VPN Overview
 |
Was ist ein "Virtual Private Network" (VPN)? |
 |
Ein virtuelles privates Netzwerk (VPN) bietet die Möglichkeit, öffentliche Telekommunikationsinfrastrukturen wie z.B. das Internet zu nutzen, um Firmenstandorte oder einzelne Arbeitsplätze sicher zu vernetzen. In der Vergangenheit waren hierzu teure und exklusive Standleitungen notwendig. Ein VPN bietet die gleichen Möglichkeiten wie eine Standleitung, nur zu wesentlich niedrigeren Kosten.
Ein VPN benutzt das Internet (World Wide Web) als Zugang/Trägermedium, sichert jedoch gleichzeitig die Privatsphäre durch stärkste Datenverschlüsselung. Der Informationsaustausch selbst geschieht in einem abhörsicheren Tunnel über die Protokolle „Layer Two Tunneling Protocol (L2TP)“ oder „IPSec“.
|
Warum ist IPSec sicher? |
|
Definition: IPSec (Internet Protocol Security) bietet Sicherheitsmechanismen auf dem IP-Layer. Der IPSec Standard gewährleistet somit Vertraulichkeit, Authentizität und Integrität der Kommunikation über IP Netze.
Die Architektur von IPSec ist beschrieben in der RFC-2401 (www.ietf.org RFC-2401). Auch ist IPSec im zukünftigen Ipv6 Standard implementiert und löst ältere Methoden wie z.B. PPTP ab.
Heute ist IPSec die sicherste Methode, geschützte Datenverbindungen über öffentliche Infrastrukturen zu etablieren.
- Starke Verschlüsselungsmechanismen wie „Encapsulated Security Payload (ESP)” unter Verwendung von DES, 3DES oder AES mit Schlüssellängen bis zu 256.
- Stärkste Authentisierung der beteiligten Komponenten unter Verwendung von X-AUTH und Zertifikaten mit Schlüssellängen bis zu 2048.
- Verwendung von IKE (Internet Key Exchange) und ISAKMP zum Schlüsselaustausch und korrelativer Authentisierung.
- Schutz gegen „Denial of Service (DoS)“ Angriffe durch sog. „Sliding Window“ Methoden. Die einzelnen Datenpakete sind durchnummeriert und werden nur akzeptiert, wenn sie entsprechend in das „Sliding Window“ passen.
- Kombiniert mit USB Stick, USB Token und IPSec Client Software werden Identitäts- und Authentisierungsdaten, als auch die IPSec Konfiguration selbst geschützt.
|
Was ist NAT Traversal und unterstützt der Client diese Funktion? |
|
Definition: Network Address Translation (NAT) ist ein Verfahren, um Adressinformationen in Datenpaketen durch andere auszutauschen. Ein NAT Gerät nimmt die originäre private IP Adresse des Datenpakets und übersetzt diese in eine öffentliche IP Adresse. Üblicherweise verwenden NAT Geräte interne Tabellen zur Verwaltung der "übersetzten" Adressen. Jedoch wird bei diesem Verfahren der IP-Header des Paketes verändert, ältere IPSec Implementierungen konnten damit nicht umgehen, der Tunnelaufbau kam nicht zustande.
Die IETF (Internet Engineering Task Force) erarbeitete eine Lösung, genannt NAT-Traversal, oder auch kurz NAT-T (NAT-T RFC-3193). Heute ist NAT-Traversal in allen modernen VPN Gateways und Appliances implementiert.
Unser TheGreenBow IPSec VPN Client unterstützt NAT-T Drafts 1, 2 und 3 (inkl. UDP Encapsulation).
|
Tunnel oder Transport Modus? |
|
Der Unterschied zwischen Transport Modus und Tunnel Modus (www.ietf.org RFC-2401) wird wie folgt definiert:
- Tunnel Mode: Wird meistens verwendet, wenn entweder einer der Endpunkte einer „Security Association (SA)“, auch Sicherheitsverbindung genannt, oder beide Endpunkte als Security Gateway agieren. Das Security Gateway verhält sich hierbei als Proxy für die Hosts dahinter.
