排除客户端与基于 Windows 的客户端的VPN连接故障

以下各节包含有关您在使用基于 Windows 的客户端连接到客户端端VPN点时可能遇到的问题的信息。

AWS 提供的客户

AWS 提供的客户端会创建事件日志并将其存储在您计算机上的以下位置。

C:\Users\User\AppData\Roaming\AWSVPNClient\logs

提供以下日志类型：

• 应用程序日志：包含有关应用程序的信息。这些日志的前缀为“aws_vpn_client_”。

• 打开VPN日志：包含有关打开VPN进程的信息。这些日志的前缀是“ovpn_aws_vpn_client_”。

AWS 提供的客户端使用 Windows 服务执行根目录操作。Windows 服务日志存储在计算机的以下位置。

C:\Program Files\Amazon\AWS VPN Client\WinServiceLogs\username

主题

• 客户端无法连接
• 客户端无法连接 “没有 TAP Windows 适配器” 的日志消息
• 客户端卡在重新连接状态
• VPN连接进程意外退出
• 应用程序无法启动
• 客户端无法创建配置文件
• PCs使用Windows 10或11的戴尔系统会发生客户机崩溃
• VPN断开连接并显示弹出消息

客户端无法连接

问题

AWS 提供的客户端无法连接到客户端VPN端点。

原因

出现此问题的原因可能是以下原因之一：

• 另一个 Open VPN 进程已在您的计算机上运行，这会阻止客户端连接。

• 您的配置 (.ovpn) 文件无效。

解决方案

检查您的计算机上是否有其他 Open VPN 应用程序在运行。如果有，请停止或退出这些进程，然后尝试再次连接到客户端VPN终端节点。查看 Open VPN 日志中是否有错误，并请您的客户VPN管理员验证以下信息：

• 配置文件包含正确的客户端密钥和证书。有关更多信息，请参阅 AWS Client VPN 管理员指南中的导出客户端配置。

• 那CRL仍然有效。有关更多信息，请参阅《AWS Client VPN 管理员指南》中的客户端无法连接到客户端VPN端点。

客户端无法连接 “没有 TAP Windows 适配器” 的日志消息

问题

AWS 提供的客户端无法连接到客户端VPN端点，应用程序日志中会显示以下错误消息：“此系统上没有 TAP-Windows 适配器。你应该能够通过转到 “开始”-> “所有程序” TAP-> “-Windows”-> “实用程序” TAP-> “添加新的-Windows 虚拟以太网适配器” 来创建 TAP-Windows 适配器。

解决方案

您可以通过采取以下一项或多项操作来修复此问题：

• 重新启动 TAP-Windows 适配器。

• 重新安装 TAP-Windows 驱动程序。

• 创建一个新的 TAP-Windows 适配器。

客户端卡在重新连接状态

问题

AWS 提供的客户端正在尝试连接到客户端VPN端点，但处于重新连接状态。

原因

出现此问题的原因可能是以下原因之一：

• 您的计算机未连接到 Internet。

• DNS主机名无法解析为 IP 地址。

• Open VPN 进程正在无限期地尝试连接到端点。

解决方案

验证您的计算机已连接到 Internet。请您的客户端VPN管理员验证配置文件中的remote指令是否解析为有效的 IP 地址。也可以通过在 “ AWS VPN客户端” 窗口中选择 “断开连接” 来断开VPN会话连接，然后再次尝试连接。

VPN连接进程意外退出

问题

连接到客户端VPN端点时，客户端意外退出。

原因

TAP-您的计算机上未安装 Windows。运行客户端需要此软件。

解决方案

重新运行 AWS 提供的客户端安装程序以安装所有必需的依赖项。

应用程序无法启动

问题

在 Windows 7 上，当你尝试打开 AWS 提供的客户端时，它不会启动。

原因

。 NET您的计算机上未安装 Framework 4.7.2 或更高版本。这是运行客户端所需的。

解决方案

重新运行 AWS 提供的客户端安装程序以安装所有必需的依赖项。

客户端无法创建配置文件

问题

在您尝试使用 AWS 提供的客户端创建配置文件时收到了以下错误。

The config should have either cert and key or auth-user-pass specified.

原因

如果客户端VPN端点使用相互身份验证，则配置 (.ovpn) 文件不包含客户端证书和密钥。

解决方案

确保您的客户VPN管理员将客户证书和密钥添加到配置文件中。有关更多信息，请参阅 AWS Client VPN 管理员指南中的导出客户端配置。

PCs使用Windows 10或11的戴尔系统会发生客户机崩溃

问题

在某些运行Windows 10或11的戴尔PCs（台式机和笔记本电脑）上，当您浏览文件系统以导入VPN配置文件时，可能会发生崩溃。如果出现此问题，您将在 AWS 提供的客户端的日志中看到如下消息：

