Un Réseau Privé Virtuel (RPV ou VPN: Virtual Private Network) est le moyen d'utiliser une infrastructure de télécommunication publique comme Internet, pour fournir à des bureaux ou à des utilisateurs individuels distants la possibilité de se connecter à leur réseau d'information de façon sécurisée. Dans le passé, les entreprises louaient des systèmes coûteux de lignes dédiées entre leurs sites, lignes qui ne pouvaient être utilisées que par eux mêmes. Un VPN fournit le même service mais pour un coût bien inférieur.

Un VPN fonctionne en utilisant la "ressource" Internet, et assure la sécurité des données transportées via des mécanismes (procédures et protocoles) permettant le "tunneling" (L2TP ou IPsec).
Les données sont chiffrées par l'expéditeur, déchiffrées par le destinataire, créant un tunnel cloisonné, au sein duquel aucune autre donnée ne peut entrer ou transiter.

IPsec (Internet Protocol Security) fournit un ensemble de services de sécurité à la couche IP en permettant à un système (compatible IPsec) de choisir les protocoles de sécurité requis, de déterminer l'algorithme à employer pour le service concerné, et de mettre en place toutes les clés de cryptage exigées pour assurer les services demandés. L'architecture IPsec est décrite dans la RFC-2401 (www.ietf.org RFC-2401). IPsec a été choisi pour être inclus dans IPv6. IPsec a été conçu initialement comme un protocole de sécurité puissant, et en particulier pour remplacer certains protocoles plus anciens comme PPTP.

Aujourd'hui IPsec est le moyen le plus sécurisé pour accéder au réseau d'entreprise via Internet:

• Mécanismes puissants de chiffrement: Encapsulated Security Payload (ESP) utilisant DES, 3DES, AES avec des clés de longueur importante (128, 192 ou 256 bits).
• Authentification puissante des identités grace à l'utilisation de X-Auth et des certificats avec des longueur de clé importante (1536, 2048 bits).
• Utilisation de Internet Key Exchange (IKE) et de ISAKMP pour échanger automatiquement des clés et réaliser des authentifications mutuelles.
• Protection contre les attaques de type "deni de service". Les protocoles IPsec emploient un mécanisme de fenêtre glissante. Les paquets sont numérotés et seulement acceptés s'ils rentrent dans la fenêtre.
• Utilisation de clé USB ou de Token/Carte à puce avec le logiciel Client VPN pour protéger les informations d'identité/authentification et les configurations VPN (spécifique TheGreenBow).

Le mécanisme de translation d'adresse réseau (ou IP) a permis de démultiplier les possibilités d'adressage d'entités connectées à un réseau IP (routeurs, serveurs, postes, etc.). Un système effectuant de la translation d'adresse réseau (NAT: Network Address Translation) traduit des adresses d'un système "privé" (qui a éventuellement son propre système d'adresse) en adresse "publique", disponible sur Internet.

Ainsi une entreprise peut disposer de son propre système d'adressage et proposer néanmoins à tous les postes de son réseau, de se connecter - éventuellement simultanément - à Internet.

Pour réaliser une translation d'adresse, un système gère une table de correspondance entre l'adresse privée et l'adresse publique traduite. Toutefois, comme ils modifient l'entête du paquet IP, ces sytèmes peuvent affecter les entêtes IPsec (situés au même niveau). Pour prendre en compte ce fonctionnement, l'IETF a amendé IPsec avec le principe du NAT-Traversal (NAT-T RFC-3193). Le NAT-T est aujourd'hui mis en oeuvre dans la plupart des passerelles et routeurs VPN.

TheGreenBow IPsec VPN Client supporte NAT-T drafts 1, 2 and 3 (incluant udp encapsulation).

La différence entre le mode Transport et le mode Tunnel peuvent être définies (www.ietf.org RFC-2401) en utilisant les configurations réseau suivantes :

• Le mode Tunnel est généralement employé à chaque fois que l'extrémité d'une association de sécurité est un routeur VPN ou que les deux extrémités d'une association de sécurité sont des routeurs VPN, le routeur agissant en tant que proxy pour les serveurs situés derrière lui. Le mode de tunnel chiffre la charge utile et l'en-tête entière (UDP/TCP et IP).
  
  
  
  Zoom
  Mode Tunnel
  
  
• Le mode Transport est employé dans le cas où le trafic est destiné à un routeur VPN et où le routeur agit en tant que serveur (p.ex. commandes SNMP). Le mode de transport chiffre seulement la partie de données et laisse l'en-tête IP intact.
  
  
  
  
  Zoom
  Transport Mode
  
  

Le Client VPN TheGreenBow supporte les deux modes tunnel et transport.

