Base de connaissance VPN
VPN FAQ

  FAQ Logiciel Client VPN TheGreenBow

VPN Généralités

Logiciel Client VPN TheGreenBow

Client VPN TheGreenBow IPv6

Troubleshootings

VPN Généralités

Qu'est-ce qu'un VPN ?
Un Réseau Privé Virtuel (RPV ou VPN: Virtual Private Network) est le moyen d'utiliser une infrastructure de télécommunication publique comme Internet, pour fournir à des bureaux ou à des utilisateurs individuels distants la possibilité de se connecter à leur réseau d'information de façon sécurisée. Dans le passé, les entreprises louaient des systèmes coûteux de lignes dédiées entre leurs sites, lignes qui ne pouvaient être utilisées que par eux mêmes. Un VPN fournit le même service mais pour un coût bien inférieur.

Un VPN fonctionne en utilisant la "ressource" Internet, et assure la sécurité des données transportées via des mécanismes (procédures et protocoles) permettant le "tunneling" (L2TP ou IPsec).
Les données sont chiffrées par l'expéditeur, déchiffrées par le destinataire, créant un tunnel cloisonné, au sein duquel aucune autre donnée ne peut entrer ou transiter.
Pourquoi IPsec est-il considéré comme assurant une sécurité forte ?
IPsec (Internet Protocol Security) fournit un ensemble de services de sécurité à la couche IP en permettant à un système (compatible IPsec) de choisir les protocoles de sécurité requis, de déterminer l'algorithme à employer pour le service concerné, et de mettre en place toutes les clés de cryptage exigées pour assurer les services demandés. L'architecture IPsec est décrite dans la RFC-2401 (www.ietf.org RFC-2401). IPsec a été choisi pour être inclus dans IPv6. IPsec a été conçu initialement comme un protocole de sécurité puissant, et en particulier pour remplacer certains protocoles plus anciens comme PPTP.

Aujourd'hui IPsec est le moyen le plus sécurisé pour accéder au réseau d'entreprise via Internet:
  • Mécanismes puissants de chiffrement: Encapsulated Security Payload (ESP) utilisant DES, 3DES, AES avec des clés de longueur importante (128, 192 ou 256 bits).
  • Authentification puissante des identités grace à l'utilisation de X-Auth et des certificats avec des longueur de clé importante (1536, 2048 bits).
  • Utilisation de Internet Key Exchange (IKE) et de ISAKMP pour échanger automatiquement des clés et réaliser des authentifications mutuelles.
  • Protection contre les attaques de type "deni de service". Les protocoles IPsec emploient un mécanisme de fenêtre glissante. Les paquets sont numérotés et seulement acceptés s'ils rentrent dans la fenêtre.
  • Utilisation de clé USB ou de Token/Carte à puce avec le logiciel Client VPN pour protéger les informations d'identité/authentification et les configurations VPN (spécifique TheGreenBow).
Qu'est ce que le NAT Traversal ?
Le mécanisme de translation d'adresse réseau (ou IP) a permis de démultiplier les possibilités d'adressage d'entités connectées à un réseau IP (routeurs, serveurs, postes, etc.). Un système effectuant de la translation d'adresse réseau (NAT: Network Address Translation) traduit des adresses d'un système "privé" (qui a éventuellement son propre système d'adresse) en adresse "publique", disponible sur Internet.

Ainsi une entreprise peut disposer de son propre système d'adressage et proposer néanmoins à tous les postes de son réseau, de se connecter - éventuellement simultanément - à Internet.

Pour réaliser une translation d'adresse, un système gère une table de correspondance entre l'adresse privée et l'adresse publique traduite. Toutefois, comme ils modifient l'entête du paquet IP, ces sytèmes peuvent affecter les entêtes IPsec (situés au même niveau). Pour prendre en compte ce fonctionnement, l'IETF a amendé IPsec avec le principe du NAT-Traversal (NAT-T RFC-3193). Le NAT-T est aujourd'hui mis en oeuvre dans la plupart des passerelles et routeurs VPN.

TheGreenBow IPsec VPN Client supporte NAT-T drafts 1, 2 and 3 (incluant udp encapsulation).
Mode Tunnel versus Mode Transport
La différence entre le mode Transport et le mode Tunnel peuvent être définies (www.ietf.org RFC-2401) en utilisant les configurations réseau suivantes :
  • Le mode Tunnel est généralement employé à chaque fois que l'extrémité d'une association de sécurité est un routeur VPN ou que les deux extrémités d'une association de sécurité sont des routeurs VPN, le routeur agissant en tant que proxy pour les serveurs situés derrière lui. Le mode de tunnel chiffre la charge utile et l'en-tête entière (UDP/TCP et IP).

