Solución de problemas de conexiones de AWS Client VPN con clientes de macOS - AWS Client VPN
Registros de eventos del cliente proporcionado por AWSEl cliente no puede establecer conexiónEl cliente está atascado en un estado de reconexiónEl cliente no puede crear el perfilSe necesita una herramienta de ayuda para el errorTunnelblickAlgoritmo de cifrado 'AES-256-GCM' no encontradoLa conexión deja de responder y se restableceUso extendido de claves (EKU)Certificado caducadoOpenVPNNo se puede resolver el DNSEl DNS proporcionado por la VPN no se aplica a un dispositivo

Solución de problemas de conexiones de AWS Client VPN con clientes de macOS

En las siguientes secciones, se incluye información sobre el registro y los problemas que pueden surgir al utilizar los clientes de macOS. Asegúrese de que esté ejecutando la versión más reciente de estos clientes.

Registros de eventos del cliente proporcionado por AWS

El cliente proporcionado por AWS crea registros de eventos y los almacena en la siguiente ubicación del equipo.

/Users/username/.config/AWSVPNClient/logs

Dispone de los siguientes tipos de registros:

  • Registros de aplicación: contienen información sobre la aplicación. Estos registros tienen el prefijo 'aws_vpn_client_'.

  • Registros de OpenVPN: contienen información sobre los procesos de OpenVPN. Estos registros tienen el prefijo 'ovpn_aws_vpn_client_'.

El cliente proporcionado por AWS utiliza el daemon cliente para llevar a cabo operaciones de raíz. Los registros de demonio se almacenan en la siguiente ubicación del equipo.

/var/log/AWSVPNClient/AcvcHelperErrLog.txt
/var/log/AWSVPNClient/AcvcHelperOutLog.txt

El cliente proporcionado por AWS almacena los archivos de configuración en la siguiente ubicación del equipo.

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

El cliente no puede establecer conexión

Problema

El cliente proporcionado por AWS no puede conectarse al punto de enlace de Client VPN.

Causa

Este problema podría deberse a una de las siguientes causas:

  • Ya hay otro proceso de OpenVPN ejecutándose en el equipo, lo que impide que el cliente establezca conexión.

  • El archivo de configuración (.ovpn) no es válido.

Solución

Verifique que no haya otras aplicaciones de OpenVPN que se estén ejecutando en su equipo. En caso de haberlas, detenga o cierre estos procesos e intente volver a establecer conexión con el punto de enlace de Client VPN. Compruebe si hay errores en los registros de OpenVPN y pida al administrador de Client VPN que verifique la siguiente información:

El cliente está atascado en un estado de reconexión

Problema

El cliente proporcionado por AWS está intentando conectarse al punto de enlace de Client VPN, pero está bloqueado en un estado de reconexión.

Causa

Este problema podría deberse a una de las siguientes causas:

  • Su equipo no está conectado a Internet.

  • El nombre de host de DNS no se resuelve en una dirección IP.

  • Un proceso de OpenVPN está intentando conectarse indefinidamente al punto de enlace.

Solución

Compruebe que el equipo esté conectado a Internet. Pida al administrador de Client VPN que compruebe que la directiva remote del archivo de configuración se resuelva en una dirección IP válida. También puede desconectar la sesión de VPN si selecciona Disconnect (Desconectar) en la ventana AWS VPN Client e intentar conectarse de nuevo.

El cliente no puede crear el perfil

Problema

Cuando intenta crear un perfil con el cliente proporcionado por AWS, aparece el siguiente mensaje de error.

The config should have either cert and key or auth-user-pass specified.
Causa

Si el punto de enlace de Client VPN utiliza la autenticación mutua, el archivo de configuración (.ovpn) no contiene el certificado y la clave del cliente.

Solución

Asegúrese de que el administrador de Client VPN agregue la clave y el certificado de cliente al archivo de configuración. Para obtener más información, consulte Exportar la configuración de un cliente en la Guía del administrador de AWS Client VPN.

Se necesita una herramienta de ayuda para el error

Problema

Obtiene el siguiente error cuando intenta conectar la VPN.

