1、确保客户端系统时间设置与aTrust设备时间一致(如下图所示);因为TCP SPA的信息是根据SPA种子和时间来进行计算的,因此如果客户端时间有误,那么将可能无法通过服务端的TCP SPA校验。
注意:这里的时间和时区无关。请注意区分绝对时间和时区的差异。
建议首先将设备和客户端电脑时区设置为北京东八区,然后对照北京时间进行时间检查。
建议不要在时区不同的情况下进行检查,以免出错
建议在设备上启用时间同步定期更新时间
2、确保终端用户安装了专属客户端(SPA客户端)
2.1、aTrust设备2.2.2之前版本:SPA客户端安装之后会在桌面右下角查看到客户端的图标。点击图标,可查看到客户端有安全专属客户端标识
如果没有安全专属客户端标记,请重新通过aTrust设备控制台下载正确的安装包安装
注意:安装包从设备上下载之后不能修改安装包名称,安装包名称包含种子信息
2.2 aTrust设备2.2.2以及之后版本:如果SPA客户端接入成功以后,历史地址会存下来(原本的客户端逻辑),此时历史地址栏里会带这个【SPA】的标记,代表这个地址存了SPA安全码。
tip:这个时候删除历史地址,也不会删除数据库中存储的安全码,只是删除了历史地址,如果重新输入该地址,SPA安全码仍然会自动填写上。
如果没有出现【SPA】标记,请重新通过aTrust设备控制台下载正确的安装包安装
3、确保SPA种子未过期
aTrust客户端的SPA种子一般是有有效期的,通常在10-15天左右。当有效期过后,客户端发送的UDP敲门数据包是无法通过服务器校验的。因此,请确保客户端的SPA种子有效。
SPA种子过期的情况一般发生在客户端终端之前可以连接aTrust服务器,但某天之后突然连接不上了的时候。如果一开始就连接不上,则该情况出现的概率较低。
2.2.2之前版本:
客户端可以通过使用新的客户端安装包(在安装包名中携带了SPA种子)进行卸载/重装来更新SPA种子
安装包从设备上下载之后不能修改安装包名称,安装包名称包含种子信息
2.2.2以及之后版本的客户端可以重新输入SPA种子
4、确保客户端版本与设备匹配
尝试重新下载新的客户端安装,保障客户端的版本与设备匹配
如果客户端是老版本(不支持SPA手动配置),而服务端是新版本且禁用了老版种子,如果老版客户端无法升级,则aTrust客户端终端无法通过服务器的UDP SPA校验。
5、确保客户端电脑本地TLS协议版本勾选上了如果电脑上TLS协议都没有勾选会导致客户端无法正常进行TLS协议握手
![]()
注意:支持客户端勾选TLS协议版本为TLS1.0 TLS1.1 TLS1.2 TLS1.3
6、确认本地是否存在其他VPN的dns(如127.0.0.1)引流dns数据,存在该dns引流SPA的dns数据就会导致SPA客户端无法正常连接服务器 会出现提示"连接服务器失败"的报错
可以通过诊断工具进行检测是否是其它DNS引流了数据导致异常,诊断工具下载地址:
http://cms.sangfor.com/pages/viewpage.action?pageId=44181850
发表于 2023-5-17 14:15