Der Tunnel Modus verschlüsselt Payload und den kompletten Header (UDP/TCP and IP).
- Transport Mode wird verwendet, wenn der Traffic für ein bestimmtes Security Gateway bestimmt ist und dieses als Host agiert. Der Transport Modus verschlüsselt nur den Datenanteil eines Paketes und lässt den IP Header unberührt.
Der TheGreenBow IPSec VPN Client unterstützt beide Methoden.
|
Preshared Key oder Zertifikate? |
|
Die Authentisierung mit IPSec geschieht in der Regel über Preshared Keys (PSK) oder Zertifikate. Ein Preshared Key identifiziert eine Partei während der Authentisierungsphase und muss vor der Kommunikation beiden Teilnehmern, bzw. Endpunkten bekannt sein.
TDie stärkste Authentisierungsmethode ist jedoch die Verwendung einer Public-Key-Infrastruktur mit Zertifikaten. Die in der PKI ausgestellten Zertifikate werden zur Absicherung der VPN Verbindung verwendet.
Der TheGreenBow IPSec VPN Client unterstützt beide Verfahren.
|
IPSec oder SSL? |
|
Auf unserer Seite
IPSec versus SSL finden Sie Informationen zu beiden Verfahren.
|
Was ist Dead Peer Detection (DPD)? |
|
"Dead Peer Detection (DPD)" oder auch ISAKMP-Keepalive genannt, ist eine Internet Key Exchange (IKE) Erweiterung (RFC3706), um nicht reagierende Gegenstellen oder Verbindungsabbrüche zu identifizieren und die Verbindung im Fehlerfall wieder aufzubauen. Dieser Mechanismus kann zusammen mit dem Redundant Gateway Feature verwendet werden.
|
Kann Dead Peer Detection (DPD) deaktiviert werden? |
|
Ja, in der Konfigurationsübersicht unter dem Menüpunkt "Globale Parameter" könenn Sie die DPD Funktionalität deaktivieren.
TheGreenBow IPSec VPN Client Software
 |
To install TheGreenBow IPSec VPN Client on Windows 7:
- Right click on 'TheGreenBow_VPN_Client.exe' before install and select 'Properties'
- In the properties window, select 'Compatibility' tab
- Check 'Run this program in compatibility mode for:' and select 'Windows Vista'
- Click 'Ok'
|
|
Welche Windows Versionen werden unterstützt? |
|
- Windows XP 32-Bit. WinXP alle Service Packs
- Windows Server 2003 32-Bit
- Windows Server 2008 32/64-Bit
- Windows Vista 32/64-Bit
- Windows 7 32/64-bit
- Windows 8 32/64-bit
|
 |
Client Releases für ältere Windows Versionen:
|
In welchen Sprachen ist der Client verfügbar? |
|
TheGreenBow IPSec VPN Client ist in vielen Sprachversionen verfügbar. (z.B. Deutsch, Französisch, Englisch, Portugiesisch, Spanisch, ...). Auf unserer Seite
Unterstütze Sprachversionen, finden Sie eine komplette Auswahl an nun über mehr als 20 Sprachversionen.
Die gewünschte Sprache kann während der Softwareinstallation ausgewählt werden.
|
Wie kann der VPN Client lokalisiert werden? |
|
Sie möchten den TheGreenBow IPSec VPN Client in Ihrer eigenen Sprache? Auf unserer VPN Client
Localization Webseite erhalten Sie eine Übersetzungsdatei. Downloaden Sie diese und erstellen Sie Ihre eigene Sprachversion.
