Solución de problemas de MacOS

En las siguientes secciones, se incluye información sobre el registro y los problemas que pueden surgir al utilizar los clientes de macOS. Asegúrese de que esté ejecutando la versión más reciente de estos clientes.

AWS cliente proporcionado

El cliente AWS proporcionado crea registros de eventos y los almacena en la siguiente ubicación de su ordenador.

/Users/username/.config/AWSVPNClient/logs

Dispone de los siguientes tipos de registros:

• Registros de aplicación: contienen información sobre la aplicación. Estos registros tienen el prefijo 'aws_vpn_client_'.

• Registros de OpenVPN: contienen información sobre los procesos de OpenVPN. Estos registros tienen el prefijo 'ovpn_aws_vpn_client_'.

El cliente AWS proporcionado utiliza el daemon del cliente para realizar las operaciones raíz. Los registros de demonio se almacenan en la siguiente ubicación del equipo.

/tmp/AcvcHelperErrLog.txt
/tmp/AcvcHelperOutLog.txt

El cliente AWS proporcionado almacena los archivos de configuración en la siguiente ubicación de su ordenador.

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

Temas

• El cliente no puede establecer conexión
• El cliente está atascado en un estado de reconexión
• El cliente no puede crear el perfil
• Se necesita una herramienta de ayuda (error)

El cliente no puede establecer conexión

Problema

El cliente AWS proporcionado no puede conectarse al punto final Client VPN.

Causa

Este problema podría deberse a una de las siguientes causas:

• Ya hay otro proceso de OpenVPN ejecutándose en el equipo, lo que impide que el cliente establezca conexión.

• El archivo de configuración (.ovpn) no es válido.

Solución

Verifique que no haya otras aplicaciones de OpenVPN que se estén ejecutando en su equipo. En caso de haberlas, detenga o cierre estos procesos e intente volver a establecer conexión con el punto de enlace de Client VPN. Compruebe si hay errores en los registros de OpenVPN y pida al administrador de Client VPN que verifique la siguiente información:

• El archivo de configuración debe contener el certificado y la clave de cliente correctos. Para obtener más información, consulte Exportar la configuración de un cliente en la Guía del administrador de AWS Client VPN .

• La CRL debe seguir siendo válida. Para obtener más información, consulte la sección sobre el error Los clientes no pueden conectarse a un punto de enlace de Client VPN en la Guía del administrador de AWS Client VPN .

El cliente está atascado en un estado de reconexión

Problema

El cliente AWS proporcionado está intentando conectarse al punto final Client VPN, pero está atrapado en un estado de reconexión.

Causa

Este problema podría deberse a una de las siguientes causas:

• Su equipo no está conectado a Internet.

• El nombre de host de DNS no se resuelve en una dirección IP.

• Un proceso de OpenVPN está intentando conectarse indefinidamente al punto de enlace.

Solución

Compruebe que el equipo esté conectado a Internet. Pida al administrador de Client VPN que compruebe que la directiva remote del archivo de configuración se resuelva en una dirección IP válida. También puede desconectar la sesión de VPN seleccionando Desconectar en la ventana del cliente AWS VPN e intentar conectarse de nuevo.

El cliente no puede crear el perfil

Problema

Cuando intenta crear un perfil con el cliente proporcionado por AWS , aparece el siguiente mensaje de error.

The config should have either cert and key or auth-user-pass specified.

Causa

Si el punto de enlace de Client VPN utiliza la autenticación mutua, el archivo de configuración (.ovpn) no contiene el certificado y la clave del cliente.

Solución

Asegúrese de que el administrador de Client VPN agregue la clave y el certificado de cliente al archivo de configuración. Para obtener más información, consulte Exportar la configuración de un cliente en la Guía del administrador de AWS Client VPN .

Se necesita una herramienta de ayuda (error)

Problema

Aparece el siguiente error al intentar conectar la VPN.

AWS VPN Client Helper Tool is required to establish the connection.

Solución

Consulta el siguiente artículo en AWS Re:post. Cliente VPN de AWS: error necesario para utilizar la herramienta de ayuda

Tunnelblick

La siguiente información de solución de problemas se ha probado en la versión 3.7.8 (compilación 5180) del software Tunnelblick en macOS High Sierra 10.13.6.

El archivo de configuración para configuraciones privadas se almacena en la siguiente ubicación del equipo.

/Users/username/Library/Application Support/Tunnelblick/Configurations

El archivo de configuración para configuraciones compartidas se almacena en la siguiente ubicación del equipo.

/Library/Application Support/Tunnelblick/Shared

Los registros de conexión se almacenan en la siguiente ubicación del equipo.

/Library/Application Support/Tunnelblick/Logs

Para aumentar la verbosidad del registro, abra la aplicación Tunnelblick, elija Settings (Configuración) y ajuste el valor de VPN log level (Nivel de registro de VPN).

Algoritmo de cifrado 'AES-256-GCM' no encontrado

Problema

La conexión falla y devuelve el siguiente error en los registros.

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error

Causa

La aplicación usa una versión de OpenVPN que no da soporte al algoritmo de cifrado AES-256-GCM.

Solución

Elija una versión compatible de OpenVPN; para ello, haga lo siguiente:

1. Abra la aplicación Tunnelblick.

2. Elija Configuración.

3. Para la OpenVPN versión (Versión de OpenVPN), elija 2.4.6 - OpenSSL version is v1.0.2q (2.4.6 - La versión de OpenSSL es v1.0.2q).

La conexión deja de responder y se restablece

Problema

La conexión falla y devuelve el siguiente error en los registros.

MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server       Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting

Causa

El certificado de cliente ha sido revocado. La conexión deja de responder después de intentar autenticarse y finalmente se restablece desde el lado del servidor.

Solución

Solicite al administrador de Client VPN un archivo de configuración.

Uso extendido de claves (EKU)

Problema

La conexión falla y devuelve el siguiente error en los registros.

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,

Causa

La autenticación del servidor se ha realizado correctamente, pero la autenticación del cliente genera un error porque el certificado de cliente tiene habilitado el campo de uso de la clave extendida (EKU) para la autenticación del servidor.

Solución

Compruebe que esté utilizando un certificado y una clave de cliente correctos. Si es necesario, verifíquelo con el administrador de Client VPN. Es posible que este error se produzca si utiliza el certificado de servidor en lugar del certificado de cliente para conectarse al punto de enlace de Client VPN.

Certificado caducado

Problema

La autenticación del servidor se realiza correctamente, pero la autenticación del cliente genera el siguiente error.

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”

Causa

La validez del certificado de cliente ha caducado.

Solución

Solicite un nuevo certificado de cliente al administrador de Client VPN.

OpenVPN

La siguiente información de solución de problemas se ha probado en la versión 2.7.1.100 del software OpenVPN Connect Client en macOS High Sierra 10.13.6.

El archivo de configuración se almacena en la siguiente ubicación del equipo.

/Library/Application Support/OpenVPN/profile

Los registros de conexión se almacenan en la siguiente ubicación del equipo.

Library/Application Support/OpenVPN/log/connection_name.log

No se puede resolver el DNS

Problema

La conexión falla con el siguiente error.

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT

Causa

OpenVPN Connect no puede resolver el nombre de DNS de Client VPN.

Solución

Consulte la solución del problema No se puede resolver el nombre de DNS del punto de enlace de Client VPN en la Guía del administrador de AWS Client VPN .