如何理解SSL VPN连接中的本端子网和客户端地址池?
SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。
在建立SSL VPN服务端时,本端子网是指企业内部的网络,而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。
从天翼云的角度来看,本端子网一般指VPC网络,VPC是Virtual Private Cloud的缩写,它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时,客户端虚拟网卡会获得一个属于该地址池的IP地址,以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池,可以确保SSL VPN连接的稳定性和安全性。
客户端连接失败怎么办?
产生当前问题的可能原因及解决方案如下表。
| 分类 | 原因 | 解决方案 |
|---|---|---|
| 配置错误 | SSL客户端配置错误。 | 请排查客户端VPN软件的配置是否与服务端配置一致。 |
| SSL客户端证书到期 | SSL客户端证书过期或无效。 | 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置,然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置,均需要重新下载、安装SSL客户端证书。 |
| 客户端连接数超限 | 当前SSL服务端下的客户端连接数超限。 | 在VPN网关实例下查看已连接的客户端数量,确认在线客户端数量是否超限。 |
| IP地址问题 | VPC下的IP地址与客户端的IP地址冲突。 | 请根据实际情况,修改SSL服务端的本端网段(VPC或云间高速的网段)或者客户端网段以确保两侧IP地址不冲突。 |
| IP地址问题 | SSL服务端的客户端网段配置的太小,导致客户端无法被分配IP地址。 | 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 |
| VPN软件问题 | 客户端VPN软件冲突。 | 1.如果您的客户端上安装了多个VPN客户端软件,建议仅使用一个VPN客户端软件建立SSL VPN连接。 |
客户端之前连接成功,但间歇性中断下线怎么办?
产生当前问题的可能原因及解决方案如下表。
| 分类 | 原因 | 解决方案 |
|---|---|---|
| 公网链路质量不佳 | 由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。 | 公网链路质量不佳(延时高或丢包率高等),可联系运营商协助进行故障排查。 |
| SSL服务端配置变更 | SSL服务端配置变更导致客户端中断下线。 | SSL服务端修改配置后,请在客户端调整配置,重新发起连接。 |
客户端连接成功,但无法ping通VPC内的网络资源怎么办?
原因:
- VPC应用的访问控制策略禁止ping命令探测。
- 未配置对应的VPC子网资源。
- VPC应用的安全组规则未放通客户端地址池。
解决方案:
- 请排查VPC内的网络资源是否禁止ping命令探测,如果是,请修改访问控制策略。
默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的,您需要修改Windows防火墙的入站规则允许ICMPv4-In。
- 排查VPC本端子网的配置,确保本端子网中包含了需要访问的网络资源。
- 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和客户端之间互相访问。
