Utilice este tema para comprender los posibles problemas de rutas de datos y de conectividad de SSL VPN, y para saber cómo puede solucionarlos.

1. Si el cliente SSL VPN-Plus no puede conectarse al servidor SSL VPN, haga lo siguiente:
   • Asegúrese de que el usuario de SSL VPN inició sesión con la contraseña y el nombre de usuario correctos.
   • Compruebe si el usuario SSL VPN es válido.
   • Verifique si el usuario SSL VPN puede acceder al servidor SSL VPN usando el portal web.
2. En NSX Edge, siga estos pasos para verificar si el proceso SSL VPN se está ejecutando.
   1. Inicie sesión en NSX Edge desde la CLI. Para obtener más información sobre cómo iniciar sesión en la CLI de Edge, consulte Referencia de la interfaz de línea de comandos de NSX.
   2. Ejecute el comando show process monitor y busque el proceso sslvpn.
   3. Ejecute el comando show service network-connections y compruebe si el proceso sslvpn aparece en el puerto 443.
      Nota: De forma predeterminada, el sistema utiliza el puerto 443 para el tráfico SSL. Sin embargo, si configuró un puerto TCP diferente para el tráfico SSL, asegúrese de que el proceso sslvpn aparece en dicho número de puerto TCP.
3. En el cliente SSL VPN-Plus, compruebe que los servicios SSL VPN-Plus se estén ejecutando.

   Sistema operativo	Descripción
   Servidor	Abra el Administrador de tareas y compruebe si se inició el servicio del cliente SSL VPN-Plus.
   Mac	Asegúrese de que el proceso naclientd se inició para el daemon. Asegúrese de que el proceso naclient se inició para la GUI. Para comprobar si los procesos se están ejecutando, ejecute el comando ps -ef | grep "naclient".
   Linux	Asegúrese de que se inician los procesos naclientd y naclient_poll. Para comprobar si los procesos se están ejecutando, ejecute el comando ps -ef | grep "naclient".

   Si los servicios no se están ejecutando, ejecute los siguientes comandos para iniciar los servicios.

   Sistema operativo	Comando
   Mac	Ejecute el comando sudo launchctl load -w /Library/LaunchDaemons/com.vmware.naclientd.plist.
   Linux	Ejecute el comando sudo service naclient start.

4. Si se alcanza el recuento máximo de usuarios SSL VPN con sesión iniciada, aumente el número de usuarios simultáneos (CCU) aumentando el formato de NSX Edge.
   Para obtener más información, consulte la Guía de administración de NSX. Tenga en cuenta que los usuarios conectados se desconectan de la VPN al realizar esta operación.
5. Si los servicios SSL VPN se están ejecutando, pero la ruta de datos no funciona, realice los siguientes pasos:
   1. Compruebe si se asignó una IP virtual tras conectarse correctamente.
   2. Verifique si se agregaron las rutas.
6. Si no se puede acceder a las aplicaciones de red (back-end) privada, realice los siguientes pasos para solucionar el problema:
   1. Asegúrese de que la red privada y el grupo de IP no estén en la misma subred.
   2. Si el administrador no tiene ningún grupo de IP definido o si el grupo de IP se agotó, realice los siguientes pasos.
      1. Inicie sesión en vSphere Web Client.
      2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en NSX Edge (NSX Edges).
      3. Haga doble clic en un NSX Edge y, a continuación, haga clic en la pestaña SSL VPN-Plus.
      4. Agregue un grupo de direcciones IP estático, tal y como se explica en el tema sobre cómo agregar un grupo de direcciones IP que aparece en Guía de administración de NSX. Asegúrese de agregar la dirección IP en el cuadro de texto Puerta de enlace (Gateway). La dirección IP de la puerta de enlace se asigna a la interfaz de na0. Todo el tráfico que no sea TCP fluye a través de un adaptador virtual denominado interfaz de na0. Puede crear varios grupos de direcciones IP con diferentes direcciones IP de puerta de enlace, pero asignadas a la misma interfaz de na0.
      5. Utilice el comando show interface na0 para verificar la dirección IP proporcionada y comprobar si todos los grupos de direcciones IP están asignados a la misma interfaz de na0.
      6. Inicie sesión en el equipo cliente, acceda a la pantalla de Cliente SSL VPN-Plus: Estadísticas (SSL VPN-Plus Client - Statistics) y compruebe la dirección IP virtual asignada.
   3. Inicie sesión en la interfaz de línea de comandos (CLI) de NSX Edge y haga una captura de paquetes en la interfaz de na0 ejecutando el comando debug packet capture interface na0. También puede capturar paquetes usando la herramienta de captura de paquetes. Para obtener más información, consulte Guía de administración de NSX.
      Nota: La captura de paquetes continúa ejecutándose en segundo plano hasta que detenga la captura al ejecutar el comando no debug packet capture interface na0 .
   4. Si la optimización de TCP no está habilitada, compruebe las reglas de firewall.
   5. En el tráfico que no sea TCP, asegúrese de que la red back-end tenga establecida la puerta de enlace predeterminada como interfaz interna de Edge.
   6. En los clientes Mac y Linux, inicie sesión en el sistema en el que está instalado el cliente SSL VPN y haga una captura de paquetes en la interfaz de tap0 o el adaptador virtual ejecutando el comando tcpdump -i tap0 -s 1500 -w filepath. En clientes Windows, utilice una herramienta para analizar paquetes, como Wireshark, y capture paquetes en el adaptador del cliente SSL VPN-Plus.
7. Si los pasos anteriores no resuelven el problema, intente solucionarlo con los siguientes comandos de la CLI de NSX Edge.

   Propósito	Comando
   Compruebe el estado de SSL VPN.	show service sslvpn-plus
   Compruebe las estadísticas de SSL VPN.	show service sslvpn-plus stats
   Compruebe que los clientes VPN estén conectados.	show service sslvpn-plus tunnels
   Compruebe las sesiones SSL VPN-Plus.	show service sslvpn-plus sessions