Diese neue Übersetzung steht dann im nächsten Software Release zur Verfügung.
|
Welche VPN Gateways sind kompatibel zum Client? |
|
Der TheGreenBow IPSec VPN Client ist kompatibel zu allen auf dem IPsec Standard (IKE & IPsec) basierenden VPN Gateways. Hier eine Übersicht der von uns getesteten
VPN Gateways mit Konfigurationsbeispielen.
|
IPSec Verbindung mit dem VPN Client zu VPN Router von Linksys? |
|
Hier eine Übersicht der von uns getesteten VPN Gateways mit
Konfigurationsbeispielen, u.a. auch viele Linksys Beispiele.
Wir unterstützen z.B. die Modelle Linksys RV082 und Linksys BEFVP41. Zum Linksys WRV54G sehen Sie bitte
hier.
|
IPSec Verbindung mit dem VPN Client zu einer Cisco Firewall? |
|
Hier eine Übersicht der von uns getesteten VPN Gateways mit
Konfigurationsbeispielen, u.a. auch viele Cisco Beispiele.
Wir unterstützen z.B. die Modelle Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871, Cisco 1721.
|
Wird NAT Traversal (NAT-T) unterstützt? |
|
Ja, der VPN Client unterstützt NAT Traversal Draft 1 (Erweitert), Draft 2 und Draft 3 (volle Implementierung). IP Address Emulation.
- inklusive NAT_OA Support
- inklusive NAT Keepalive
- inklusive NAT-T Aggressive Mode
|
Unterstützt der TheGreenBow VPN Client DNS/WINS Auflösung? |
|
Ja, unser IPSec VPN Client unterstützt "Mode-Config". Der Config Mode ist eine Internet Key Exchange (IKE) Erweiterung und ermöglicht dem VPN Gateway LAN Konfigurationsdaten wie z.B. DNS/WINS Serveradressen an den über Tunnel zugreifenden Rechner, bzw. an den VPN Client weiterzugeben. Falls Mode-Config nicht von Ihrem IPSec Gateway/Router unterstützt wird können Sie alternativ DNS und/oder WINS IP Adressen im IPSec Client eintragen.
|
Ist der IPSec VPN Client kompatibel zu einem Linksys WRV54G? |
|
Der TheGreenBow IPSec VPN Client unterstützt den Linksys WRV54G Router
ab Firmware 2.37 und höher in vollem Umfang. Hier
Konfigurationsbeispiele.
|
Welche Firewall Portfreischaltungen benötigt der TheGreenBow IPSec VPN Client? |
|
Der Client benötigt UDP Port 500 und UDP Port 4500. Auch muss das ESP Protokoll (Protokoll Numer 50) erlaubt sein.
Bitte sehen Sie hierzu auch diese Artikel:
VPN Konfiguration und VPN Ports für eingeschränkte WLAN- oder Hotelzugänge?
Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)?
Kann der IKE Port verändert werden?
|
Kann sich der TheGreenBow IPSec VPN Client durch Microsoft ISA Server 2000 oder 2004 verbinden? |
|
Laut Aussage des Microsoft Support passiert VPN Traffic in den meisten Fällen nicht den ISA Server 2000.
Für Informationen bezügl. des ISA Server 2004, bitte schauen Sie Artikel
Q838379 in der Microsoft Knowledge Base.
|
Was muss in der Phase 2 in das Feld "VPN Client Adresse" eingetragen werden? |
|
In dieses Feld wird die virtuelle IP Adresse des VPN Client eingetragen, welche dieser im entfenten (remote) Netzwerk verwenden soll. In den meisten Fällen darf diese IP Adresse nicht in der Range des entfernten (remote) Netzwerk sein.
Zum Beispiel:
Lokales Netzt des Client PC = 192.168.0.0/255.255.255.0
Entferntes Netz des Gateways = 192.168.1.0/255.255.255.0
In diesem Fall sollte die virtuelle IP Adresse des VPN Client in keiner der beiden Ranges sein, z.B. 192.168.100.1 oder 10.10.10.1.
