|
|
 |
|
Questions
VPN Général
Client VPN IPSec TheGreenBow
Troubleshootings
VPN Général
 | Qu'est ce qu'un VPN ? |
 |
Un Réseau Privé Virtuel (RPV ou VPN: Virtual Private Network) est le moyen d'utiliser une infrastructure
de télécommunication publique comme Internet, pour fournir à des bureaux ou à des utilisateurs individuels
distants la possibilité de se connecter à leur réseau d'information de façon sécurisée. Dans le passé,
les entreprises louaient des systèmes coûteux de lignes dédiées entre leurs sites, lignes qui ne pouvaient
être utilisées que par eux mêmes. Un VPN fournit le même service mais pour un coût bien inférieur.
Un VPN fonctionne en utilisant la "ressource" Internet, et assure la sécurité des données transportées
via des mécanismes (procédures et protocoles) permettant le "tunneling" (L2TP ou IPSec).
Les données sont chiffrées par l'expéditeur, déchiffrées par le destinataire, créant un tunnel cloisonné,
au sein duquel aucune autre donnée ne peut entrer ou transiter.
| Pourquoi IPSec est dans la catégorie "Sécurité forte" ? |
|
IPSec (Internet Protocol Security) fournit un ensemble de services de sécurité à la couche IP en permettant
à un système (compatible IPSec) de choisir les protocoles de sécurité requis, de déterminer l'algorithme à
employer pour le service concerné, et de mettre en place toutes les clés de cryptage exigées pour assurer
les services demandés. L'architecture IPSec est décrite dans la RFC-2401 (www.ietf.org RFC-2401).
IPSec a été choisi pour être inclus dans IPv6. IPSec a été conçu initialement comme un protocole de sécurité
puissant, et en particulier pour remplacer certains protocoles plus anciens comme PPTP.
Aujourd'hui IPSec est le moyen le plus sécurisé pour accéder au réseau d'entreprise via Internet:
- Mécanismes puissants de chiffrement: Encapsulated Security Payload (ESP) utilisant DES, 3DES, AES avec des clés de longueur importante (128, 192 ou 256 bits).
- Authentification puissante des identités grace à l'utilisation de X-Auth et des certificats avec des longueur de clé importante (1536, 2048 bits).
- Utilisation de Internet Key Exchange (IKE) et de ISAKMP pour échanger automatiquement des clés et réaliser des authentifications mutuelles.
- Protection contre les attaques de type "deni de service". Les protocoles IPSec emploient un mécanisme de fenêtre glissante. Les paquets sont numérotés et seulement acceptés s'ils rentrent dans la fenêtre.
- Utilisation de clé USB ou de Token/Carte à puce avec le logiciel Client VPN IPSec pour protéger les informations d'identité/authentification et les configurations VPN (spécifique TheGreenBow).
| Qu'est ce que le NAT Traversal ? |
|
Le mécanisme de translation d'adresse réseau (ou IP) a permis de démultiplier les possibilités d'adressage
d'entités connectées à un réseau IP (routeurs, serveurs, postes, etc...). Un système effectuant de la translation
d'adresse réseau (NAT: Network Address Translation) traduit des adresses d'un système "privé" (qui a
éventuellement son propre système d'adresse) en adresse "publique", disponible sur Internet.
Ainsi une entreprise peut disposer de son propre système d'adressage et proposer néanmoins à tous les postes
de son réseau, de se connecter - éventuellement simultanément - à Internet.
Pour réaliser une translation d'adresse, un système gère une table de correspondance entre l'adresse privée
et l'adresse publique traduite. Toutefois, comme ils modifient l'entête du paquet IP, ces sytèmes peuvent
affecter les entêtes IPSec (situés au même niveau). Pour prendre en compte ce fonctionnement, l'IETF a amendé
IPSec avec le principe du NAT-Traversal (NAT-T RFC-3193). Le NAT-T est aujourd'hui mis en oeuvre dans la plupart
des passerelles et routeurs VPN.
TheGreenBow IPSec VPN Client supporte NAT-T drafts 1, 2 and 3 (incluant udp encapsulation).
| Mode Tunnel versus Mode Transport ? |
|
La différence entre le mode Transport et le mode Tunnel peuvent être définies (www.ietf.org RFC-2401) en utilisant
les configurations réseau suivantes :
- Le mode Tunnel est généralement employé à chaque fois que l'extrémité d'une association de sécurité
est un routeur VPN ou que les deux extrémités d'une association de sécurité sont des routeurs VPN, le routeur
agissant en tant que proxy pour les serveurs situés derrière lui. Le mode de tunnel chiffre la charge utile
et l'en-tête entière (UDP/TCP et IP).
