|
Voici la description des paramètres 'Avancés':
Config-Mode
|
Si sélectionné, le Client VPN active le Config-Mode. Le Config-Mode permet de récupérer certains éléments de configuration VPN depuis la gateway/routeur. Si Config-Mode est sélectionné et disponible dans la gateway, les paramètres suivants sont négociés entre le Client VPN IPSec and la gateway distante durant la Phase 1 IKE:
| • | Adresse IP Virtuelle du Client VPN |
| • | Adresse du serveur DNS (optionnel) |
| • | Adresse du serveur WINS (optionnel) |
Dans le cas ou la gateway ne supporte pas le Config-Mode, il est possible de configurer ces adresses IP de serveurs DNS/WINS pour chaque tunnel dans le Client VPN (voir 'P2 avancé').
|
Aggressive Mode
|
Le Client VPN utilisera le mode agressif pour se connecter au routeur VPN distant.
|
Redund. GW
|
Redundant Gateway (ou gateway secours) permet au Client VPN TheGreenBow d'ouvrir un tunnel IPSec avec une gateway de secours dans le cas ou la gateway primaire indisponible ou inaccessible. Saisir une adresse IP ou l'url de la gateway secours (e.g. router.dyndns.com) pour activer la fonction de Gateway Secours.
| • | Client VPN TheGreenBow va essayer de contacter la gateway primaire pour établir un tunnel. Si le tunnel ne peut être établi après plusieurs tentatives (valeur par défaut est 5 essais, configurable dans la fenêtre "Paramètres" puis le champ "Retransmissions"), la gateway secours est utilisée comme nouvelle destination. Le délai entre chaque essais est de 10 sec environ. |
| • | Dans le cas ou la gateway primaire est accessible mais que l'ouverture du tunnel est impossible (e.g. VPN configuration issues), le Client VPN n'essaye pas d'ouvrir les tunnels avec la gateway secours. La configuration VPN nécessite des modifications. |
| • | Dans le cas ou le tunnel a été ouvert avec la gateway primaire et que celle ci supporte Dead Peer Detection, quand le Client VPN détecte que la gateway primaire ne réponds plus, il essaye immédiatement d'ouvrir les tunnels avec la gateway secours. |
| • | Le même comportement s'applique pour la gateway secours. Le Client VPN essayera d'ouvrir les tunnels avec la gateway secours et primaire jusqu'à ce que l'utilisateur quitte le logiciel ou clic sur "Sauver & Appliquer". |
|
Mode NAT-T
|
Le mode NAT-T peut être Forcé, Désactivé ou Automatique.
NAT-T "Desactive" interdit le Client VPN IPSec et la gateway VPN de passer en mode NAT-Traversal.
NAT-T "Automatique" laisse la gateway VPN et le Client VPN IPSec négocier le mode NAT-Traversal.
Dans le mode NAT-T "Forcé" le Client VPN IPSec TheGreenBow force NAT-T par l'encapsulation systématique des packets IPSec dans des trames UDP pour résoudre les problèmes de NAT-Traversal dans certains routeurs intermédiaires.
|
Local ID
|
Le 'Local ID' est l'identifiant de la Phase d'Authentification (Phase1) que le Client VPN envoie au routeur VPN distant. Suivant le Type sélectionné, cet identifiant peut être :
| • | une adresse IP (type = Adresse IP), e.g. 195.100.205.101 |
| • | un nom de domaine (type = FQDN), e.g. gw.mydomain.net |
| • | une adresse email (type = USER FQDN), e.g. support@TheGreenBow.fr |
| • | une chaîne de caractères (type = KEY ID), e.g. 123456 |
| • | Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du Client VPN qui est utilisée par défaut. |
|
Remote ID
|
Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir du routeur VPN distant. Suivant le type sélectionné, cet identifiant peut être :
| • | une adresse IP (type = Adresse IP), par exemple : 80.2.3.4 |
| • | un nom de domaine (type = FQDN), par exemple : routeur.mondomaine.com |
| • | une adresse email (type = USER FQDN), par exemple : admin@mydomain.com |
| • | une chaîne de caractères (type = KEY ID), par exemple : 123456 |
| • | Quand cet paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN qui est utilisée par défaut. |
|
X-Auth
|
Saisir le Login et Password choisis pour la négociation X-AUTH IPSec.
Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/password X-Auth apparaîtra à chaque tentative d'ouverture de tunnel. L'utilisateur à 20 sec. pour saisir les paramètres avant que l'authentification X-Auth soit en défaut. Si l'authentification X-Auth n'est pas complète, le tunnel ne peut pas être ouvert.
|
Hybrid Authentication Mode
|
Le Mode d'Authentification Hybrid est méthode spécifique d'authentification employée dans la Phase1 IKE. Cette méthode assument une asymétrie entre les entités de authentification. Une entité, typiquement un Firewall/Router, authentifie en utilisant des techniques standard de clés publiques (en mode de signature), alors que l'autre entité, typiquement un utilisateur à distance, s'authentifie en utilisant des techniques de 'Challenge Response'. Ces méthodes d'authentification sont employées pour établir, à la fin de la Phase1, IKE SA qui est unidirectionnellement authentifié. Pour rendre cet IKE bidirectionnellement authentifié, cette Phase1 est immédiatement suivie d'un échange de X-Auth [XAUTH]. L'échange X-Auth est employé pour authentifier l'utilisateur à distance. L'utilisation de ces méthodes d'authentification est appelée Mode Hybride d'Authentification. Le Client VPN IPSec TheGreenBow met en oeuvre le RFC 'draft-ietf-ipsec-isakmp-hybrid-auth-05.txt'.
|
Le mode hybride est une
|
