Télécharger Acheter ! Support En Ligne Secure, Strong and Simple Client VPN IPSec Trouvez tout le support sur le produit ici. Télécharger Essayez la dernière version du Client VPN IPSec gratuitement! Acheter en ligne Achetez la dernière version du Client VPN IPSec. Support FAQ Documentation Support en ligne Trouvez dans cette rubrique comment résoudre les erreurs d'activation logicielle, les problèmes de Configuration VPN et comment envoyer vos questions à notre support technique. Option de Maintenance Client VPN Option de Maintenance Entrer votre numéro de licence pour vérifier quelle est la version du logiciel que vous pouvez installer. Licence IPSec VPN Client Software FAQ - TheGreenBow VPN Général Qu'est ce qu'un VPN ? Pourquoi IPSec est dans la catégorie "Sécurité forte" ? Qu'est ce que le NAT Traversal ? Mode Tunnel versus Mode Transport ? Preshared key versus Certificats ? IPSec versus SSL ? Comment rendre un réseau WiFi plus sécurisé ? Qu'est ce que le DPD ? Peut-on désactiver Dead Peer Detection (DPD) ? Client VPN IPSec TheGreenBow Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ? Quelles langues sont disponibles sur le Client VPN IPSec TheGreenBow ? Quels sont les passerelles/routeurs VPN compatibles ? Comment connecter le Client VPN IPSec à un Routeur VPN Linksys ? Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ? Le NAT Traversal est il supporté par le Client VPN ? Le Client VPN IPSec TheGreenBow supporte-t-il DNS/WINS discovering ? Client VPN IPSec TheGreenBow est-il compatible avec le routeur WiFi Linksys WRV54G ? Quel port est utilisé par le Client VPN IPSec TheGreenBow ? Peut-on modifier le port IKE? Peut on utiliser le Client VPN IPSec TheGreenBow à travers Microsoft ISA Server 2000 et 2004 ? Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ? Peut on rendre l'interface utilisateur invisible ? Le Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou WRV200 ? Est il possible de définir une gateway de secours ? L'activation du logiciel n'a pas fonctionné Quelle est la configuration VPN à utiliser en cas de test ? Est-ce que je peux avoir des numéros de licence temporaires pour mes clients que nous pourrions utiliser durant nos tests ? Comment lancer automatiquement l'application CRM, lorsque le tunnel IPSec de l'intranet entreprise s'ouvre. Est-ce que le Client VPN est compatible avec les tokens et clés d'authentification bidirectionnelles ? Comment se connecter à un domaine Windows distant en utilisant la fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ? Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ? Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en charge ? Comment voir les connexions VPN ? Comment forcer tout le trafic Internet dans le tunnel VPN ? Le Client VPN IPSec TheGreenBow est-il compatible avec WWAN ? Comment améliorer les performances du trafic VPN en changeant le MTU ? Comment partager son bureau à distance dans un tunnel VPN en un seul click ? Comment désactiver la Gina ? Troubleshootings "J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ? Aucune réponse du routeur VPN ? Tunnel VPN ouvert mais le ping ne fonctionne pas ? Erreur "PAYLOAD MALFORMED" (Mauvaise Phase 1 [SA]) ? Erreur "INVALID COOKIE" ? Erreur "NO KEYSTATE" ? Erreur "received remote ID other than expected" ? Erreur "NO PROPOSAL CHOSEN" (Phase 1)? Erreur "NO PROPOSAL CHOSEN" (Phase 2)? Erreur "INVALID PAYLOAD TYPE" ? Erreur "Default UDP create:[...] must exist as a listener too" Erreur "INVALID ID INFORMATION" ? Ordinateurs portables DELL ou HP avec des chipsets Broadcom Adaptateur Intel Switching Utility Je n'arrive pas à désinstaller le Client VPN Problèmes avec les pilotes TheGreenBow sur Windows Vista Impossible d'ouvrir le tunnel sous Vista, problème avec le firewall Vista ? Purge du pilote sous Windows Visa et Windows Seven Comment installer manuellement les pilotes du Client VPN IPSec ? VPN Overview Qu'est ce qu'un VPN ? Un Réseau Privé Virtuel (RPV ou VPN: Virtual Private Network) est le moyen d'utiliser une infrastructure de télécommunication publique comme Internet, pour fournir à des bureaux ou à des utilisateurs individuels distants la possibilité de se connecter à leur réseau d'information de façon sécurisée. Dans le passé, les entreprises louaient des systèmes coûteux de lignes dédiées entre leurs sites, lignes qui ne pouvaient être utilisées que par eux mêmes. Un VPN fournit le même service mais pour un coût bien inférieur. Un VPN fonctionne en utilisant la "ressource" Internet, et assure la sécurité des données transportées via des mécanismes (procédures et protocoles) permettant le "tunneling" (L2TP ou IPSec). Les données sont chiffrées par l'expéditeur, déchiffrées par le destinataire, créant un tunnel cloisonné, au sein duquel aucune autre donnée ne peut entrer ou transiter. Pourquoi IPSec est dans la catégorie "Sécurité forte" ? IPSec (Internet Protocol Security) fournit un ensemble de services de sécurité à la couche IP en permettant à un système (compatible IPSec) de choisir les protocoles de sécurité requis, de déterminer l'algorithme à employer pour le service concerné, et de mettre en place toutes les clés de cryptage exigées pour assurer les services demandés. L'architecture IPSec est décrite dans la RFC-2401 (www.ietf.org RFC-2401). IPSec a été choisi pour être inclus dans IPv6. IPSec a été conçu initialement comme un protocole de sécurité puissant, et en particulier pour remplacer certains protocoles plus anciens comme PPTP. Aujourd'hui IPSec est le moyen le plus sécurisé pour accéder au réseau d'entreprise via Internet: Mécanismes puissants de chiffrement: Encapsulated Security Payload (ESP) utilisant DES, 3DES, AES avec des clés de longueur importante (128, 192 ou 256 bits). Authentification puissante des identités grace à l'utilisation de X-Auth et des certificats avec des longueur de clé importante (1536, 2048 bits). Utilisation de Internet Key Exchange (IKE) et de ISAKMP pour échanger automatiquement des clés et réaliser des authentifications mutuelles. Protection contre les attaques de type "deni de service". Les protocoles IPSec emploient un mécanisme de fenêtre glissante. Les paquets sont numérotés et seulement acceptés s'ils rentrent dans la fenêtre. Utilisation de clé USB ou de Token/Carte à puce avec le logiciel Client VPN IPSec pour protéger les informations d'identité/authentification et les configurations VPN (spécifique TheGreenBow). Qu'est ce que le NAT Traversal ? Le mécanisme de translation d'adresse réseau (ou IP) a permis de démultiplier les possibilités d'adressage d'entités connectées à un réseau IP (routeurs, serveurs, postes, etc...). Un système effectuant de la translation d'adresse réseau (NAT: Network Address Translation) traduit des adresses d'un système "privé" (qui a éventuellement son propre système d'adresse) en adresse "publique", disponible sur Internet. Ainsi une entreprise peut disposer de son propre système d'adressage et proposer néanmoins à tous les postes de son réseau, de se connecter - éventuellement simultanément - à Internet. Pour réaliser une translation d'adresse, un système gère une table de correspondance entre l'adresse privée et l'adresse publique traduite. Toutefois, comme ils modifient l'entête du paquet IP, ces sytèmes peuvent affecter les entêtes IPSec (situés au même niveau). Pour prendre en compte ce fonctionnement, l'IETF a amendé IPSec avec le principe du NAT-Traversal (NAT-T RFC-3193). Le NAT-T est aujourd'hui mis en oeuvre dans la plupart des passerelles et routeurs VPN. TheGreenBow IPSec VPN Client supporte NAT-T drafts 1, 2 and 3 (incluant udp encapsulation). Mode Tunnel versus Mode Transport ? La différence entre le mode Transport et le mode Tunnel peuvent être définies (www.ietf.org RFC-2401) en utilisant les configurations réseau suivantes : Le mode Tunnel est généralement employé à chaque fois que l'extrémité d'une association de sécurité est un routeur VPN ou que les deux extrémités d'une association de sécurité sont des routeurs VPN, le routeur agissant en tant que proxy pour les serveurs situés derrière lui. Le mode de tunnel chiffre la charge utile et l'en-tête entière (UDP/TCP et IP). Zoom Mode Tunnel Le mode Transport est employé dans le cas où le trafic est destiné à un routeur VPN et où le routeur agit en tant que serveur (p.ex. commandes SNMP). Le mode de transport chiffre seulement la partie de données et laisse l'en-tête IP intact. Zoom Transport Mode Le Client VPN IPSec TheGreenBow supporte les deux