macOS のトラブルシューティング

以下のセクションでは、macOS クライアントを使用する際のログと、発生する可能性のある問題について説明します。これらのクライアントの最新バージョンを実行していることを確認します。

AWS が提供するクライアント

AWS が提供するクライアントは、イベントログを作成し、コンピュータ上の次の場所に保存します。

/Users/username/.config/AWSVPNClient/logs

次のタイプのログを使用できます。

• アプリケーションログ: アプリケーションに関する情報が含まれます。これらのログには「aws_vpn_client_」が前に付けられます。

• OpenVPN ログ: OpenVPN プロセスに関する情報が含まれます。これらのログには「ovpn_aws_vpn_client_」が前に付けられます。

AWS 提供されたクライアントは、クライアントデーモンを使用してルートオペレーションを実行します。デーモンログは、コンピュータ上の次の場所に保存されます。

/tmp/AcvcHelperErrLog.txt
/tmp/AcvcHelperOutLog.txt

AWS 提供されたクライアントは、コンピュータ上の次の場所に設定ファイルを保存します。

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

トピック

• クライアントが接続できない
• クライアントが再接続状態でスタックしている
• クライアントがプロファイルを作成できない
• ヘルパーツールは必須ですエラー

クライアントが接続できない

問題

AWS 提供されたクライアントは、クライアント VPN エンドポイントに接続できません。

原因

この問題の原因として、次のいずれかが考えられます。

• 別の OpenVPN プロセスがコンピュータ上で既に実行されているため、クライアントが接続できません。

• 設定 (.ovpn) ファイルが有効ではありません。

ソリューション

コンピュータ上で他の OpenVPN アプリケーションが実行されているかどうか確認します。実行されている場合は、これらのプロセスを停止または終了し、クライアント VPN エンドポイントへの接続を再試行します。OpenVPN ログにエラーがないか確認し、クライアント VPN 管理者に次の情報を確認するよう依頼します。

• 設定ファイルに、正しいクライアントキーと証明書が含まれている。詳細については、AWS Client VPN 管理者ガイドの「クライアント設定のエクスポート」を参照してください。

• CRL がまだ有効である。詳細については、AWS Client VPN 管理者ガイドの「クライアントがクライアント VPN エンドポイントに接続できない」を参照してください。

クライアントが再接続状態でスタックしている

問題

AWS 提供されたクライアントはクライアント VPN エンドポイントに接続しようとしていますが、再接続状態でスタックしています。

原因

この問題の原因として、次のいずれかが考えられます。

• コンピュータがインターネットに接続されていません。

• DNS ホスト名が IP アドレスに解決されていません。

• OpenVPN プロセスがエンドポイントに無期限に接続しようとしています。

ソリューション

コンピュータがインターネットに接続されていることを確認します。クライアント VPN 管理者に、設定ファイル内の remote ディレクティブが有効な IP アドレスに解決されていることを確認するよう依頼します。VPN クライアントウィンドウで切断を選択して AWS VPN セッションを切断し、再度接続を試みることもできます。

クライアントがプロファイルを作成できない

問題

AWS が提供するクライアントを使用してプロファイルを作成しようとすると、次のエラーが表示されます。

The config should have either cert and key or auth-user-pass specified.

原因

クライアント VPN エンドポイントが相互認証を使用する場合、設定 (.ovpn) ファイルにクライアント証明書とキーは含まれていません。

ソリューション

クライアント VPN 管理者がクライアント証明書とキーを設定ファイルに追加していることを確認します。詳細については、AWS Client VPN 管理者ガイドの「クライアント設定のエクスポート」を参照してください。

ヘルパーツールは必須ですエラー

問題

VPN に接続しようとすると、次のエラーが表示されます。

AWS VPN Client Helper Tool is required to establish the connection.

ソリューション

AWS re:Post に関する次の記事を参照してください。AWS VPN クライアント - ヘルパーツールは必須ですエラー

Tunnelblick

以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 の Tunnelblick ソフトウェアのバージョン 3.7.8 (ビルド 5180) でテストされました。

プライベート設定の設定ファイルは、コンピュータ上の次の場所に保存されます。

/Users/username/Library/Application Support/Tunnelblick/Configurations

共有設定の設定ファイルは、コンピュータ上の次の場所に保存されます。

/Library/Application Support/Tunnelblick/Shared

接続ログは、コンピュータ上の次の場所に保存されます。

/Library/Application Support/Tunnelblick/Logs

ログの冗長性を高めるには、Tunnelblick アプリケーションを開き、[Settings] を選択し、[VPN log level] の値を調整します。

暗号アルゴリズム「AES-256-GCM」が見つからない

問題

接続が失敗し、ログに次のエラーが返されます。

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error

原因

アプリケーションは、暗号アルゴリズム AES-256-GCM をサポートしていない OpenVPN バージョンを使用しています。

ソリューション

次の手順を実行して、互換性のある OpenVPN バージョンを選択します。

1. Tunnelblick アプリケーションを開きます。

2. [設定] を選択します。

3. [OpenVPN version] の場合は、[2.4.6 - OpenSSL version is v1.0.2q] を選択します。

接続が応答を停止し、リセットされます。

問題

接続が失敗し、ログに次のエラーが返されます。

MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server       Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting

原因

クライアント証明書が失効しました。認証を試みた後に接続が応答を停止し、最終的にサーバー側でリセットされます。

ソリューション

クライアント VPN 管理者に新しい設定ファイルを要求します。

拡張キー使用法 (EKU)

問題

接続が失敗し、ログに次のエラーが返されます。

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,

原因

サーバー認証に成功しました。ただし、クライアント証明書に、サーバー認証に対して有効になっている拡張キー使用法 (EKU) フィールドがあるため、クライアント認証は失敗します。

ソリューション

正しいクライアント証明書とキーを使用していることを確認します。必要な場合は、クライアント VPN 管理者に確認してください。このエラーは、クライアント証明書ではなく、サーバー証明書を使用してクライアント VPN エンドポイントに接続する場合に発生する可能性があります。

証明書が失効している

問題

サーバー認証は成功しますが、クライアント認証は次のエラーで失敗します。

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”

原因

クライアント証明書の有効期限が切れています。

ソリューション

クライアント VPN 管理者に新しいクライアント証明書を要求します。

OpenVPN

以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 上の OpenVPN 接続クライアントソフトウェアのバージョン 2.7.1.100 でテストされました。

設定ファイルは、コンピュータ上の次の場所に保存されます。

/Library/Application Support/OpenVPN/profile

接続ログは、コンピュータ上の次の場所に保存されます。

Library/Application Support/OpenVPN/log/connection_name.log

DNS を解決できない

問題

接続が次のエラーで失敗します。

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT

原因

OpenVPN 接続はクライアント VPN DNS 名を解決できません。

ソリューション

AWS Client VPN 管理者ガイドの「クライアント VPN エンドポイント DNS 名を解決できない」の解決策を参照してください。