- Le mode Transport est employé dans le cas où le trafic est destiné à un routeur VPN et où le routeur
agit en tant que serveur (p.ex. commandes SNMP). Le mode de transport chiffre seulement la partie de données
et laisse l'en-tête IP intact.
Le Client VPN IPSec TheGreenBow supporte les deux modes tunnel et transport.
| Preshared key versus Certificats ? |
|
L'authentification de l'ordinateur par IPSec est effectuée en employant des clés partagés (i.e. preshared key)
ou des Certificats. Une clé partagée identifie l'une des parties pendant la Phase d'authentification. Par
définition, "Preshared" signifie que la clé a été partagée avec le correspondant avant d'établir un
tunnel VPN sécurisé.
La méthode d'authentification la plus forte est l'utilisation d'un système de PKI et de certificats.
Toutefois, la mise en oeuvre d'une PKI peut être lourde pour une petite organisation. Il ne faut donc pas
sous-estimer l'utilisation de clés partagées qui, bien gérée, peut être facile à mettre en oeuvre, et
très puissante.
Le client VPN IPSec TheGreenBow supporte les deux modes.
| IPSec versus SSL ? |
|
N'hésitez pas à lire la page "IPSec versus SSL" où nous comparons les deux technologies.
| Comment rendre un réseau WiFi plus sécurisé ? |
|
N'hésitez pas à lire la page "IPSec versus WiFi" où nous faisons une analyse de WEP, 802.11i et comparons les deux technologies.
| Qu'est ce que DPD ? |
|
DPD ou "Dead Peer Detection" est une extension (i.e. RFC3706) de Internet Key Exchange (IKE) pour la détection
des extremités IKE non actives. Ce mécanisme est utilisé dans la fonction de "Redundant Gateway" (mécanismes
de passerelles de secours).
Client VPN IPSec TheGreenBow
 |
Pour installer le Client VPN IPSec sur Windows 7:
- Avant l'installation, cliquez avec le bouton droit de la souris sur 'TheGreenBow_VPN_Client.exe' et choisissez 'Propriétés'
- Dans la fenetre 'Propriétés', sélectionnez l'onglet 'Compatibilité'
- Cochez la case 'Exécuter ce programme en mode de compatibilité pour :' et choisissez 'Windows Vista'
- Cliquez sur 'Ok'
|
|
Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ? |
|
- Windows 2000 (Workstation)
- Windows XP 32-bit. WinXP all service packs, including SP2
- Windows Server 2003 32-bit
- Windows Server 2008 32-bit
- Windows Server 2008 64-bit
- Windows Vista 32/64-bit
- Windows 7 32-bit
- Windows 7 64-bit
|
 |
 Versions compatibles avec d'anciens systèmes d'exploitation Windows :
|
Langues disponibles sur le Client VPN IPSec TheGreenBow ? |
|
TheGreenBow Client VPN IPSec est disponible en plusieurs langages (Allemand,
Anglais, Espagnol,
Français, Portugais, ...).
La langue est choisie
durant l'installation du Client VPN IPSec TheGreenBow.
Vous pouvez aussi contribuer aux traductions
du logiciel via la page de traduction du logiciel VPN.
| Quels sont les passerelles/routeurs VPN compatibles ? |
|
Le client de TheGreenBow IPSec VPN est compatible avec tous les routeurs IPSec conformes aux normes IKE et IPsec.
Visitez la liste des routeurs VPN certifiés, qui augmente chaque jour, pour trouver
votre routeur VPN.
Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et
nous travaillerons avec vous pour le certifier.
| Comment connecter le Client VPN IPSec à un Routeur VPN Linksys ? |
|
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles
et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification
ou par nos partenaires.
Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys
WRV54G sont supportés. Vous pouvez aussi consulter notre faq Linksys WRV54G.
| Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ? |
|
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles
et routeurs que nous avons certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification
ou par nos partenaires.
Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et Cisco 1721 sont supportés.
| Le NAT Traversal est il supporté par le Client VPN ? |
|
Oui. Le Client VPN IPSec TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full implementation). IP address emulation.