modes tunnel et transport. Pre-shared key versus Certificats? L'authentification de l'ordinateur par IPSec est effectuée en employant des clés partagés (i.e. preshared key) ou des Certificats. Une clé partagée identifie l'une des parties pendant la Phase d'authentification. Par définition, "Preshared" signifie que la clé a été partagée avec le correspondant avant d'établir un tunnel VPN sécurisé. La méthode d'authentification la plus forte est l'utilisation d'un système de PKI et de certificats. Toutefois, la mise en oeuvre d'une PKI peut être lourde pour une petite organisation. Il ne faut donc pas sous-estimer l'utilisation de clés partagées qui, bien gérée, peut être facile à mettre en oeuvre, et très puissante.Le client VPN IPSec TheGreenBow supporte les deux modes. IPSec versus SSL ? N'hésitez pas à lire la page "IPSec versus SSL" où nous comparons les deux technologies. Comment rendre un réseau WiFi plus sécurisé ? N'hésitez pas à lire la page "IPSec versus WiFi" où nous faisons une analyse de WEP, 802.11i et comparons les deux technologies. Qu'est ce que DPD ? DPD ou "Dead Peer Detection" est une extension (i.e. RFC3706) de Internet Key Exchange (IKE) pour la détection des extremités IKE non actives. Ce mécanisme est utilisé dans la fonction de "Redundant Gateway" (mécanismes de passerelles de secours). Peut-on désactiver Dead Peer Detection (DPD) ? Oui. Une nouvelle case à cocher apparaît dans le Client VPN IPSec version 5.0 permettant de désactiver DPD facilement. Allez dans 'Panneau de Configuration' > 'Paramètres généraux', puis décochez la case 'Dead Peer Detection (DPD)'. Client VPN IPSec TheGreenBow Pour installer le Client VPN IPSec sur Windows 7: Avant l'installation, cliquez avec le bouton droit de la souris sur 'TheGreenBow_VPN_Client.exe' et choisissez 'Propriétés' Dans la fenetre 'Propriétés', sélectionnez l'onglet 'Compatibilité' Cochez la case 'Exécuter ce programme en mode de compatibilité pour :' et choisissez 'Windows Vista' Cliquez sur 'Ok' Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ? Windows XP 32-bit. WinXP all service packs Windows Server 2003 32-bit Windows Server 2008 32/64-bit Windows Vista 32/64-bit Windows 7 32/64-bit Windows 8 32/64-bit Versions compatibles avec d'anciens systèmes d'exploitation Windows : Windows 2000 Server IPSec VPN Client 4.51 Windows 98 IPSec VPN Client 3.11 Langues disponibles sur le Client VPN IPSec TheGreenBow ? Le Client VPN IPSec TheGreenBow est disponible en plusieurs langues (Allemand, Anglais, Espagnol, Français, Portugais, ...). La langue est choisie durant l'installation du Client VPN IPSec TheGreenBow. Vous pouvez aussi contribuer aux traductions du logiciel via la page de traduction du logiciel VPN. Quels sont les passerelles/routeurs VPN compatibles ? Le client de TheGreenBow IPSec VPN est compatible avec tous les routeurs IPSec conformes aux normes IKE et IPsec. Visitez la liste des routeurs VPN certifiés, qui augmente chaque jour, pour trouver votre routeur VPN. Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et nous travaillerons avec vous pour le certifier. Comment connecter le Client VPN IPSec à un Routeur VPN Linksys ? Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys WRV54G sont supportés. Vous pouvez aussi consulter notre faq Linksys WRV54G. Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ? Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et Cisco 1721 sont supportés. Le NAT Traversal est il supporté par le Client VPN ? Oui. Le Client VPN IPSec TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full implementation). IP address emulation. Incluant le support NAT_OA Incluant NAT keepalive Incluant NAT-T mode agressif Le Client VPN IPSec TheGreenBow supporte-t il DNS/WINS discovering ? Le Client VPN IPSec TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet Key Exchange (IKE) qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs DNS/WINS depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode Config" n'est pas supporté par la gateway distante, le Client VPN IPSec permet aussi la configuration manuelle des serveurs DNS/WINS de l'entreprise. le Client VPN est-il compatible avec le routeur WiFi Linksys WRV54G ? Le Client VPN IPSec TheGreenBow est certifié avec le routeur Linksys WRV54G firmware 2.37 et suivants. N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G. Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPSec d'un Client VPN IPSec avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent depuis, que vous pourrez télécharger ici. Le client VPN IPSec TheGreenBow est aussi certifié avec les routeurs Linksys RV082 et Linksys BEFVP41 (voir aussi la Liste de Routeurs VPN Certifiés ou télécharger les Guides de Configuration VPN). Quel port est utilisé par le Client VPN IPSec TheGreenBow ? Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé. Voir aussi nos autres FAQs : Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? Peut on modifer le port IKE ? Le Client VPN IPSec TheGreenBow et Microsoft ISA Server 2000 & 2004 ? D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPSec ne traverse pas le serveur ISA 2000.Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page suivante: Q838379 dans la base de connaissance Microsoft. Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ? Ce champ est l'adresse IP virtuelle que le Client VPN IPSec aura à l'intérieur du réseau distant. Paradoxalement, avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant. Par exemple, si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart du temps, spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client VPN". En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200, le Client VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53. Cette machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse MAC (physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le Client VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et trouvera) l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné). Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur VPN utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus. Pour plus d'information, télécharger le Guide Utilisateur du Client VPN IPSec TheGreenBow. Peut on rendre l'interface utilisateur invisible ? Il est possible de rendre invisible le Client VPN IPSec. Vous devez télécharger la procédure décrite dans le document : VPN Deployment Guide Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou WRV200 ? Oui, le Client VPN IPSec TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration). Est il possible de définir une gateway de secours ? Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPSec avec la gateway de secours dans le cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction "Dead Peer Detection" ou DPD. Peut on modifer le port IKE ? Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le panneau de configuration et entrer le port dans le champ 'Port IKE'. Voir aussi nos autres FAQs : Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? L'activation du logiciel n'a pas fonctionné TgbStarter.exe et TgbIke.exe sont des composents du Client VPN IPSec TheGreenBow. TgbStarter.exe is the software daemon component (ran as a service) TgbIke.exe is the IPSec/IKE run-time of the software. L'activation du software à echoué. Quand j'essaie d'activer le logiciel, ça ne fonctionne pas (j'ai un message d'erreur). Vous pouvez trouver un guide complet concernant l'activation sur notre guide d'activation en ligne. Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure décrite dans notre manuel d'activation. Quelle est la configuration VPN à utiliser en cas de test ? Cette configuration VPN a été conçue par l'équipe technique de TheGreenBow pour se connecter à nos passerelles VPN IPSec en ligne et aux serveurs. Accessible en permanence, vous pouvez l'utiliser pour tester votre environnement réseaux à tout moment. Cette configuration de test est intégré dans le Client VPN IPSec TheGreenBow. Consultez l'aide en ligne ou télécharger le fichier de configuration ci-dessous. tgbvpn_demo.tgb Est-ce que je peux avoir des numéros de licence temporaires que je peux utiliser pendant mes tests ? Oui, les licences sont valables plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale. Comment lancer automatiquement l'application CRM, lorsque le tunnel IPSec de l'intranet entreprise s'ouvre? Aller à la Phase 2 de votre config tunnel et sélectionner l'onglet "Scripts". Dans cette onglet, vous pourrez choisir l'application que vous voulez lancer avant ou après l'ouverture ou la fermeture du tunnel. Est-ce que le Client VPN est compatible avec les tokens et clés d'authentification bidirectionnelles ? Oui. TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs et bidirectionnelle pour stocker les utilisateurs, les qualifications personnelles telles que des clefs privées, des mots de passe et des certificats numériques. Veuillez vous référer à la liste des Tokens certifiés. Comment se connecter à un domaine Windows distant en utilisant la fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ? Pour ce faire, suivez ces étapes : Cliquer sur 'Phase 2' > onglet 'Avancé', sélectionner 'Peut être ouvert avant le logon Windows'. Puis cliquer sur 'Ok' et 'Sauver'. La prochaine fois que vous ouvrirez une session Windows, une petite fenêtre apparaitra et vous permettra d'ouvrir ce tunnel VPN. Plusieurs connexions VPN peuvent être ouvertes avant l'ouverture de la session Windows. Voir le User Guide pour plus info, utiliser le 'Search' en cherchant 'Gina'. Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draft-ietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP. Vous trouverez ici les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client VPN est derrière un routeur : Phase Port par défaut Où modifier les ports ? Phase1 negotiation UDP Port 500 Aller dans le 'Panneau de configuration' > 'Paramètres' > 'IKE Port' Phase2 negotiation UDP Port 4500 Aller dans le 'Panneau de configuration' > 'Paramètres' > 'NAT-T Port' Trafic après une négociation IPSec/IKE Reste sur le dernier port défini Dans certains hotels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports IKE ET NAT-T en conséquence. Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte uniquement le protocole UDP): IKE Port NAT-T Port 80 443 Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant associés aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils acheminent correctement jusqu'au service IPSec. Voir le diagramme ci-dessus, par exemple, sachant que certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-même et deux routeurs peuvent être nécessaires : oici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers lui-même et que vous voulez ajouter un front-end firewall: firewall-reroute-port.sh Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ? Oui. En paramétrant un nouveau tunnel VPN Aller sur 'Phase1' > onglet 'Certificat'. Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici. Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver'. Vous pouvez télécharger notre Guide d'utilisateur du Client VPN IPSec. Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en charge ? Oui. SHA-1 et SHA-2 256-bit sont supportés. MD5 est aussi supporté. Voir les spécifications du produit. Comment voir les connexions VPN ? Il y a plusieurs façon de voir les connexions VPN ouvertes : Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert. Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration. Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'. Comment forcer tout le trafic Internet dans le tunnel VPN ? Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise. La configuration VPN est simple et nécessite 3 étapes: Allez sur 'Panneau de Configuration' > 'Paramètres généraux' > sélectionnez 'Block connexion non chiffrée' afin d'interdire le trafic non chiffré d'être routé directement vers Internet. Allez sur 'Panneau de Configuration' > 'Phase2' > selectionnez 'Subnet Address' comme 'Type d'adresse' et définissez 'Remote LAN' et 'Subet Mask' à '0.0.0.0', de sorte que tout le trafic (vers n'importe quelle adresse IP) soit routé dans le tunnel VPN. Notez que '0.0.0.0' signifie que tout le trafic y compris le trafic de votre réseau local sera routé dans le tunnel VPN. Sur la passerelle distante, configurez le tunnel VPN de la même manière car les deux configurations doivent être symétriques avec un sous-réseau local de 0.0.0.0/0. Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke: '0.0.0.0/0'). Si supportée, vous aurez besoin pour créer une règle pour autoriser le trafic WAN vers WAN. Le Client VPN IPSec TheGreenBow est-il compatible avec WWAN ? Oui. WWAN signifie Wireless Wide Area Network. WWAN est maintenant compatible avec plusieurs modem/adaptateurs 3G/4G de différents fabricants. WWAN utilise des technologies de télécommunication de réseau mobile telles que WiMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA ou 3G/4G pour transférer des données. La connectivité WWAN permet à un utilisateur d'un ordinateur portable muni d'une carte WWAN de surfer sur internet, de vérifier les emails ou de se connecter à un réseau privé virtuel (VPN) à partir de n'importe où dans les limites régionales du réseau mobile. Microsoft a introduit le pilote miniport WWAN pour supporter cette spécification. L'adaptateur miniport WWAN est utilisé pour gérer l'installation, la configuration, la transmission des paquets, la réception de paquets et la déconnexion des données NDIS. Tous les fabricants doivent prendre en compte les pilotes "Mobile Broadband Driver Model Specification" pour Windows 7 basées sur le modèle du pilote miniport NDIS6.20. Consulter la liste des modems/adaptateurs 3G/4G. Comment améliorer les performances du trafic VPN en changeant le MTU ? La taille de MTU a un impact sur la performance du trafic VPN. Il est possible de changer la taille MTU pour tout le trafic passant par un tunnel VPN. Le Maximum Transmission Unit (MTU) est la taille du plus gros paquet envoyés sur TCP/IP. Les messages plus grand que le MTU doivent être divisés en petits paquets qui diminue la performance. Voici comment modifier le MTU pour le trafic VPN par l'ajout d'une entrée dans la registry: (Ne fonctionne pas sur Vista et Seven avec les version 5.x du logiciel.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters] "MTUSize"=dword:000004b0 Value limits: #4b0 < MTUSize < #ffff (or 1200 < MTUSize < 65535) Remarque pour la version 5.1 du logiciel (sur Windows Vista et Seven): La possibilité de modifier la taille du MTU n'est plus nécéssaire. La taille du MTU du client VPN est réglé automatiquement sur celle de l'interface réseau Windows lors de l'ouverture d'un tunnel. Comment partager son bureau à distance dans un tunnel VPN en un seul click ? Nous avons mis en œuvre le partage de bureau à distance (Remote desktop Sharing) dans le Client VPN IPSec: Cette fonctionnalité permet à un utilisateur de partager sa machine sur le réseau d'entreprise à partir d'un emplacement à distance comme à la maison. Lorsque l'utilisateur clique sur un alias de la session de partage de bureau, le tunnel VPN associés s'ouvre automatiquement, et une session Remote Desktop Protocol est lancé pour atteindre la machine distante. Voir cette fonctionnalité ici Voici les quelques logiciels tiers qui permettent ceci et qui ont utilisé les options en lignes de commande: Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses connexions remote et machines virtualles. Ajouter, éditer, remplacer et trouver rapidement vos connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir automatiquement une session RDP et import un fichier de configuration VPN. Tres bien fait, voir le tutorial video Comment désactiver la Gina ? Le mode Gina est disponible sur Windows Vista et Seven. Toutefois, lorsque Windows revient du mode de veille ou hibernation, il est parfois impossible d'ouvrir un tunnel. Pour corriger cela, il est possible de désactiver le mode de Gina. Téléchargez ces fichiers pour désactiver Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit Téléchargez ces fichiers pour activer Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit Une fois téléchargé, double-cliquez pour exécuter, cliquez sur 'OK' pour confirmer. Troubleshootings "J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ? Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver fichier"). Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN. No response from the VPN server Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN. 115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez aucune trace, des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un équipement de type firewall.Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la machine) qui peuvent être situés entre le Client VPN et le routeur VPN. En particulier, sur Vista, se reporter à la faq suivante. Tunnel VPN ouvert mais le ping ne fonctionne pas ? Si vous avez les traces suivantes, le tunnel VPN IPSec est établi. Vous devriez pouvoir faire un ping sur n'importe quel adresse du réseau LAN. La configuration du Client VPN IPSec TheGreenBow est correct dans ce cas. 121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE] 121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE] 121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH] Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives : Vérifiez la configuration Phase 2 : Adresse Client VPN et adresse réseau distant. Normalement, l'Adresse Client VPN ne devrait pas appartenir au subnet du LAN distant (Lire également comment remplir le champ "Adresse Client VPN" ?)Une fois le tunnel ouvert, des paquets sont envoyés avec le protocole ESP. Ce protocole peut être bloqué par un Firewall. Vérifiez que chaque élément entre le client et le serveur VPN accepte ESP Vérifiez vos traces de serveur VPN. Des paquets peuvent être éliminés par une des règles du Firewall. Verifiez que votre FAI support ESP. Les principaux le supporte. Si vous ne pouvez toujours pas faire de ping, suivez le trafic ICMP sur l'interface LAN du serveur VPN et sur l'interface LAN de l'ordinateur (avec Ethereal par exemple). Vous aurez une indication que le chiffrement fonctionne. Vérifiez le routeur "par défaut" dans la configuration LAN du serveur VPN. Une cible sur votre LAN distant peut recevoir des ping mais ne répond pas parce qu'il n'y a pas de routeur "par défaut" configuré. Vous ne pouvez pas accéder aux ordinateurs par leur nom dans le LAN. Vous devez indiqué leur adresses IP à l'intérieur du LAN. Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document Troubleshooting. Ordinateurs portables DELL ou HP avec des chipsets Broadcom TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans bleus de temps en temps, même si notre Client VPN IPSec n'est pas installé. Adaptateur Intel Switching Utility L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN IPSec est installé. Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre : Allez sur Démarrer/Panneau de configuration/Ajout\Suppression de programmes. Retirez la section Intel PROSet. Allez sur Démarrer/Panneau de configuration Systeme : - Sélectionnez l'onglet Matériel, puis appuyez sur le bouton Gestionnaire de périphériques. - Dans le Gestionnaire de périphériques, cliquez sur le signe plus pour afficher la section Adaptateurs réseaux. - Sélectionnez adaptateur Intel PRO/Wireless LAN 2200 (ou 2100) et faites un clic droit. - Sélectionnez Désinstaller dans le menu pop-up. Redémarrez l'ordinateur. Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils sans-fil au lieu de l'utilitaire Intel PROSet . Pour plus de détails, consultez Intel technical advisory Je n'arrive pas à désinstaller le Client VPN Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours de désinstaller la version précédente d'abord. Solution : Vous pouvez utiliser our tool pour nettoyer les composants restants du Client VPN . Problèmes avec les pilotes TheGreenBow sur Windows Vista Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau avec Windows Update. Cette action peut empêcher qu'un pilote se plante dans certaines configurations de réseau. Aussi, le pack Windows Vista correction de bug KB938194 doit être installé. Plus de détails et téléchargement sont disponibles sur http://support.microsoft.com/?kbid=938194. Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel. L'ouverture du tunnel reste bloquée sur le message : 115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] Ce cas de figure peut arriver sur Windows Vista parce que le Firewall Vista interdit les communi-cations IPSec. TheGreenBow VPN IPSec 4.2 (et supérieures): Le logiciel crée automatiquement des nouvelles règles dans le pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPSec (voir la section "Pare-feu Windows" dans le Guide de l'utilisateur). Note: Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 ci-dessous). TheGreenBow VPN IPSec 4.1(et antérieures) : Afin de permettre les communications IPSec (ou de vérifier qu'ils sont autorisés ou restreinte), procéder comme suit : Etape 1 : Aller au bouton "Démarrer" de Windows et entrer "Pare-feu Windows avec sécurité avancée" dans le champs "Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne de commande entrer "wf". Ouvrir le "Pare-feu Windows avec fonctions avancées de sécurité". Etape 2 : Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...". Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...". Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant". Sélectionner "Port" puis cliquer sur "Suivant". Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500"). Cliquer sur "Suivant". Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500"). Cliquer sur "Suivant". Etape 5 : Vérifier que le champ "Autoriser la connexion" est sélectionné. Cliquer sur "Suivant". Vérifier que le champ "Autoriser la connexion" est sélectionné.Cliquer sur "Suivant". Etape 6 : Vérifier que les champs Domaine, Privées et Publiques sont tous cochés. Cliquer sur "Suivant". Vérifier que les champs Domaine, Privées et Publiques sont tous cochés.Cliquer sur "Suivant". Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer". Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer". Etape 8 : La nouvelle règle est créée. Etape 9 : Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant). Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant). Purge du pilote sous Windows Visa et Windows Seven (IPSec VPN Client 4.* et 5.0) Dans certains cas, le driver TheGreenBow NDIS peut pas être mis à jour avec une installation de nouveaux logiciels. Pour y parvenir, suivez les étapes suivantes: Exécuter 'cmd.exe' en tant qu'administrateur Type 'pnputil.exe-e' et cliquez sur 'Entrée' La réponse devrait ressembler à ceci: Published name : oem68.inf Driver package provider : Atheros Communications Inc. Class : Network adapters Driver version and date : 01/13/2009 7.6.1.204 Signer name : microsoft windows hardware compatibility publisher Published name : oem86.inf Driver package provider : TheGreenBow Class : Network Service Driver version and date : 05/19/2009 1.0.1.20 Signer name : thegreenbow Published name : oem95.inf Driver package provider : Microsoft Class : Mobile devices Driver version and date : 10/06/2004 4.0.4232.0 Signer name : microsoft windows hardware compatibility publisher Published name : oem69.inf Driver package provider : Acer Class : Monitors Driver version and date : 12/11/2006 1.00 Signer name : microsoft windows hardware compatibility publisher Published name : oem78.inf Driver package provider : Microsoft Class : Network Service Driver version and date : 01/24/2007 2.6.553.0 Signer name : microsoft windows hardware compatibility publisher find a "Driver package provider" line with "TheGreenBow" and note the INF file associated with. In our example, it is oem86.inf. type "pnputil.exe -d oem86.inf" Le driver devrait être entièrement supprimé. Comment installer manuellement les pilotes du Client VPN IPSec ? (IPSec VPN Client 4.* et 5.0) Microsoft Windows module d'installation du pilote peut ne pas installer les pilotes troisième partie régulièrement (par exemple IPSec TheGreenBow VPN pilotes ndistgb.inf Client), surtout quand Windows est chargé avec des tâches multiples. Parfois, les paramètres de Registre ne sont pas effectuées correctement, parfois, pas du tout. Il ya une procédure manuelle simple pour vous permettre de démarrer. Les pilotes nécessaires sont encore dans le système, donc aucun téléchargement supplémentaire ne devrait être nécessaire. Voici les étapes: Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'. Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'. Cliquez sur 'Installer...' Cliquez sur 'Installer...' Selectionnez 'Service' et cliquez sur 'Ajouter...'. Selectionnez 'Service' et cliquez sur 'Ajouter...'. Cliquez sur 'Have Disk ...' pour trouver les pilotes. Cliquez sur 'Have Disk ...' pour trouver les pilotes. Cliquez sur "Parcourir..." pour trouver les pilotes. Cliquez sur "Parcourir..." pour trouver les pilotes. Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'. Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'. Recommencer à nouveau avec tous les autres "Connexions réseau" avec lequel que vous souhaitez utiliser le Client VPN IPSec. VPN Documentation Passerelles VPN Guide utilisateur en ligne Documentation sur l'Administration du Client VPN IPSec VPN Release Notes Autres Documentations Datasheet
