In diesem Thema finden Sie Informationen zu möglichen Problemen im Zusammenhang mit der SSL VPN-Konnektivität und dem Datenpfad sowie zu deren Behebung.

1. Wenn der SSL VPN-Plus Client keine Verbindung mit dem SSL VPN-Server herstellen kann, führen Sie folgende Schritte durch:
   • Stellen Sie sicher, dass sich der SSL VPN-Benutzer mit dem richtigen Benutzernamen und Kennwort anmeldet.
   • Überprüfen Sie, ob der SSL VPN-Benutzer gültig ist.
   • Überprüfen Sie, ob der SSL VPN-Benutzer den SSL VPN-Server über das Webportal erreichen kann.
2. Führen Sie auf dem NSX Edge die folgenden Schritte aus, um zu überprüfen, ob der SSL VPN-Prozess ausgeführt wird.
   1. Melden Sie sich beim NSX Edge über die CLI an. Weitere Informationen zur Anmeldung bei der Edge-CLI finden Sie in der Befehlszeilenschnittstellen-Referenz zu NSX.
   2. Führen Sie den Befehl show process monitor aus und suchen Sie den Prozess sslvpn.
   3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess sslvpn auf Port 443 aufgelistet ist.
      Hinweis: Standardmäßig verwendet das System Port 443 für SSL-Datenverkehr. Wenn Sie einen anderen TCP-Port für den SSL-Datenverkehr konfiguriert haben, stellen Sie jedoch sicher, dass der Prozess sslvpn auf dieser TCP-Portnummer aufgeführt ist.
3. Überprüfen Sie auf dem SSL VPN-Plus Client, ob die SSL VPN-Plus-Dienste ausgeführt werden.

   Betriebssystem	Beschreibung
   Windows	Öffnen Sie den Task-Manager und überprüfen Sie, ob der SSL VPN-Plus Client-Dienst gestartet wurde.
   Mac	Stellen Sie sicher, dass der Prozess naclientd für den Daemon gestartet wurde. Stellen Sie sicher, dass der Prozess naclient für die GUI gestartet wurde. Führen Sie den Befehl ps -ef | grep "naclient" aus, um zu überprüfen, ob die Prozesse ausgeführt werden.
   Linux	Stellen Sie sicher, dass die Prozesse naclientd und naclient_poll gestartet wurden. Führen Sie den Befehl ps -ef | grep "naclient" aus, um zu überprüfen, ob die Prozesse ausgeführt werden.

   Wenn die Dienste nicht ausgeführt werden, führen Sie die folgenden Befehle zum Starten der Dienste aus.

   Betriebssystem	Befehl
   Mac	Führen Sie den Befehl sudo launchctl load -w /Library/LaunchDaemons/com.vmware.naclientd.plist aus.
   Linux	Führen Sie den Befehl sudo service naclient start aus.

4. Wenn die maximale Anzahl der angemeldeten SSL VPN-Benutzer erreicht ist, erhöhen Sie die Anzahl gleichzeitiger Benutzer (CCU), indem Sie den NSX Edge-Formfaktor erhöhen.
   Weitere Informationen finden Sie im Dokument Administratorhandbuch für NSX. Beachten Sie, dass die verbundenen Benutzer vom VPN getrennt werden, wenn Sie diesen Vorgang durchführen.
5. Wenn die SSL VPN-Dienste ausgeführt werden, doch der Datenpfad nicht funktioniert, führen Sie die folgenden Schritte aus:
   1. Überprüfen Sie, ob eine virtuelle IP-Adresse nach dem erfolgreichen Herstellen einer Verbindung zugewiesen wurde.
   2. Überprüfen Sie, ob die Routen hinzugefügt wurden.
6. Wenn auf Anwendungen im privaten Netzwerk (Back-End) nicht zugegriffen werden kann, führen Sie die folgenden Schritte aus, um das Problem zu beheben:
   1. Stellen Sie sicher, dass sich das private Netzwerk und der IP-Pool nicht im selben Subnetz befinden.
   2. Wenn der Administrator keinen IP-Pool definiert hat bzw. wenn der IP-Pool ausgeschöpft ist, führen Sie diese Schritte aus.
      1. Melden Sie sich bei vSphere Web Client an.
      2. Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) und anschließend auf NSX Edges.
      3. Doppelklicken Sie auf ein NSX Edge und klicken Sie anschließend auf die Registerkarte SSL VPN-Plus.
      4. Fügen Sie einen statischen IP-Pool wie unter dem Thema „Hinzufügen eines IP-Pools“ im Dokument Administratorhandbuch für NSX erläutert hinzu. Stellen Sie sicher, dass Sie die IP-Adresse im Textfeld Gateway hinzugefügt haben. Die Gateway-IP-Adresse ist der Schnittstelle na0 zugewiesen. Der gesamte Nicht-TCP-Datenverkehr durchläuft den virtuellen Adapter, der als Schnittstelle na0 benannt ist. Sie können mehrere IP-Pools mit unterschiedlichen Gateway-IP-Adressen erstellen, die aber derselben Schnittstelle na0 zugewiesen sind.
      5. Überprüfen Sie mit dem Befehl show interface na0 die angegebene IP-Adresse und prüfen Sie, ob alle IP-Pools derselben Schnittstelle na0 zugewiesen sind.
      6. Melden Sie sich beim Clientcomputer an, wechseln Sie zum Bildschirm SSL VPN-Plus Client – Statistiken (SSL VPN-Plus Client - Statistics) und überprüfen Sie die zugewiesene virtuelle IP-Adresse.
   3. Melden Sie sich bei der NSX Edge-Befehlszeilenschnittstelle (CLI) an und führen Sie für die Schnittstelle „na0“ eine Paketerfassung durch Ausführung des Befehls debug packet capture interface na0 durch. Sie können Pakete auch mit der Paketerfassungsfunktion (Packet Capture) erfassen. Details hierzu finden Sie im Administratorhandbuch für NSX.
      Hinweis: Die Paketerfassung wird weiter im Hintergrund ausgeführt, bis Sie die Erfassung durch Ausführung des Befehls no debug packet capture interface na0 beenden.
   4. Wenn die TCP-Optimierung nicht aktiviert ist, überprüfen Sie die Firewallregeln.
   5. Für den Nicht-TCP-Datenverkehr stellen Sie sicher, dass für das Back-End-Netzwerk das Standard-Gateway als interne Schnittstelle des Edge festgelegt ist.
   6. Melden Sie sich bei Mac- und Linux-Clients bei dem System an, auf dem der SSL VPN-Client installiert ist, und führen Sie die Paketerfassung für die Schnittstelle „tap0“ oder für den virtuellen Adapter durch Ausführung des Befehls tcpdump -i tap0 -s 1500 -w filepath durch. Verwenden Sie bei Windows-Clients ein Paketanalysetool wie Wireshark und erfassen Sie Pakete auf dem SSL VPN-Plus Client-Adapter.
7. Wenn das Problem mit den oben stehenden Schritten nicht behoben werden kann, verwenden Sie die folgenden NSX Edge-CLI-Befehle, um die Fehlerbehebung fortzuführen.

   Zweck	Befehl
   Überprüfen Sie den SSL VPN-Status.	show service sslvpn-plus
   Überprüfen Sie die SSL VPN-Statistiken.	show service sslvpn-plus stats
   Überprüfen Sie die VPN-Clients, die verbunden sind.	show service sslvpn-plus tunnels
   Aktivieren Sie SSL VPN-Plus-Sitzungen.	show service sslvpn-plus sessions