IBM Cloud Docs
为什么我的 VPN 客户端在我启动 VPN 会话时挂起?

为什么我的 VPN 客户端在我启动 VPN 会话时挂起?

VPN 服务器在供应服务器时指定的协议和端口上运行。 如果防火墙阻止从 VPN 客户端到 VPN 服务器的流量,那么网络管理员必须打开协议和端口。 例如,如果因特网服务提供商 (ISP) 正在阻塞流量,那么可以请求 VPN 服务器管理员将协议和端口更改为未阻塞的协议和端口。 通常,ISP 不会阻止 TCP 443 端口。 客户机未连接到 VPN 服务器的另一个根本原因是客户机证书已到期。

VPN 客户端会记录以下错误 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

出现此错误的原因如下:

  • 防火墙阻止了 VPN 服务器协议流量。
  • 您的 VPN 客户端证书已过期。
  • 证书吊销列表 (CRL) 已过期。

按照以下步骤来解决此问题:

  1. 检查连接到 VPN 服务器的安全组是否允许 VPN 服务器协议流量。

  2. 检查 VPN 服务器子网上的 ACL 是否允许 VPN 服务器协议流量。

  3. 请与 ISP 一起检查以允许 VPN 服务器协议流量。

  4. 请检查客户机证书到期日期。 在 Linux上,可以运行以下命令以查看到期日期:

    openssl x509 -enddate -noout -in client.crt

  5. 过期的 CRL 也会导致连接问题。 更新和替换 CRL 可能会解决问题。 更多信息,请参阅 客户证书吊销列表