    Tunnel mode

    Zoom
    Mode Tunnel

  • Le mode Transport est employé dans le cas où le trafic est destiné à un routeur VPN et où le routeur agit en tant que serveur (p.ex. commandes SNMP). Le mode de transport chiffre seulement la partie de données et laisse l'en-tête IP intact.


    Transport mode

    Zoom
    Transport Mode

Le Client VPN TheGreenBow supporte les deux modes tunnel et transport.
Pre-shared key versus Certificats
L'authentification de l'ordinateur par IPsec est effectuée en employant des clés partagés (i.e. preshared key) ou des Certificats. Une clé partagée identifie l'une des parties pendant la Phase d'authentification. Par définition, "Preshared" signifie que la clé a été partagée avec le correspondant avant d'établir un tunnel VPN sécurisé.

La méthode d'authentification la plus forte est l'utilisation d'un système de PKI et de certificats. Toutefois, la mise en oeuvre d'une PKI peut être lourde pour une petite organisation. Il ne faut donc pas sous-estimer l'utilisation de clés partagées qui, bien gérée, peut être facile à mettre en oeuvre, et très puissante.

Le Client VPN TheGreenBow supporte les deux modes.
IPsec versus SSL
N'hésitez pas à lire la page "IPsec versus SSL" où nous comparons les deux technologies.
Comment rendre un réseau WiFi plus sécurisé ?
N'hésitez pas à lire la page "IPsec versus WiFi" où nous faisons une analyse de WEP, 802.11i et comparons les deux technologies.
Qu'est ce que le DPD ?
Le DPD ou "Dead Peer Detection" est une extension (i.e. RFC3706) de Internet Key Exchange (IKE) pour la détection des extremités IKE non actives. Ce mécanisme est utilisé dans la fonction de "Redundant Gateway" (mécanismes de passerelles de secours).
Peut-on désactiver le DPD (Dead Peer Detection) ?
Depuis la version 5, le Client VPN TheGreenBow permet de désactiver la fonction de DPD.
Pour les tunnels IKEv1, il suffit de décocher la case "Dead Peer Detection" dans les Paramètres généraux.

Client VPN TheGreenBow

Quelles versions de Windows sont supportées par le Client VPN TheGreenBow ?
  • Windows Vista 32/64-bit
  • Windows 7 32/64-bit
  • Windows 8 32/64-bit
  • Windows 8.1 32/64-bit
  • Windows 10 32/64-bit
  • Windows Server 2008 32/64-bit
  • Windows Server 2012 32/64-bit

TheGreenBow  Software Supports Windows 8 32/64-bit
32/64 bit TheGreenBow  Software Supports Windows 10 32/64-bit
32/64 bit

Anciennes versions de Windows

Télécharger ici les versions du Client VPN disponibles pour les anciennes versions de windows :

Windows XP /Server 2003 VPN Client 5.55
Windows 2000 Server VPN Client 4.51
Windows 98 VPN Client 3.11

Langues disponibles pour le Client VPN TheGreenBow
Le Client VPN TheGreenBow est disponible en plusieurs langues (Allemand, Anglais, Espagnol, Français, Portugais, etc.).
La langue est choisie durant l'installation du Client VPN TheGreenBow.

Vous pouvez aussi contribuer aux traductions du logiciel via la page de traduction du logiciel VPN.
Quels sont les passerelles/routeurs VPN compatibles ?
Le client de TheGreenBow IPsec VPN est compatible avec tous les routeurs IPsec conformes aux normes IKE et IPsec. Visitez la liste des routeurs VPN qualifiés, qui augmente chaque jour, pour trouver votre routeur VPN.

Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et nous travaillerons avec vous pour le qualifier.
Comment connecter le Client VPN à un Routeur VPN Linksys ?
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons qualifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.

Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys WRV54G sont supportés. Vous pouvez aussi consulter notre faq Linksys WRV54G.
Comment configurer le Client VPN pour un Routeur VPN Cisco ?
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons qualifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.

Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et Cisco 1721 sont supportés.
Le NAT Traversal est il supporté par le Client VPN ?
Oui. Le Client VPN TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full implementation). IP address emulation.
  • Incluant le support NAT_OA
  • Incluant NAT keepalive
  • Incluant NAT-T mode agressif
Le Client VPN TheGreenBow supporte-t il DNS/WINS discovering ?
Le Client VPN TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet Key Exchange (IKE) qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs DNS/WINS depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode Config" n'est pas supporté par la gateway distante, le Client VPN permet aussi la configuration manuelle des serveurs DNS/WINS de l'entreprise.
Le Client VPN est-il compatible avec le routeur WiFi Linksys WRV54G ?
Le Client VPN TheGreenBow est qualifié avec le routeur Linksys WRV54G firmware 2.37 et suivants. N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G.

Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPsec d'un Client VPN avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent depuis, que vous pourrez télécharger ici.

Le Client VPN TheGreenBow est aussi qualifié avec les routeurs Linksys RV082 et Linksys BEFVP41 (voir aussi la Liste de Routeurs VPN qualifiés ou télécharger les Guides de Configuration VPN).
Quel ports sont utilisés par le Client VPN TheGreenBow ?
Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé.

Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
Peut on modifer le port IKE ?
Le Client VPN TheGreenBow et Microsoft ISA Server 2000 & 2004 ?
D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPsec ne traverse pas le serveur ISA 2000.

Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page suivante: Q838379 dans la base de connaissance Microsoft.
Que doit-on remplir dans le champ "Adresse Client VPN" en Phase 2 ?
Ce champ est l'adresse IP virtuelle que le Client VPN aura à l'intérieur du réseau distant. Paradoxalement, avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant.
Par exemple, si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart du temps, spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client VPN".

En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200, le Client VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53. Cette machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse MAC (physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le Client VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et trouvera) l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné).

Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur VPN utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus.

Pour plus d'information, télécharger le Guide Utilisateur du Client VPN TheGreenBow.
Peut on rendre l'interface utilisateur invisible ?
Il est possible de rendre invisible le Client VPN . Vous devez télécharger la procédure décrite dans le document : VPN Deployment Guide
Le Client VPN est-il compatible avec les Linksys WRVS4400N ou WRV200 ?
Oui, le Client VPN TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration).
Est il possible de définir une gateway de secours ?
Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPsec avec la gateway de secours dans le cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction "Dead Peer Detection" ou DPD.
Peut on modifer le port IKE ?
Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le panneau de configuration et entrer le port dans le champ 'Port IKE'.

Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
A quoi correspondent les exécutables TgbStarter.exe et TgbIke.exe ?
TgbStarter.exe et TgbIke.exe sont des composents du Client VPN TheGreenBow.
  • TgbStarter.exe est le composant "daemon" du logiciel. Il est exécuté en tant que service.
  • TgbIke.exe est le composant IKE/IPsec du logiciel.
L'activation du logiciel à echoué.
Lorsque j'essaye d'activer le logiciel, j'obtiens une erreur d'activation.

Veuillez vous reporter à notre guide complet concernant l'activation sur notre guide d'activation en ligne.

Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure d'activation manuelle décrite sur ce lien : Activation manuelle.
Existe-t il une configuration VPN à utiliser pour tester le Client VPN ?
Une configuration VPN a été conçue par l'équipe technique de TheGreenBow pour se connecter à nos passerelles VPN IPsec en ligne et aux serveurs. Accessible en permanence, vous pouvez l'utiliser pour tester votre environnement réseaux à tout moment. Cette configuration de test est intégré dans le Client VPN TheGreenBow. Consultez l'aide en ligne ou télécharger le fichier de configuration ci-dessous.

   tgbvpn_demo.tgb
Est-il possible d'avoir des licences temporaires pour test ?
TheGreenBow peut fournir des licences temporaires permettant de poursuivre les tests du logiciel au delà de la période d'évaluation de 30 jours. Ces licences temporaires peuvent durer plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale.
Est-il possible d'ouvrir automatiquement mon CRM quand le tunnel est ouvert ?
Le Client VPN TheGreenBow permet de configurer l'exécution automatique de scripts dès que le tunnel est ouvert, ou lorsqu'il vient de se fermer. Il suffit de choisir l'application à lancer avant ou aprè l'ouverture ou la fermeture du tunnel et de la configurer dans l'onglet "scripts" du tunnel concerné.

Exemple de scripts pouvant être configurés :
  • Accès à l'intranet de l'entreprise
  • Ouverture automatique de l'outil CRM dès que le tunnel est ouvert
  • Vérification de l'état du poste avant ouverture du tunnel
  • Transmission automatique dans le tunnel de l'état du poste au système de gestion de la sécurité de l'entreprise (SIEM)
  • Mémorisation de paramètres avant ouverture du tunnel, et restauration de ces paramètres après la fermeture
  • etc.
Le Client VPN est-il compatible avec les moyens d'authentification à deux facteurs ?
Oui. Le Client VPN TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs et bidirectionnelle pour stocker les utilisateurs, les qualifications personnelles telles que des clefs privées, des mots de passe et des certificats numériques. Veuillez vous référer à la liste des Tokens qualifiés.
Connexion VPN à un domaine Windows avant le Logon Windows ?
Le Client VPN TheGreenBow permet d'établir une connexion VPN avant le logon Windows, par exemple pour ouvrir une connexion sécurisée vers un domaine Windows. Tout tunnel VPN peut être configuré pour pouvoir être ouvert avant le logon Windows, dans l'onglet "Automatisation" du tunnel, en cochant la case : "Peut être ouvert avant le logon Windows".
Cette fonction est décrite dans le Guide Utilisateur du Client VPN au chapitre "Mode GINA".
Comment configurer une connexion VPN dans un hôtel ou vers une borne wifi ?
Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draft-ietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP.