Client VPN IPSec Trouvez tout le support sur le produit ici. Télécharger Essayez la dernière version du Client VPN IPSec gratuitement! Acheter en ligne Achetez la dernière version du Client VPN IPSec. Support FAQ Documentation Support en ligne Trouvez dans cette rubrique comment résoudre les erreurs d'activation logicielle, les problèmes de Configuration VPN et comment envoyer vos questions à notre support technique. Option de Maintenance Client VPN Option de Maintenance Entrer votre numéro de licence pour vérifier quelle est la version du logiciel que vous pouvez installer. Licence IPSec VPN Client Software FAQ - TheGreenBow VPN Général Qu'est ce qu'un VPN ? Pourquoi IPSec est dans la catégorie "Sécurité forte" ? Qu'est ce que le NAT Traversal ? Mode Tunnel versus Mode Transport ? Preshared key versus Certificats ? IPSec versus SSL ? Comment rendre un réseau WiFi plus sécurisé ? Qu'est ce que le DPD ? Peut-on désactiver Dead Peer Detection (DPD) ? Client VPN IPSec TheGreenBow Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ? Quelles langues sont disponibles sur le Client VPN IPSec TheGreenBow ? Quels sont les passerelles/routeurs VPN compatibles ? Comment connecter le Client VPN IPSec à un Routeur VPN Linksys ? Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ? Le NAT Traversal est il supporté par le Client VPN ? Le Client VPN IPSec TheGreenBow supporte-t-il DNS/WINS discovering ? Client VPN IPSec TheGreenBow est-il compatible avec le routeur WiFi Linksys WRV54G ? Quel port est utilisé par le Client VPN IPSec TheGreenBow ? Peut-on modifier le port IKE? Peut on utiliser le Client VPN IPSec TheGreenBow à travers Microsoft ISA Server 2000 et 2004 ? Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ? Peut on rendre l'interface utilisateur invisible ? Le Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou WRV200 ? Est il possible de définir une gateway de secours ? L'activation du logiciel n'a pas fonctionné Quelle est la configuration VPN à utiliser en cas de test ? Est-ce que je peux avoir des numéros de licence temporaires pour mes clients que nous pourrions utiliser durant nos tests ? Comment lancer automatiquement l'application CRM, lorsque le tunnel IPSec de l'intranet entreprise s'ouvre. Est-ce que le Client VPN est compatible avec les tokens et clés d'authentification bidirectionnelles ? Comment se connecter à un domaine Windows distant en utilisant la fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ? Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ? Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en charge ? Comment voir les connexions VPN ? Comment forcer tout le trafic Internet dans le tunnel VPN ? Le Client VPN IPSec TheGreenBow est-il compatible avec WWAN ? Comment améliorer les performances du trafic VPN en changeant le MTU ? Comment partager son bureau à distance dans un tunnel VPN en un seul click ? Comment désactiver la Gina ? Troubleshootings "J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ? Aucune réponse du routeur VPN ? Tunnel VPN ouvert mais le ping ne fonctionne pas ? Erreur "PAYLOAD MALFORMED" (Mauvaise Phase 1 [SA]) ? Erreur "INVALID COOKIE" ? Erreur "NO KEYSTATE" ? Erreur "received remote ID other than expected" ? Erreur "NO PROPOSAL CHOSEN" (Phase 1)? Erreur "NO PROPOSAL CHOSEN" (Phase 2)? Erreur "INVALID PAYLOAD TYPE" ? Erreur "Default UDP create:[...] must exist as a listener too" Erreur "INVALID ID INFORMATION" ? Ordinateurs portables DELL ou HP avec des chipsets Broadcom Adaptateur Intel Switching Utility Je n'arrive pas à désinstaller le Client VPN Problèmes avec les pilotes TheGreenBow sur Windows Vista Impossible d'ouvrir le tunnel sous Vista, problème avec le firewall Vista ? Purge du pilote sous Windows Visa et Windows Seven Comment installer manuellement les pilotes du Client VPN IPSec ? VPN Overview Qu'est ce qu'un VPN ? Un Réseau Privé Virtuel (RPV ou VPN: Virtual Private Network) est le moyen d'utiliser une infrastructure de télécommunication publique comme Internet, pour fournir à des bureaux ou à des utilisateurs individuels distants la possibilité de se connecter à leur réseau d'information de façon sécurisée. Dans le passé, les entreprises louaient des systèmes coûteux de lignes dédiées entre leurs sites, lignes qui ne pouvaient être utilisées que par eux mêmes. Un VPN fournit le même service mais pour un coût bien inférieur. Un VPN fonctionne en utilisant la "ressource" Internet, et assure la sécurité des données transportées via des mécanismes (procédures et protocoles) permettant le "tunneling" (L2TP ou IPSec). Les données sont chiffrées par l'expéditeur, déchiffrées par le destinataire, créant un tunnel cloisonné, au sein duquel aucune autre donnée ne peut entrer ou transiter. Pourquoi IPSec est dans la catégorie "Sécurité forte" ? IPSec (Internet Protocol Security) fournit un ensemble de services de sécurité à la couche IP en permettant à un système (compatible IPSec) de choisir les protocoles de sécurité requis, de déterminer l'algorithme à employer pour le service concerné, et de mettre en place toutes les clés de cryptage exigées pour assurer les services demandés. L'architecture IPSec est décrite dans la RFC-2401 (www.ietf.org RFC-2401). IPSec a été choisi pour être inclus dans IPv6. IPSec a été conçu initialement comme un protocole de sécurité puissant, et en particulier pour remplacer certains protocoles plus anciens comme PPTP. Aujourd'hui IPSec est le moyen le plus sécurisé pour accéder au réseau d'entreprise via Internet: Mécanismes puissants de chiffrement: Encapsulated Security Payload (ESP) utilisant DES, 3DES, AES avec des clés de longueur importante (128, 192 ou 256 bits). Authentification puissante des identités grace à l'utilisation de X-Auth et des certificats avec des longueur de clé importante (1536, 2048 bits). Utilisation de Internet Key Exchange (IKE) et de ISAKMP pour échanger automatiquement des clés et réaliser des authentifications mutuelles. Protection contre les attaques de type "deni de service". Les protocoles IPSec emploient un mécanisme de fenêtre glissante. Les paquets sont numérotés et seulement acceptés s'ils rentrent dans la fenêtre. Utilisation de clé USB ou de Token/Carte à puce avec le logiciel Client VPN IPSec pour protéger les informations d'identité/authentification et les configurations VPN (spécifique TheGreenBow). Qu'est ce que le NAT Traversal ? Le mécanisme de translation d'adresse réseau (ou IP) a permis de démultiplier les possibilités d'adressage d'entités connectées à un réseau IP (routeurs, serveurs, postes, etc...). Un système effectuant de la translation d'adresse réseau (NAT: Network Address Translation) traduit des adresses d'un système "privé" (qui a éventuellement son propre système d'adresse) en adresse "publique", disponible sur Internet. Ainsi une entreprise peut disposer de son propre système d'adressage et proposer néanmoins à tous les postes de son réseau, de se connecter - éventuellement simultanément - à Internet. Pour réaliser une translation d'adresse, un système gère une table de correspondance entre l'adresse privée et l'adresse publique traduite. Toutefois, comme ils modifient l'entête du paquet IP, ces sytèmes peuvent affecter les entêtes IPSec (situés au même niveau). Pour prendre en compte ce fonctionnement, l'IETF a amendé IPSec avec le principe du NAT-Traversal (NAT-T RFC-3193). Le NAT-T est aujourd'hui mis en oeuvre dans la plupart des passerelles et routeurs VPN. TheGreenBow IPSec VPN Client supporte NAT-T drafts 1, 2 and 3 (incluant udp encapsulation). Mode Tunnel versus Mode Transport ? La différence entre le mode Transport et le mode Tunnel peuvent être définies (www.ietf.org RFC-2401) en utilisant les configurations réseau suivantes : Le mode Tunnel est généralement employé à chaque fois que l'extrémité d'une association de sécurité est un routeur VPN ou que les deux extrémités d'une association de sécurité sont des routeurs VPN, le routeur agissant en tant que proxy pour les serveurs situés derrière lui. Le mode de tunnel chiffre la charge utile et l'en-tête entière (UDP/TCP et IP). Zoom Mode Tunnel Le mode Transport est employé dans le cas où le trafic est destiné à un routeur VPN et où le routeur agit en tant que serveur (p.ex. commandes SNMP). Le mode de transport chiffre seulement la partie de données et laisse l'en-tête IP intact. Zoom Transport Mode Le Client VPN IPSec TheGreenBow supporte les deux modes tunnel et transport. Pre-shared key versus