View a markdown version of this page

对网络和连接问题进行故障排除 - AWS Wickr
开始前的准备工作常见的网络问题确定问题的范围其他资源

本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档,请参阅经典管理指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对网络和连接问题进行故障排除

本部分帮助管理员解决使用 AWS Wickr 的网络和连接问题。最终用户报告的大多数连接问题是由企业网络配置(防火墙、代理、VPN)阻塞所需的 Wickr 流量造成的。如果本节中的步骤无法解决您的问题,请在 Support Cent er 中AWS 提交案例。

开始前的准备工作

在进行故障排除之前,请验证以下各项:

  • 您可以访问组织的网络配置(防火墙规则、代理设置、VPN 配置)。

  • 您已经查看了 Wickr 网络要求(必需的域和端口)。

  • 您已确认问题是否影响到所有用户、特定用户或特定位置。

  • 您已确认受影响的用户是否可以在非公司网络(蜂窝网络或家庭网络 WiFi)上进行连接。

重要

如果用户可以通过蜂窝数据或家庭网络进行连接, WiFi 但不能通过公司网络进行连接,则问题在于您的网络配置,而不是 Wickr 服务。

常见的网络问题

防火墙阻止 Wickr 流量

这是导致连接失败的最常见原因。Wickr 需要访问特定的域和端口。

症状

用户无法在公司上连接 WiFi ,但可以通过蜂窝数据进行连接。同一位置的多个用户会受到影响。Wickr 以前工作过,但在网络变更后停了下来。

解决方案

  1. Wickr 的网络要求中查看所需域和端口的完整列表。

  2. 将防火墙中所有必需的域名列入白名单。Wickr 需要 HTTPS (TCP 443) 来发送消息和信令,需要使用 UDP 端口进行语音和视频通话。

  3. 在公司网络中验证所需域的 DNS 解析。使用nslookupdig确认域名已解析。

  4. 进行更改后测试连通性。让受影响的用户重启 Wickr 并尝试连接。

注意

如果只有语音和视频通话失败但消息传递正常,那么 UDP 流量可能会被阻止。默认情况下,Wickr 使用 UDP 进行通话。请参阅UDP 已阻止(通话失败,消息正常)

代理服务器干扰

公司代理服务器可能会干扰 Wickr 连接,尤其是在它们不支持 WebSocket 连接的情况下。

症状

只有在配置代理时才会出现连接问题。绕过代理时,Wickr 可以正常工作。间歇性断开连接。

解决方案

  1. 验证您的代理是否支持 WebSocket 连接(Wickr 消息传递所必需的)。

  2. 网络要求中列出的 Wickr 域配置代理绕过(PAC 文件例外或直接连接规则)。

  3. 查看代理日志,了解与 Wickr 域的连接是否受阻或失败。

  4. 如果您的代理需要身份验证,请确认 Wickr 流量没有因为缺少凭据而被拒绝。Wickr 不支持在 SaaS 部署上进行代理身份验证。

SSL/TLS 检查断开连接

企业 SSL 检查(也称为 HTTPS 检查或 TLS 拦截)破坏了 Wickr 所期望的证书链,从而导致连接失败。

症状

Wickr 中的证书错误。“安全连接失败” 错误。Wickr 可以在没有 SSL 检查的网络上运行。

解决方案

  1. 首选:绕过 Wickr 域名的 SSL 检查。将 SSL 检查设备配置为排除网络要求中列出的域。这样可以维持 Wickr 的端到端加密。

  2. 备选方案:在用户设备上安装贵组织的根 CA 证书。这允许 Wickr 信任截获的证书链。请联系您的 IT 安全团队获取证书和安装说明。

要验证 SSL 检查是否是 SSL 检查的原因,请在受影响的设备上运行以下命令,并将证书颁发者与预期的 AWS 证书进行比较:

openssl s_client -showcerts -connect ingress-prod-calling.wickr.us-east-1.amazonaws.com:443

如果证书颁发者显示的是贵组织的 CA 而不是 AWS 或 Amazon 证书,则会对 Wickr 流量进行 SSL 检查。

VPN 封锁 Wickr

VPN 配置通常会阻止 Wickr 流量,尤其是呼叫所需的 UDP 端口。

症状

Wickr 在没有 VPN 的情况下工作,但在连接 VPN 的情况下却无法运行。VPN 连接时连接中断。通话失败,但通过 VPN 可以发送消息。

解决方案

  1. 配置分割隧道以直接路由 Wickr 流量(绕过 VPN 隧道)网络要求中列出的域。

  2. 如果不允许分割隧道,请确保 VPN 同时允许 TCP 443 和网络要求中列出的 UDP 端口。

  3. 如果只有呼叫通过 VPN 进行故障转移,则 VPN 可能会阻止 UDP。请参阅UDP 已阻止(通话失败,消息正常)

UDP 已阻止(通话失败,消息正常)

Wickr 使用 UDP 进行语音和视频通话。如果您的网络阻止 UDP,则呼叫将无法连接或立即中断,而消息传递将继续正常工作。

诊断

要求受影响的用户启用 TCP 呼叫作为测试:设置呼叫、启用 TCP 呼叫。如果在启用 TCP 的情况下呼叫成功,则会阻止 UDP。

解决方案

将防火墙和 VPN 配置中网络要求中列出的 UDP 端口列入许可名单。

TCP 调用是一种诊断工具,而不是永久解决方案。使用 TCP 时,通话质量会降低。

DNS 解析失败

如果您的 DNS 服务器无法解析 Wickr 域,则客户端将无法连接。

诊断

在受影响网络上的设备上,验证所需 Wickr 域的 DNS 解析:

nslookup gw-pro-prod.wickr.com

如果域名无法解析,则问题出在 DNS 配置上。

解决方案

  1. 验证您的 DNS 服务器能否解析网络要求中列出的域。

  2. 如果使用 DNS 过滤或 DNS 防火墙,请为 Wickr 域添加例外情况。

  3. 使用备用 DNS 服务器(例如8.8.8.8)进行测试,以确认问题是否出在您的内部 DNS 上。

确定问题的范围

使用以下问题来缩小原因范围:

  • Wickr 能处理蜂窝数据还是家庭 WiFi数据? 如果是,则问题出在您的公司网络配置上。

  • 是所有用户都受到影响,还是只有特定用户受到影响? 如果某个地点的所有用户都受到影响,则问题出在整个网络范围内。如果只有特定用户,请检查他们的设备或 VPN 配置。

  • 这是在网络变更之后开始的? 防火墙规则更新、代理更改或 VPN 配置更改通常会中断 Wickr 连接。

  • 消息可以正常工作但通话失败了吗? 这表示 UDP 已被阻止。请参阅UDP 已阻止(通话失败,消息正常)

  • 用户会看到证书错误吗? 这表明 SSL 检查正在拦截 Wickr 流量。请参阅SSL/TLS 检查断开连接

其他资源