As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Solução de problemas de conexões AWS Client VPN
Use os tópicos a seguir para solucionar problemas que podem ocorrer ao usar uma aplicação cliente para se conectar a um endpoint da Client VPN.
**Topics**
+ [Solução de problemas do endpoint da VPN do Cliente para administradores](#client-vpn-endpoint-troubleshooting)
+ [Envie registros de diagnóstico para AWS Support o cliente AWS fornecido](#windows-troubleshooting-client-send-diagnostics)
+ [Solução de problemas de conexões AWS Client VPN com clientes baseados em Windows](windows-troubleshooting.md)
+ [Solução de problemas de conexões AWS Client VPN com clientes macOS](macos-troubleshooting.md)
+ [Solução de problemas de conexões AWS Client VPN com clientes baseados em Linux](linux-troubleshooting.md)
+ [Solução de problemas comuns AWS do Client VPN](common-troubleshooting.md)
## Solução de problemas do endpoint da VPN do Cliente para administradores
Algumas das etapas deste guia podem ser executadas por você. Outras etapas devem ser executadas pelo administrador de VPN do Cliente no próprio endpoint da VPN do Cliente. As seções a seguir permitem que você saiba quando deverá entrar em contato com o administrador.
Para obter mais informações sobre como solucionar problemas do endpoint da cliente VPN, consulte [Solucionar problemas de cliente VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html) no *Guia do administrador da AWS Client VPN *.
## Envie registros de diagnóstico para AWS Support o cliente AWS fornecido
Se você tiver problemas com o cliente AWS fornecido e precisar entrar em contato AWS Support para ajudar a solucionar o problema, o cliente AWS fornecido tem a opção de enviar os registros de diagnóstico para AWS Support. A opção está disponível nas aplicações de cliente do Windows, macOS e Linux.
Antes de enviar os arquivos, você deve concordar em permitir o acesso AWS Support aos seus registros de diagnóstico. Depois de concordar, fornecemos um número de referência que você pode fornecer para AWS Support que eles possam acessar imediatamente os arquivos.
### Enviar logs de diagnóstico
O cliente AWS fornecido também é chamado de *Site-to-Site VPN Cliente* nas etapas a seguir.
**Para enviar registros de diagnóstico usando o cliente AWS fornecido para Windows**
1. Abra a aplicação **cliente Site-to-Site VPN **.
1. Escolha **Ajuda**, **Enviar logs de diagnóstico**.
1. Na janela **Enviar logs de diagnóstico**, escolha ** Sim**.
1. Na janela**Enviar logs de diagnóstico**, execute uma das seguintes operações:
+ Para copiar o número de referência para a área de transferência, escolha **Yes** (Sim) e, em seguida, **OK**.
+ Para monitorar manualmente o número de referência, escolha **Não**.
Ao entrar em contato AWS Support, você precisará fornecer o número de referência.
**Para enviar registros de diagnóstico usando o cliente AWS fornecido para macOS**
1. Abra a aplicação **cliente Site-to-Site VPN **.
1. Escolha **Ajuda**, **Enviar logs de diagnóstico**.
1. Na janela **Enviar logs de diagnóstico**, escolha ** Sim**.
1. Anote o número de referência na janela de confirmação e, em seguida, escolha ** OK **.
Ao entrar em contato AWS Support, você precisará fornecer o número de referência.
**Para enviar registros de diagnóstico usando o cliente AWS fornecido para o Ubuntu**
1. Abra a aplicação **cliente Site-to-Site VPN **.
1. Escolha **Ajuda**, **Enviar logs de diagnóstico**.
1. Na janela **Send Diagnostic Logs** (Enviar registros de diagnóstico), selecione **Send** (Enviar).
1. Anote o número de referência na janela de confirmação. Você tem a opção de copiar as informações para a área de transferência.
Ao entrar em contato AWS Support, você precisará fornecer o número de referência.
# Solução de problemas de conexões AWS Client VPN com clientes baseados em Windows
As seções a seguir contêm informações sobre problemas que você pode ter ao usar clientes baseados no Windows para se conectar a um endpoint de cliente VPN.