- Incluant le support NAT_OA
- Incluant NAT keepalive
- Incluant NAT-T mode agressif
| Le Client VPN IPSec TheGreenBow supporte-t il DNS/WINS discovering ? |
|
Le Client VPN IPSec TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet Key Exchange (IKE)
qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs DNS/WINS depuis la gateway distante
et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode Config" n'est pas supporté par la gateway distante,
le Client VPN IPSec permet aussi la configuration manuelle des serveurs DNS/WINS de l'entreprise.
| le Client VPN est-il compatible avec le routeur WiFi Linksys WRV54G ? |
|
Le Client VPN IPSec TheGreenBow est certifié avec le routeur Linksys WRV54G firmware 2.37 et suivants.
N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G.
Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPSec d'un Client VPN IPSec
avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer
l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent
depuis, que vous pourrez télécharger ici.
Le client VPN IPSec TheGreenBow est aussi certifié avec les routeurs Linksys RV082 et Linksys BEFVP41
(voir aussi la Liste de Routeurs VPN Certifiés ou télécharger les
Guides de Configuration VPN).
| Quel port est utilisé par le Client VPN IPSec TheGreenBow ? |
|
Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé.
Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
Peut on modifer le port IKE ?
| Le Client VPN IPSec TheGreenBow et Microsoft ISA Server 2000 & 2004 ? |
|
D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPSec ne traverse pas
le serveur ISA 2000.
Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page
suivante: Q838379 dans la base
de connaissance Microsoft.
| Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ? |
|
Ce champ est l'adresse IP virtuelle que le Client VPN IPSec aura à l'intérieur du réseau distant. Paradoxalement,
avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant.
Par exemple,
si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart du temps,
spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client VPN".
En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200,
le Client VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53.
Cette machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse
MAC (physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse
MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le Client
VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et trouvera)
l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné).
Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur
VPN utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus.
Pour plus d'information, télécharger le Guide
Utilisateur du Client VPN IPSec TheGreenBow.
| Peut on rendre l'interface utilisateur invisible ? |
|
Il est possible de rendre invisible le Client VPN IPSec. Vous devez télécharger la procédure décrite dans le document : Guide de déploiement VPN
|
Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou WRV200 ? |
|
Oui, le Client VPN IPSec TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration).
| Est il possible de définir une gateway de secours ? |
|
Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPSec avec la gateway de secours dans le cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction "Dead Peer Detection" ou DPD.
| Peut on modifer le port IKE ? |
|
Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le panneau de configuration et entrer le port dans le champ 'Port IKE'.
Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
|
L'activation du logiciel n'a pas fonctionné |
|
Quand j'essaie d'activer le logiciel, ça ne fonctionne pas (j'ai un message d'erreur).
Vous pouvez trouver un guide complet concernant l'activation sur notre guide d'activation en ligne.
Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure décrite dans notre manuel d'activation.
|
Est-ce que le Client VPN est compatible avec les tokens et clés d'authentification bidirectionnelles ? |
|
Oui. TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs
et bidirectionnelle pour stocker les utilisateurs, les qualifications personnelles
telles que des clefs privées, des mots de passe et des certificats numériques.
Veuillez vous référer à la liste des Tokens certifiés.
|
Est-ce que je peux avoir des numéros de licence temporaires que je peux utiliser pendant mes tests ? |
|
Oui, les licences sont valables plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale.
|
|
Comment se connecter à un domaine Windows distant en utilisant la fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ? |
|
Pour ce faire, suivez ces étapes :
- Cliquer sur 'P2 Avancé', sélectionner 'Peut être ouvert avant le logon Windows'. Puis cliquer sur 'Ok' et 'Sauver et Appliquer'.
- La prochaine fois que vous ouvrirez une session Windows, une petite fenêtre apparaitra et vous permettra d'ouvrir ce tunnel VPN. Plusieurs connexions VPN peuvent être ouvertes avant l'ouverture de la session Windows.
Par contre, en raison de la spécificité de cette fonctionnalité, cela ne peut fonctionner qu'avec un Client VPN IPSec TheGreenBow qui a déjà été activé. Tant que le Client VPN IPSec TheGreenBow est en période d'essai, le tunnel ne sera ouvert qu'après que l'utilisateur ait cliqué sur 'Evaluer' et donc après l'ouverture de la session Windows bien entendu. C'est donc la seule caractéristique qui ne peut pas être testée pendant la période d'essai.
|
|
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ? |
|
Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draft-ietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP.