La table ci-dessous décrit les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client VPN est derrière un routeur :

PhasePort par défautOù modifier les ports ?
Phase 1UDP Port 500Paramètres généraux > Port IKE
Phase 2UDP Port 4500Paramètres généraux > Port NAT
Trafic IPsecReste sur le dernier port défini 


Dans certains hôtels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports IKE ET NAT-T en conséquence.

Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte uniquement le protocole UDP):

Port IKEPort NAT-T
80443


Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant associé aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils acheminent correctement jusqu'au service IPsec. Voir le diagramme ci-dessus, par exemple, sachant que certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-mêmes et deux routeurs peuvent être nécessaires :


Voici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers lui-même et que vous voulez ajouter un front-end firewall :

   firewall-reroute-port.sh
Est-il possible d'utiliser des certificats utilisateurs depuis le magasin Windows ?
Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ?
Oui. En paramétrant un nouveau tunnel VPN :
  • Aller sur 'Phase1' > onglet 'Certificat'.
  • Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici.
  • Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver'.
Vous pouvez télécharger notre Guide d'utilisateur du Client VPN.

Le Client VPN supporte-t-il SHA-2 ?
Le Client VPN TheGreenBow supporte SHA-1 et SHA-2 256 bit. Le Client VPN support aussi MD5.
Voir les spécifications du Client VPN.
Comment visualiser les connexions VPN ?
Il y a plusieurs façon de visualiser les connexions VPN ouvertes :
  • Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert.
  • Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration.
  • Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'.
Comment forcer tout le trafic Internet dans le tunnel VPN ?
Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise.

La configuration VPN est simple et nécessite 3 étapes :
  • Dans le 'Panneau de Configuration' > 'Paramètres généraux' > sélectionner 'Bloquer les flux non chiffrés' afin d'interdire le trafic non chiffré d'être routé directement vers Internet.
  • Dans le 'Panneau de Configuration' > 'Phase2' > sélectionner 'Adresse réseau' comme 'Type d'adresse' et définir 'Adresse réseau distant' et 'Masque réseau' à '0.0.0.0', de sorte que tout le trafic (vers n'importe quelle adresse IP) soit routé dans le tunnel VPN. Noter que '0.0.0.0' signifie que tout le trafic y compris le trafic du réseau local sera routé dans le tunnel VPN.
  • Sur la passerelle distante, configurer le tunnel VPN de la même manière car les deux configurations doivent être symétriques avec un sous-réseau local de 0.0.0.0/0.
Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke: '0.0.0.0/0'). Si supportée, il sera nécessaire de créer une règle pour autoriser le trafic WAN vers WAN.
Le Client VPN TheGreenBow est-il compatible avec WWAN ?
Oui. WWAN signifie Wireless Wide Area Network. WWAN est maintenant compatible avec plusieurs modem/adaptateurs 3G/4G de différents fabricants. WWAN utilise des technologies de télécommunication de réseau mobile telles que WiMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA ou 3G/4G pour transférer des données. La connectivité WWAN permet à un utilisateur d'un ordinateur portable muni d'une carte WWAN de surfer sur internet, de vérifier les emails ou de se connecter à un réseau privé virtuel (VPN) à partir de n'importe où dans les limites régionales du réseau mobile.

Microsoft a introduit le pilote miniport WWAN pour supporter cette spécification. L'adaptateur miniport WWAN est utilisé pour gérer l'installation, la configuration, la transmission des paquets, la réception de paquets et la déconnexion des données NDIS.

Tous les fabricants doivent prendre en compte les pilotes "Mobile Broadband Driver Model Specification" pour Windows 7 basées sur le modèle du pilote miniport NDIS6.20.
Consulter la liste des modems/adaptateurs 3G/4G.
Comment améliorer les performances du trafic VPN en changeant la MTU ?
La taille de MTU a un impact sur la performance du trafic VPN. Il est possible de changer la taille MTU pour tout le trafic passant par un tunnel VPN. La Maximum Transmission Unit (MTU) est la taille du plus gros paquet envoyés sur TCP/IP. Les messages plus grand que la MTU doivent être divisés en petits paquets qui diminue la performance.

