OpenConnect 配置文件错误排查：快速定位与修复常见问题

• 遇到 OpenConnect 连接失败，先别慌
• 从日志开始：放大问题的“放大镜”
• 如何获取有用信息
• 常见故障与快速定位
• 1. TLS/证书相关错误（如“certificate verify failed”）
• 2. 认证失败（用户名/密码/Token失效）
• 3. 无法创建 TUN 设备或权限不足
• 4. vpnc-script 执行失败导致路由/DNS未设置
• 5. 连接中断、MTU与分片问题
• 6. TCP/UDP 被中间设备重置或协议不匹配
• 工具与方法要点
• 案例：连接成功但无法访问内网资源
• 常见误区与避免方式
• 小结性的检查清单（便于快速复查）

遇到 OpenConnect 连接失败，先别慌

OpenConnect 虽然轻量可靠，但在不同系统、不同服务端和网络环境下，常会暴露出各类细枝末节的问题。遇到连接不上时，理清诊断思路比盲修更高效。我把常见错误按“现象—根因—排查方法—修复要点”整理，并穿插实际场景与排查工具，帮助快速定位问题。

从日志开始：放大问题的“放大镜”

原则：先收集详细日志，再有针对性排查。OpenConnect 输出、系统日志和网络抓包三者结合，能把绝大多数问题拆解清楚。

如何获取有用信息

启用调试输出，观察认证阶段、TLS 握手、路由/设备配置与脚本执行的顺序与失败点。Linux 系统的 journalctl（systemd）或 /var/log/messages 常会记录 vpnc-script 的错误、权限问题或内核相关的 TUN 设备日志。

常见故障与快速定位

1. TLS/证书相关错误（如“certificate verify failed”）

这种错误常见于证书链不完整、客户端时间错误或服务器使用自签证书。排查步骤：确认系统时间是否准确；查看服务器证书链是否包含中间 CA；检查是否需要使用 –servercert 指定指纹或导入 CA。

2. 认证失败（用户名/密码/Token失效）

除了凭证本身，双因素、Portal 转向、或额外的 HTTP 身份验证也会导致“auth failed”。通过抓包或增加调试级别，查看是否有重定向到 Web 页面、是否需要额外的交互式认证（如 SAML）。如果使用自动化脚本，注意处理交互式挑战。

3. 无法创建 TUN 设备或权限不足

错误表现为“/dev/net/tun: No such device”或“permission denied”。检查 kernel 是否启用 tun 驱动，确认当前用户或服务是否有 CAP_NET_ADMIN 权限，systemd 服务要设置正确的 capability 或使用 NetworkManager 集成。

4. vpnc-script 执行失败导致路由/DNS未设置

vpnc-script 负责在连接成功后配置路由和 DNS。常见问题包括脚本路径错误、脚本无执行权限、脚本与发行版的 DNS 管理器（systemd-resolved/NetworkManager/resolvconf）不兼容。通过手动执行脚本并观察输出，或在脚本中加入临时日志打印，可以定位问题。

5. 连接中断、MTU与分片问题

表现为连接可以建立但大文件传输或 HTTPS 下载失败，常因 MTU 设置过大导致分片丢包。调整 MTU/DF（分片）策略，或在客户端降低虚拟接口 MTU 可缓解。抓包观察 ICMP “fragmentation needed” 是关键证据。

6. TCP/UDP 被中间设备重置或协议不匹配

有些防火墙会拦截 DTLS、ESP 或特定端口的流量，造成握手失败或频繁重置。此时尝试切换协议（如从 default 切到 webvpn 或 ocserv 支持的协议），或启用 TCP 模式进行透传。

工具与方法要点

日志级别调整：提升 OpenConnect 输出等级以捕获握手细节和脚本调用顺序。
系统日志：journalctl -u openconnect 或查看 /var/log 中的相关条目，查找权限、脚本或内核报错。
抓包：tcpdump/wireshark 用于观察握手过程、重定向、ICMP 报文和分片问题。
环境对比法：在已知可用的设备/网络上复现问题，能迅速排除客户端环境或服务端策略差异。
逐步简化：先只做 TLS 握手与认证（不执行脚本、不设置路由），定位是哪一步失败，再逐步加入复杂环节。

案例：连接成功但无法访问内网资源

场景：OpenConnect 显示已连接，ping 内网 IP 失败，浏览器无法访问内网应用。排查步骤按优先级：

1) 检查 vpnc-script 是否设置了路由：若未运行或出错，需要修复脚本或手动添加路由。
2) 查看路由表确认流量是否走虚拟接口；若默认路由未更改，可能采用了分流配置（split-tunnel）。
3) DNS 问题：浏览器无法解析内网域名时，查看系统 DNS 配置是否被覆盖或被 systemd-resolved 拦截。
4) 防火墙策略：服务器端可能限制到特定来源的访问，确认登录用户是否被授权访问目标子网。

常见误区与避免方式

不要只盯着凭证或服务器端日志，很多时候问题出在客户端环境（权限、DNS 管理、MTU）。避免盲目重启服务或更换客户端版本，先收集证据再急于更改配置。

小结性的检查清单（便于快速复查）

1. 日志：OpenConnect 输出 + system 日志；2. 时间同步；3. 证书链完整性；4. TUN 设备与权限；5. vpnc-script 执行与 DNS/路由设置；6. MTU/分片；7. 防火墙/协议兼容；8. 抓包证据。

掌握这些思路后，面对 OpenConnect 的大多数常见故障可以做到“快查、快修”。在复杂环境下，把问题拆成握手、认证、设备/路由配置、传输四个阶段逐一验证，效率最高。