Certificats? L'authentification de l'ordinateur par IPSec est effectuée en employant des clés partagés (i.e. preshared key) ou des Certificats. Une clé partagée identifie l'une des parties pendant la Phase d'authentification. Par définition, "Preshared" signifie que la clé a été partagée avec le correspondant avant d'établir un tunnel VPN sécurisé. La méthode d'authentification la plus forte est l'utilisation d'un système de PKI et de certificats. Toutefois, la mise en oeuvre d'une PKI peut être lourde pour une petite organisation. Il ne faut donc pas sous-estimer l'utilisation de clés partagées qui, bien gérée, peut être facile à mettre en oeuvre, et très puissante.Le client VPN IPSec TheGreenBow supporte les deux modes. IPSec versus SSL ? N'hésitez pas à lire la page "IPSec versus SSL" où nous comparons les deux technologies. Comment rendre un réseau WiFi plus sécurisé ? N'hésitez pas à lire la page "IPSec versus WiFi" où nous faisons une analyse de WEP, 802.11i et comparons les deux technologies. Qu'est ce que DPD ? DPD ou "Dead Peer Detection" est une extension (i.e. RFC3706) de Internet Key Exchange (IKE) pour la détection des extremités IKE non actives. Ce mécanisme est utilisé dans la fonction de "Redundant Gateway" (mécanismes de passerelles de secours). Peut-on désactiver Dead Peer Detection (DPD) ? Oui. Une nouvelle case à cocher apparaît dans le Client VPN IPSec version 5.0 permettant de désactiver DPD facilement. Allez dans 'Panneau de Configuration' > 'Paramètres généraux', puis décochez la case 'Dead Peer Detection (DPD)'. Client VPN IPSec TheGreenBow Pour installer le Client VPN IPSec sur Windows 7: Avant l'installation, cliquez avec le bouton droit de la souris sur 'TheGreenBow_VPN_Client.exe' et choisissez 'Propriétés' Dans la fenetre 'Propriétés', sélectionnez l'onglet 'Compatibilité' Cochez la case 'Exécuter ce programme en mode de compatibilité pour :' et choisissez 'Windows Vista' Cliquez sur 'Ok' Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ? Windows XP 32-bit. WinXP all service packs Windows Server 2003 32-bit Windows Server 2008 32/64-bit Windows Vista 32/64-bit Windows 7 32/64-bit Windows 8 32/64-bit Versions compatibles avec d'anciens systèmes d'exploitation Windows : Windows 2000 Server IPSec VPN Client 4.51 Windows 98 IPSec VPN Client 3.11 Langues disponibles sur le Client VPN IPSec TheGreenBow ? Le Client VPN IPSec TheGreenBow est disponible en plusieurs langues (Allemand, Anglais, Espagnol, Français, Portugais, ...). La langue est choisie durant l'installation du Client VPN IPSec TheGreenBow. Vous pouvez aussi contribuer aux traductions du logiciel via la page de traduction du logiciel VPN. Quels sont les passerelles/routeurs VPN compatibles ? Le client de TheGreenBow IPSec VPN est compatible avec tous les routeurs IPSec conformes aux normes IKE et IPsec. Visitez la liste des routeurs VPN certifiés, qui augmente chaque jour, pour trouver votre routeur VPN. Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et nous travaillerons avec vous pour le certifier. Comment connecter le Client VPN IPSec à un Routeur VPN Linksys ? Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys WRV54G sont supportés. Vous pouvez aussi consulter notre faq Linksys WRV54G. Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ? Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et Cisco 1721 sont supportés. Le NAT Traversal est il supporté par le Client VPN ? Oui. Le Client VPN IPSec TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full implementation). IP address emulation. Incluant le support NAT_OA Incluant NAT keepalive Incluant NAT-T mode agressif Le Client VPN IPSec TheGreenBow supporte-t il DNS/WINS discovering ? Le Client VPN IPSec TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet Key Exchange (IKE) qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs DNS/WINS depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode Config" n'est pas supporté par la gateway distante, le Client VPN IPSec permet aussi la configuration manuelle des serveurs DNS/WINS de l'entreprise. le Client VPN est-il compatible avec le routeur WiFi Linksys WRV54G ? Le Client VPN IPSec TheGreenBow est certifié avec le routeur Linksys WRV54G firmware 2.37 et suivants. N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G. Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPSec d'un Client VPN IPSec avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent depuis, que vous pourrez télécharger ici. Le client VPN IPSec TheGreenBow est aussi certifié avec les routeurs Linksys RV082 et Linksys BEFVP41 (voir aussi la Liste de Routeurs VPN Certifiés ou télécharger les Guides de Configuration VPN). Quel port est utilisé par le Client VPN IPSec TheGreenBow ? Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé. Voir aussi nos autres FAQs : Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? Peut on modifer le port IKE ? Le Client VPN IPSec TheGreenBow et Microsoft ISA Server 2000 & 2004 ? D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPSec ne traverse pas le serveur ISA 2000.Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page suivante: Q838379 dans la base de connaissance Microsoft. Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ? Ce champ est l'adresse IP virtuelle que le Client VPN IPSec aura à l'intérieur du réseau distant. Paradoxalement, avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant. Par exemple, si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart du temps, spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client VPN". En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200, le Client VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53. Cette machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse MAC (physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le Client VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et trouvera) l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné). Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur VPN utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus. Pour plus d'information, télécharger le Guide Utilisateur du Client VPN IPSec TheGreenBow. Peut on rendre l'interface utilisateur invisible ? Il est possible de rendre invisible le Client VPN IPSec. Vous devez télécharger la procédure décrite dans le document : VPN Deployment Guide Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou WRV200 ? Oui, le Client VPN IPSec TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration). Est il possible de définir une gateway de secours ? Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPSec avec la gateway de secours dans le cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction "Dead Peer Detection" ou DPD. Peut on modifer le port IKE ? Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le panneau de configuration et entrer le port dans le champ 'Port IKE'. Voir aussi nos autres FAQs : Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? L'activation du logiciel n'a pas fonctionné TgbStarter.exe et TgbIke.exe sont des composents du Client VPN IPSec TheGreenBow. TgbStarter.exe is the software daemon component (ran as a service) TgbIke.exe is the IPSec/IKE run-time of the software. L'activation du software à echoué. Quand j'essaie d'activer le logiciel, ça ne fonctionne pas (j'ai un message d'erreur). Vous pouvez trouver un guide complet concernant l'activation sur notre guide d'activation en ligne. Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure décrite dans notre manuel d'activation. Quelle est la configuration VPN à utiliser en cas de test ? Cette configuration VPN a été conçue par l'équipe technique de TheGreenBow pour se connecter à nos passerelles VPN IPSec en ligne et aux serveurs. Accessible en permanence, vous pouvez l'utiliser pour tester votre environnement réseaux à tout moment. Cette configuration de test est intégré dans le Client VPN IPSec TheGreenBow. Consultez l'aide en ligne ou télécharger le fichier de configuration ci-dessous. tgbvpn_demo.tgb Est-ce que je peux avoir des numéros de licence temporaires que je peux utiliser pendant mes tests ? Oui, les licences sont valables plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale. Comment lancer automatiquement l'application CRM, lorsque le tunnel IPSec de l'intranet entreprise s'ouvre? Aller à la Phase 2 de votre config tunnel et sélectionner l'onglet "Scripts". Dans cette onglet, vous pourrez choisir l'application que vous voulez lancer avant ou après l'ouverture ou la fermeture du tunnel. Est-ce que le Client VPN est compatible avec les tokens et clés d'authentification bidirectionnelles ? Oui. TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs et bidirectionnelle pour stocker les utilisateurs, les qualifications personnelles telles que des clefs privées, des mots de passe et des certificats numériques. Veuillez vous référer à la liste des Tokens certifiés. Comment se connecter à un domaine Windows distant en utilisant la fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ? Pour ce faire, suivez ces étapes : Cliquer sur 'Phase 2' > onglet 'Avancé', sélectionner 'Peut être ouvert avant le logon Windows'. Puis cliquer sur 'Ok' et 'Sauver'. La prochaine fois que vous ouvrirez une session Windows, une petite fenêtre apparaitra et vous permettra d'ouvrir ce tunnel VPN. Plusieurs connexions VPN peuvent être ouvertes avant l'ouverture de la session Windows. Voir le User Guide pour plus info, utiliser le 'Search' en cherchant 'Gina'. Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draft-ietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP. Vous trouverez ici les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client VPN est derrière un routeur : Phase Port par défaut Où modifier les ports ? Phase1 negotiation UDP Port 500 Aller dans le 'Panneau de configuration' > 'Paramètres' > 'IKE Port' Phase2 negotiation UDP Port 4500 Aller dans le 'Panneau de configuration' > 'Paramètres' > 'NAT-T Port' Trafic après une négociation IPSec/IKE Reste sur le dernier port défini Dans certains hotels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports IKE ET NAT-T en conséquence. Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte uniquement le protocole UDP): IKE Port NAT-T Port 80 443 Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant associés aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils acheminent correctement jusqu'au service IPSec. Voir le diagramme ci-dessus, par exemple, sachant que certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-même et deux routeurs peuvent être nécessaires : oici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers lui-même et que vous voulez ajouter un front-end firewall: firewall-reroute-port.sh Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ? Oui. En paramétrant un nouveau tunnel VPN Aller sur 'Phase1' > onglet 'Certificat'. Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici. Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver'. Vous pouvez télécharger notre Guide d'utilisateur du Client VPN IPSec. Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en charge ? Oui. SHA-1 et SHA-2 256-bit sont supportés. MD5 est aussi supporté. Voir les spécifications du produit. Comment voir les connexions VPN ? Il y a plusieurs façon de voir les connexions VPN ouvertes : Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert. Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration. Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'. Comment forcer tout le trafic Internet dans le tunnel VPN ? Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise. La configuration VPN est simple et nécessite 3 étapes: Allez sur 'Panneau de Configuration' > 'Paramètres généraux' > sélectionnez 'Block connexion non chiffrée' afin d'interdire le trafic non chiffré d'être routé directement vers Internet. Allez sur 'Panneau de Configuration' > 'Phase2' > selectionnez 'Subnet Address' comme 'Type d'adresse' et définissez 'Remote LAN' et 'Subet Mask' à '0.0.0.0', de sorte que tout le trafic (vers n'importe quelle adresse IP) soit routé dans le tunnel VPN. Notez que '0.0.0.0' signifie que tout le trafic y compris le trafic de votre réseau local sera routé dans le tunnel VPN. Sur la passerelle distante, configurez le tunnel VPN de la même manière car les deux configurations doivent être symétriques avec un sous-réseau local de 0.0.0.0/0. Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke: '0.0.0.0/0'). Si supportée, vous aurez besoin pour créer une règle pour autoriser le trafic WAN vers WAN. Le Client VPN IPSec TheGreenBow est-il compatible avec WWAN ? Oui. WWAN signifie Wireless Wide Area Network. WWAN est maintenant compatible avec plusieurs modem/adaptateurs 3G/4G de différents fabricants. WWAN utilise des technologies de télécommunication de réseau mobile telles que WiMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA ou 3G/4G pour transférer des données. La connectivité WWAN permet à un utilisateur d'un ordinateur portable muni d'une carte WWAN de surfer sur internet, de vérifier les emails ou de se connecter à un réseau privé virtuel (VPN) à partir de n'importe où dans les limites régionales du réseau mobile. Microsoft a introduit le pilote miniport WWAN pour supporter cette spécification. L'adaptateur miniport WWAN est utilisé pour gérer l'installation, la configuration, la transmission des paquets, la réception de paquets et la déconnexion des données NDIS. Tous les fabricants doivent prendre en compte les pilotes "Mobile Broadband Driver Model Specification" pour Windows 7 basées sur le modèle du pilote miniport NDIS6.20. Consulter la liste des modems/adaptateurs 3G/4G. Comment améliorer les performances du trafic VPN en changeant le MTU ? La taille de MTU a un impact sur la performance du trafic VPN. Il est possible de changer la taille MTU pour tout le trafic passant par un tunnel VPN. Le Maximum Transmission Unit (MTU) est la taille du plus gros paquet envoyés sur TCP/IP. Les messages plus grand que le MTU doivent être divisés en petits paquets qui diminue la performance. Voici comment modifier le MTU pour le trafic VPN par l'ajout d'une entrée dans la registry: (Ne fonctionne pas sur Vista et Seven avec les version 5.x du logiciel.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters] "MTUSize"=dword:000004b0 Value limits: #4b0 < MTUSize < #ffff (or 1200 < MTUSize < 65535) Remarque pour la version 5.1 du logiciel (sur Windows Vista et Seven): La possibilité de modifier la taille du MTU n'est plus nécéssaire. La taille du MTU du client VPN est réglé automatiquement sur celle de l'interface réseau Windows lors de l'ouverture d'un tunnel. Comment partager son bureau à distance dans un tunnel VPN en un seul click ? Nous avons mis en œuvre le partage de bureau à distance (Remote desktop Sharing) dans le Client VPN IPSec: Cette fonctionnalité permet à un utilisateur de partager sa machine sur le réseau d'entreprise à partir d'un emplacement à distance comme à la maison. Lorsque l'utilisateur clique sur un alias de la session de partage de bureau, le tunnel VPN associés s'ouvre automatiquement, et une session Remote Desktop Protocol est lancé pour atteindre la machine distante. Voir cette fonctionnalité ici Voici les quelques logiciels tiers qui permettent ceci et qui ont utilisé les options en lignes de commande: Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses connexions remote et machines virtualles. Ajouter, éditer, remplacer et trouver rapidement vos connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir automatiquement une session RDP et import un fichier de configuration VPN. Tres bien fait, voir le tutorial video Comment désactiver la Gina ? Le mode Gina est disponible sur Windows Vista et Seven. Toutefois, lorsque Windows revient du mode de veille ou hibernation, il est parfois impossible d'ouvrir un tunnel. Pour corriger cela, il est possible de désactiver le mode de Gina. Téléchargez ces fichiers pour désactiver Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit Téléchargez ces fichiers pour activer Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit Une fois téléchargé, double-cliquez pour exécuter, cliquez sur 'OK' pour confirmer. Troubleshootings "J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ? Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver fichier"). Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN. No response from the VPN server Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN. 115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez aucune trace, des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un équipement de type firewall.Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la machine) qui peuvent être situés entre le Client VPN et le routeur VPN. En particulier, sur Vista, se reporter à la faq suivante. Tunnel VPN ouvert mais le ping ne fonctionne pas ? Si vous avez les traces suivantes, le tunnel VPN IPSec est établi. Vous devriez pouvoir faire un ping sur n'importe quel adresse du réseau LAN. La configuration du Client VPN IPSec TheGreenBow est correct dans ce cas. 121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE] 121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE] 121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH] Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives : Vérifiez la configuration Phase 2 : Adresse Client VPN et adresse réseau distant. Normalement, l'Adresse Client VPN ne devrait pas appartenir au subnet du LAN distant (Lire également comment remplir le champ "Adresse Client VPN" ?)Une fois le tunnel ouvert, des paquets sont envoyés avec le protocole ESP. Ce protocole peut être bloqué par un Firewall. Vérifiez que chaque élément entre le client et le serveur VPN accepte ESP Vérifiez vos traces de serveur VPN. Des paquets peuvent être éliminés par une des règles du Firewall. Verifiez que votre FAI support ESP. Les principaux le supporte. Si vous ne pouvez toujours pas faire de ping, suivez le trafic ICMP sur l'interface LAN du serveur VPN et sur l'interface LAN de l'ordinateur (avec Ethereal par exemple). Vous aurez une indication que le chiffrement fonctionne. Vérifiez le routeur "par défaut" dans la configuration LAN du serveur VPN. Une cible sur votre LAN distant peut recevoir des ping mais ne répond pas parce qu'il n'y a pas de routeur "par défaut" configuré. Vous ne pouvez pas accéder aux ordinateurs par leur nom dans le LAN. Vous devez indiqué leur adresses IP à l'intérieur du LAN. Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document Troubleshooting. Ordinateurs portables DELL ou HP avec des chipsets Broadcom TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans bleus de temps en temps, même si notre Client VPN IPSec n'est pas installé. Adaptateur Intel Switching Utility L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN IPSec est installé. Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre : Allez sur Démarrer/Panneau de configuration/Ajout\Suppression de programmes. Retirez la section Intel PROSet. Allez sur Démarrer/Panneau de configuration Systeme : - Sélectionnez l'onglet Matériel, puis appuyez sur le bouton Gestionnaire de périphériques. - Dans le Gestionnaire de périphériques, cliquez sur le signe plus pour afficher la section Adaptateurs réseaux. - Sélectionnez adaptateur Intel PRO/Wireless LAN 2200 (ou 2100) et faites un clic droit. - Sélectionnez Désinstaller dans le menu pop-up. Redémarrez l'ordinateur. Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils sans-fil au lieu de l'utilitaire Intel PROSet . Pour plus de détails, consultez Intel technical advisory Je n'arrive pas à désinstaller le Client VPN Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours de désinstaller la version précédente d'abord. Solution : Vous pouvez utiliser our tool pour nettoyer les composants restants du Client VPN . Problèmes avec les pilotes TheGreenBow sur Windows Vista Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau avec Windows Update. Cette action peut empêcher qu'un pilote se plante dans certaines configurations de réseau. Aussi, le pack Windows Vista correction de bug KB938194 doit être installé. Plus de détails et téléchargement sont disponibles sur http://support.microsoft.com/?kbid=938194. Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel. L'ouverture du tunnel reste bloquée sur le message : 115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] 115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID] Ce cas de figure peut arriver sur Windows Vista parce que le Firewall Vista interdit les communi-cations IPSec. TheGreenBow VPN IPSec 4.2 (et supérieures): Le logiciel crée automatiquement des nouvelles règles dans le pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPSec (voir la section "Pare-feu Windows" dans le Guide de l'utilisateur). Note: Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 ci-dessous). TheGreenBow VPN IPSec 4.1(et antérieures) : Afin de permettre les communications IPSec (ou de vérifier qu'ils sont autorisés ou restreinte), procéder comme suit : Etape 1 : Aller au bouton "Démarrer" de Windows et entrer "Pare-feu Windows avec sécurité avancée" dans le champs "Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne de commande entrer "wf". Ouvrir le "Pare-feu Windows avec fonctions avancées de sécurité". Etape 2 : Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...". Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...". Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant". Sélectionner "Port" puis cliquer sur "Suivant". Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500"). Cliquer sur "Suivant". Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500"). Cliquer sur "Suivant". Etape 5 : Vérifier que le champ "Autoriser la connexion" est sélectionné. Cliquer sur "Suivant". Vérifier que le champ "Autoriser la connexion" est sélectionné.Cliquer sur "Suivant". Etape 6 : Vérifier que les champs Domaine, Privées et Publiques sont tous cochés. Cliquer sur "Suivant". Vérifier que les champs Domaine, Privées et Publiques sont tous cochés.Cliquer sur "Suivant". Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer". Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer". Etape 8 : La nouvelle règle est créée. Etape 9 : Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant). Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant). Purge du pilote sous Windows Visa et Windows Seven (IPSec VPN Client 4.* et 5.0) Dans certains cas, le driver TheGreenBow NDIS peut pas être mis à jour avec une installation de nouveaux logiciels. Pour y parvenir, suivez les étapes suivantes: Exécuter 'cmd.exe' en tant qu'administrateur Type 'pnputil.exe-e' et cliquez sur 'Entrée' La réponse devrait ressembler à ceci: Published name : oem68.inf Driver package provider : Atheros Communications Inc. Class : Network adapters Driver version and date : 01/13/2009 7.6.1.204 Signer name : microsoft windows hardware compatibility publisher Published name : oem86.inf Driver package provider : TheGreenBow Class : Network Service Driver version and date : 05/19/2009 1.0.1.20 Signer name : thegreenbow Published name : oem95.inf Driver package provider : Microsoft Class : Mobile devices Driver version and date : 10/06/2004 4.0.4232.0 Signer name : microsoft windows hardware compatibility publisher Published name : oem69.inf Driver package provider : Acer Class : Monitors Driver version and date : 12/11/2006 1.00 Signer name : microsoft windows hardware compatibility publisher Published name : oem78.inf Driver package provider : Microsoft Class : Network Service Driver version and date : 01/24/2007 2.6.553.0 Signer name : microsoft windows hardware compatibility publisher find a "Driver package provider" line with "TheGreenBow" and note the INF file associated with. In our example, it is oem86.inf. type "pnputil.exe -d oem86.inf" Le driver devrait être entièrement supprimé. Comment installer manuellement les pilotes du Client VPN IPSec ? (IPSec VPN Client 4.* et 5.0) Microsoft Windows module d'installation du pilote peut ne pas installer les pilotes troisième partie régulièrement (par exemple IPSec TheGreenBow VPN pilotes ndistgb.inf Client), surtout quand Windows est chargé avec des tâches multiples. Parfois, les paramètres de Registre ne sont pas effectuées correctement, parfois, pas du tout. Il ya une procédure manuelle simple pour vous permettre de démarrer. Les pilotes nécessaires sont encore dans le système, donc aucun téléchargement supplémentaire ne devrait être nécessaire. Voici les étapes: Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'. Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'. Cliquez sur 'Installer...' Cliquez sur 'Installer...' Selectionnez 'Service' et cliquez sur 'Ajouter...'. Selectionnez 'Service' et cliquez sur 'Ajouter...'. Cliquez sur 'Have Disk ...' pour trouver les pilotes. Cliquez sur 'Have Disk ...' pour trouver les pilotes. Cliquez sur "Parcourir..." pour trouver les pilotes. Cliquez sur "Parcourir..." pour trouver les pilotes. Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'. Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'. Recommencer à nouveau avec tous les autres "Connexions réseau" avec lequel que vous souhaitez utiliser le Client VPN IPSec. VPN Documentation Passerelles VPN Guide utilisateur en ligne Documentation sur l'Administration du Client VPN IPSec VPN Release Notes Autres Documentations Datasheet