Voici comment modifier la MTU pour le trafic VPN par l'ajout d'une entrée dans la registry :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters] "MTUSize"=dword:000004b0

Valeurs limites : #4b0 < MTUSize < #ffff (ou 1200 < MTUSize < 65535)

Remarques :
1/ Cette modification ne fonctionne pas sur Vista et Seven avec les versions 5.x du logiciel.
2/ Pour la version 5.1 du logiciel (sur Windows Vista et Seven), la possibilité de modifier la taille de la MTU n'est plus nécessaire. La taille de la MTU du client VPN est réglée automatiquement sur celle de l'interface réseau Windows lors de l'ouverture d'un tunnel.
Comment partager son bureau à distance dans un tunnel VPN en un seul clic ?
Le Client VPN TheGreenBow implémente le partage de bureau à distance (Remote Desktop Sharing) sécurisé :
  • Cette fonctionnalité permet à un utilisateur de partager sa machine sur le réseau d'entreprise à partir d'un emplacement à distance comme à la maison.
  • Lorsque l'utilisateur clique sur un alias de la session de partage de bureau, le tunnel VPN associé s'ouvre automatiquement, et une session Remote Desktop Protocol est lancé pour atteindre la machine distante.
  • Cette fonctionalité est détaillée sur le lien : Partage de bureau à distance sécurisé
Voici un exemle de logiciel tiers ayant utilisé cette fonctionnalité via les options en ligne de commande :
  • Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses connexions distantes et machines virtuelles. Il est possible d'ajouter, éditer, remplacer et trouver rapidement les connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir automatiquement une session RDP et importer un fichier de configuration VPN. Voir le tutoriel vidéo
Comment désactiver la Gina ?
Le mode Gina du Client VPN est disponible sur Windows Vista, seven, 8 et 10.
Parfois, lorsque Windows sort du mode de veille ou hibernation, il est impossible d'ouvrir un tunnel. Pour corriger cela, il est possible de désactiver le mode de Gina. Une fois téléchargé, double-cliquer sur le fichier pour l'exécuter, cliquer sur 'OK' pour confirmer.
Une configuration VPN de test pour IPv6 est-elle disponible ?
Oui. Un test (ou une démo) de configuration VPN conçu par l'équipe Techsupport de TheGreenBow permet de se connecter à nos serveurs et gateway en ligne.

Ils sont toujours en ligne et vous pouvez les utiliser pour tester votre environnement réseau à tout moment. Cette configuration VPN de test est spécifique au Client VPN IPsec 6.0 et aux versions supérieure.

   tgbvpn_demo_ipv6.tgb
À propos du support de Windows XP ?
À partir de la version 6.0, le Client VPN TheGreenBow ne supporte plus Windows XP.
Pour retrouver les versions du logiciel compatibles avec toute version de Windows, veuillez vous reporter à la page : Téléchargement du Client VPN
Est-il possible d'avoir la même adresse IP virtuelle sur de multiple réseaux distants ?
Oui. Gérer une adresse IP virtuelle unique pour chaque utilisateur distant, utilisable simultanément sur des réseaux distants multiples, facilite la tâche des responsables informatiques puisque cela diminue le nombre d'adresses IP virtuelles à gérer.
Cela est possible en créant plusieurs tunnels VPN avec la même Phase1 et plusieurs Phase2, puis en ajoutant les paramètres suivants :
  • Phase1 > 'Avancé' > 'Mode-Config'
  • Phase2 > Entrer la même adresse IP dans 'Adresse du Client VPN' pour toutes les Phases 2
Quels sont les liens ou les outils sur IPv4/IPv6 ?
Configurer le client VPN quand le réseau local et distant ont le même sous-réseau ?
Si le réseau domestique (maison de l'utilisateur) et le réseau d'entreprise ont le même sous-réseau et que l'utilisateur à la maison veut imprimer sur une imprimante locale, le client VPN doit être configuré pour éviter d'envoyer du trafic vers le réseau d'entreprise lorsque la destination est locale.

La fonction à utiliser est la restriction de trafic basée sur une plage d'adresses IP.

Dans le cas d'utilisation ci-dessus en supposant que LAN1 (192.168.133.x), et LAN2 (192.168.133.y), nous allons limiter le LAN1 aux plages suivantes (x->1-20) et LAN2 (y->30-50). Ce faisant, tout le trafic en dehors des plages définies est acheminé vers le réseau local (LAN1).

Voici la configuration du client VPN et la passerelle VPN :

1) Configuration du Client VPN :
  • Phase1 > 'Interface' sélectionner 'Automatique'
  • Phase2 > 'Adresse du Client VPN' entrer une adresse IP et pour 'Type d'adresse' sélectionner 'Plage d'adresse' avec début/fin comme suit : 192.168.133.30/192.168.133.50

2) Configuration de la passerelle VPN :
  • Phase2 > address type=Adresse réseau avec réseau distant/masque=192.168.133.0/255.255.255.0

Note: Merci de contacter notre support si vous voulez configurer votre Client VPN de cette manière.
Forcer tout le trafic dans le tunnel VPN à l'exception du trafic du réseau local ?
Pour forcer tout le trafic dans un tunnel VPN à l'exception du trafic du réseau local, le Client VPN doit être configuré pour forcer l'envoi du trafic vers le réseau d'entreprise lorsque la destination n'est pas locale.