L'authentification de l'ordinateur par IPsec est effectuée en employant des clés partagés (i.e. preshared key) ou des Certificats. Une clé partagée identifie l'une des parties pendant la Phase d'authentification. Par définition, "Preshared" signifie que la clé a été partagée avec le correspondant avant d'établir un tunnel VPN sécurisé.

La méthode d'authentification la plus forte est l'utilisation d'un système de PKI et de certificats. Toutefois, la mise en oeuvre d'une PKI peut être lourde pour une petite organisation. Il ne faut donc pas sous-estimer l'utilisation de clés partagées qui, bien gérée, peut être facile à mettre en oeuvre, et très puissante.

Le Client VPN TheGreenBow supporte les deux modes.

Le DPD ou "Dead Peer Detection" est une extension (i.e. RFC3706) de Internet Key Exchange (IKE) pour la détection des extremités IKE non actives. Ce mécanisme est utilisé dans la fonction de "Redundant Gateway" (mécanismes de passerelles de secours).

Depuis la version 5, le Client VPN TheGreenBow permet de désactiver la fonction de DPD.
Pour les tunnels IKEv1, il suffit de décocher la case "Dead Peer Detection" dans les Paramètres généraux.

32/64 bit 32/64 bit

Télécharger ici les versions du Client VPN disponibles pour les anciennes versions de windows :

Windows XP /Server 2003		VPN Client 5.55
Windows 2000 Server		VPN Client 4.51
Windows 98		VPN Client 3.11

Le Client VPN TheGreenBow est disponible en plusieurs langues (Allemand, Anglais, Espagnol, Français, Portugais, etc.).
La langue est choisie durant l'installation du Client VPN TheGreenBow.

Vous pouvez aussi contribuer aux traductions du logiciel via la page de traduction du logiciel VPN.

Le client de TheGreenBow IPsec VPN est compatible avec tous les routeurs IPsec conformes aux normes IKE et IPsec. Visitez la liste des routeurs VPN qualifiés, qui augmente chaque jour, pour trouver votre routeur VPN.

Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et nous travaillerons avec vous pour le qualifier.

Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons qualifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.

Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys WRV54G sont supportés. Vous pouvez aussi consulter notre faq Linksys WRV54G.

Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons qualifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.

Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et Cisco 1721 sont supportés.

Oui. Le Client VPN TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full implementation). IP address emulation.

• Incluant le support NAT_OA
• Incluant NAT keepalive
• Incluant NAT-T mode agressif

Le Client VPN TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet Key Exchange (IKE) qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs DNS/WINS depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode Config" n'est pas supporté par la gateway distante, le Client VPN permet aussi la configuration manuelle des serveurs DNS/WINS de l'entreprise.

Le Client VPN TheGreenBow est qualifié avec le routeur Linksys WRV54G firmware 2.37 et suivants. N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G.

Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPsec d'un Client VPN avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent depuis, que vous pourrez télécharger ici.

Le Client VPN TheGreenBow est aussi qualifié avec les routeurs Linksys RV082 et Linksys BEFVP41 (voir aussi la Liste de Routeurs VPN qualifiés ou télécharger les Guides de Configuration VPN).

Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé.

Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
Peut on modifer le port IKE ?

D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPsec ne traverse pas le serveur ISA 2000.

Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page suivante: Q838379 dans la base de connaissance Microsoft.

Ce champ est l'adresse IP virtuelle que le Client VPN aura à l'intérieur du réseau distant. Paradoxalement, avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant.
Par exemple, si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart du temps, spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client VPN".

En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200, le Client VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53. Cette machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse MAC (physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le Client VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et trouvera) l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné).

Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur VPN utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus.

Pour plus d'information, télécharger le Guide Utilisateur du Client VPN TheGreenBow.

Il est possible de rendre invisible le Client VPN . Vous devez télécharger la procédure décrite dans le document : VPN Deployment Guide

Oui, le Client VPN TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration).

Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPsec avec la gateway de secours dans le cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction "Dead Peer Detection" ou DPD.

Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le panneau de configuration et entrer le port dans le champ 'Port IKE'.

Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi ?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?

TgbStarter.exe et TgbIke.exe sont des composents du Client VPN TheGreenBow.

• TgbStarter.exe est le composant "daemon" du logiciel. Il est exécuté en tant que service.
• TgbIke.exe est le composant IKE/IPsec du logiciel.

Lorsque j'essaye d'activer le logiciel, j'obtiens une erreur d'activation.

Veuillez vous reporter à notre guide complet concernant l'activation sur notre guide d'activation en ligne.

Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure d'activation manuelle décrite sur ce lien : Activation manuelle.