System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt.
   at System.Data.SQLite.UnsafeNativeMethods.sqlite3_open_interop(Byte[] utf8Filename, Int32 flags, IntPtr& db)
   at System.Data.SQLite.SQLite3.Open(String strFilename, SQLiteConnectionFlags connectionFlags, SQLiteOpenFlagsEnum openFlags, Int32 maxPoolSize, Boolean usePool)
   at System.Data.SQLite.SQLiteConnection.Open()
   at STCommonShellIntegration.DataShellManagement.CreateNewConnection(SQLiteConnection& newConnection)
   at STCommonShellIntegration.DataShellManagement.InitConfiguration(Dictionary`2 targetSettings)
   at DBROverlayIcon.DBRBackupOverlayIcon.initComponent()

原因

Windows 10和11中的戴尔备份和恢复系统可能会导致与 AWS 提供的客户机发生冲突，尤其是与以下三个客户机发生冲突DLLs：

• DBRShellExtension.ll

• DBROverlayIconBackuped.ll

• DBROverlayIconNotBackuped.ll

解决方案

为避免出现此问题，请首先确保您的客户机与所 AWS 提供客户端的最新版本保持同步。转到AWS 客户端VPN下载，如果有更新的版本可用，请升级到最新版本。

此外请执行下面的任意一项操作：

• 如果您使用的是 Dell Backup and Recovery 应用程序，请确保该应用程序已经更新。一篇 Dell 论坛帖子表示该问题已在该应用程序的较新版本中得到解决。

• 如果您使用的不是 Dell Backup and Recovery 应用程序，如果遇到此问题，仍需采取一些措施。如果您不想升级应用程序，也可以删除或重命名DLL文件。但请注意，这将导致 Dell Backup and Recovery 应用程序无法完整运行。

删除或重命名DLL文件

1. 打开 Windows 资源管理器并浏览到 Dell Backup and Recovery 的安装位置。该应用程序通常安装在以下位置，但有时您可能需要使用搜索功能。

   C:\Program Files (x86)\Dell Backup and Recovery\Components\Shell

2. 从安装目录中手动删除以下DLL文件，或对其进行重命名。这两种操作都将避免加载它们。

   • DBRShellExtension.ll

   • DBROverlayIconBackuped.ll

   • DBROverlayIconNotBackuped.ll

   您可以通过在文件名末尾添加 “.bak” 来重命名文件，DBROverlayIconBackuped例如.dll.bak。

VPN断开连接并显示弹出消息

问题

VPN断开连接时会弹出一条消息，上面写着：“由于您的设备所VPN连接的本地网络的地址空间已更改，连接正在终止。请建立新的VPN连接。”

原因

TAP-Windows 适配器不包含所需的描述。

解决方案

如果下面的Description字段不匹配，请先移除 TAP-Windows 适配器，然后重新运行 AWS 提供的客户端安装程序以安装所有必需的依赖项。

C:\Users\jdoe> ipconfig /all
   
Ethernet adapter Ethernet 2:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix  . :
Description . . . . . . . . . . . : AWS VPN Client TAP-Windows Adapter V9
Physical Address. . . . . . . . . : 00-FF-50-ED-5A-DE
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes

打开 VPN GUI

以下故障排除信息已在 Windows 10 Home（64 位）和 Windows Server 2016（64 位）的 Open VPN GUI 软件版本 11.10.0.0 和 11.11.0.0 上进行了测试。

配置文件存储在计算机的以下位置。

C:\Users\User\OpenVPN\config

连接日志存储在计算机的以下位置。

C:\Users\User\OpenVPN\log

打开VPN连接客户端

以下故障排除信息已在 Windows 10 Home（64 位）和 Windows Server 2016（64 位）上的 Open VPN Connect Client 软件版本 2.6.0.100 和 2.7.1.101 上进行了测试。

配置文件存储在计算机的以下位置。

C:\Users\User\AppData\Roaming\OpenVPN Connect\profile

连接日志存储在计算机的以下位置。

C:\Users\User\AppData\Roaming\OpenVPN Connect\logs

无法解析 DNS

问题

连接失败并显示以下错误。

Transport Error: DNS resolve error on 'cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com (http://cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com/)' for UDP session: No such host is known.

原因

无法解析该DNS名称。为了防止DNS缓存，客户端必须在DNS名称前面添加一个随机字符串；但是，有些客户端不这样做。

解决方案

请参阅《AWS Client VPN 管理员指南》中的 “无法解析客户端VPN端点DNS名称” 的解决方案。

缺少PKI别名

问题

与不使用相互身份验证的客户端VPN端点的连接失败，并出现以下错误。

FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias

原因

Open VPN Connect Client 软件存在一个已知问题，即它尝试使用相互身份验证进行身份验证。如果配置文件不包含客户端密钥和证书，则身份验证将失败。

解决方案

在客户机VPN配置文件中随机指定客户端密钥和证书，然后将新配置导入 Open VPN Connect Client 软件中。或者，使用其他客户端，例如开放客户VPNGUI端 (v11.12.0.0) 或粘度客户端 (v.1.7.14)。