La fonctionnalité à utiliser est la restriction de trafic basée sur la plage d'adresse.

Ci-dessous la configuration du Client VPN :

1) Configuration du Client VPN :
  • Phase2 > 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque=0.0.0.0/0.0.0.0

2) Configuration du Client VPN :
  • Phase2 > 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque=0.0.0.0/0.0.0.0

Note: Merci de contacter notre support si vous voulez configurer votre Client VPN de cette manière.
Est-il possible d'ouvrir un tunnel VPN dans un autre tunnel VPN ?
Oui. Cette fonction permet de gérer un réseau sécurisé avec une application sensible au sein du réseau d'entreprise. Les utilisateurs ont besoin d'ouvrir un tunnel VPN pour l'accès au réseau d'entreprise, puis ouvrir un autre tunnel VPN pour accéder au second réseau.

Dans ce cas d'utilisation, en supposant que LAN1 (192.168.133.x) est le réseau d'entreprise avec une Passerelle VPN 1, et LAN2 (192.168.10.y) est l'autre réseau sécurisé dans le réseau d'entreprise, avec une Passerelle VPN 2 (WAN:192.168.133.1, LAN: 192.168.10.1).

TheGreenBow VPN Client - Tunnels VPN imbriqués

Zoom
Tunnels VPN imbriqués


Voici la configuration du Client VPN :

1) Tunnel VPN#1:
  • Phase1 > 'Adresse routeur distant' entrer l'adresse WAN de la Passerelle VPN 1
  • Phase2 > 'Addresse du Client VPN' entrer une adresse IP, 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque= 192.168.133.1/255.255.255.0
2) Tunnel VPN#2:
  • Phase1 > 'Adresse routeur distant' entrer l'adresse WAN de la Passerelle VPN 2 (i.e. 192.168.133.1)
  • Phase2 > 'Addresse du Client VPN' entrer une adresse IP, 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque= 192.168.10.1/255.255.255.0
Comment configurer le Client VPN IPsec dans un réseau hétérogène IPv6 - IPv4 ?
Le Client VPN IPsec prend en charge les réseaux hétérogènes IPv4 et IPv6 côté LAN et côté WAN, que ce soit sur les réseaux distants ou d'entreprise. Une fois activée, la fonction 'Auto' (pour IPv4/IPv6) permet de supporter les environnements complexes.

En fonction de la configuration de votre réseau IPv4 et IPv6, vous pouvez utiliser l'une des configurations citées ci-dessous :
  • Vous n'avez pas besoin du Client VPN 6.0 pour une configuration réseau IPv4 seulement (local et distant). Toutes les versions antérieures du Client VPN fonctionneront parfaitement.
  • Phase1-Authentication: sélectionnez toujours le mode 'Auto' pour IPv4/IPv6. Si la passerelle VPN de l'entreprise restreint à IPv4 du côté WAN alors sélectionnez 'IPv4' dans le Client VPN IPsec Phase 1.
  • Phase2-IPsec: sélectionnez 'IPv4' si votre réseau d'entreprise est en IPv4, et sélectionnez 'IPv6' si votre réseau d'entreprise est en IPv6.

VPN Phase 1

Zoom
VPN Phase 1
VPN Phase 2

Zoom
VPN Phase 2

Client VPN TheGreenBow SSL

Est-il possible de configurer en même temps un tunnel VPN IPsec et SSL ?
À partir de la version 6.1, le Client VPN TheGreenBow permet de configurer des tunnels IPsec (IKEv1 ou IKEv2) et aussi des tunnels SSL.
Comment installer un tunnel OpenVPN avec la FreeBox ?
FreeboxConfig1
Activer le mode OpenVPN Routé comme sur l'exemple (important: cocher "Désactiver la fragmentation") et ajouter un utilisateur ("Fred" dans l'exemple), un nouveau mot de passe vous sera demandé pour l'utilisateur créé. Cliquer sur la disquette pour récupérer la configuration du client.

FreeboxConfig1 mod1

Zoom

FreeboxConfig2
Un fichier de configuration .ovpn est téléchargé, le récupérer et le mettre sur le poste cible où est installé le client VPN TheGreenBow. Il s'agit du poste qui va se connecter à distance sur la passerelle VPN de la Freebox.

