翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
macOS のトラブルシューティング
以下のセクションでは、macOS クライアントを使用する際のログと、発生する可能性のある問題について説明します。これらのクライアントの最新バージョンを実行していることを確認します。
AWS 提供されたクライアント
AWS 提供されたクライアントはイベントログを作成し、コンピューター上の次の場所に保存します。
/Users/
username
/.config/AWSVPNClient/logs
次のタイプのログを使用できます。
-
アプリケーションログ: アプリケーションに関する情報が含まれます。これらのログには「aws_vpn_client_」が前に付けられます。
-
OpenVPN ログ: OpenVPN プロセスに関する情報が含まれます。これらのログには「ovpn_aws_vpn_client_」が前に付けられます。
AWS 提供されたクライアントは、クライアントデーモンを使用してルート操作を実行します。デーモンログは、コンピュータ上の次の場所に保存されます。
/tmp/AcvcHelperErrLog.txt /tmp/AcvcHelperOutLog.txt
AWS 提供されたクライアントは、設定ファイルをコンピューター上の次の場所に保存します。
/Users/
username
/.config/AWSVPNClient/OpenVpnConfigs
クライアントが接続できない
問題
AWS 提供されたクライアントは、Client VPN エンドポイントに接続できません。
原因
この問題の原因として、次のいずれかが考えられます。
-
別の OpenVPN プロセスがコンピュータ上で既に実行されているため、クライアントが接続できません。
-
設定 (.ovpn) ファイルが有効ではありません。
ソリューション
コンピュータ上で他の OpenVPN アプリケーションが実行されているかどうか確認します。実行されている場合は、これらのプロセスを停止または終了し、クライアント VPN エンドポイントへの接続を再試行します。OpenVPN ログにエラーがないか確認し、クライアント VPN 管理者に次の情報を確認するよう依頼します。
-
設定ファイルに、正しいクライアントキーと証明書が含まれている。詳細については、AWS Client VPN 管理者ガイドの「クライアント設定のエクスポート」を参照してください。
-
CRL がまだ有効である。詳細については、AWS Client VPN 管理者ガイドの「クライアントがクライアント VPN エンドポイントに接続できない」を参照してください。
クライアントが再接続状態でスタックしている
問題
AWS 提供されたクライアントは Client VPN エンドポイントに接続しようとしていますが、再接続状態のままになっています。
原因
この問題の原因として、次のいずれかが考えられます。
-
コンピュータがインターネットに接続されていません。
-
DNS ホスト名が IP アドレスに解決されていません。
-
OpenVPN プロセスがエンドポイントに無期限に接続しようとしています。
ソリューション
コンピュータがインターネットに接続されていることを確認します。クライアント VPN 管理者に、設定ファイル内の remote
ディレクティブが有効な IP アドレスに解決されていることを確認するよう依頼します。[VPN Client] ウィンドウで [Disconnect] を選択して AWS VPN セッションを切断し、接続を再試行することもできます。
クライアントがプロファイルを作成できない
問題
AWS が提供するクライアントを使用してプロファイルを作成しようとすると、次のエラーが表示されます。
The config should have either cert and key or auth-user-pass specified.
原因
クライアント VPN エンドポイントが相互認証を使用する場合、設定 (.ovpn) ファイルにクライアント証明書とキーは含まれていません。
ソリューション
クライアント VPN 管理者がクライアント証明書とキーを設定ファイルに追加していることを確認します。詳細については、AWS Client VPN 管理者ガイドの「クライアント設定のエクスポート」を参照してください。
Tunnelblick
以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 の Tunnelblick ソフトウェアのバージョン 3.7.8 (ビルド 5180) でテストされました。
プライベート設定の設定ファイルは、コンピュータ上の次の場所に保存されます。
/Users/username
/Library/Application Support/Tunnelblick/Configurations
共有設定の設定ファイルは、コンピュータ上の次の場所に保存されます。
/Library/Application Support/Tunnelblick/Shared
接続ログは、コンピュータ上の次の場所に保存されます。
/Library/Application Support/Tunnelblick/Logs
ログの冗長性を高めるには、Tunnelblick アプリケーションを開き、[Settings] を選択し、[VPN log level] の値を調整します。
暗号アルゴリズム「AES-256-GCM」が見つからない
問題
接続が失敗し、ログに次のエラーが返されます。
2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
原因
アプリケーションは、暗号アルゴリズム AES-256-GCM をサポートしていない OpenVPN バージョンを使用しています。
ソリューション
次の手順を実行して、互換性のある OpenVPN バージョンを選択します。
-
Tunnelblick アプリケーションを開きます。
-
[設定] を選択します。
-
[OpenVPN version] の場合は、[2.4.6 - OpenSSL version is v1.0.2q] を選択します。
接続が応答を停止し、リセットされます。
問題
接続が失敗し、ログに次のエラーが返されます。
MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
原因
クライアント証明書が失効しました。認証を試みた後に接続が応答を停止し、最終的にサーバー側でリセットされます。
ソリューション
クライアント VPN 管理者に新しい設定ファイルを要求します。
拡張キー使用法 (EKU)
問題
接続が失敗し、ログに次のエラーが返されます。
TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
原因
サーバー認証に成功しました。ただし、クライアント証明書に、サーバー認証に対して有効になっている拡張キー使用法 (EKU) フィールドがあるため、クライアント認証は失敗します。
ソリューション
正しいクライアント証明書とキーを使用していることを確認します。必要な場合は、クライアント VPN 管理者に確認してください。このエラーは、クライアント証明書ではなく、サーバー証明書を使用してクライアント VPN エンドポイントに接続する場合に発生する可能性があります。
証明書が失効している
問題
サーバー認証は成功しますが、クライアント認証は次のエラーで失敗します。
WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
原因
クライアント証明書の有効期限が切れています。
ソリューション
クライアント VPN 管理者に新しいクライアント証明書を要求します。
OpenVPN
以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 上の OpenVPN 接続クライアントソフトウェアのバージョン 2.7.1.100 でテストされました。
設定ファイルは、コンピュータ上の次の場所に保存されます。
/Library/Application Support/OpenVPN/profile
接続ログは、コンピュータ上の次の場所に保存されます。
Library/Application Support/OpenVPN/log/connection_name.log
DNS を解決できない
問題
接続が次のエラーで失敗します。
Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative) Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms... Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR] Mon Jul 15 13:07:18 2019 DISCONNECTED Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
原因
OpenVPN 接続はクライアント VPN DNS 名を解決できません。
ソリューション
AWS Client VPN 管理者ガイドの「クライアント VPN エンドポイント DNS 名を解決できない」の解決策を参照してください。