Risoluzione dei problemi di VPN connessione dei AWS client con i client macOS - AWS Cliente VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di VPN connessione dei AWS client con i client macOS

Le sezioni seguenti contengono informazioni sulla registrazione e sui problemi che potrebbero verificarsi durante l'utilizzo dei client macOS. Verifica di eseguire la versione più recente di questi client.

AWS ha fornito i registri degli eventi del client

Il client AWS fornito crea i registri degli eventi e li archivia nella seguente posizione sul computer.

/Users/username/.config/AWSVPNClient/logs

Sono disponibili i seguenti tipi di log:

  • Log applicazioni: contengono informazioni sull'applicazione. Questi log sono preceduti da 'aws_vpn_client_'.

  • VPNRegistri aperti: contengono informazioni sui processi apertiVPN. Questi log sono preceduti da 'ovpn_aws_vpn_client_'.

Il client AWS fornito utilizza il demone client per eseguire operazioni root. I log del daemon vengono archiviati nei seguenti percorsi del computer.

/tmp/AcvcHelperErrLog.txt /tmp/AcvcHelperOutLog.txt

Il client AWS fornito memorizza i file di configurazione nella seguente posizione sul computer.

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

Il client non è in grado di connettersi

Problema

Il client AWS fornito non può connettersi all'VPNendpoint Client.

Causa

La causa del problema può essere una delle seguenti:

  • Sul computer è già in esecuzione un altro VPN processo Open che impedisce al client di connettersi.

  • Il file di configurazione (.ovpn) non è valido.

Soluzione

Controllate se sul computer sono in esecuzione altre VPN applicazioni Open. In caso affermativo, interrompi o chiudi questi processi e prova a connetterti nuovamente all'VPNendpoint Client. Verifica la presenza di errori VPN nei registri aperti e chiedi all'VPNamministratore del client di verificare le seguenti informazioni:

Il client è bloccato in uno stato di riconnessione

Problema

Il client AWS fornito sta tentando di connettersi all'VPNendpoint Client, ma è bloccato in uno stato di riconnessione.

Causa

La causa del problema può essere una delle seguenti:

  • Il computer non è connesso a Internet.

  • Il DNS nome host non si risolve in un indirizzo IP.

  • Un VPN processo aperto sta tentando a tempo indeterminato di connettersi all'endpoint.

Soluzione

Verifica che il computer sia connesso a Internet. Chiedete all'VPNamministratore del client di verificare che la remote direttiva nel file di configurazione si risolva in un indirizzo IP valido. Puoi anche disconnettere la VPN sessione scegliendo Disconnetti nella finestra AWS VPN Client e riprova a connetterti.

Il client non è in grado di creare un profilo

Problema

Quando provi a creare un profilo utilizzando il client fornito da AWS viene visualizzato il seguente errore:

The config should have either cert and key or auth-user-pass specified.
Causa

Se l'VPNendpoint Client utilizza l'autenticazione reciproca, il file di configurazione (.ovpn) non contiene il certificato e la chiave del client.

Soluzione

Assicurati che l'VPNamministratore del client aggiunga il certificato e la chiave del client al file di configurazione. Per ulteriori informazioni, consulta Esportazione della configurazione client nella Guida per l'amministratore di AWS Client VPN .

Lo strumento di supporto è un errore obbligatorio

Problema

Viene visualizzato il seguente errore quando si tenta di connettere ilVPN.

AWS VPN Client Helper Tool is required to establish the connection.
Soluzione

Vedi il seguente articolo su AWS Re:POST. AWSVPNClient - Errore richiesto dallo strumento Helper

Tunnelblick

Le seguenti informazioni sulla risoluzione dei problemi sono state verificate sulla versione 3.7.8 (build 5180) del software Tunnelblick su macOS High Sierra 10.13.6.

Il file di configurazione per le configurazioni private viene archiviato nel seguente percorso del computer.

/Users/username/Library/Application Support/Tunnelblick/Configurations

Il file di configurazione per le configurazioni condivise viene archiviato nel seguente percorso del computer.

/Library/Application Support/Tunnelblick/Shared

I log di connessione vengono archiviati nel seguente percorso del computer.

/Library/Application Support/Tunnelblick/Logs

Per aumentare la verbosità del registro, apri l'applicazione Tunnelblick, scegli Impostazioni e regola il valore per il livello di registro. VPN

Algoritmo di cifratura '-256-' non trovato AES GCM

Problema

La connessione non riesce e restituisce il seguente errore nei log.

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found 2019-04-11 09:37:14 Exiting due to fatal error
Causa

L'applicazione utilizza una VPN versione Open che non supporta l'algoritmo di cifratura -256-. AES GCM

Soluzione

Scegliete una VPN versione Open compatibile effettuando le seguenti operazioni:

  1. Aprire l'applicazione Tunnelblick.

  2. Seleziona Impostazioni.

  3. Per la VPNversione aperta, scegli 2.4.6 - La SSL versione aperta è v1.0.2q.

La connessione smette di rispondere e si ripristina

Problema

La connessione non riesce e restituisce il seguente errore nei log.

MANAGEMENT: >STATE:1559117927,WAIT,,,,,, MANAGEMENT: >STATE:1559117928,AUTH,,,,,, TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3 VERIFY OK: depth=1, CN=server-certificate VERIFY KU OK Validating certificate extended key usage Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication VERIFY EKU OK VERIFY OK: depth=0, CN=server-cvpn Connection reset, restarting [0] SIGUSR1[soft,connection-reset] received, process restarting
Causa

Il certificato client è stato revocato. La connessione smette di rispondere dopo aver tentato di autenticarsi e alla fine viene ripristinata dal lato server.

Soluzione

Richiedi un nuovo file di configurazione all'amministratore del client. VPN

Utilizzo esteso delle chiavi (EKU)

Problema

La connessione non riesce e restituisce il seguente errore nei log.

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34 VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3 VERIFY KU OK Validating certificate extended key usage ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication VERIFY EKU OK VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/) Connection reset, restarting [0] SIGUSR1[soft,connection-reset] received, process restarting MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
Causa

L'autenticazione del server è stata completata. Tuttavia, l'autenticazione del client fallisce perché il certificato client ha il campo extended key usage (EKU) abilitato per l'autenticazione del server.

Soluzione

Verifica di utilizzare il certificato e la chiave client corretti. Se necessario, verificate con l'VPNamministratore del client. Questo errore potrebbe verificarsi se si utilizza il certificato del server e non il certificato client per connettersi all'VPNendpoint Client.

Certificato scaduto

Problema

L'autenticazione del server va a buon fine ma l'autenticazione client non riesce con il seguente errore.

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
Causa

La validità del certificato client è scaduta.

Soluzione

Richiedi un nuovo certificato client all'VPNamministratore del client.

Apri VPN

Le seguenti informazioni per la risoluzione dei problemi sono state testate sulla versione 2.7.1.100 del software Open VPN Connect Client su macOS High Sierra 10.13.6.

Il file di configurazione viene archiviato nel seguente percorso del computer.

/Library/Application Support/OpenVPN/profile

I log di connessione vengono archiviati nel seguente percorso del computer.

Library/Application Support/OpenVPN/log/connection_name.log

Impossibile risolvere DNS

Problema

La connessione non riesce e viene restituito il seguente errore.

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative) Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms... Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR] Mon Jul 15 13:07:18 2019 DISCONNECTED Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
Causa

Open VPN Connect non è in grado di risolvere il VPN DNS nome del client.

Soluzione

Vedi la soluzione per Unable to Resolve Client VPN Endpoint DNS Name nella Guida per l'AWS Client VPN amministratore.