## AWS registros de eventos do cliente fornecidos
O cliente AWS fornecido cria registros de eventos e os armazena no seguinte local em seu computador.
```
C:\Users\User\AppData\Roaming\AWSVPNClient\logs
```
Os seguintes tipos de logs estão disponíveis:
+ **Logs de aplicações**: contêm informações sobre a aplicação. Esses logs são prefixados com "aws\$1vpn\$1client\$1".
+ **Logs do OpenVPN**: contêm informações sobre os processos do OpenVPN. Esses logs são prefixados com "ovpn\$1aws\$1vpn\$1client\$1".
O cliente AWS fornecido usa o serviço Windows para realizar operações raiz. Os logs de serviço do Windows são armazenados no seguinte local no computador:
```
C:\Program Files\Amazon\AWS VPN Client\WinServiceLogs\username
```
**Topics**
+ [AWS registros de eventos do cliente fornecidos](#aws-provided-client)
+ [O cliente não consegue se conectar](#windows-troubleshooting-client-vpn-cannot-connect)
+ [O cliente não consegue se conectar com a mensagem de log “sem adaptadores TAP-Windows”](#windows-troubleshooting-client-vpn-cannot-connect-tap-driver)
+ [O cliente está travado em um estado de reconexão](#windows-troubleshooting-client-vpn-stuck)
+ [O processo de conexão VPN é encerrado inesperadamente](#windows-troubleshooting-client-vpn-quits)
+ [Falha ao iniciar a aplicação](#windows-troubleshooting-client-vpn-cannot-launch)
+ [O cliente não consegue criar um perfil](#windows-troubleshooting-client-vpn-cannot-create-profile)
+ [VPN se desconecta com uma mensagem pop-up](#windows-troubleshooting-client-vpn-connection-terminated)
+ [A falha do cliente ocorre na Dell PCs usando o Windows 10 ou 11](#windows-troubleshooting-client-vpn-crash-dell)
+ [GUI do OpenVPN](#windows-troubleshooting-openvpn-gui)
+ [Cliente OpenVPN Connect](#windows-troubleshooting-openvpn-connect)
+ [Não é possível resolver o DNS](#windows-troubleshooting-openvpn-connect-dns)
+ [Pseudônimo do PKI ausente](#windows-troubleshooting-openvpn-connect-pki)
## O cliente não consegue se conectar
**Problema**
O cliente AWS fornecido não pode se conectar ao endpoint do Client VPN.
**Causa**
A causa desse problema pode ser uma das seguintes:
+ Outro processo OpenVPN já está em execução no computador, o que impede que o cliente se conecte.
+ Seu arquivo de configuração (.ovpn) é inválido.
**Solução**
Verifique se não há outras aplicações do OpenVPN em execução no computador. Se houver, pare ou feche esses processos e tente se conectar ao endpoint da Client VPN novamente. Verifique se há erros nos logs do OpenVPN e peça ao administrador de VPN do Cliente para verificar as seguintes informações:
+ Se o arquivo de configuração contém a chave e o certificado do cliente corretos. Para obter mais informações, consulte [Exportar configuração do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) no *Guia do administrador da AWS Client VPN *.
+ Se a CRL ainda é válida. Para obter mais informações, consulte [Clientes não conseguem se conectar a um endpoint da Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#client-cannot-connect) no *Guia do administrador da AWS Client VPN *.
## O cliente não consegue se conectar com a mensagem de log “sem adaptadores TAP-Windows”
**Problema**
O cliente AWS fornecido não consegue se conectar ao endpoint do Client VPN *e* a seguinte mensagem de erro aparece nos registros do aplicativo: “Não há adaptadores TAP-Windows neste sistema. Você conseguirá criar um adaptador TAP-Windows acessando Iniciar -> Todos os programas -> TAP-Windows -> Utilitários -> Adicionar um novo adaptador Ethernet virtual TAP-Windows”.
**Solução**
É possível corrigir esse problema executando uma ou mais das seguintes ações:
+ Reinicie o adaptador TAP-Windows.
+ Reinstale o driver TAP-Windows.
+ Crie um adaptador TAP-Windows.
## O cliente está travado em um estado de reconexão
**Problema**
O cliente AWS fornecido está tentando se conectar ao endpoint do Client VPN, mas está preso em um estado de reconexão.
