为什么我的 VPN 客户端在我启动 VPN 会话时挂起?
VPN 服务器在供应服务器时指定的协议和端口上运行。 如果防火墙阻止从 VPN 客户端到 VPN 服务器的流量,那么网络管理员必须打开协议和端口。 例如,如果因特网服务提供商 (ISP) 正在阻塞流量,那么可以请求 VPN 服务器管理员将协议和端口更改为未阻塞的协议和端口。 通常,ISP 不会阻止 TCP 443 端口。 客户机未连接到 VPN 服务器的另一个根本原因是客户机证书已到期。
VPN 客户端会记录以下错误 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
。
出现此错误的原因如下:
- 防火墙阻止了 VPN 服务器协议流量。
- 您的 VPN 客户端证书已过期。
- 证书吊销列表 (CRL) 已过期。
按照以下步骤来解决此问题:
-
检查连接到 VPN 服务器的安全组是否允许 VPN 服务器协议流量。
-
检查 VPN 服务器子网上的 ACL 是否允许 VPN 服务器协议流量。
-
请与 ISP 一起检查以允许 VPN 服务器协议流量。
-
请检查客户机证书到期日期。 在 Linux上,可以运行以下命令以查看到期日期:
openssl x509 -enddate -noout -in client.crt
-
过期的 CRL 也会导致连接问题。 更新和替换 CRL 可能会解决问题。 更多信息,请参阅 客户证书吊销列表