Solução de problemas macOS - VPN do cliente da AWS

Solução de problemas macOS

As seções a seguir contêm informações sobre registro em log e problemas que você pode ter ao usar clientes macOS. Certifique-se de que esteja executando a versão mais recente desses clientes.

AWScliente fornecido pela

O cliente fornecido pela AWS cria logs de eventos e os armazena no local a seguir no seu computador.

/Users/username/.config/AWSVPNClient/logs

Os seguintes tipos de logs estão disponíveis:

  • Logs de aplicativos: contêm informações sobre o aplicativo. Esses logs são prefixados com "aws_vpn_client_".

  • Logs do OpenVPN: contêm informações sobre os processos do OpenVPN. Esses logs são prefixados com "ovpn_aws_vpn_client_".

O cliente fornecido pela AWS usa o daemon do cliente para executar operações raiz. Os logs do daemon são armazenados nos seguintes locais no seu computador:

/tmp/AcvcHelperErrLog.txt /tmp/AcvcHelperOutLog.txt

O cliente fornecido pela AWS armazena os arquivos de configuração no local a seguir do seu computador.

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

O cliente não consegue se conectar

Problema

O cliente fornecido pela AWS não pode se conectar ao endpoint da cliente VPN.

Causa

A causa desse problema pode ser uma das seguintes:

  • Outro processo OpenVPN já está em execução no computador, o que impede que o cliente se conecte.

  • Seu arquivo de configuração (.ovpn) é inválido.

Solução

Verifique se não há outras aplicações do OpenVPN em execução no computador. Se houver, pare ou feche esses processos e tente se conectar ao endpoint da cliente VPN novamente. Verifique se há erros nos logs do OpenVPN e peça ao administrador de VPN do Cliente para verificar as seguintes informações:

O cliente está travado em um estado de reconexão

Problema

O cliente fornecido pela AWS está tentando se conectar ao endpoint da cliente VPN, mas está travado em um estado de reconexão.

Causa

A causa desse problema pode ser uma das seguintes:

  • O computador não está conectado à Internet.

  • O nome de host DNS não resolve para um endereço IP.

  • Um processo OpenVPN está tentando se conectar ao endpoint indefinidamente.

Solução

Verifique se o computador está conectado à Internet. Peça ao administrador de VPN do Cliente para verificar se a diretiva remote no arquivo de configuração é resolvida para um endereço IP válido. Também é possível desconectar a sessão de VPN escolhendo Disconnect (Desconectar) na janela da VPN do cliente da AWS e tentar se conectar novamente.

O cliente não consegue criar um perfil

Problema

Você obtém o erro a seguir ao tentar criar um perfil usando o cliente fornecido pela AWS.

The config should have either cert and key or auth-user-pass specified.

Causa

Se o endpoint da cliente VPN usar autenticação mútua, o arquivo de configuração (.ovpn) não conterá o certificado e a chave do cliente.

Solução

Certifique-se de que o administrador de VPN do Cliente adicione o certificado e a chave do cliente ao arquivo de configuração. Para obter mais informações, consulte Exportar configuração do cliente no Guia do administrador da AWS Client VPN.

Tunnelblick

As informações de solução de problemas a seguir foram testadas na versão 3.7.8 (compilação 5180) do software Tunnelblick no macOS High Sierra 10.13.6.

O arquivo de configuração para configurações privadas é armazenado no seguinte local no computador:

/Users/username/Library/Application Support/Tunnelblick/Configurations

O arquivo de configuração para configurações compartilhadas é armazenado no seguinte local no computador:

/Library/Application Support/Tunnelblick/Shared

Os logs de conexão são armazenados no seguinte local no computador:

/Library/Application Support/Tunnelblick/Logs

Para aumentar o detalhamento do log, abra o aplicativo Tunnelblick, escolha Configurações e ajuste o valor para o Nível de log da VPN.

Algoritmo de codificação "AES-256-GCM" não encontrado

Problema

Há falha na conexão e erro a seguir é retornado nos logs.

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found 2019-04-11 09:37:14 Exiting due to fatal error

Causa

O aplicativo está usando uma versão do OpenVPN que não oferece suporte ao algoritmo de codificação AES-256-GCM.

Solução

Escolha uma versão compatível do OpenVPN fazendo o seguinte:

  1. Abra o aplicativo Tunnelblick.

  2. Escolha Configurações.

  3. Em Versão do OpenVPN, escolha 2.4.6 – a versão do OpenSSL é v1.0.2q.

A conexão para de responder e é redefinida

Problema

Há falha na conexão e erro a seguir é retornado nos logs.

MANAGEMENT: >STATE:1559117927,WAIT,,,,,, MANAGEMENT: >STATE:1559117928,AUTH,,,,,, TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3 VERIFY OK: depth=1, CN=server-certificate VERIFY KU OK Validating certificate extended key usage Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication VERIFY EKU OK VERIFY OK: depth=0, CN=server-cvpn Connection reset, restarting [0] SIGUSR1[soft,connection-reset] received, process restarting

Causa

O certificado do cliente foi revogado. A conexão para de responder depois de tentar autenticar e, por fim, é redefinida no lado do servidor.

Solução

Solicite um novo arquivo de configuração ao administrador de VPN do Cliente.

Uso estendido de chave (EKU)

Problema

Há falha na conexão e erro a seguir é retornado nos logs.

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34 VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3 VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3 VERIFY KU OK Validating certificate extended key usage ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication VERIFY EKU OK VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/) Connection reset, restarting [0] SIGUSR1[soft,connection-reset] received, process restarting MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,

Causa

A autenticação do servidor teve êxito. No entanto, há falha na autenticação de cliente porque o certificado do cliente tem o campo de uso estendido de chave (EKU) habilitado para autenticação do servidor.

Solução

Certifique-se de que esteja usando o certificado e a chave do cliente corretos. Se necessário, verifique com o administrador de VPN do Cliente. Esse erro poderá ocorrer se você estiver usando o certificado do servidor e não o certificado do cliente para se conectar ao endpoint da VPN do Cliente.

Certificado expirado

Problema

A autenticação do servidor tem êxito, mas há falha na autenticação do cliente com o erro a seguir.

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”

Causa

A validade do certificado do cliente expirou.

Solução

Solicite um novo certificado do cliente ao administrador de VPN do Cliente.

OpenVPN

As informações de solução de problemas a seguir foram testadas na versão 2.7.1.100 do software cliente OpenVPN Connect no macOS High Sierra 10.13.6.

O arquivo de configuração é armazenado no seguinte local no computador:

/Library/Application Support/OpenVPN/profile

Os logs de conexão são armazenados no seguinte local no computador:

Library/Application Support/OpenVPN/log/connection_name.log

Não é possível resolver o DNS

Problema

A conexão falha com o erro a seguir.

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative) Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms... Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR] Mon Jul 15 13:07:18 2019 DISCONNECTED Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT

Causa

O OpenVPN Connect não consegue resolver o nome DNS de VPN do Cliente.

Solução

Consulte a solução para Não é possível resolver o nome DNS do endpoint da cliente VPN no Guia do administrador da AWS Client VPN.