**Causa**
A causa desse problema pode ser uma das seguintes:
+ O computador não está conectado à Internet.
+ O nome de host DNS não resolve para um endereço IP.
+ Um processo OpenVPN está tentando se conectar ao endpoint indefinidamente.
**Solução**
Verifique se o computador está conectado à Internet. Peça ao administrador de VPN do Cliente para verificar se a diretiva `remote` no arquivo de configuração é resolvida para um endereço IP válido. Você também pode desconectar a sessão VPN escolhendo **Desconectar** na janela AWS VPN Client e tentar se conectar novamente.
## O processo de conexão VPN é encerrado inesperadamente
**Problema**
Ao se conectar a um endpoint da VPN do Cliente, o cliente fecha inesperadamente.
**Causa**
O TAP-Windows não está instalado no computador. Esse software é necessário para executar o cliente.
**Solução**
Execute novamente o instalador do cliente AWS fornecido para instalar todas as dependências necessárias.
## Falha ao iniciar a aplicação
**Problema**
No Windows 7, o cliente AWS fornecido não é iniciado quando você tenta abri-lo.
**Causa**
O .NET Framework 4.7.2 ou superior não está instalado no computador. Isso é necessário para executar o cliente.
**Solução**
Execute novamente o instalador do cliente AWS fornecido para instalar todas as dependências necessárias.
## O cliente não consegue criar um perfil
**Problema**
Você obtém o erro a seguir ao tentar criar um perfil usando o cliente fornecido pela AWS .
```
The config should have either cert and key or auth-user-pass specified.
```
**Causa**
Se o endpoint da Client VPN usar autenticação mútua, o arquivo de configuração (.ovpn) não conterá o certificado e a chave do cliente.
**Solução**
Certifique-se de que o administrador de Client VPN adicione o certificado e a chave do cliente ao arquivo de configuração. Para obter mais informações, consulte [Exportar configuração do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) no *Guia do administrador da AWS Client VPN *.
## VPN se desconecta com uma mensagem pop-up
**Problema**
A VPN é desconectada com uma mensagem pop-up que diz: “A conexão VPN está sendo encerrada porque o espaço de endereço da rede local à qual seu dispositivo está conectado foi alterado. Estabeleça uma nova conexão VPN.”
**Causa**
O adaptador TAP-Windows não contém a descrição necessária.
**Solução**
Se o `Description` campo não corresponder abaixo, primeiro remova o adaptador TAP-Windows e, em seguida, execute novamente o instalador do cliente AWS fornecido para instalar todas as dependências necessárias.
```
C:\Users\jdoe> ipconfig /all
Ethernet adapter Ethernet 2:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : AWS VPN Client TAP-Windows Adapter V9
Physical Address. . . . . . . . . : 00-FF-50-ED-5A-DE
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
```
## A falha do cliente ocorre na Dell PCs usando o Windows 10 ou 11
**Problema**
Em alguns Dell PCs (desktop e laptop) que executam o Windows 10 ou 11, pode ocorrer uma falha quando você estiver navegando no sistema de arquivos para importar um arquivo de configuração de VPN. Se esse problema ocorrer, você verá mensagens como as seguintes nos registros do cliente AWS fornecido:
```
System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt.
at System.Data.SQLite.UnsafeNativeMethods.sqlite3_open_interop(Byte[] utf8Filename, Int32 flags, IntPtr& db)
at System.Data.SQLite.SQLite3.Open(String strFilename, SQLiteConnectionFlags connectionFlags, SQLiteOpenFlagsEnum openFlags, Int32 maxPoolSize, Boolean usePool)
at System.Data.SQLite.SQLiteConnection.Open()
at STCommonShellIntegration.DataShellManagement.CreateNewConnection(SQLiteConnection& newConnection)
at STCommonShellIntegration.DataShellManagement.InitConfiguration(Dictionary`2 targetSettings)
at DBROverlayIcon.DBRBackupOverlayIcon.initComponent()
```
**Causa**
O sistema de Backup e Recuperação da Dell no Windows 10 e 11 pode causar conflitos com o cliente AWS fornecido, especialmente com os três seguintes DLLs:
+ DBRShellExtension.dll
+ DBROverlayIconBackuped.dll
+ DBROverlayIconNotBackuped.dll
**Solução**
Para evitar esse problema, primeiro certifique-se de que seu cliente esteja atualizado com a versão mais recente do cliente AWS fornecido. Acesse [Download da VPN do Cliente AWS](https://aws.amazon.com/vpn/client-vpn-download/) e, se houver uma versão mais nova disponível, atualize para a versão mais recente.
