翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# macOS AWS クライアントとのクライアント VPN 接続のトラブルシューティング
以下のセクションでは、macOS クライアントを使用する際のログと、発生する可能性のある問題について説明します。これらのクライアントの最新バージョンを実行していることを確認します。
## AWS が提供するクライアントイベントログ
AWS 提供されたクライアントはイベントログを作成し、コンピュータ上の次の場所に保存します。
```
/Users/username/.config/AWSVPNClient/logs
```
次のタイプのログを使用できます。
+ **アプリケーションログ**: アプリケーションに関する情報が含まれます。これらのログには「aws\$1vpn\$1client\$1」が前に付けられます。
+ **OpenVPN ログ**: OpenVPN プロセスに関する情報が含まれます。これらのログには「ovpn\$1aws\$1vpn\$1client\$1」が前に付けられます。
AWS 提供されたクライアントは、クライアントデーモンを使用してルートオペレーションを実行します。デーモンログは、コンピュータ上の次の場所に保存されます。
```
/var/log/AWSVPNClient/AcvcHelperErrLog.txt
/var/log/AWSVPNClient/AcvcHelperOutLog.txt
```
AWS 提供されたクライアントは、コンピュータ上の次の場所に設定ファイルを保存します。
```
/Users/username/.config/AWSVPNClient/OpenVpnConfigs
```
**Topics**
+ [
## AWS が提供するクライアントイベントログ
](#macos-troubleshooting-client-vpn-connect)
+ [
## クライアントが接続できない
](#macos-troubleshooting-client-vpn-cannot-connect)
+ [
## クライアントが再接続状態でスタックしている
](#macos-troubleshooting-client-vpn-stuck)
+ [
## クライアントがプロファイルを作成できない
](#macos-troubleshooting-client-vpn-cannot-create-profile)
+ [
## 「ヘルパーツールは必須です」エラー
](#macos-troubleshooting-helper-tool)
+ [
## Tunnelblick
](#macos-troubleshooting-tunnelblick)
+ [
## 暗号アルゴリズム「AES-256-GCM」が見つからない
](#tunnelblick-cipher)
+ [
## 接続が応答を停止し、リセットされます。
](#tunnelblick-connection-reset)
+ [
## 拡張キー使用法 (EKU)
](#tunnelblick-eku)
+ [
## 証明書が失効している
](#tunnelblick-certificate-expired)
+ [
## OpenVPN
](#macos-troubleshooting-openvpn)
+ [
## DNS を解決できない
](#macos-openvpn-dns)
## クライアントが接続できない
**問題**
AWS 指定されたクライアントは、クライアント VPN エンドポイントに接続できません。
**原因**
この問題の原因として、次のいずれかが考えられます。
+ 別の OpenVPN プロセスがコンピュータ上で既に実行されているため、クライアントが接続できません。
+ 設定 (.ovpn) ファイルが有効ではありません。
**ソリューション**
コンピュータ上で他の OpenVPN アプリケーションが実行されているかどうか確認します。実行されている場合は、これらのプロセスを停止または終了し、クライアント VPN エンドポイントへの接続を再試行します。OpenVPN ログにエラーがないか確認し、クライアント VPN 管理者に次の情報を確認するよう依頼します。
+ 設定ファイルに、正しいクライアントキーと証明書が含まれている。詳細については、*AWS Client VPN 管理者ガイド*の「[クライアント設定のエクスポート](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html)」を参照してください。
+ CRL がまだ有効である。詳細については、*AWS Client VPN 管理者ガイド*の「[クライアントがクライアント VPN エンドポイントに接続できない](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#client-cannot-connect)」を参照してください。
## クライアントが再接続状態でスタックしている
**問題**
AWS 提供されたクライアントがクライアント VPN エンドポイントに接続しようとしていますが、再接続状態のままです。
**原因**
この問題の原因として、次のいずれかが考えられます。
+ コンピュータがインターネットに接続されていません。
+ DNS ホスト名が IP アドレスに解決されていません。
+ OpenVPN プロセスがエンドポイントに無期限に接続しようとしています。
**ソリューション**
コンピュータがインターネットに接続されていることを確認します。クライアント VPN 管理者に、設定ファイル内の `remote` ディレクティブが有効な IP アドレスに解決されていることを確認するよう依頼します。VPN クライアントウィンドウで**切断**を選択して AWS VPN セッションを切断し、再度接続を試みることもできます。
## クライアントがプロファイルを作成できない
**問題**
AWS が提供するクライアントを使用してプロファイルを作成しようとすると、次のエラーが表示されます。
```
The config should have either cert and key or auth-user-pass specified.