Vous trouverez ici les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client VPN est derrière un routeur :
| Phase |
Port par défaut |
Où modifier les ports ? |
| Phase1 négotiation |
Port UDP 500 |
Aller dans le 'Panneau de configuration'
> 'Paramètres'
> 'IKE Port' |
|
| Phase2 négotiation |
Port UDP 4500 |
Aller dans le 'Panneau de configuration'
> 'Paramètres'
> 'NAT-T Port' |
| Trafic après une négociation IPSec/IKE |
Reste sur le dernier port défini |
|
Dans certains hotels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports IKE ET NAT-T en conséquence.
Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte uniquement le protocole UDP):
| IKE Port |
NAT-T Port |
| 80 |
443 |
Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant associés aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils acheminent correctement jusqu'au service IPSec. Voir le diagramme ci-dessus, par exemple, sachant que certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-même et deux routeurs peuvent être nécessaires :
Voici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers lui-même et que vous voulez ajouter un front-end firewall:
|
|
Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ? |
|
Oui. En paramétrant un nouveau tunnel VPN
- Aller sur 'Phase1' > 'Gestion des certificats...'
- Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici.
- Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver et Appliquer'.
Vous pouvez télécharger notre Guide d'utilisateur du Client VPN IPSec.
|
|
Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en charge ? |
|
Oui. SHA-1 et SHA-2 254-bit sont supportés. MD5 est aussi supporté. Voir les spécifications du produit..
|
|
Comment voir les connexions VPN ? |
|
Il y a plusieurs façon de voir les connexions VPN ouvertes :
- Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert.
- Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration.
- Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'.
|
|
Comment forcer tout le trafic Internet dans le tunnel VPN ? |
|
Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise.
La configuration VPN est simple et nécessite 3 étapes:
- Allez sur 'Panneau de Configuration' > 'Paramètres' > sélectionnez 'Block connexion non chiffrée' afin d'interdire le trafic non chiffré d'être routé directement vers Internet.
- Allez sur 'Panneau de Configuration' > 'Phase2' > selectionnez 'Subnet Address' comme 'Type d'adresse' et définissez 'Remote LAN' et 'Subet Mask' à '0.0.0.0', de sorte que tout le trafic (vers n'importe quelle adresse IP) soit routé dans le tunnel VPN. Notez que '0.0.0.0' signifie que tout le trafic y compris le trafic de votre réseau local sera routé dans le tunnel VPN.
- Sur la passerelle distante, configurez le tunnel VPN de la même manière car les deux configurations doivent être symétriques avec un sous-réseau local de 0.0.0.0/0.
Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke: '0.0.0.0/0'). Si supportée, vous aurez besoin pour créer une règle pour autoriser le trafic WAN vers WAN.
Troubleshootings
|
"J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ? |
|
Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver fichier").
Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN.
| Aucune réponse du routeur VPN ? |
|
Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez aucune trace,
des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un équipement de type firewall.
Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la machine) qui peuvent être situés entre le Client VPN
et le routeur VPN. En particulier, sur Vista, se reporter à la faq suivante.
| Tunnel VPN ouvert mais le ping ne fonctionne pas ? |
|
Si vous avez les traces suivantes, le tunnel VPN IPSec est établi. Vous devriez pouvoir faire un ping sur n'importe quel adresse du réseau LAN. La configuration du Client VPN IPSec TheGreenBow est correct dans ce cas.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives :
- Vérifiez la configuration Phase 2 : Adresse Client VPN et adresse réseau distant. Normalement, l'Adresse Client VPN ne devrait pas appartenir au subnet du LAN distant (Lire également comment remplir le champ "Adresse Client VPN" ?)
- Une fois le tunnel ouvert, des paquets sont envoyés avec le protocole ESP. Ce protocole peut être bloqué par un Firewall. Vérifiez que chaque élément entre le client et le serveur VPN accepte ESP
- Vérifiez vos traces de serveur VPN. Des paquets peuvent être éliminés par une des règles du Firewall.
- Verifiez que votre FAI support ESP. Les principaux le supporte.
- Si vous ne pouvez toujours pas faire de ping, suivez le trafic ICMP sur l'interface LAN du serveur VPN et sur l'interface LAN de l'ordinateur (avec Ethereal par exemple). Vous aurez une indication que le chiffrement fonctionne.