**Além disso, siga um destes procedimentos:**
+ Se estiver utilizando a aplicação Dell Backup and Recovery, verifique se ele está atualizado. Uma [Publicação no fórum da Dell](https://www.dell.com/community/en/conversations/productivity-software/backup-and-recovery-causing-applications-using-qt5-dlls-to-crash/647f54c6f4ccf8a8dee57b89?commentId=647f6c00f4ccf8a8de92b263#M35007) afirma que esse problema foi resolvido em versões mais recentes da aplicação.
+ Se você não estiver usando a aplicação Dell Backup and Recovery, algumas ações ainda precisarão ser tomadas se você estiver enfrentando esse problema. Se você não quiser atualizar a aplicação, como alternativa, você pode excluir ou renomear os arquivos DLL. No entanto, observe que isso impedirá que a aplicação Dell Backup and Recovery funcione completamente.
**Excluir ou renomear os arquivos DLL**
1. Vá para o Windows Explorer e navegue até o local onde o Dell Backup and Recovery está instalado. Normalmente, ele é instalado no local a seguir, mas talvez seja necessário pesquisar para encontrá-lo.
```
C:\Program Files (x86)\Dell Backup and Recovery\Components\Shell
```
1. Exclua manualmente os seguintes arquivos DLL do diretório de instalação ou renomeie-os. Qualquer ação impedirá que elas sejam carregadas.
+ DBRShellExtension.dll
+ DBROverlayIconBackuped.dll
+ DBROverlayIconNotBackuped.dll
**Você pode renomear os arquivos adicionando “.bak” ao final do nome do arquivo, por exemplo, .dll.bak. DBROverlay IconBackuped**
## GUI do OpenVPN
As informações de solução de problemas a seguir foram testadas nas versões 11.10.0.0 e 11.11.0.0 do software OpenVPN GUI no Windows 10 Home (64 bits) e Windows Server 2016 (64 bits).
O arquivo de configuração é armazenado no seguinte local no computador:
```
C:\Users\User\OpenVPN\config
```
Os logs de conexão são armazenados no seguinte local no computador:
```
C:\Users\User\OpenVPN\log
```
## Cliente OpenVPN Connect
As informações de solução de problemas a seguir foram testadas nas versões 2.6.0.100 e 2.7.1.101 do software cliente OpenVPN Connect no Windows 10 Home (64 bits) e no Windows Server 2016 (64 bits).
O arquivo de configuração é armazenado no seguinte local no computador:
```
C:\Users\User\AppData\Roaming\OpenVPN Connect\profile
```
Os logs de conexão são armazenados no seguinte local no computador:
```
C:\Users\User\AppData\Roaming\OpenVPN Connect\logs
```
## Não é possível resolver o DNS
**Problema**
A conexão falha com o erro a seguir.
```
Transport Error: DNS resolve error on 'cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com (http://cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com/)' for UDP session: No such host is known.
```
**Causa**
O nome DNS não pode ser resolvido. O cliente deve ter precedido o nome DNS com uma string aleatória para impedir o armazenamento em cache DNS. No entanto, alguns clientes não fazem isso.
**Solução**
Consulte a solução para [Não é possível resolver o nome DNS do endpoint da Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#resolve-host-name) no *Guia do administrador da AWS Client VPN *.
## Pseudônimo do PKI ausente
**Problema**
Há falha em uma conexão a um endpoint da VPN do Cliente que não usa autenticação mútua com o erro a seguir.
```
FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias
```
**Causa**
O software cliente OpenVPN Connect tem um problema conhecido em que tenta autenticar usando autenticação mútua. Se o arquivo de configuração não contiver uma chave e um certificado do cliente, haverá falha na autenticação.