Une configuration VPN a été conçue par l'équipe technique de TheGreenBow pour se connecter à nos passerelles VPN IPsec en ligne et aux serveurs. Accessible en permanence, vous pouvez l'utiliser pour tester votre environnement réseaux à tout moment. Cette configuration de test est intégrée dans le Client VPN TheGreenBow. Consultez l'aide en ligne ou téléchargez le fichier de configuration ci-dessous.

TheGreenBow peut fournir des licences temporaires permettant de poursuivre les tests du logiciel au delà de la période d'évaluation de 30 jours. Ces licences temporaires peuvent durer plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale.

Le Client VPN TheGreenBow permet de configurer l'exécution automatique de scripts dès que le tunnel est ouvert, ou lorsqu'il vient de se fermer. Il suffit de choisir l'application à lancer avant ou aprè l'ouverture ou la fermeture du tunnel et de la configurer dans l'onglet "scripts" du tunnel concerné.

Exemple de scripts pouvant être configurés :

• Accès à l'intranet de l'entreprise
• Ouverture automatique de l'outil CRM dès que le tunnel est ouvert
• Vérification de l'état du poste avant ouverture du tunnel
• Transmission automatique dans le tunnel de l'état du poste au système de gestion de la sécurité de l'entreprise (SIEM)
• Mémorisation de paramètres avant ouverture du tunnel, et restauration de ces paramètres après la fermeture
• etc.

Oui. Le Client VPN TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs et bidirectionnelle pour stocker les utilisateurs, les qualifications personnelles telles que des clefs privées, des mots de passe et des certificats numériques. Veuillez vous référer à la liste des Tokens qualifiés.

Le Client VPN TheGreenBow permet d'établir une connexion VPN avant le logon Windows, par exemple pour ouvrir une connexion sécurisée vers un domaine Windows. Tout tunnel VPN peut être configuré pour pouvoir être ouvert avant le logon Windows, dans l'onglet "Automatisation" du tunnel, en cochant la case : "Peut être ouvert avant le logon Windows".
Cette fonction est décrite dans le Guide Utilisateur du Client VPN au chapitre "Mode GINA".

Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draft-ietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP.

La table ci-dessous décrit les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client VPN est derrière un routeur :

Phase	Port par défaut	Où modifier les ports ?
Phase 1	UDP Port 500	Paramètres généraux > Port IKE
Phase 2	UDP Port 4500	Paramètres généraux > Port NAT
Trafic IPsec	Reste sur le dernier port défini

Dans certains hôtels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports IKE ET NAT-T en conséquence.

Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte uniquement le protocole UDP):

Port IKE	Port NAT-T
80	443

Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant associé aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils acheminent correctement jusqu'au service IPsec. Voir le diagramme ci-dessus, par exemple, sachant que certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-mêmes et deux routeurs peuvent être nécessaires :


Voici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers lui-même et que vous voulez ajouter un front-end firewall :

Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre logiciel PKI place les certificats des utilisateurs ?
Oui. En paramétrant un nouveau tunnel VPN :

• Aller sur 'Phase1' > onglet 'Certificat'.
• Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici.
• Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver'.

Vous pouvez télécharger notre Guide d'utilisateur du Client VPN.

Le Client VPN TheGreenBow supporte SHA-1 et SHA-2 256 bit. Le Client VPN support aussi MD5.
Voir les spécifications du Client VPN.

Il y a plusieurs façon de visualiser les connexions VPN ouvertes :

• Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert.
• Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration.
• Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'.

Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise.

La configuration VPN est simple et nécessite 3 étapes :

• Dans le 'Panneau de Configuration' > 'Paramètres généraux' > sélectionner 'Bloquer les flux non chiffrés' afin d'interdire le trafic non chiffré d'être routé directement vers Internet.
• Dans le 'Panneau de Configuration' > 'Phase2' > sélectionner 'Adresse réseau' comme 'Type d'adresse' et définir 'Adresse réseau distant' et 'Masque réseau' à '0.0.0.0', de sorte que tout le trafic (vers n'importe quelle adresse IP) soit routé dans le tunnel VPN. Noter que '0.0.0.0' signifie que tout le trafic y compris le trafic du réseau local sera routé dans le tunnel VPN.
• Sur la passerelle distante, configurer le tunnel VPN de la même manière car les deux configurations doivent être symétriques avec un sous-réseau local de 0.0.0.0/0.

Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke: '0.0.0.0/0'). Si supportée, il sera nécessaire de créer une règle pour autoriser le trafic WAN vers WAN.

