3.1 客户端连接失败

3.1.1 未开启SPA,提示"连接失败"

问题现象

3.1.1.png

问题确认方式:

  1. 确认当前sdpc设备是否开启了SPA,但是未输入SPA码
  2. 使用诊断修复工具对当前网络进行诊断
  3. 在浏览器上输入sdpc地址进行访问
  4. 使用WireShark抓包

问题可能原因一:浏览器上能够正常访问,工作台连接失败,aTrustTray.exe进程被第三方程序拦截

  1. 使用工作台无法正常连接,使用浏览器能够正常访问

  2. 进入aTrust安装目录将aTrustTray.exe重命名成Chrome.exe,先退出原有工作台,重新打开之后测试是否能够正常访问。 64位操作系统:

    C:\Program Files (x86)\Sangfor\aTrust\aTrustTray\aTrustTray.exe

    32位操作系统

    C:\Program Files\Sangfor\aTrust\aTrustTray\aTrsutTray.exe
    问题解决方案:
  3. 将aTrustTray.exe重命名为Chrome.exe之后能够正常访问说明本地存在软件特意拦截了aTrustTray.exe的网络访问。需要针对aTrustTray.exe进行加白处理

3.1.2 SPA码配置错误,提示“尝试配置的地址是当前在线SDPC,不允许操作”

问题现象

  1. 管理员开始未开启SPA防护策略,用户通过正常的方式登录上线。后续管理员在设备上开启了SPA防护策略。部分已经在线的用户可能会出现工作台进入到接入设置页面,此时配置SPA码提示: 3.1.2.png

    问题确认方式:

  2. 确认当前客户端版本是否小于2310版本

    问题可能原因:

  3. 用户使用普通方式接入之后已经进入到登录状态,后续管理员开启SPA,但是用户未下线的情况下。工作台 进入到接入设置页面设置SPA码,被客户端内部进行了限制。

    问题解决方案:

  4. 不允许修改当前已登录SDPC的spa码问题,已经在高版本优化,可以升级至2410版本客户端

3.1.3 开启SPA,连接失败,网络诊断提示:TCP链接无法建立,接入控制中心失败

问题现象

  1. 接入设置页面输入SPA码之后接入失败

  2. 使用网络诊断提示:TCP链接无法建立,接入控制中心失败 3.1.4.png

    问题确认方式:

  3. 根据网络诊断提示在SDPC控制台上检测是否收到UDP敲门探测包
  4. 使用WireShark在本地抓物理网卡上SDPC地址访问的DTLS请求包。发现TCP都连不上,有DTLS(wireshark版本不同可能显示为SSL)的CLient Hello数据包 3.1.4.2.png 查看DTLS的数据包,发现extension里面有12345678开头的数据就是带了种子的 3.1.4.3.png

问题可能原因:

  1. 客户端中间设备拦截导致UDP敲门包未到达SDPC设备

问题解决方案:

  1. 中间网络设备拦截了UDP敲门包数据包,需要进一步抓包分析PC到SDPC的网络。

  2. 可以尝试切换网络进行重试。如果切换网络之后正常更能佐证是网络环境影响。

3.1.4 开启SPA,连接失败,网络诊断提示:显示TLS握手或后续连接失败

问题现象

  1. 接入设置页面输入SPA码之后接入失败

  2. 使用网络诊断提示:TLS握手或后续链接建立失败,接入控制中心失败 3.1.5.png 出现这个错误说明UDP SPA敲门是成功的,失败在TCP SPA。

问题确认方式:

  1. 使用浏览器访问SDPC接入地址,确认访问报错是否是无法提供安全链接
  2. 使用WireShark在本地抓物理网卡上SDPC地址访问请求包。过滤TLS以及目标IP,分析Client Hello类型数据包 3.1.5.2.png 展开这个Client Hello包,查看Extension字段 3.1.5.3.png Extension字段中添加TCP SPA包(红色框部分)时,加入了TSPA魔字符串。因此如果发现了这个魔字符串,基本可以判断TCP SPA功能是生效的。

问题可能原因:

  1. 中间网络设备代理了SSL连接,导致TCP-SPA扩展被丢弃了

问题解决方案:

  1. 分析服务端审计日志,进一步排查是否是服务端和网络设备相关原因。

3.1.5 开启SPA,Chrome浏览器访问接入地址提示:无法提供安全链接

问题现象

  1. 工作台上正确配置了SPA码,使用工作台能够正常连接并进入到登录页面,但是使用Chrome浏览器无法正常打开登录页面,提示:该网页无法提供安全链接 3.1.6.png

    问题确认方式:

  2. 确认当前使用的Chrome浏览器版本是否大于116, aTrust客户端是否小于2310版本
  3. 使用WireShark抓包,Chrome浏览器和SDPC的Client Hello包长度大于1500 3.1.6.1.jpeg

    问题可能原因:

  4. 2216客户端默认mtu值是1500, chrome浏览器发送的报文长度为1813,低版本未处理TCP数据包被截断场景,解析ssl会话包插入spa标识失败,最后导致spa敲门失败。

    问题解决方案:

  5. 手动关闭Goole浏览器的TLS 1.3 hybridized Kyber support 3.1.6.2.png
  6. 该问题已经在2310及以上版本修复,建议安装最新版本客户端
深信服科技 all right reserved,powered by Gitbook本文档更新于: 2024-09-24 21:28

results matching ""

    No results matching ""