ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

VPNが貼れない原因(TLSの場合)

TLS が原因で VPN が貼れない(接続できない)ことは十分あります。
特に AnyConnect / Cisco Secure Client / OpenVPN / SSL-VPN(Firepower / ASA / FortiGate / Palo Alto) などは TLS で制御通信を行うため、TLS の問題があると接続が必ず失敗します。

TLS が原因で VPN が貼れない典型パターン

TLS バージョン不一致

クライアントとサーバーでサポートされている TLS バージョンが違うと接続不可。

クライアントサーバー結果
TLS1.2TLS1.0 のみ❌ 接続失敗
TLS1.3 のみTLS1.2 のみ❌ 接続失敗

Cisco ASA では、tls-version で制御しています。

ssl server-version tlsv1.2
ssl client-version tlsv1.2

古い ASA/FTD では TLS1.0 がデフォルトで ON → 最新クライアントが拒否するケースが多いです。

サーバー証明書の問題(期限切れ・CN不一致)

VPN サーバーが提示する証明書に問題があると TLS ハンドシェイクが失敗します。

  • 証明書期限切れ
  • FQDN と CN/SAN が一致しない
  • 中間証明書が未インストール
  • 自己署名だが AnyConnect で許可されていない

AnyConnect では以下のようなエラーになります:

  • Certificate Validation Failure
  • Unable to complete connection
  • The certificate you are viewing does not match...

暗号スイート(Cipher Suite)の不一致

TLS で使える暗号アルゴリズムが一致しないと VPN は貼れません。

例:

  • クライアント:AES-GCM と ECDHE のみ
  • サーバー:AES-CBC や RSA のみ(古い ASA)

→ TLS ハンドシイク失敗 → VPN不可

ASA の場合:

ssl encryption aes256-sha1 aes128-sha1

ファイアウォールで TLS(443)がブロックされている

SSL-VPN は TLS(TCP443)を利用します。

  • 企業のプロキシ
  • FW の TLS インスペクション
  • FortiGate / Palo Alto の SSL-Decryption

これらが原因で VPN の TLS ハンドシェイクが壊されると接続不可になります。

症状:

  • 固まったまま進まない
  • Client hello が届かない
  • TLS alert が返される

MTU/MSS が原因で TLS パケット断片化 → 接続不可

TLS を使う SSL-VPN はパケットが大きいため、MTU 問題が特に起きやすいです。

よくある設備:

  • NTT ONU + PPPoE 接続(MTU 1454)
  • IPv6 IPoE 経由のプロキシ

TLS ハンドシイクが途中で欠けると接続不可。

対策例:

  • AnyConnect クライアント側で MTU 下げる(1300〜1360 推奨)
  • ASA 側の sysopt connection tcpmss 1300

OCSP / CRL の認証失敗

証明書の失効確認ができないと TLS が失敗します。

  • インターネットに出られないセグメントから接続
  • プロキシで OCSP がブロック

結果:

  • TLS ハンドシイク中に “証明書検証 NG” で切断

VPNメーカー別:TLSが原因のよくあるエラー

Cisco ASA / Firepower

  • AnyConnect was not able to establish a connection to the specified secure gateway
  • The certificate you are viewing does not match...
  • Connection attempt has failed due to server certificate problem

FortiGate

  • TLS handshake failed
  • sslvpn_login_permission denied

Palo Alto (GlobalProtect)

  • Gateway TLS Handshake Failed
  • client hello timeout

結論:TLS は VPN の「入口」なので問題があると必ず失敗します

SSL-VPNは最初の制御通信がすべて TLS を使うため、

  • TLSハンドシイク
  • 証明書検証
  • 暗号スイート交渉

これのどれか 1 つでも失敗すると VPN は貼れません。