Oui. WWAN signifie Wireless Wide Area Network. WWAN est maintenant compatible avec plusieurs modem/adaptateurs 3G/4G de différents fabricants. WWAN utilise des technologies de télécommunication de réseau mobile telles que WiMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA ou 3G/4G pour transférer des données. La connectivité WWAN permet à un utilisateur d'un ordinateur portable muni d'une carte WWAN de surfer sur internet, de vérifier les emails ou de se connecter à un réseau privé virtuel (VPN) à partir de n'importe où dans les limites régionales du réseau mobile.

Microsoft a introduit le pilote miniport WWAN pour supporter cette spécification. L'adaptateur miniport WWAN est utilisé pour gérer l'installation, la configuration, la transmission des paquets, la réception de paquets et la déconnexion des données NDIS.

Tous les fabricants doivent prendre en compte les pilotes "Mobile Broadband Driver Model Specification" pour Windows 7 basées sur le modèle du pilote miniport NDIS6.20.
Consulter la liste des modems/adaptateurs 3G/4G.

La taille de MTU a un impact sur la performance du trafic VPN. Il est possible de changer la taille MTU pour tout le trafic passant par un tunnel VPN. La Maximum Transmission Unit (MTU) est la taille du plus gros paquet envoyés sur TCP/IP. Les messages plus grand que la MTU doivent être divisés en petits paquets qui diminue la performance.

Voici comment modifier la MTU pour le trafic VPN par l'ajout d'une entrée dans la registry :
Valeurs limites : #4b0 < MTUSize < #ffff (ou 1200 < MTUSize < 65535)

Remarques :
1/ Cette modification ne fonctionne pas sur Vista et Seven avec les versions 5.x du logiciel.
2/ Pour la version 5.1 du logiciel (sur Windows Vista et Seven), la possibilité de modifier la taille de la MTU n'est plus nécessaire. La taille de la MTU du client VPN est réglée automatiquement sur celle de l'interface réseau Windows lors de l'ouverture d'un tunnel.

Le Client VPN TheGreenBow implémente le partage de bureau à distance (Remote Desktop Sharing) sécurisé :

• Cette fonctionnalité permet à un utilisateur de partager sa machine sur le réseau d'entreprise à partir d'un emplacement à distance comme à la maison.
• Lorsque l'utilisateur clique sur un alias de la session de partage de bureau, le tunnel VPN associé s'ouvre automatiquement, et une session Remote Desktop Protocol est lancé pour atteindre la machine distante.
• Cette fonctionalité est détaillée sur le lien : Partage de bureau à distance sécurisé

Voici un exemle de logiciel tiers ayant utilisé cette fonctionnalité via les options en ligne de commande :

• Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses connexions distantes et machines virtuelles. Il est possible d'ajouter, éditer, remplacer et trouver rapidement les connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir automatiquement une session RDP et importer un fichier de configuration VPN. Voir le tutoriel vidéo

Le mode Gina du Client VPN est disponible sur Windows Vista, seven, 8 et 10.
Parfois, lorsque Windows sort du mode de veille ou hibernation, il est impossible d'ouvrir un tunnel. Pour corriger cela, il est possible de désactiver le mode de Gina.

• Télécharger ces fichiers pour désactiver Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit
• Télécharger ces fichiers pour activer Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven 64-bit

Une fois téléchargé, double-cliquer sur le fichier pour l'exécuter, cliquer sur 'OK' pour confirmer.

Le Client VPN TheGreenBow n'est pas conçu pour être utilisé par plusieurs utilisateurs d'un même poste Windows simultanément.
Si toutefois vous souhaitez mettre en œuvre une telle configuration, contactez-nous : support@thegreenbow.com.

Oui. Un test (ou une démo) de configuration VPN conçu par l'équipe Techsupport de TheGreenBow permet de se connecter à nos serveurs et gateway en ligne.

Ils sont toujours en ligne et vous pouvez les utiliser pour tester votre environnement réseau à tout moment. Cette configuration VPN de test est spécifique au Client VPN IPsec 6.0 et aux versions supérieure.

À partir de la version 6.0, le Client VPN TheGreenBow ne supporte plus Windows XP.
Pour retrouver les versions du logiciel compatibles avec toute version de Windows, veuillez vous reporter à la page : Téléchargement du Client VPN

Oui. Gérer une adresse IP virtuelle unique pour chaque utilisateur distant, utilisable simultanément sur des réseaux distants multiples, facilite la tâche des responsables informatiques puisque cela diminue le nombre d'adresses IP virtuelles à gérer.
Cela est possible en créant plusieurs tunnels VPN avec la même Phase1 et plusieurs Phase2, puis en ajoutant les paramètres suivants :

• Phase1 > 'Avancé' > 'Mode-Config'
• Phase2 > Entrer la même adresse IP dans 'Adresse du Client VPN' pour toutes les Phases 2