AWS VPN Client Helper Tool is required to establish the connection.
Solución

Consulte el siguiente artículo en AWS re:Post. AWS VPN Client - Helper tool is required error

Tunnelblick

La siguiente información de solución de problemas se ha probado en la versión 3.7.8 (compilación 5180) del software Tunnelblick en macOS High Sierra 10.13.6.

El archivo de configuración para configuraciones privadas se almacena en la siguiente ubicación del equipo.

/Users/username/Library/Application Support/Tunnelblick/Configurations

El archivo de configuración para configuraciones compartidas se almacena en la siguiente ubicación del equipo.

/Library/Application Support/Tunnelblick/Shared

Los registros de conexión se almacenan en la siguiente ubicación del equipo.

/Library/Application Support/Tunnelblick/Logs

Para aumentar la verbosidad del registro, abra la aplicación Tunnelblick, elija Settings (Configuración) y ajuste el valor de VPN log level (Nivel de registro de VPN).

Algoritmo de cifrado 'AES-256-GCM' no encontrado

Problema

La conexión falla y devuelve el siguiente error en los registros.

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
Causa

La aplicación usa una versión de OpenVPN que no da soporte al algoritmo de cifrado AES-256-GCM.

Solución

Elija una versión compatible de OpenVPN; para ello, haga lo siguiente:

  1. Abra la aplicación Tunnelblick.

  2. Elija Settings.

  3. Para la OpenVPN versión (Versión de OpenVPN), elija 2.4.6 - OpenSSL version is v1.0.2q (2.4.6 - La versión de OpenSSL es v1.0.2q).

La conexión deja de responder y se restablece

Problema

La conexión falla y devuelve el siguiente error en los registros.

MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server       Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
Causa

El certificado de cliente ha sido revocado. La conexión deja de responder después de intentar autenticarse y finalmente se restablece desde el lado del servidor.

Solución

Solicite al administrador de Client VPN un archivo de configuración.

Uso extendido de claves (EKU)

Problema

La conexión falla y devuelve el siguiente error en los registros.

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
Causa

La autenticación del servidor se ha realizado correctamente, pero la autenticación del cliente genera un error porque el certificado de cliente tiene habilitado el campo de uso de la clave extendida (EKU) para la autenticación del servidor.

Solución

Compruebe que esté utilizando un certificado y una clave de cliente correctos. Si es necesario, verifíquelo con el administrador de Client VPN. Es posible que este error se produzca si utiliza el certificado de servidor en lugar del certificado de cliente para conectarse al punto de enlace de Client VPN.

Certificado caducado

Problema

La autenticación del servidor se realiza correctamente, pero la autenticación del cliente genera el siguiente error.

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
Causa

La validez del certificado de cliente ha caducado.

Solución

Solicite un nuevo certificado de cliente al administrador de Client VPN.

OpenVPN

La siguiente información de solución de problemas se ha probado en la versión 2.7.1.100 del software OpenVPN Connect Client en macOS High Sierra 10.13.6.

El archivo de configuración se almacena en la siguiente ubicación del equipo.

/Library/Application Support/OpenVPN/profile

Los registros de conexión se almacenan en la siguiente ubicación del equipo.

Library/Application Support/OpenVPN/log/connection_name.log

No se puede resolver el DNS

Problema

La conexión falla con el siguiente error.

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
Causa

OpenVPN Connect no puede resolver el nombre de DNS de Client VPN.

Solución

Consulte la solución del problema No se puede resolver el nombre de DNS del punto de enlace de Client VPN en la Guía del administrador de AWS Client VPN.

El DNS proporcionado por la VPN no se aplica a un dispositivo

Problema

El DNS proporcionado por la VPN no se aplica al dispositivo, aunque la conexión de VPN se haya establecido correctamente. Se escribe lo siguiente en el registro del daemon:

15:23:47 *UpScript: WARNING: Ignoring ServerAddresses '172.16.1.53' because ServerAddresses was set manually and '-allowChangesToManuallySetNetworkSettings' was not specified
Causa

El cliente no anulará los ajustes de DNS que ya estén configurados manualmente por otras VPN, perfiles de MDM o herramientas de red de terceros.

Solución

Elimine todos los servidores de DNS especificados en Configuración del sistema > Red > [Interfaz de red activa] > Detalles > DNS.