为什么我的 VPN 客户端在我启动 VPN 会话时挂起?

VPN 服务器在供应服务器时指定的协议和端口上运行。 如果防火墙阻止从 VPN 客户端到 VPN 服务器的流量，那么网络管理员必须打开协议和端口。 例如，如果因特网服务提供商 (ISP) 正在阻塞流量，那么可以请求 VPN 服务器管理员将协议和端口更改为未阻塞的协议和端口。 通常，ISP 不会阻止 TCP 443 端口。 客户机未连接到 VPN 服务器的另一个根本原因是客户机证书已到期。

VPN 客户端会记录以下错误 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)。

出现此错误的原因如下：

• 防火墙阻止了 VPN 服务器协议流量。
• 您的 VPN 客户端证书已过期。
• 证书吊销列表 (CRL) 已过期。

按照以下步骤来解决此问题：

1. 检查连接到 VPN 服务器的安全组是否允许 VPN 服务器协议流量。

2. 检查 VPN 服务器子网上的 ACL 是否允许 VPN 服务器协议流量。

3. 请与 ISP 一起检查以允许 VPN 服务器协议流量。

4. 请检查客户机证书到期日期。 在 Linux上，可以运行以下命令以查看到期日期:

   openssl x509 -enddate -noout -in client.crt

5. 过期的 CRL 也会导致连接问题。 更新和替换 CRL 可能会解决问题。 更多信息，请参阅 客户证书吊销列表