• IPv6 ready :
  https://ipv6test.google.com,
  http://test-ipv6.com
• IPv6 littérature :
  http://www.worldipv6launch.org,
  http://en.wikipedia.org/wiki/IPv6,
  https://www.ipv6ready.org,
  https://www.ipv6ready.org/db/index.php/public
• IPv6 infographie :
  http://www.worldipv6launch.org/infographic/,
  http://www.google.com/ipv6/index.html
• IPv6 adoption :
  http://www.google.com/intl/en/ipv6/statistics.html

Si le réseau domestique (maison de l'utilisateur) et le réseau d'entreprise ont le même sous-réseau et que l'utilisateur à la maison veut imprimer sur une imprimante locale, le client VPN doit être configuré pour éviter d'envoyer du trafic vers le réseau d'entreprise lorsque la destination est locale.

La fonction à utiliser est la restriction de trafic basée sur une plage d'adresses IP.

Dans le cas d'utilisation ci-dessus en supposant que LAN1 (192.168.133.x), et LAN2 (192.168.133.y), nous allons limiter le LAN1 aux plages suivantes (x->1-20) et LAN2 (y->30-50). Ce faisant, tout le trafic en dehors des plages définies est acheminé vers le réseau local (LAN1).

Voici la configuration du client VPN et la passerelle VPN :

1) Configuration du Client VPN :

• Phase1 > 'Interface' sélectionner 'Automatique'
• Phase2 > 'Adresse du Client VPN' entrer une adresse IP et pour 'Type d'adresse' sélectionner 'Plage d'adresse' avec début/fin comme suit : 192.168.133.30/192.168.133.50

2) Configuration de la passerelle VPN :

• Phase2 > address type=Adresse réseau avec réseau distant/masque=192.168.133.0/255.255.255.0

Note: Merci de contacter notre support si vous voulez configurer votre Client VPN de cette manière.

Pour forcer tout le trafic dans un tunnel VPN à l'exception du trafic du réseau local, le Client VPN doit être configuré pour forcer l'envoi du trafic vers le réseau d'entreprise lorsque la destination n'est pas locale.

La fonctionnalité à utiliser est la restriction de trafic basée sur la plage d'adresse.

Ci-dessous la configuration du Client VPN :

1) Configuration du Client VPN :

• Phase2 > 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque=0.0.0.0/0.0.0.0

2) Configuration du Client VPN :

• Phase2 > 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque=0.0.0.0/0.0.0.0

Note: Merci de contacter notre support si vous voulez configurer votre Client VPN de cette manière.

Oui. Cette fonction permet de gérer un réseau sécurisé avec une application sensible au sein du réseau d'entreprise. Les utilisateurs ont besoin d'ouvrir un tunnel VPN pour l'accès au réseau d'entreprise, puis ouvrir un autre tunnel VPN pour accéder au second réseau.

Dans ce cas d'utilisation, en supposant que LAN1 (192.168.133.x) est le réseau d'entreprise avec une Passerelle VPN 1, et LAN2 (192.168.10.y) est l'autre réseau sécurisé dans le réseau d'entreprise, avec une Passerelle VPN 2 (WAN:192.168.133.1, LAN: 192.168.10.1).



Voici la configuration du Client VPN :

1) Tunnel VPN#1:

• Phase1 > 'Adresse routeur distant' entrer l'adresse WAN de la Passerelle VPN 1
• Phase2 > 'Addresse du Client VPN' entrer une adresse IP, 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque= 192.168.133.1/255.255.255.0

2) Tunnel VPN#2:

• Phase1 > 'Adresse routeur distant' entrer l'adresse WAN de la Passerelle VPN 2 (i.e. 192.168.133.1)
• Phase2 > 'Addresse du Client VPN' entrer une adresse IP, 'Type d'adresse' sélectionner 'Adresse réseau' avec réseau distant/masque= 192.168.10.1/255.255.255.0

Le Client VPN IPsec prend en charge les réseaux hétérogènes IPv4 et IPv6 côté LAN et côté WAN, que ce soit sur les réseaux distants ou d'entreprise. Une fois activée, la fonction 'Auto' (pour IPv4/IPv6) permet de supporter les environnements complexes.

En fonction de la configuration de votre réseau IPv4 et IPv6, vous pouvez utiliser l'une des configurations citées ci-dessous :

• Vous n'avez pas besoin du Client VPN 6.0 pour une configuration réseau IPv4 seulement (local et distant). Toutes les versions antérieures du Client VPN fonctionneront parfaitement.
• Phase1-Authentication: sélectionnez toujours le mode 'Auto' pour IPv4/IPv6. Si la passerelle VPN de l'entreprise restreint à IPv4 du côté WAN alors sélectionnez 'IPv4' dans le Client VPN IPsec Phase 1.
• Phase2-IPsec: sélectionnez 'IPv4' si votre réseau d'entreprise est en IPv4, et sélectionnez 'IPv6' si votre réseau d'entreprise est en IPv6.