```
**原因**
クライアント VPN エンドポイントが相互認証を使用する場合、設定 (.ovpn) ファイルにクライアント証明書とキーは含まれていません。
**ソリューション**
クライアント VPN 管理者がクライアント証明書とキーを設定ファイルに追加していることを確認します。詳細については、*AWS Client VPN 管理者ガイド*の「[クライアント設定のエクスポート](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html)」を参照してください。
## 「ヘルパーツールは必須です」エラー
**問題**
VPN に接続しようとすると、次のエラーが発生します。
```
AWS VPN Client Helper Tool is required to establish the connection.
```
**ソリューション**
AWS re:Post の次の記事を参照してください。[AWS VPN Client - Helper tool is required error](https://repost.aws/questions/QUbch5NzWnSyWbGM0hu4w0mg/aws-vpn-client-helper-tool-is-required-error)
## Tunnelblick
以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 の Tunnelblick ソフトウェアのバージョン 3.7.8 (ビルド 5180) でテストされました。
プライベート設定の設定ファイルは、コンピュータ上の次の場所に保存されます。
```
/Users/username/Library/Application Support/Tunnelblick/Configurations
```
共有設定の設定ファイルは、コンピュータ上の次の場所に保存されます。
```
/Library/Application Support/Tunnelblick/Shared
```
接続ログは、コンピュータ上の次の場所に保存されます。
```
/Library/Application Support/Tunnelblick/Logs
```
ログの冗長性を高めるには、Tunnelblick アプリケーションを開き、**[設定]** を選択し、**[VPN ログレベル]** の値を調整します。
## 暗号アルゴリズム「AES-256-GCM」が見つからない
**問題**
接続が失敗し、ログに次のエラーが返されます。
```
2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
```
**原因**
アプリケーションは、暗号アルゴリズム AES-256-GCM をサポートしていない OpenVPN バージョンを使用しています。
**ソリューション**
次の手順を実行して、互換性のある OpenVPN バージョンを選択します。
1. Tunnelblick アプリケーションを開きます。
1. **[設定]** を選択します。
1. [**OpenVPN version**] の場合は、[**2.4.6 - OpenSSL version is v1.0.2q**] を選択します。
## 接続が応答を停止し、リセットされます。
**問題**
接続が失敗し、ログに次のエラーが返されます。
```
MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
```
**原因**
クライアント証明書が失効しました。認証を試みた後に接続が応答を停止し、最終的にサーバー側でリセットされます。
**ソリューション**
クライアント VPN 管理者に新しい設定ファイルを要求します。
## 拡張キー使用法 (EKU)
**問題**
接続が失敗し、ログに次のエラーが返されます。
```
TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
```
**原因**
サーバー認証に成功しました。ただし、クライアント証明書に、サーバー認証に対して有効になっている拡張キー使用法 (EKU) フィールドがあるため、クライアント認証は失敗します。
**ソリューション**
正しいクライアント証明書とキーを使用していることを確認します。必要な場合は、クライアント VPN 管理者に確認してください。このエラーは、クライアント証明書ではなく、サーバー証明書を使用してクライアント VPN エンドポイントに接続する場合に発生する可能性があります。
## 証明書が失効している
**問題**
サーバー認証は成功しますが、クライアント認証は次のエラーで失敗します。
```
WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
```
**原因**
クライアント証明書の有効期限が切れています。
**ソリューション**
クライアント VPN 管理者に新しいクライアント証明書を要求します。
## OpenVPN
以下のトラブルシューティング情報は、macOS High Sierra 10.13.6 上の OpenVPN 接続クライアントソフトウェアのバージョン 2.7.1.100 でテストされました。
設定ファイルは、コンピュータ上の次の場所に保存されます。
```
/Library/Application Support/OpenVPN/profile
```
接続ログは、コンピュータ上の次の場所に保存されます。
```
Library/Application Support/OpenVPN/log/connection_name.log
```
## DNS を解決できない
**問題**
接続が次のエラーで失敗します。
```
Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
```
**原因**
OpenVPN 接続はクライアント VPN DNS 名を解決できません。
**ソリューション**
*AWS Client VPN 管理者ガイド*の「[クライアント VPN エンドポイント DNS 名を解決できない](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#resolve-host-name)」の解決策を参照してください。