VPN セッションを開始したときに VPN クライアントがハングするのはなぜですか?
VPN サーバーは、サーバーのプロビジョン時に指定したプロトコルとポートで実行されます。 ファイアウォールが VPN クライアントから VPN サーバーへのトラフィックをブロックしている場合、ネットワーク管理者はプロトコルとポートを開く必要があります。 例えば、インターネットサービスプロバイダ(ISP)がトラフィックをブロックしている場合、VPNサーバーの管理者に、プロトコルとポートをブロックされていないプロトコルとポートに変更してもらうことができます。 通常、TCP 443ポートはISPによってブロックされることはない。 クライアントが VPN サーバーに接続されないことのもう 1 つの根本原因は、クライアント証明書の有効期限切れです。
VPNクライアントは以下のエラーログを記録する TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
。
このエラーは以下の理由で発生する可能性がある:
- ファイアウォールがVPNサーバーのプロトコルのトラフィックをブロックしている。
- VPNクライアント証明書の有効期限が切れました。
- 証明書失効リスト(CRL)が古い。
この問題を解決するには、以下の手順に従います。
-
VPNサーバーにアタッチされているセキュリティグループが、VPNサーバープロトコルのトラフィックを許可していることを確認してください。
-
VPN サーバーのサブネットの ACL が VPN サーバー・プロトコル・トラフィックを許可していることを確認します。
-
ISP に問い合わせて、VPN サーバー・プロトコル・トラフィックが許可されていることを確認します。
-
クライアント証明書の有効期限日を確認します。 Linux では、次のコマンドを実行すると有効期限を確認できます。
openssl x509 -enddate -noout -in client.crt
-
期限切れのCRLも接続の問題につながる可能性がある。 CRLを更新し、交換することで問題が解決する可能性があります。 詳細については、 クライアント証明書失効リストを 参照