Bei SSL VPN-Plus treten Kommunikationsprobleme auf.

Problem

  • Kommunikationsprobleme

  • Der Clientcomputer zeigt nach der Anmeldung einen Fehler an.

  • Die Verbindung zum Clientcomputer ist beschränkt.

  • Der Bildschirm SSL VPN-Plus Client – Statistiken (SSL VPN-Plus Client - Statistics) auf dem Clientcomputer zeigt für die virtuelle IP-Adresse Noch nicht zugewiesen an.

  • Dem Clientcomputer wurden keine Routen hinzugefügt.

Prozedur

  1. Stellen Sie sicher, dass der SSL VPN-Prozess ausgeführt wird.
    1. Melden Sie sich bei der Edge-Appliance von der Befehlszeilenschnittstelle an. Weitere Informationen finden Sie im Dokument Befehlszeilenschnittstellen-Referenz zu NSX.
    2. Führen Sie den Befehl show process monitor aus und suchen Sie den Prozess sslvpn.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess sslvpn auf Port 443 aufgelistet ist.
  2. SSL VPN Portal/SSL VPN-Plus Client zeigt folgende Meldung an: Maximale Anzahl an Benutzern wurde erreicht/Die für die SSL VPN-Plus-Lizenz maximal zulässige Anzahl von Benutzern ist angemeldet. Versuchen Sie es später erneut oder Lesen von SSL ist fehlgeschlagen.
    1. Um dieses Problem zu beheben, erhöhen Sie die Anzahl gleichzeitiger Benutzer (Concurrent Users, CCU) weiter, indem Sie den NSX Edge-Formfaktor erhöhen. Weitere Informationen finden Sie im Dokument Administratorhandbuch für NSX. Beachten Sie, dass die verbundenen Benutzer vom VPN getrennt werden, wenn Sie diesen Vorgang durchführen.
  3. Auf Back-End-Anwendungen kann nicht zugegriffen werden.
    1. Das Back-End-Netzwerk (privates Netzwerk) und der IP-Pool dürfen sich nicht im selben Subnetz befinden.
    2. Der IP-Pool ist nicht vom Administrator definiert oder der IP-Pool ist ausgeschöpft.
      1. Melden Sie sich bei vSphere Web Client an.

      2. Klicken Sie auf Networking & Security und anschließend auf NSX Edges.

      3. Doppelklicken Sie auf ein NSX Edge und klicken Sie anschließend auf die Registerkarte SSL VPN-Plus.

      4. Fügen Sie einen statischen IP-Pool wie unter dem Thema „Hinzufügen eines IP-Pools“ im Dokument Administratorhandbuch für NSX erläutert hinzu. Stellen Sie sicher, dass Sie die IP-Adresse im Feld Gateway hinzugefügt haben. Die Gateway-IP-Adresse ist der Schnittstelle na0 zugewiesen. Der gesamte Nicht-TCP-Datenverkehr durchläuft einen virtuellen Adapter, der als Schnittstelle na0 benannt ist. Sie können mehrere IP-Pools mit unterschiedlichen Gateway-IP-Adressen erstellen, die derselben Schnittstelle na0 zugewiesen sind.

      5. Überprüfen Sie mit dem Befehl ifconfig die angegebene IP-Adresse und prüfen Sie, ob alle IP-Pools derselben Schnittstelle na0 zugewiesen sind.

      6. Melden Sie sich beim Clientcomputer an, wechseln Sie zum Bildschirm SSL VPN-Plus Client – Statistiken (SSL VPN-Plus Client - Statistics) und überprüfen Sie die zugewiesene virtuelle IP-Adresse.

    3. Melden Sie sich bei der Edge-Befehlszeilenschnittstelle (CLI) an und führen Sie für die Schnittstelle na0 eine Paketerfassung durch Ausführung des Befehls debug packet capture interface na0 durch.
      Anmerkung:

      Die Paketerfassung wird weiter im Hintergrund ausgeführt, bis Sie die Erfassung durch Ausführung des Befehls no debug packet capture interface na0 beenden.

    4. Wenn die TCP-Optimierung nicht aktiviert ist, überprüfen Sie die Firewallregeln.
    5. Für den Nicht-TCP-Datenverkehr stellen Sie sicher, dass für das Back-End-Netzwerk das Standard-Gateway als interne Schnittstelle des Edge festgelegt ist.
    6. Für den Linux-Client melden Sie sich bei dem Linux-System an, auf dem SSL VPN Client installiert ist, und führen Sie die Paketerfassung für die Schnittstelle tap0 oder für den virtuellen Adapter durch Ausführung des Befehls tcpdump -i tap0 -s 1500 -w filepath durch.
  4. Die SSL VPN Portal-Seite wird nicht korrekt dargestellt.
    1. Wenn Englisch nicht als Sprache festgelegt ist, wählen Sie für die Sprache Englisch aus und überprüfen Sie, ob das Problem damit behoben ist.
    2. Überprüfen Sie, ob die AES-Verschlüsselung auf dem SSL VPN-Server aktiviert ist. Einige Browser wie Internet Explorer 8 unterstützen die AES-Verschlüsselung nicht.
  5. Wenn das Problem mit den oben stehenden Schritten nicht behoben werden kann, verwenden Sie die folgenden Befehle, um die Fehlerbehebung fortzuführen.
    • Um den SSL VPN-Status zu prüfen, führen Sie den Befehl show service sslvpn-plus aus.

    • Um die SSL VPN-Statistiken zu prüfen, führen Sie den Befehl show service sslvpn-plus stats aus.

    • Um miteinander verbundene VPN-Clients zu prüfen, führen Sie den Befehl show service sslvpn-plus tunnels aus.

    • Um Sitzungen zu prüfen, führen Sie den Befehl show service sslvpn-plus sessions aus.