可以使用本主题了解可能的 SSL VPN 连接和数据路径问题以及如何解决这些问题。

问题

与 SSL VPN 连接和数据路径相关的常见问题如下所示:
  • SSL VPN-Plus 客户端无法连接到 SSL VPN 服务器。
  • 安装了 SSL VPN-Plus 客户端,但 SSL VPN-Plus 服务未运行。
  • 已达到最大登录用户数。SSL VPN Web 门户或 SSL VPN-Plus 客户端显示以下消息:

    根据 SSL VPN 许可证,已达到最大用户数/已达到最大登录用户数。请过一段时间之后重试 (Maximum users reached/Maximum count of logged in user reached as per SSL VPN license. Please try after some time)SSL 读取失败 (SSL read has failed)

  • SSL VPN 服务正在运行,但数据路径无效。
  • 已建立 SSL VPN 连接,但无法访问专用网络中的应用程序。

解决方案

  1. 如果 SSL VPN-Plus 客户端无法连接到 SSL VPN 服务器,请执行以下操作:
    • 确保 SSL VPN 用户使用正确的用户名和密码登录。
    • 查 SSL VPN 用户是否有效。
    • 验证 SSL VPN 用户是否可以使用 Web 门户访问 SSL VPN 服务器。
  2. NSX Edge 上,执行以下步骤以验证 SSL VPN 进程是否正在运行。
    1. 从 CLI 中登录到 NSX Edge。有关登录到 Edge CLI 的详细信息,请参见NSX 命令行界面参考
    2. 运行 show process monitor 命令,并找到 sslvpn 进程。
    3. 运行 show service network-connections 命令,并检查是否在端口 443 上列出了 sslvpn 进程。
      注: 默认情况下,系统使用端口 443 传输 SSL 流量。不过,如果为 SSL 流量配置了不同的 TCP 端口,请确保在该 TCP 端口号上列出了 sslvpn 进程。
  3. 在 SSL VPN-Plus 客户端上,验证 SSL VPN-Plus 服务是否正在运行。
    操作系统 说明
    Windows 打开任务管理器,并检查是否启动了 SSL VPN-Plus 客户端服务。
    Mac
    • 确保为守护进程启动了 naclientd 进程。
    • 确保为 GUI 启动了 naclient 进程。

    要检查该进程是否正在运行,请运行 ps -ef | grep "naclient" 命令。

    Linux
    • 确保启动了 naclientdnaclient_poll 进程。
    • 要检查该进程是否正在运行,请运行 ps -ef | grep "naclient" 命令。
    如果这些服务没有运行,请运行以下命令以启动这些服务。
    操作系统 命令
    Mac 运行 sudo launchctl load -w /Library/LaunchDaemons/com.vmware.naclientd.plist 命令。
    Linux 运行 sudo service naclient start 命令。
  4. 如果达到了最大登录 SSL VPN 用户数,请增加 NSX Edge 规格以增加并发用户 (CCU) 数。
    有关详细信息,请参见 NSX 管理指南。请注意,执行此操作时已连接的用户会断开与 VPN 的连接。
  5. 如果 SSL VPN 服务正在运行,但数据路径无效,请执行以下步骤:
    1. 检查在成功连接后是否分配了虚拟 IP。
    2. 验证是否添加了路由。
  6. 如果无法访问专用(后端)网络中的应用程序,请执行以下步骤以解决该问题:
    1. 确保专用网络和 IP 池没有位于同一子网中。
    2. 如果管理员未定义 IP 池,或者 IP 池用尽,请执行以下步骤:
      1. 登录到 vSphere Web Client
      2. 单击网络和安全 (Networking & Security),然后单击 NSX Edge (NSX Edges)
      3. 双击一个 NSX Edge,然后单击 SSL VPN-Plus 选项卡。
      4. 按照NSX 管理指南中的“添加 IP 池”主题所述添加一个静态 IP 池。请确保在网关 (Gateway)文本框中添加 IP 地址。该网关 IP 地址将分配给 na0 接口。所有非 TCP 流量都将流过名为 na0 接口的虚拟适配器。您可以创建多个具有不同网关 IP 地址的 IP 池,但将其分配给同一个 na0 接口。
      5. 使用 show interface na0 命令验证提供的 IP 地址,并检查是否所有 IP 池都分配给同一个 na0 接口。
      6. 登录到客户端计算机,转到 SSL VPN-Plus 客户端 - 统计信息 (SSL VPN-Plus Client - Statistics)屏幕并验证分配的虚拟 IP 地址。
    3. 登录到 NSX Edge 命令行界面 (CLI),然后运行 debug packet capture interface na0 命令,以在 na0 接口上捕获数据包。您也可以使用数据包捕获 (Packet Capture)工具捕获数据包。有关详细信息,请参见NSX 管理指南
      注: 数据包捕获将继续在后台运行,直到您通过运行 no debug packet capture interface na0 命令停止捕获。
    4. 如果未启用 TCP 优化,请验证防火墙规则。
    5. 对于非 TCP 流量,请确保后端网络的默认网关设置为 Edge 的内部接口。
    6. 对于 Mac 和 Linux 客户端,请登录到安装了 SSL VPN 客户端的系统,然后运行 tcpdump -i tap0 -s 1500 -w filepath 命令,以在 tap0 接口或虚拟适配器上捕获数据包。在 Windows 客户端上,使用数据包分析器工具(如 Wireshark),并在 SSL VPN-Plus 客户端适配器上捕获数据包。
  7. 如果上述步骤没有解决该问题,请使用以下 NSX Edge CLI 命令进一步进行故障排除。
    用途 命令
    检查 SSL VPN 状态。 show service sslvpn-plus
    检查 SSL VPN 统计信息。 show service sslvpn-plus stats
    检查连接的 VPN 客户端。 show service sslvpn-plus tunnels
    检查 SSL VPN-Plus 会话。 show service sslvpn-plus sessions