客户端日志显示“AUTH_FAILED”

适用的客户端

Windows OpenVPN Connect

故障现象

客户端无法正常连接终端入云VPN网关，日志中记录如下错误：

AUTH_FAILED

可能原因

• 如果用户配置了静态IP，用户只能建立1个客户端连接，其他的客户端连接会建连失败。
• 使用同一个用户名连续输入5次错误密码后，用户会处于被锁定中。
• 用户名和用户密码不匹配。
• 客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。

处理步骤

• 在口令认证的方式下，请参考以下步骤处理。
  1. 检查客户端是否配置了静态IP。
     1. 登录管理控制台。
     2. 在管理控制台左上角单击图标，选择区域和项目。
     3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络VPN”。
     4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-VPN网关”。
     5. 选择“终端入云VPN网关”页签，单击目标VPN网关操作列的“查看服务端”。
     6. 选择“用户管理 > 用户”，查看用户是否配置了静态IP。
        • 如果显示没有配置静态IP，请继续步骤2。
        • 如果显示已经配置了静态IP，表示当前正被其他用户占用，请断开客户端连接，重新连接。
  2. 检查客户端是否因多次输入错误密码而被系统锁定。

     如果不是用户因为多次输入错误密码而被系统锁定，请继续步骤3。

     如果是用户在多次输入错误密码而被系统锁定，请5分钟后重新登录客户端。

  3. 检查登录客户端使用的用户名和密码是否匹配。

     如果用户名和密码不匹配，请重置用户密码，使用新的密码登录客户端。如何重置用户密码，请参考以下步骤重置用户密码。

     1. 登录管理控制台。
     2. 在管理控制台左上角单击图标，选择区域和项目。
     3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络VPN”。
     4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-VPN网关”。
     5. 选择“终端入云VPN网关”页签，单击目标VPN网关操作列的“查看服务端”。
     6. 选择“用户管理 > 用户”，单击目标用户所在行操作列的“重置密码”。
     7. 填写新密码并确认新密码，单击确定。
• 在证书认证的方式下，请参考以下步骤处理。
  1. 检查导入的客户端CA证书是否正确。
     1. 登录管理控制台。
     2. 在管理控制台左上角单击图标，选择区域和项目。
     3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络VPN”。
     4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-VPN网关”。
     5. 单击“终端入云VPN网关”进入“终端入云VPN网关”页面，单击目标VPN网关操作列的“查看服务端”。
     6. 在服务端页签中，查看客户端CA证书的颁发者信息。
     7. 双击目标客户端CA证书，单击详细信息，查看颁发者信息。

        如果两边的颁发者信息一致，请继续步骤2。

        如果两边的颁发者信息不一致，请参考以下步骤，重新导入客户端CA证书。

        1. 在“服务端”界面，在“客户端认证类型”下拉选项中选择“证书认证 ”，单击“上传CA证书”。
        2. 根据界面提示填写相关信息。

           表1 上传CA证书参数说明

           参数	说明	取值样例
           名称	支持修改。	ca-cert-xxxx
           内容	以文本编辑器（如Notepad++）打开签名证书PEM格式的文件，将证书内容复制到此处。 说明： 推荐使用强密码算法的证书，如RSA3072/4096。 RSA2048加密算法的证书存在风险，请慎用。	-----BEGIN CERTIFICATE----- 证书内容 -----END CERTIFICATE-----

        3. 单击确定。
        4. 在错误的客户端CA证书的操作列，单击“删除”。
        5. 在“删除CA证书”的弹窗中，单击确定。
        6. 下载新的客户端配置文件。
        7. 下载的客户端配置文件为“client_config.zip”。
        8. 解压缩“client_config.zip”至指定目录，如“D:\”目录下。

           解压缩后，可以得到“client_config.ovpn”和“client_config.conf”两个文件。

        9. 以记事本或Notepad++打开“client_config.ovpn”文件。
        10. 添加客户端证书及私钥。
            在<cert></cert>和<key></key>标记对内分别填写客户端证书、客户端证书私钥。

            <cert>
            -----BEGIN CERTIFICATE-----
            此处添加客户端证书
            -----END CERTIFICATE-----
            </cert>
            
            <key>
            -----BEGIN PRIVATE KEY-----
            此处添加客户端私钥
            -----END PRIVATE KEY-----
            </key>

        11. 保存ovpn配置文件。
        12. 打开OpenVPN客户端。
        13. 导入新的客户端配置文件。
        14. 使用客户端重新连接VPN网关。
  2. 检查配置文件中的客户端证书和私钥是否匹配。

     如果配置文件中的证书和私钥不匹配，请重新复制客户端证书和私钥到客户端配置文件中。

     1. 以记事本或Notepad++打开“client_config.ovpn”、客户端证书和客户端私钥文件。
     2. 将客户端证书和私钥复制到“client_config.ovpn”文件中。

        在<cert></cert>和<key></key>标记对内分别填写客户端证书、客户端证书私钥。示例如下：

        <cert>
        -----BEGIN CERTIFICATE-----
        此处添加客户端证书
        -----END CERTIFICATE-----
        </cert>
        
        <key>
        -----BEGIN PRIVATE KEY-----
        此处添加客户端私钥
        -----END PRIVATE KEY-----
        </key>

     3. 保存ovpn配置文件。
     4. 打开OpenVPN客户端。
     5. 导入新的客户端配置文件。
     6. 使用客户端重新连接VPN网关。

如果上述操作仍然无法解决客户端登录问题，请提交工单联系华为工程师。