Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung bei AWS Client-VPN-Verbindungen mit macOS-Clients
Die folgenden Abschnitte enthalten Informationen zu Protokollierung und Problemen, die bei der Verwendung von macOS-Clients auftreten können. Stellen Sie bitte sicher, dass Sie die neueste Version dieser Clients ausführen.
## AWS bereitgestellte Client-Ereignisprotokolle
Der AWS bereitgestellte Client erstellt Ereignisprotokolle und speichert sie am folgenden Ort auf Ihrem Computer.
```
/Users/username/.config/AWSVPNClient/logs
```
Die folgenden Arten von Protokollen sind verfügbar:
+ **Anwendungsprotokolle**: Enthalten Informationen über die Anwendung. Diesen Protokollen wird das Präfix "aws\$1vpn\$1client\$1" vorangestellt.
+ **OpenVPN-Protokolle**: Informationen über OpenVPN-Prozesse. Diesen Protokollen wird das Präfix 'ovpn\$1aws\$1vpn\$1client\$1' vorangestellt.
Der AWS bereitgestellte Client verwendet den Client-Daemon, um Root-Operationen durchzuführen. Die Daemon-Protokolle werden an den folgenden Speicherorten auf Ihrem Computer gespeichert: Die CRL ist noch gültig.
```
/var/log/AWSVPNClient/AcvcHelperErrLog.txt
/var/log/AWSVPNClient/AcvcHelperOutLog.txt
```
Der AWS bereitgestellte Client speichert die Konfigurationsdateien im folgenden Verzeichnis auf Ihrem Computer.
```
/Users/username/.config/AWSVPNClient/OpenVpnConfigs
```
**Topics**
+ [AWS bereitgestellte Client-Ereignisprotokolle](#macos-troubleshooting-client-vpn-connect)
+ [Client kann keine Verbindung herstellen](#macos-troubleshooting-client-vpn-cannot-connect)
+ [Client ist in einem Wiederverbindungszustand blockiert](#macos-troubleshooting-client-vpn-stuck)
+ [Client kann kein Profil erstellen](#macos-troubleshooting-client-vpn-cannot-create-profile)
+ [Hilfstool ist erforderlich (Fehler)](#macos-troubleshooting-helper-tool)
+ [Tunnelblick](#macos-troubleshooting-tunnelblick)
+ [Verschlüsselungsalgorithmus "AES-256-GCM" nicht gefunden](#tunnelblick-cipher)
+ [Verbindung reagiert nicht mehr und wird zurückgesetzt](#tunnelblick-connection-reset)
+ [Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)](#tunnelblick-eku)
+ [Abgelaufenes Zertifikat](#tunnelblick-certificate-expired)
+ [OpenVPN](#macos-troubleshooting-openvpn)
+ [DNS kann nicht aufgelöst werden](#macos-openvpn-dns)
## Client kann keine Verbindung herstellen
**Problem**
Der AWS angegebene Client kann keine Verbindung zum Client-VPN-Endpunkt herstellen.
**Ursache**
Dieses Problem kann folgende Ursachen haben:
+ Ein anderer OpenVPN-Prozess wird bereits auf Ihrem Computer ausgeführt, was den Client daran hindert, eine Verbindung herzustellen.
+ Ihre Konfigurationsdatei (OVPN) ist ungültig.
**Lösung**
Überprüfen Sie, ob andere OpenVPN-Anwendungen auf Ihrem Computer ausgeführt werden. Wenn dies der Fall ist, stoppen oder beenden Sie diese Prozesse und versuchen Sie erneut, eine Verbindung mit dem Client VPN-Endpunkt herzustellen. Überprüfen Sie die OpenVPN-Protokolle auf Fehler und bitten Sie Ihren Client VPN-Administrator, die folgenden Informationen zu überprüfen:
+ Dass die Konfigurationsdatei den korrekten Client-Schlüssel und das Zertifikat enthält. Weitere Informationen finden Sie unter [Exportieren der Client-Konfiguration](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) im *AWS Client VPN -Administratorhandbuch*.
+ Dass die CRL weiterhin gültig ist. Weitere Informationen finden Sie unter [Clients können keine Verbindung mit einem Client-VPN-Endpunkt herstellen](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#client-cannot-connect) im *AWS Client VPN -Administratorhandbuch*.
## Client ist in einem Wiederverbindungszustand blockiert
**Problem**
Der AWS angegebene Client versucht, eine Verbindung zum Client-VPN-Endpunkt herzustellen, befindet sich jedoch in einem Zustand, in dem die Verbindung erneut hergestellt wird.
**Ursache**
Dieses Problem kann folgende Ursachen haben:
+ Ihr Computer ist nicht mit dem Internet verbunden.
+ Der DNS-Hostname wird nicht in eine IP-Adresse aufgelöst.
+ Ein OpenVPN-Prozess versucht unbegrenzt, sich mit dem Endpunkt zu verbinden.
**Lösung**
Überprüfen Sie, ob Ihr Computer mit dem Internet verbunden ist. Bitten Sie Ihren Client VPN-Administrator zu überprüfen, ob die Direktive `remote` in der Konfigurationsdatei in eine gültige IP-Adresse aufgelöst wird. Sie können die VPN-Sitzung auch trennen, indem **Sie im AWS VPN-Client-Fenster auf Trennen** klicken und erneut versuchen, eine Verbindung herzustellen.
## Client kann kein Profil erstellen
**Problem**
Sie erhalten folgenden Fehler, wenn Sie versuchen, ein Profil mit dem von AWS bereitgestellten Client zu erstellen.