Zoom VPN Phase 1

Zoom VPN Phase 2

À partir de la version 6.1, le Client VPN TheGreenBow permet de configurer des tunnels IPsec (IKEv1 ou IKEv2) et aussi des tunnels SSL.

FreeboxConfig1
Activer le mode OpenVPN Routé comme sur l'exemple (important: cocher "Désactiver la fragmentation") et ajouter un utilisateur ("Fred" dans l'exemple), un nouveau mot de passe vous sera demandé pour l'utilisateur créé. Cliquer sur la disquette pour récupérer la configuration du client.


FreeboxConfig2
Un fichier de configuration .ovpn est téléchargé, le récupérer et le mettre sur le poste cible où est installé le client VPN TheGreenBow. Il s'agit du poste qui va se connecter à distance sur la passerelle VPN de la Freebox.


FreeboxConfig3
Sur le poste où est installé le client VPN TheGreenBow importer le fichier .ovpn, soit par un Drag & Drop du fichier soit en utilisant le menu Configuration/Importer. Cliquer sur ajouter pour conserver les tunnels existants.


FreeboxConfig4
Après l'importation, vous pouvez constater que l'adresse IP externe de votre Freebox est bien renseignée dans le champ "Adresse routeur".


FreeboxConfig5
Cliquez sur l'onglet "Etablissement", puis, comme sur l'exemple, dans le champ "Vérif. trafic après ouverture" entrez l'adresse IP 192.168.0.254. C'est un cas par défaut en supposant que vous n'avez pas modifié l'adresse IP de votre réseau local. Si votre sous-réseau n'est pas 192.168.0.0, alors vous avez à adapter ce champ. Par défaut 192.168.0.254 est l'adresse local du Freebox Server, vous pouvez mettre tout autre machine de votre réseau local si vous connaissez son adresse IP. Faites CTRL-S (ou menu Configuration/Sauver) pour sauver la configuration.


FreeboxConfig6
Double cliquez (ou clic-droit/"Ouvre Tunnel...") sur ImportedTunnel (vous pouvez modifier le nom) pour ouvrir le tunnel. Une popup va s'ouvrir et vous avez à entrer le nom d'utilisateur et son mot de passe (configurés sur la Freebox lors de l'étape 1).


FreeboxConfig7
Le tunnel doit passer en vert et dans la console (Menu Outils/Console) vous devriez voir que vous avez accès à votre réseau local de manière distante à travers le tunnel.

Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver fichier").
Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN.

Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN.

115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]

Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez aucune trace, des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un équipement de type firewall.Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la machine) qui peuvent être situés entre le Client VPN et le routeur VPN. En particulier, sur Vista, se reporter à la faq suivante.

Si vous avez les traces suivantes, le tunnel VPN IPsec est établi. Vous devriez pouvoir faire un ping sur n'importe quel adresse du réseau LAN. La configuration du Client VPN TheGreenBow est correct dans ce cas.

121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]

Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives :

• Vérifiez la configuration Phase 2 : Adresse Client VPN et adresse réseau distant. Normalement, l'Adresse Client VPN ne devrait pas appartenir au subnet du LAN distant (Lire également comment remplir le champ "Adresse Client VPN" ?)
• Une fois le tunnel ouvert, des paquets sont envoyés avec le protocole ESP. Ce protocole peut être bloqué par un Firewall. Vérifiez que chaque élément entre le client et le serveur VPN accepte ESP
• Vérifiez vos traces de serveur VPN. Des paquets peuvent être éliminés par une des règles du Firewall.
• Verifiez que votre FAI support ESP. Les principaux le supporte.
• Si vous ne pouvez toujours pas faire de ping, suivez le trafic ICMP sur l'interface LAN du serveur VPN et sur l'interface LAN de l'ordinateur (avec Ethereal par exemple). Vous aurez une indication que le chiffrement fonctionne.
• Vérifiez le routeur "par défaut" dans la configuration LAN du serveur VPN. Une cible sur votre LAN distant peut recevoir des ping mais ne répond pas parce qu'il n'y a pas de routeur "par défaut" configuré.
• Vous ne pouvez pas accéder aux ordinateurs par leur nom dans le LAN. Vous devez indiqué leur adresses IP à l'intérieur du LAN.

Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document Troubleshooting.

TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans bleus de temps en temps, même si notre Client VPN n'est pas installé.