FreeboxConfig1 mod1

Zoom

FreeboxConfig3
Sur le poste où est installé le client VPN TheGreenBow importer le fichier .ovpn, soit par un Drag & Drop du fichier soit en utilisant le menu Configuration/Importer. Cliquer sur ajouter pour conserver les tunnels existants.

FreeboxConfig1 mod1

Zoom

FreeboxConfig4
Après l'importation, vous pouvez constater que l'adresse IP externe de votre Freebox est bien renseignée dans le champ "Adresse routeur".

FreeboxConfig1 mod1

Zoom

FreeboxConfig5
Cliquez sur l'onglet "Etablissement", puis, comme sur l'exemple, dans le champ "Vérif. trafic après ouverture" entrez l'adresse IP 192.168.0.254. C'est un cas par défaut en supposant que vous n'avez pas modifié l'adresse IP de votre réseau local. Si votre sous-réseau n'est pas 192.168.0.0, alors vous avez à adapter ce champ. Par défaut 192.168.0.254 est l'adresse local du Freebox Server, vous pouvez mettre tout autre machine de votre réseau local si vous connaissez son adresse IP. Faites CTRL-S (ou menu Configuration/Sauver) pour sauver la configuration.

FreeboxConfig1 mod1

Zoom

FreeboxConfig6
Double cliquez (ou clic-droit/"Ouvre Tunnel...") sur ImportedTunnel (vous pouvez modifier le nom) pour ouvrir le tunnel. Une popup va s'ouvrir et vous avez à entrer le nom d'utilisateur et son mot de passe (configurés sur la Freebox lors de l'étape 1).

FreeboxConfig1 mod1

Zoom

FreeboxConfig7
Le tunnel doit passer en vert et dans la console (Menu Outils/Console) vous devriez voir que vous avez accès à votre réseau local de manière distante à travers le tunnel.

FreeboxConfig1 mod1

Zoom

Troubleshootings


 "J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ?
Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver fichier").
Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN.

 No response from the VPN server
Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN.

115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]

Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez aucune trace, des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un équipement de type firewall.Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la machine) qui peuvent être situés entre le Client VPN et le routeur VPN. En particulier, sur Vista, se reporter à la faq suivante.

 Tunnel VPN ouvert mais le ping ne fonctionne pas ?
Si vous avez les traces suivantes, le tunnel VPN IPsec est établi. Vous devriez pouvoir faire un ping sur n'importe quel adresse du réseau LAN. La configuration du Client VPN TheGreenBow est correct dans ce cas.

121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]

Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives : Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document Troubleshooting.

 Ordinateurs portables DELL ou HP avec des chipsets Broadcom
TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans bleus de temps en temps, même si notre Client VPN n'est pas installé.

 Adaptateur Intel Switching Utility
L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN est installé.
Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre :

Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils sans-fil au lieu de l'utilitaire Intel PROSet .

Pour plus de détails, consultez Intel technical advisory

 Je n'arrive pas à désinstaller le Client VPN
Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours de désinstaller la version précédente d'abord.
Solution : Vous pouvez utiliser our tool pour nettoyer les composants restants du Client VPN .

 Problèmes avec les pilotes TheGreenBow sur Windows Vista
Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau avec Windows Update. Cette action peut empêcher qu'un pilote se plante dans certaines configurations de réseau. Aussi, le pack Windows Vista correction de bug KB938194 doit être installé. Plus de détails et téléchargement sont disponibles sur http://support.microsoft.com/?kbid=938194.

 Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel. L'ouverture du tunnel reste bloquée sur le message :

115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]

Ce cas de figure peut arriver sur Windows Vista parce que le Firewall Vista interdit les communi-cations IPsec.

TheGreenBow VPN IPsec 4.2 (et supérieures): Le logiciel crée automatiquement des nouvelles règles dans le pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPsec (voir la section "Pare-feu Windows" dans le Guide de l'utilisateur).

Note: Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 ci-dessous).


TheGreenBow VPN IPsec 4.1(et antérieures) : Afin de permettre les communications IPsec (ou de vérifier qu'ils sont autorisés ou restreinte), procéder comme suit :

  • Etape 1 : Aller au bouton "Démarrer" de Windows et entrer "Pare-feu Windows avec sécurité avancée" dans le champs "Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne de commande entrer "wf".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 2 : Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500").
    Cliquer sur "Suivant".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 5 : Vérifier que le champ "Autoriser la connexion" est sélectionné.
    Cliquer sur "Suivant".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 6 : Vérifier que les champs Domaine, Privées et Publiques sont tous cochés.
    Cliquer sur "Suivant".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer".
 
Configuration du Client VPN  avec le pare-feu Windows Vista
  • Etape 8 : La nouvelle règle est créée.
   
  • Etape 9 : Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant).
 