```
The config should have either cert and key or auth-user-pass specified.
```
**Ursache**
Wenn der Client VPN-Endpunkt die gegenseitige Authentifizierung verwendet, enthält die Konfigurationsdatei (OVPN) nicht das Client-Zertifikat und den Schlüssel.
**Lösung**
Stellen Sie sicher, dass Ihr Client VPN-Administrator das Client-Zertifikat und den Schlüssel zur Konfigurationsdatei hinzufügt. Weitere Informationen finden Sie unter [Exportieren der Client-Konfiguration](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) im *AWS Client VPN -Administratorhandbuch*.
## Hilfstool ist erforderlich (Fehler)
**Problem**
Sie erhalten die folgende Fehlermeldung, wenn Sie versuchen, eine VPN-Verbindung herzustellen.
```
AWS VPN Client Helper Tool is required to establish the connection.
```
**Lösung**
Lesen Sie den folgenden Artikel auf AWS re:POST. [Fehler „AWS VPN Client — Hilfstool ist erforderlich“](https://repost.aws/questions/QUbch5NzWnSyWbGM0hu4w0mg/aws-vpn-client-helper-tool-is-required-error)
## Tunnelblick
Die folgenden Informationen zur Fehlerbehebung wurden mit Version 3.7.8 (Build 5180) der Tunnelblick-Software unter macOS High Sierra 10.13.6 getestet.
Die Konfigurationsdatei für private Konfigurationen wird an folgendem Ort auf Ihrem Computer gespeichert.
```
/Users/username/Library/Application Support/Tunnelblick/Configurations
```
Die Konfigurationsdatei für gemeinsam genutzte Konfigurationen wird an folgendem Ort auf Ihrem Computer gespeichert.
```
/Library/Application Support/Tunnelblick/Shared
```
Die Verbindungsprotokolle werden an folgendem Ort auf Ihrem Computer gespeichert.
```
/Library/Application Support/Tunnelblick/Logs
```
Um den Protokollumfang zu erhöhen, öffnen Sie die Tunnelblick-Anwendung, wählen Sie **Settings (Einstellungen)** aus und passen Sie den Wert für **VPN log level (VPN-Protokollstufe)** an.
## Verschlüsselungsalgorithmus "AES-256-GCM" nicht gefunden
**Problem**
Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.
```
2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
```
**Ursache**
Die Anwendung verwendet eine OpenVPN-Version, die den Verschlüsselungsalgorithmus AES-256-GCM nicht unterstützt.
**Lösung**
Wählen Sie eine kompatible OpenVPN-Version aus, indem Sie wie folgt vorgehen:
1. Öffnen Sie die Tunnelblick-Anwendung.
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie für **OpenVPN version (OpenVPN-Version)** die Option **2.4.6 - OpenSSL version is v1.0.2q (2.4.6 - OpenSSL-Version ist v1.0.2q)** aus.
## Verbindung reagiert nicht mehr und wird zurückgesetzt
**Problem**
Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.
```
MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
```
**Ursache**
Das Client-Zertifikat wurde widerrufen. Die Verbindung reagiert nach dem Versuch der Authentifizierung nicht mehr und wird schließlich serverseitig zurückgesetzt.
**Lösung**
Fordern Sie eine neue Konfigurationsdatei von Ihrem Client VPN-Administrator an.
## Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)
**Problem**
Die Verbindung schlägt fehl und gibt in den Protokollen den folgenden Fehler zurück.
```
TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
```
**Ursache**
Die Server-Authentifizierung war erfolgreich. Die Client-Authentifizierung schlägt jedoch fehl, weil im Client-Zertifikat das Feld für die erweiterte Schlüsselverwendung (EKU) für die Serverauthentifizierung aktiviert ist.
**Lösung**
Stellen Sie sicher, dass Sie das richtige Client-Zertifikat und den richtigen Schlüssel verwenden. Falls erforderlich, überprüfen Sie dies bei Ihrem Client VPN-Administrator. Dieser Fehler kann auftreten, wenn Sie das Server-Zertifikat und nicht das Client-Zertifikat für die Verbindung mit dem Client VPN-Endpunkt verwenden.
## Abgelaufenes Zertifikat
**Problem**
Die Server-Authentifizierung ist erfolgreich, aber die Client-Authentifizierung schlägt mit folgendem Fehler fehl.
```
WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
```
**Ursache**
Die Gültigkeit des Client-Zertifikats ist abgelaufen.
**Lösung**
Fordern Sie ein neues Client-Zertifikat von Ihrem Client VPN-Administrator an.
## OpenVPN
Die folgenden Informationen zur Fehlerbehebung wurden mit Version 2.7.1.100 der OpenVPN-Connect-Client-Software unter macOS High Sierra 10.13.6 getestet.
Die Konfigurationsdatei ist an folgendem Speicherort auf Ihrem Computer gespeichert.
```
/Library/Application Support/OpenVPN/profile
```
Die Verbindungsprotokolle werden an folgendem Ort auf Ihrem Computer gespeichert.
```
Library/Application Support/OpenVPN/log/connection_name.log
```
## DNS kann nicht aufgelöst werden
**Problem**
Die Verbindung scheitert mit folgendem Fehler.
```
Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
```
**Ursache**
OpenVPN Connect ist nicht in der Lage, den Client VPN-DNS-Namen aufzulösen.
**Lösung**
Siehe die Lösung für [Auflösung des DNS-Namens des Client-VPN-Endpunkts](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#resolve-host-name) im *AWS Client VPN -Administratorhandbuch*.