L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN est installé.
Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre :

• Allez sur Démarrer/Panneau de configuration/Ajout\Suppression de programmes. Retirez la section Intel PROSet.
• Allez sur Démarrer/Panneau de configuration Systeme :
  - Sélectionnez l'onglet Matériel, puis appuyez sur le bouton Gestionnaire de périphériques.
  - Dans le Gestionnaire de périphériques, cliquez sur le signe plus pour afficher la section Adaptateurs réseaux.
  - Sélectionnez adaptateur Intel PRO/Wireless LAN 2200 (ou 2100) et faites un clic droit.
  - Sélectionnez Désinstaller dans le menu pop-up.
• Redémarrez l'ordinateur.

Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils sans-fil au lieu de l'utilitaire Intel PROSet.

Pour plus de détails, consultez Intel technical advisory

Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours de désinstaller la version précédente d'abord.
Solution : Vous pouvez utiliser l'utilitaire TheGreenBow pour nettoyer les composants restants du Client VPN .

Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau, en utilisant Windows update. Cette opération permet d'éviter les dysfonctionnement des pilotes dans certaines configurations.
Par ailleurs, nous recommandons d'installer le correctif Windows référencé KB938194, documenté et disponible en téléchargement sur ce lien : http://support.microsoft.com/?kbid=938194.

A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel. L'ouverture du tunnel reste bloquée sur le message :


Ce cas de figure peut arriver sur Windows Vista dans le cas où le Firewall Vista interdit les communications IPsec.

TheGreenBow VPN IPsec 4.2 (et supérieures) : Le logiciel crée automatiquement des nouvelles règles dans le pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPsec (voir la section "Pare-feu Windows" dans le Guide Utilisateur du Client VPN).

Note: Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 ci-dessous).

TheGreenBow VPN IPsec 4.1(et antérieures) : Afin de permettre les communications IPsec (ou de vérifier qu'ils sont autorisés ou restreinte), procéder comme suit :

Etape 1 : Aller au bouton "Démarrer" de Windows et entrer "Pare-feu Windows avec sécurité avancée" dans le champs "Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne de commande entrer "wf".
Etape 2 : Sélectionner dans la colonne de gauche "Règles de trafic entrant", puis dans la colonne de droite "Nouvelle règle...".
Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant".
Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux", puis entrer les deux valeurs 500 et 4500 séparées par une virgule ("500,4500"). Cliquer sur "Suivant".
Etape 5 : Vérifier que le champ "Autoriser la connexion" est sélectionné. Cliquer sur "Suivant".
Etape 6 : Vérifier que les champs Domaine, Privées et Publiques sont tous cochés. Cliquer sur "Suivant".
Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur "Terminer".
Etape 8 : La nouvelle règle est créée.
Etape 9 : Sélectionner dans la colonne de gauche "Règles de trafic sortant" et dans la colonne de droite "Nouvelle règle...", et configurer exactement la même règle (UDP, ports 500 et 4500, VPN sortant).

(IPsec VPN Client 4.* et 5.0)

Dans certains cas, le driver TheGreenBow NDIS peut pas être mis à jour avec une installation de nouveaux logiciels. Pour y parvenir, suivez les étapes suivantes:

• Exécuter 'cmd.exe' en tant qu'administrateur
• Entrer la commande 'pnputil.exe-e' et cliquer sur 'Entrée'
  
  La réponse devrait ressembler à ceci:
  
  Published name : oem68.inf
  Driver package provider : Atheros Communications Inc.
  Class : Network adapters
  Driver version and date : 01/13/2009 7.6.1.204
  Signer name : microsoft windows hardware compatibility publisher
  
  Published name : oem86.inf
  Driver package provider : TheGreenBow
  Class : Network Service
  Driver version and date : 05/19/2009 1.0.1.20
  Signer name : thegreenbow
  
  Published name : oem95.inf
  Driver package provider : Microsoft
  Class : Mobile devices
  Driver version and date : 10/06/2004 4.0.4232.0
  Signer name : microsoft windows hardware compatibility publisher
  
  Published name : oem69.inf
  Driver package provider : Acer
  Class : Monitors
  Driver version and date : 12/11/2006 1.00
  Signer name : microsoft windows hardware compatibility publisher
  
  Published name : oem78.inf
  Driver package provider : Microsoft
  Class : Network Service
  Driver version and date : 01/24/2007 2.6.553.0
  Signer name : microsoft windows hardware compatibility publisher
  
• find a "Driver package provider" line with "TheGreenBow" and note the INF file associated with. In our example, it is oem86.inf.
• type "pnputil.exe -d oem86.inf"

Le driver devrait être entièrement supprimé.

