Utilisez cette rubrique pour comprendre les probables problèmes de connectivité de VPN SSL et de chemin de données et la manière de les résoudre.

Problème

Les problèmes courants liés à la connectivité de VPN SSL et aux chemins de données sont les suivants :

  • Le client VPN-Plus SSL ne peut pas se connecter au serveur VPN SSL.

  • Le client VPN-Plus SSL est installé, mais les services VPN-Plus SSL ne sont pas en cours d'exécution.

  • Le nombre maximal d'utilisateurs connectés est atteint. Le portail Web VPN SSL ou le client VPN-Plus SSL affiche le message suivant :

    Nombre maximal d'utilisateurs atteint/Nombre maximal d'utilisateurs connectés atteint selon la licence VPN SSL. Réessayez un peu plus tard ou La lecture de SSL a échoué.

  • Les services VPN SSL sont en cours d'exécution, mais le chemin de données ne fonctionne pas.

  • La connexion VPN SSL est établie, mais les applications dans le réseau privé ne sont pas accessibles.

Solution

  1. Si le client VPN-Plus SSL ne peut pas se connecter au serveur VPN SSL, procédez comme suit :
    • Vérifiez que l'utilisateur VPN SSL se connecte avec le nom d'utilisateur et le mot de passe corrects.

    • Vérifiez si l'utilisateur VPN SSL est valide.

    • Vérifiez si l'utilisateur VPN SSL peut atteindre le serveur VPN SSL à l'aide du portail Web.

  2. Sur le dispositif NSX Edge, procédez comme suit pour vérifier si le processus de VPN SSL est en cours d'exécution.
    1. Connectez-vous au dispositif NSX Edge à partir de l'interface de ligne de commande. Pour plus d'informations sur la connexion à l'interface de ligne de commande Edge, reportez-vous à la section Référence de l'interface de ligne de commandes de NSX.
    2. Exécutez la commande show process monitor et localisez le processus sslvpn.
    3. Exécutez la commande show service network-connections et vérifiez si le processus sslvpn est répertorié sur le port 443.
      Note:

      Par défaut, votre système utilise le port 443 pour le trafic SSL. Toutefois, si vous avez configuré un autre port TCP pour le trafic SSL, assurez-vous que le processus sslvpn est répertorié sur ce numéro de port TCP.

  3. Sur le client VPN-Plus SSL, vérifiez si les services VPN-Plus SSL sont en cours d'exécution.

    Système d'exploitation

    Description

    Windows

    Ouvrez le Gestionnaire des tâches, puis vérifiez si le service du client VPN-Plus SSL est démarré.

    Mac

    • Vérifiez que le processus naclientd est démarré pour le démon.

    • Vérifiez que le processus naclient est démarré pour l'interface utilisateur.

    Pour vérifier si les processus sont en cours d'exécution, exécutez la commande ps -ef | grep "naclient".

    Linux

    • Vérifiez que les processus naclientd et naclient_poll sont démarrés.

    • Pour vérifier si les processus sont en cours d'exécution, exécutez la commande ps -ef | grep "naclient".

    Si les services ne sont pas en cours d'exécution, exécutez les commandes suivantes pour démarrer les services.

    Système d'exploitation

    Commande

    Mac

    Exécutez la commande sudo launchctl load -w /Library/LaunchDaemons/com.vmware.naclientd.plist.

    Linux

    Exécutez la commande sudo service naclient start.

  4. Si le nombre maximal d'utilisateurs VPN SSL connectés est atteint, augmentez le nombre d'utilisateurs simultanés (CCU) en augmentant le format de NSX Edge.

    Pour plus d'informations, reportez-vous au Guide d'administration de NSX. Notez que les utilisateurs connectés sont déconnectés du VPN lorsque vous effectuez cette opération.

  5. Si les services VPN SSL sont en cours d'exécution, mais que le chemin de données ne fonctionne pas, procédez comme suit :
    1. Vérifiez si une adresse IP virtuelle est attribuée après une connexion réussie.
    2. Vérifiez si les itinéraires sont ajoutés.
  6. Lorsque des applications dans le réseau privé (principal) ne sont pas accessibles, procédez comme suit pour résoudre le problème :
    1. Vérifiez que le réseau privé et le pool IP ne sont pas dans le même sous-réseau.
    2. Si l'administrateur n'a pas défini de pool IP, ou si le pool IP est épuisé, procédez comme suit.
      1. Connectez-vous à vSphere Web Client.

      2. Cliquez sur Networking & Security, puis sur Dispositifs NSX Edge.

      3. Double-cliquez sur un dispositif NSX Edge, puis cliquez sur l'onglet VPN-Plus SSL.

      4. Ajoutez un pool IP statique comme expliqué dans la rubrique Ajouter un pool IP dans le Guide d'administration de NSX. Assurez-vous que vous ajoutez l'adresse IP dans la zone de texte Passerelle. L'adresse IP de la passerelle est attribuée à l'interface na0. Tout le trafic non-TCP traverse la carte virtuelle nommée interface na0. Vous pouvez créer plusieurs pools IP avec des adresses IP de passerelle différentes, mais attribuées à la même interface na0.

      5. Utilisez la commande show interface na0 pour vérifier les adresses IP fournies et vérifiez si tous les pools IP sont attribués à la même interface na0.

      6. Connectez-vous à la machine cliente, accédez à l'écran Client VPN-Plus SSL - Statistiques et vérifiez l'adresse IP virtuelle attribuée.

    3. Connectez-vous à l'interface de ligne de commande NSX Edge et prenez une capture de paquets sur l'interface na0 en exécutant la commande debug packet capture interface na0. Vous pouvez également capturer des paquets à l'aide de l'outil Capture de paquets. Pour plus de détails, reportez-vous à la section Guide d'administration de NSX.
      Note:

      La capture de paquets continue à s'exécuter en arrière-plan jusqu'à ce que vous l'arrêtiez en exécutant la commande no debug packet capture interface na0 .

    4. Si l'optimisation TCP n'est pas activée, vérifiez les règles de pare-feu.
    5. Pour le trafic non-TCP, veillez à ce que la passerelle par défaut soit définie en tant qu'interface interne du dispositif Edge sur le réseau principal.
    6. Pour les clients Mac et Linux, connectez-vous au système sur lequel le client VPN SSL est installé et prenez une capture de paquets sur l'interface tap0 ou sur l'adaptateur virtuel en exécutant la commande tcpdump -i tap0 -s 1500 -w filepath. Sur les clients Windows, utilisez un analyseur de paquets, comme Wireshark, et capturez des paquets sur l'adaptateur du client VPN-Plus SSL.
  7. Si les étapes ci-dessus ne résolvent pas le problème, utilisez les commandes CLI NSX Edge suivantes pour résoudre le problème.

    Objectif

    Commande

    Vérifier l'état du VPN SSL.

    show service sslvpn-plus

    Vérifier les statistiques de VPN SSL.

    show service sslvpn-plus stats

    Vérifier les clients VPN qui sont connectés.

    show service sslvpn-plus tunnels

    Vérifier les sessions de VPN-Plus SSL.

    show service sslvpn-plus sessions