Configuration du Client VPN  avec le pare-feu Windows Vista

 Purge du pilote sous Windows Visa et Windows Seven
(IPsec VPN Client 4.* et 5.0)

Dans certains cas, le driver TheGreenBow NDIS peut pas être mis à jour avec une installation de nouveaux logiciels. Pour y parvenir, suivez les étapes suivantes: La réponse devrait ressembler à ceci:
Published name : oem68.inf
Driver package provider : Atheros Communications Inc.
Class : Network adapters
Driver version and date : 01/13/2009 7.6.1.204
Signer name : microsoft windows hardware compatibility publisher

Published name : oem86.inf
Driver package provider : TheGreenBow
Class : Network Service
Driver version and date : 05/19/2009 1.0.1.20
Signer name : thegreenbow

Published name : oem95.inf
Driver package provider : Microsoft
Class : Mobile devices
Driver version and date : 10/06/2004 4.0.4232.0
Signer name : microsoft windows hardware compatibility publisher

Published name : oem69.inf
Driver package provider : Acer
Class : Monitors
Driver version and date : 12/11/2006 1.00
Signer name : microsoft windows hardware compatibility publisher

Published name : oem78.inf
Driver package provider : Microsoft
Class : Network Service
Driver version and date : 01/24/2007 2.6.553.0
Signer name : microsoft windows hardware compatibility publisher


Le driver devrait être entièrement supprimé.

 Comment installer manuellement les pilotes du Client VPN ?
(IPsec VPN Client 4.* et 5.0)

Microsoft Windows module d'installation du pilote peut ne pas installer les pilotes troisième partie régulièrement (par exemple IPsec TheGreenBow VPN pilotes ndistgb.inf Client), surtout quand Windows est chargé avec des tâches multiples. Parfois, les paramètres de Registre ne sont pas effectuées correctement, parfois, pas du tout.

Il ya une procédure manuelle simple pour vous permettre de démarrer. Les pilotes nécessaires sont encore dans le système, donc aucun téléchargement supplémentaire ne devrait être nécessaire. Voici les étapes:

  • Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'.
 
Manuel d'installation des drivers du Client VPN
  • Cliquez sur 'Installer...'
 
Manuel d'installation des drivers du Client VPN
  • Selectionnez 'Service' et cliquez sur 'Ajouter...'.
 
Manuel d'installation des drivers du Client VPN
  • Cliquez sur 'Have Disk ...' pour trouver les pilotes.
 
Manuel d'installation des drivers du Client VPN
  • Cliquez sur "Parcourir..." pour trouver les pilotes.
 
Manuel d'installation des drivers du Client VPN
  • Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'.
 
Manuel d'installation des drivers du Client VPN
  • Recommencer à nouveau avec tous les autres "Connexions réseau" avec lequel que vous souhaitez utiliser le Client VPN .
   

 Le tunnel VPN peut ne pas s'ouvrir après une mise à jour Windows 10
Le tunnel VPN peut ne pas s'ouvrir après une mise à jour Windows 10. Vérifiez si le message suivant s'affiche dans la console log du Client VPN :

20150806 14:12:55:088 TSocket No socket for IPV4 address 192.168.0.20:500
20150806 14:12:55:088 TSocket message data type IKE (0) could not be sent

Si c'est le cas, le service Windows IKEEXT doit être désactivé.

Solution#1: Effectuez les étapes suivantes :

Solution#2: Re-installez le Client VPN (même numéro de version si vous n'avez pas 'd'option de mise à jour').

Sur Windows 10, le tunnel VPN s'ouvre mais aucun trafic ne passe (driver VPN et fonction secureboot)

Ce problème est aussi identifié comme un problème "Windows 10 secureboot" : certains ordinateurs Windows 10 sont configurés avec la fonction BIOS secureboot activée. Cette fonction peut causer un dysfonctionnement des drivers VPN de la version 6.41 du logiciel. Nous fournirons très bientôt un setup intégrant la correction de ce problème. En attendant, nous fournisson une mise à jour des drivers, téléchargeable ci-dessous, qui corrige le problème.


1/ Quels sont les symptômes du problème ?

20170414 10:36:12:628 [VPNCONF] TGBIKE_STOPPED received 20170414 10:36:13:159 [VPNCONF] IKE could not be started because driver was not loaded.
puis, après que le tunnel soit ouvert :
20170414 10:36:25:645 Default ConfigureVirtualItf: IM_NewInstance failed with errors 4 - 3.


2/ Comment vérifier que la fonction secureboot est activée sur mon ordinateur ?

  • Cliquer sur le bouton démarrer de Windows
  • Entrer "msinfo32.exe" dans la barre de recherche
  • Vérifier que la ligne "Etat du démarrage sécurisé activé" est affichée ou pas
    comme illustré par la saisie d'écran ci-contre.
msinfo with secureboot function enabled

3/ Comment corriger le problème ?