(IPsec VPN Client 4.* et 5.0)

Microsoft Windows module d'installation du pilote peut ne pas installer les pilotes troisième partie régulièrement (par exemple IPsec TheGreenBow VPN pilotes ndistgb.inf Client), surtout quand Windows est chargé avec des tâches multiples. Parfois, les paramètres de Registre ne sont pas effectuées correctement, parfois, pas du tout.

Il ya une procédure manuelle simple pour vous permettre de démarrer. Les pilotes nécessaires sont encore dans le système, donc aucun téléchargement supplémentaire ne devrait être nécessaire. Voici les étapes:

Ouvrir Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > clique droit sur une 'Network connection' > cliquez sur 'Properties'.
Cliquez sur 'Installer...'
Selectionnez 'Service' et cliquez sur 'Ajouter...'.
Cliquez sur 'Have Disk ...' pour trouver les pilotes.
Cliquez sur "Parcourir..." pour trouver les pilotes.
Allez dans C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier 'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'.
Recommencer à nouveau avec tous les autres "Connexions réseau" avec lequel que vous souhaitez utiliser le Client VPN .

Le tunnel VPN peut ne pas s'ouvrir après une mise à jour Windows 10. Vérifiez si le message suivant s'affiche dans la console log du Client VPN :


Si c'est le cas, le service Windows IKEEXT doit être désactivé.

Solution#1: Effectuez les étapes suivantes :

Allez sur 'Panneau de configuration' > 'Outils d'administration' > 'Services'.
Initialisez 'Type de démarrage' du service IKEEXT à 'Désactivé'.
Redémarrez le Client VPN.

Solution#2: Re-installez le Client VPN (même numéro de version si vous n'avez pas 'd'option de mise à jour').

Ce problème est aussi identifié comme un problème "Windows 10 secureboot" : certains ordinateurs Windows 10 sont configurés avec la fonction BIOS secureboot activée. Cette fonction peut causer un dysfonctionnement des drivers VPN de la version 6.41 du logiciel. Nous fournirons très bientôt un setup intégrant la correction de ce problème. En attendant, nous fournissons une mise à jour des drivers, téléchargeable ci-dessous, qui corrige le problème.

1/ Quels sont les symptômes du problème ?

• Sur Windows 10, le tunnel VPN s'ouvre correctement mais aucun trafic ne passe
• La console VPN montre les messages d'erreur suivants :

2/ Comment vérifier que la fonction secureboot est activée sur mon ordinateur ?

Cliquer sur le bouton démarrer de Windows Entrer "msinfo32.exe" dans la barre de recherche Vérifier que la ligne "Etat du démarrage sécurisé activé" est affichée ou pas comme illustré par la saisie d'écran ci-contre.

3/ Comment corriger le problème ?

• Télécharger et installer la mise à jour des drivers VPN suivante (disponible pour Windows 10, sur une version 6.4x du logiciel VPN)
  
    Mise à jour des drivers 6.4x
  

Si au lancement de VPNConf vous obtenez l'erreur suivante :
alors, il est nécessaire d'installer le KB3033929:

• 32 bits: https://www.microsoft.com/en-us/download/details.aspx?id=46078
• 64 bits: https://www.microsoft.com/en-us/download/details.aspx?id=46148

Le logiciel SAC (Safenet Authentication Client) version 10.5 doit être installé pour être compatible avec le mode CSP (Cryptographic Service Provider) Windows. Voir avec Gemalto pour obtenir ce logiciel.

Une autre solution consiste à utiliser le mode PKCS#11 pour accéder à la carte à puce ou au token.
Consulter notre page "token" pour trouver le guide adéquat : https://www.thegreenbow.fr/vpn_token.html

A partir de la version 6.5 du logiciel, le champ Remote ID doit obligatoirement être renseigné, dès lors que le tunnel est configuré pour authentifier la passerelle grâce à son certificat. Lorsque ce n'est pas le cas, un message est affiché dans la console.

Cette contrainte permet d'éviter la vulnérabilité 2018_7293 référencée dans l'avis de sécurité TheGreenBow.

Le champ Remote ID doit être renseigné avec le sujet du certificat de la passerelle. Toutefois, l'encodage de ce sujet peut nécessiter une configuration spécifique du Client VPN pour être correctement interprété. La clef en base de registre suivante permet de caractériser le format d'encodage :

• emplacement : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\TgbIke.exe]
• nom : x509DirectoryString
• type : REG_BINARY
• valeur :
  - 0x0C pour utf8String
  - 0x13 pour printableString
  - 0x14 pour teletexString
  - 0x1C pour universalString
  - 0x1E pour bmpString

Par défaut, lorsque la clef n'est pas positionnée, le Client VPN est en 0x13: printableString.