**Solução**
Especifique uma chave e um certificado do cliente aleatórios no arquivo de configuração da Client VPN e importe a nova configuração para o software cliente OpenVPN Connect. Como alternativa, use um cliente diferente, como o cliente OpenVPN GUI (v11.12.0.0) ou o cliente Viscosity (v.1.7.14).
# Solução de problemas de conexões AWS Client VPN com clientes macOS
As seções a seguir contêm informações sobre registro em log e problemas que você pode ter ao usar clientes macOS. Certifique-se de que esteja executando a versão mais recente desses clientes.
## AWS registros de eventos do cliente fornecidos
O cliente AWS fornecido cria registros de eventos e os armazena no seguinte local em seu computador.
```
/Users/username/.config/AWSVPNClient/logs
```
Os seguintes tipos de logs estão disponíveis:
+ **Logs de aplicações**: contêm informações sobre a aplicação. Esses logs são prefixados com "aws\$1vpn\$1client\$1".
+ **Logs do OpenVPN**: contêm informações sobre os processos do OpenVPN. Esses logs são prefixados com "ovpn\$1aws\$1vpn\$1client\$1".
O cliente AWS fornecido usa o daemon do cliente para realizar operações raiz. Os logs do daemon são armazenados nos seguintes locais no seu computador:
```
/var/log/AWSVPNClient/AcvcHelperErrLog.txt
/var/log/AWSVPNClient/AcvcHelperOutLog.txt
```
O cliente AWS fornecido armazena os arquivos de configuração no seguinte local em seu computador.
```
/Users/username/.config/AWSVPNClient/OpenVpnConfigs
```
**Topics**
+ [AWS registros de eventos do cliente fornecidos](#macos-troubleshooting-client-vpn-connect)
+ [O cliente não consegue se conectar](#macos-troubleshooting-client-vpn-cannot-connect)
+ [O cliente está travado em um estado de reconexão](#macos-troubleshooting-client-vpn-stuck)
+ [O cliente não consegue criar um perfil](#macos-troubleshooting-client-vpn-cannot-create-profile)
+ [A ferramenta auxiliar é um erro obrigatório](#macos-troubleshooting-helper-tool)
+ [Tunnelblick](#macos-troubleshooting-tunnelblick)
+ [Algoritmo de codificação "AES-256-GCM" não encontrado](#tunnelblick-cipher)
+ [A conexão para de responder e é redefinida](#tunnelblick-connection-reset)
+ [Uso estendido de chave (EKU)](#tunnelblick-eku)
+ [Certificado expirado](#tunnelblick-certificate-expired)
+ [OpenVPN](#macos-troubleshooting-openvpn)
+ [Não é possível resolver o DNS](#macos-openvpn-dns)
## O cliente não consegue se conectar
**Problema**
O cliente AWS fornecido não pode se conectar ao endpoint do Client VPN.
**Causa**
A causa desse problema pode ser uma das seguintes:
+ Outro processo OpenVPN já está em execução no computador, o que impede que o cliente se conecte.
+ Seu arquivo de configuração (.ovpn) é inválido.
**Solução**
Verifique se não há outras aplicações do OpenVPN em execução no computador. Se houver, pare ou feche esses processos e tente se conectar ao endpoint da Client VPN novamente. Verifique se há erros nos logs do OpenVPN e peça ao administrador de VPN do Cliente para verificar as seguintes informações:
+ Se o arquivo de configuração contém a chave e o certificado do cliente corretos. Para obter mais informações, consulte [Exportar configuração do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) no *Guia do administrador da AWS Client VPN *.
+ Se a CRL ainda é válida. Para obter mais informações, consulte [Clientes não conseguem se conectar a um endpoint da cliente VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#client-cannot-connect) no *Guia do administrador da AWS Client VPN *.
## O cliente está travado em um estado de reconexão
**Problema**
O cliente AWS fornecido está tentando se conectar ao endpoint do Client VPN, mas está preso em um estado de reconexão.
**Causa**
A causa desse problema pode ser uma das seguintes:
+ O computador não está conectado à Internet.
+ O nome de host DNS não resolve para um endereço IP.
