die Tunnelblick-Anwendung, wählen Sie Settings (Einstellungen) aus und passen Sie den Wert für VPN log level (VPN-Protokollstufe) an.

Verschlüsselungsalgorithmus "AES-256-GCM" nicht gefunden

Problem

Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
Ursache

Die Anwendung verwendet eine OpenVPN-Version, die den Verschlüsselungsalgorithmus AES-256-GCM nicht unterstützt.

Lösung

Wählen Sie eine kompatible OpenVPN-Version aus, indem Sie wie folgt vorgehen:

  1. Öffnen Sie die Tunnelblick-Anwendung.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie für OpenVPN version (OpenVPN-Version) die Option 2.4.6 - OpenSSL version is v1.0.2q (2.4.6 - OpenSSL-Version ist v1.0.2q) aus.

Verbindung reagiert nicht mehr und wird zurückgesetzt

Problem

Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.

MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server       Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
Ursache

Das Client-Zertifikat wurde widerrufen. Die Verbindung reagiert nach dem Versuch der Authentifizierung nicht mehr und wird schließlich serverseitig zurückgesetzt.

Lösung

Fordern Sie eine neue Konfigurationsdatei von Ihrem Client VPN-Administrator an.

Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)

Problem

Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
Ursache

Die Server-Authentifizierung war erfolgreich. Die Client-Authentifizierung schlägt jedoch fehl, weil im Client-Zertifikat das Feld für die erweiterte Schlüsselverwendung (EKU) für die Serverauthentifizierung aktiviert ist.

Lösung

Stellen Sie sicher, dass Sie das richtige Client-Zertifikat und den richtigen Schlüssel verwenden. Falls erforderlich, überprüfen Sie dies bei Ihrem Client VPN-Administrator. Dieser Fehler kann auftreten, wenn Sie das Server-Zertifikat und nicht das Client-Zertifikat für die Verbindung mit dem Client VPN-Endpunkt verwenden.

Abgelaufenes Zertifikat

Problem

Die Server-Authentifizierung ist erfolgreich, aber die Client-Authentifizierung schlägt mit folgendem Fehler fehl.

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
Ursache

Die Gültigkeit des Client-Zertifikats ist abgelaufen.

Lösung

Fordern Sie ein neues Client-Zertifikat von Ihrem Client VPN-Administrator an.

OpenVPN

Die folgenden Informationen zur Fehlerbehebung wurden mit Version 2.7.1.100 der OpenVPN-Connect-Client-Software unter macOS High Sierra 10.13.6 getestet.

Die Konfigurationsdatei ist an folgendem Speicherort auf Ihrem Computer gespeichert.

/Library/Application Support/OpenVPN/profile

Die Verbindungsprotokolle werden an folgendem Ort auf Ihrem Computer gespeichert.

Library/Application Support/OpenVPN/log/connection_name.log

DNS kann nicht aufgelöst werden

Problem

Die Verbindung scheitert mit folgendem Fehler.

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
Ursache

OpenVPN Connect ist nicht in der Lage, den Client VPN-DNS-Namen aufzulösen.

Lösung

Siehe die Lösung für Auflösung des DNS-Namens des Client-VPN-Endpunkts im AWS Client VPN -Administratorhandbuch.