- Vérifiez le routeur "par défaut" dans la configuration LAN du serveur VPN. Une cible sur votre LAN distant peut recevoir des ping mais ne répond pas parce qu'il n'y a pas de routeur "par défaut" configuré.
- Vous ne pouvez pas accéder aux ordinateurs par leur nom dans le LAN. Vous devez indiqué leur adresses IP à l'intérieur du LAN.
Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document Troubleshooting.
|
Ordinateurs portables DELL ou HP avec des chipsets Broadcom |
|
TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans bleus de temps en temps, même si notre Client VPN IPSec n'est pas installé.
|
Adaptateur Intel Switching Utility |
|
L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN IPSec est installé.
Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre :
- Allez sur Démarrer/Panneau de configuration/Ajout\Suppression de programmes. Retirez la section Intel PROSet.
- Allez sur Démarrer/Panneau de configuration Systeme :
-
Sélectionnez l'onglet Matériel, puis appuyez sur le bouton Gestionnaire de périphériques.
-
Dans le Gestionnaire de périphériques, cliquez sur le signe plus pour afficher la section Adaptateurs réseaux.
-
Sélectionnez adaptateur Intel PRO/Wireless LAN 2200 (ou 2100) et faites un clic droit.
- Sélectionnez Désinstaller dans le menu pop-up.
- Redémarrez l'ordinateur.
Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils sans-fil au lieu de l'utilitaire Intel PROSet .
Pour plus de détails, consultez Intel technical advisory
|
Je n'arrive pas à désinstaller le Client VPN |
|
Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours
de désinstaller la version précédente d'abord.
Solution : Vous pouvez utiliser notre outil
pour nettoyer les composants restants du Client VPN .
|
Problèmes avec les pilotes TheGreenBow sur Windows Vista |
|
Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau avec Windows Update.
Cette action peut empêcher qu'un pilote se plante dans certaines configurations de réseau. Aussi, le pack Windows Vista correction
de bug KB938194 doit être installé. Plus de détails et téléchargement sont disponibles sur
http://support.microsoft.com/?kbid=938194.
|
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ? |
|
A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel. L'ouverture
du tunnel reste bloquée sur le message :
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Ce cas de figure peut arriver sur Windows Vista parce que le Firewall Vista interdit les communi-cations IPSec.
TheGreenBow VPN IPSec 4.2 (et supérieures): Le logiciel crée automatiquement des nouvelles règles dans le pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPSec (voir la section "Pare-feu Windows" dans le Guide de l'utilisateur).
Note : Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 ci-dessous).
TheGreenBow VPN IPSec 4.1 (et antérieures) : Afin de permettre les communications IPSec (ou de vérifier qu'ils sont autorisés ou restreinte), procéder comme suit :
- Etape 1 : Aller au bouton "Démarrer" de Windows et entrer "Pare-feu Windows avec sécurité avancée" dans le champs "Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne de commande entrer "wf".
|
|
Ouvrir le "Pare-feu Windows avec fonctions avancées de sécurité".
|
- Etape 2 : Sélectionner dans la colonne de gauche "Règles de trafic entrant",
puis dans la colonne de droite "Nouvelle règle...".
|
|
Sélectionner dans la colonne de gauche "Règles de trafic entrant",
puis dans la colonne de droite "Nouvelle règle...".
|
- Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant".
|
|
Sélectionner "Port" puis cliquer sur "Suivant".
|
- Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500
séparées par une virgule ("500,4500").
Cliquer sur "Suivant".
|
|
Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500
séparées par une virgule ("500,4500").
Cliquer sur "Suivant".
|
- Etape 5 : Vérifier que le champ "Autoriser la connexion" est sélectionné.
Cliquer sur "Suivant". |
|
Vérifier que le champ "Autoriser la connexion" est sélectionné.
Cliquer sur "Suivant".
|
- Etape 6 : Vérifier que les champs Domaine, Privées et Publiques sont tous cochés.
Cliquer sur "Suivant". |
|
Vérifier que les champs Domaine, Privées et Publiques sont tous cochés.
Cliquer sur "Suivant".
|
- Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer".
|
|
Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer".
|
- Etape 8 : La nouvelle règle est créée.
|
|
|
- Etape 9 : Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite
"Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant).
|
|
Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant).
|
|
Il y a plusieurs façon de voir les connexions VPN ouvertes :