+ Um processo OpenVPN está tentando se conectar ao endpoint indefinidamente.
**Solução**
Verifique se o computador está conectado à Internet. Peça ao administrador de VPN do Cliente para verificar se a diretiva `remote` no arquivo de configuração é resolvida para um endereço IP válido. Você também pode desconectar a sessão VPN escolhendo **Desconectar** na janela AWS VPN Client e tentar se conectar novamente.
## O cliente não consegue criar um perfil
**Problema**
Você obtém o erro a seguir ao tentar criar um perfil usando o cliente fornecido pela AWS .
```
The config should have either cert and key or auth-user-pass specified.
```
**Causa**
Se o endpoint da Client VPN usar autenticação mútua, o arquivo de configuração (.ovpn) não conterá o certificado e a chave do cliente.
**Solução**
Certifique-se de que o administrador de Client VPN adicione o certificado e a chave do cliente ao arquivo de configuração. Para obter mais informações, consulte [Exportar configuração do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) no *Guia do administrador da AWS Client VPN *.
## A ferramenta auxiliar é um erro obrigatório
**Problema**
Você recebe o seguinte erro ao tentar conectar a VPN.
```
AWS VPN Client Helper Tool is required to establish the connection.
```
**Solução**
Veja o seguinte artigo no AWS re:POST. [AWS VPN Client — A ferramenta auxiliar é um erro obrigatório](https://repost.aws/questions/QUbch5NzWnSyWbGM0hu4w0mg/aws-vpn-client-helper-tool-is-required-error)
## Tunnelblick
As informações de solução de problemas a seguir foram testadas na versão 3.7.8 (compilação 5180) do software Tunnelblick no macOS High Sierra 10.13.6.
O arquivo de configuração para configurações privadas é armazenado no seguinte local no computador:
```
/Users/username/Library/Application Support/Tunnelblick/Configurations
```
O arquivo de configuração para configurações compartilhadas é armazenado no seguinte local no computador:
```
/Library/Application Support/Tunnelblick/Shared
```
Os logs de conexão são armazenados no seguinte local no computador:
```
/Library/Application Support/Tunnelblick/Logs
```
Para aumentar o detalhamento do log, abra a aplicação Tunnelblick, escolha **Configurações** e ajuste o valor para o **Nível de log da VPN**.
## Algoritmo de codificação "AES-256-GCM" não encontrado
**Problema**
Há falha na conexão e erro a seguir é retornado nos logs.
```
2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
```
**Causa**
A aplicação está usando uma versão do OpenVPN que não oferece suporte ao algoritmo de codificação AES-256-GCM.
**Solução**
Escolha uma versão compatível do OpenVPN fazendo o seguinte:
1. Abra a aplicação Tunnelblick.
1. Escolha **Configurações**.
1. Em **Versão do OpenVPN**, escolha **2.4.6 – a versão do OpenSSL é v1.0.2q**.
## A conexão para de responder e é redefinida
**Problema**
Há falha na conexão e erro a seguir é retornado nos logs.
```
MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
```
**Causa**
O certificado do cliente foi revogado. A conexão para de responder depois de tentar autenticar e, por fim, é redefinida no lado do servidor.
**Solução**
Solicite um novo arquivo de configuração ao administrador de VPN do Cliente.
## Uso estendido de chave (EKU)
**Problema**
Há falha na conexão e erro a seguir é retornado nos logs.
```
TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
```
**Causa**
A autenticação do servidor teve êxito. No entanto, há falha na autenticação de cliente porque o certificado do cliente tem o campo de uso estendido de chave (EKU) habilitado para autenticação do servidor.
**Solução**
Certifique-se de que esteja usando o certificado e a chave do cliente corretos. Se necessário, verifique com o administrador de VPN do Cliente. Esse erro poderá ocorrer se você estiver usando o certificado do servidor e não o certificado do cliente para se conectar ao endpoint da VPN do Cliente.
## Certificado expirado
**Problema**
A autenticação do servidor tem êxito, mas há falha na autenticação do cliente com o erro a seguir.
```
WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
```
**Causa**
A validade do certificado do cliente expirou.
**Solução**
Solicite um novo certificado do cliente ao administrador de VPN do Cliente.
## OpenVPN
As informações de solução de problemas a seguir foram testadas na versão 2.7.1.100 do software cliente OpenVPN Connect no macOS High Sierra 10.13.6.
O arquivo de configuração é armazenado no seguinte local no computador:
```
/Library/Application Support/OpenVPN/profile
```
Os logs de conexão são armazenados no seguinte local no computador:
```
Library/Application Support/OpenVPN/log/connection_name.log
```
## Não é possível resolver o DNS
**Problema**
A conexão falha com o erro a seguir.
```
Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
```
**Causa**
O OpenVPN Connect não consegue resolver o nome DNS de VPN do Cliente.
**Solução**
Consulte a solução para [Não é possível resolver o nome DNS do endpoint da Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#resolve-host-name) no *Guia do administrador da AWS Client VPN *.
# Solução de problemas de conexões AWS Client VPN com clientes baseados em Linux
As seções a seguir contêm informações sobre registro em log e sobre problemas que você pode ter ao usar clientes baseados em Linux. Certifique-se de que esteja executando a versão mais recente desses clientes.
**Topics**
+ [AWS registros de eventos do cliente fornecidos](#aws-provided-client)
+ [As consultas ao DNS vão para um servidor de nomes padrão](#aws-client-dns-nameserver)
+ [OpenVPN (linha de comando)](#open-vpn-command-line)
+ [OpenVPN pelo gerenciador de rede (GUI)](#open-vpn-network-manager-gui)
## AWS registros de eventos do cliente fornecidos
O cliente AWS fornecido armazena arquivos de log e arquivos de configuração no seguinte local em seu sistema:
```
/home/username/.config/AWSVPNClient/
```
O processo daemon do cliente AWS fornecido armazena arquivos de log no seguinte local em seu sistema:
```
/var/log/aws-vpn-client/
```
Por exemplo, você pode verificar os seguintes arquivos de log para encontrar erros nos up/down scripts de DNS que causam a falha da conexão:
+ `/var/log/aws-vpn-client/configure-dns-up.log`
+ `/var/log/aws-vpn-client/configure-dns-down.log`
## As consultas ao DNS vão para um servidor de nomes padrão
**Problema**
Em algumas circunstâncias, depois que uma conexão VPN é estabelecida, as consultas DNS ainda irão para o servidor de nomes do sistema padrão, em vez dos servidores de nomes que estão configurados para o endpoint da Client VPN.
**Causa**
O cliente interage com o **systemd-resolve**, um serviço disponível em sistemas Linux, que serve como uma peça central do gerenciamento de DNS. Ele é usado para configurar servidores DNS que são enviados do endpoint da Client VPN. O problema ocorre porque **systemd-resolve** não define a prioridade mais alta para servidores DNS que são fornecidos pelo endpoint da cliente VPN. Em vez disso, anexa os servidores à lista existente de servidores DNS configurados no sistema local. Como resultado, os servidores DNS originais ainda podem ter a prioridade mais alta e, portanto, podem ser usados para resolver consultas de DNS.
**Solução**
1. Adicione a seguinte diretiva na primeira linha do arquivo de configuração do OpenVPN para garantir que todas as consultas ao DNS sejam enviadas ao túnel da VPN.
```
dhcp-option DOMAIN-ROUTE .
```
1. Use o resolvedor de stub fornecido por **systemd-resolve**. Para fazer isso, symlink `/etc/resolv.conf` para `/run/systemd/resolve/stub-resolv.conf` executando o seguinte comando no sistema.
```
sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
```
1. (Opcional) Se não quiser **systemd-resolve** para consultas de DNS de proxy e, em vez disso, gostaria que as consultas fossem enviadas para os servidores de nomes DNS reais diretamente, crie um symlink `/etc/resolv.conf` para `/run/systemd/resolve/resolv.conf`.
```
sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
```
Talvez você queira fazer esse procedimento para ignorar a configuração **resolvida pelo systemd**, por exemplo, para cache de respostas DNS, configuração de DNS por interface, imposição e assim por diante. DNSSec Esta opção é especialmente útil quando você precisa substituir um registro DNS público por um registro privado quando conectado à VPN. Por exemplo, você pode ter um resolvedor DNS privado em sua VPC privada com um registro para www.example.com, que é resolvido para um IP privado. Esta opção pode ser usada para substituir o registro público de www.example.com, que resolve para um IP público.
## OpenVPN (linha de comando)
**Problema**
A conexão não funciona corretamente porque a resolução DNS não está funcionando.
**Causa**
O servidor DNS não está configurado no endpoint da VPN do Cliente ou não está sendo honrado pelo software cliente.
**Solução**
Use as etapas a seguir para verificar se o servidor DNS está configurado e funcionando corretamente.
1. Certifique-se de que uma entrada de servidor DNS esteja presente nos logs. No exemplo a seguir, o servidor DNS `192.168.0.2` (configurado no endpoint da VPN do Cliente) é retornado na última linha.
```
Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0
```
Se não houver nenhum servidor DNS especificado, peça ao administrador de VPN do Cliente para modificar o endpoint da VPN do Cliente e verifique se um servidor DNS (por exemplo, o servidor DNS da VPC) foi especificado para o endpoint da VPN do Cliente. Para obter mais informações, consulte [Endpoints da cliente VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoints.html) no *Guia do administrador da AWS Client VPN *.
1. Certifique-se de que o pacote `resolvconf` esteja instalado executando o comando a seguir.
```
sudo apt list resolvconf
```
A saída deve retornar o seguinte:
```
Listing... Done
resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]
```
Se não estiver instalado, instale-o usando o comando a seguir.
```
sudo apt install resolvconf
```
1. Abra o arquivo de configuração de VPN do Cliente (o arquivo .ovpn) em um editor de texto e adicione as linhas a seguir.
```
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
```
Confira os logs para verificar se o script `resolvconf` foi chamado. Os logs devem conter uma linha semelhante à seguinte:
```
Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init
dhcp-option DNS 192.168.0.2
```
## OpenVPN pelo gerenciador de rede (GUI)
**Problema**
Ao usar o cliente OpenVPN do Gerenciador de rede, há falha na conexão com o erro a seguir.
```
Apr 15 17:11:07 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 5 2018
Apr 15 17:11:07 library versions: OpenSSL 1.1.0g 2 Nov 2017, LZO 2.08
Apr 15 17:11:07 RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known)
Apr 15 17:11:07 RESOLVE: Cannot resolve host
Apr 15 17:11:07 Could not determine IPv4/IPv6 protocol
```
**Causa**
O sinalizador `remote-random-hostname` não é honrado e o cliente não consegue se conectar usando o pacote `network-manager-gnome`.
**Solução**
Consulte a solução para [Não é possível resolver o nome DNS do endpoint da Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#resolve-host-name) no *Guia do administrador da AWS Client VPN *.
# Solução de problemas comuns AWS do Client VPN
Veja a seguir os problemas comuns que podem ocorrer ao usar um cliente para se conectar a um endpoint da Client VPN.
## Falha na negociação de chave TLS
**Problema**
Há falha na negociação de TLS com o erro a seguir.
```
TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
```
**Causa**
A causa desse problema pode ser uma das seguintes:
+ As regras de firewall estão bloqueando o tráfego UDP ou TCP.
+ Você está usando a chave e o certificado do cliente incorretos no arquivo de configuração (.ovpn).
+ A lista de revogação de certificados de cliente (CRL) expirou.
**Solução**
Verifique se as regras de firewall no computador não estão bloqueando o tráfego TCP ou UDP de entrada ou saída nas portas 443 ou 1194. Peça ao administrador de VPN do Cliente para verificar as seguintes informações:
+ Se as regras de firewall para o endpoint da cliente VPN não bloqueiam o tráfego TCP ou UDP nas portas 443 ou 1194.
+ Se o arquivo de configuração contém a chave e o certificado do cliente corretos. Para obter mais informações, consulte [Exportar configuração do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-endpoint-export.html) no *Guia do administrador da AWS Client VPN *.
+ Se a CRL ainda é válida. Para obter mais informações, consulte [Clientes não conseguem se conectar a um endpoint da cliente VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/troubleshooting.html#client-cannot-connect) no *Guia do administrador da AWS Client VPN *.