Bitte sehen Sie auch unser
Benutzerhandbuch.
|
Kann das grafische Benutzerinterface versteckt oder eingeschränkt werden? |
|
Es ist möglich, das IPSec VPN Client Setup im sog. "Silent" Mode auszuführen. Informationen hierzu finden Sie un diesem Dokument:
VPN Deployment Guide
|
Ist der IPSec VPN Client kompatibel zu einem Linksys WRVS4400N oder WRV200? |
|
Ja, der TheGreenBow IPSec VPN Clienunterstützt die Gateways Cisco Linksys WRVS4400N, Cisco Linksys WRV200 und den Cisco Linksys RV082 und BEFVP41 (Informationen hier:
Zertifizierte VPN Gateway Liste oder VPN
Konfigurationsbeispiele) zum Download.
|
Kann ein redundantes Gateway definiert werden? |
|
Ja. Es ist möglich in der VPN Client Konfiguration ein redundantes Gateway anzugeben, um die Ausfallsicherheit der VPN Verbindung zu erhöhen. Über diese Funktion kann ein alternatives VPN Gateway angesteuert werden, wenn die primäre Verbindung ausfällt oder die Gegenstelle nicht antwortet. Über die Funktion „Dead Peer Detection“ können Fehler auf der Gateway Seite erkannt werden.
|
Kann der IKE Port angepasst oder verändert werden? |
|
Ja. Ein spezifischer IKE Port kann in der Konfiguration hinterlegt werden. Über den Menüpunkt „Parameter“ erreichen Sie das entsprechende Konfigurationsmenü. Hier können Sie den IKE Port und den NAT-T Port definieren.
Bitte sehen Sie hierzu auch diese Artikel:
VPN Konfiguration und VPN Ports für eingeschränkte WLAN- oder Hotelzugänge?
Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)?
|
Was machen die Dateien TgbStarter.exe und TgbIke.exe? |
|
TgbStarter.exe und TgbIke.exe sind Kompunenten des TheGreenBow IPSec VPN Client.
- TgbStarter.exe ist die Software Daemon Komponente (Läuft als Dienst)
- TgbIke.exe ist die IPSec/IKE Run-Time der Software.
|
Die Software Aktivierung funktioniert nicht oder schlägt fehl. |
|
Hier finden Sie einen Assistenten zum Identifizieren und Beheben von Fehlern während des Aktivierungsvorgangs:
Online Software Aktivierungshilfe.
Alternativ ist es möglich, die Software manuell unter Umgehung des Assistenten zu aktivieren.
Hier finden Sie entsprechende Hinweise zur
Manuellen Software-Aktivierung.
|
Wozu dient die VPN Test Konfiguration? |
|
Im VPN Client enthalten ist eine beispielhafte Test- oder Demokonfiguration. Diese ist so vorkonfiguriert, dass Sie einen Tunnel zu unserem VPN Testgateway aufbauen können. Sie dient Hauptsächlich zu Test- und Demonstrationszwecken und um zu prüfen, ob eventuell lokale Firewalleinstellunge die VPN verbindung blockieren.
Mehr Informationen finden Sie in unserer Onlinehilfe, die Testkonfiguration kann auch hier separat heruntergeladen werden:
Bitte entpacken Sie diese Datei an einen Ort Ihrer Wahl, über die Menüfuktion "Konfiguration" - "Importieren" im Client können Sie Sie die Testkonfiguration einlesen.
Wählen Sie "Hinzufügen", falls Sie bereits eine Konfiguration im VPN Client hinterlegt haben. So gehen Ihnen keine Einstellungen verloren.
|
Kann der Testzeitraum (Trial-Periode) verlängert werden? |
|
Ja, die Testzeiträume können über temporäre Lizenzschlüssel verlängert werden. Kontaktieren Sie hierzu bitte unseren
Support.
|
|
Können Applikationen (z.B. CRM) automatisch gestartet werden, wenn der Tunnel etabliert ist? |
|
Benutzerdefinierte Automatisierungen können über das 'Skripte'-Tab in den Einstellungen der Phase 2 definiert werden. Aktionen können für jede Phase des Tunnel Auf- und Abbau eingerichtet werden.
- Vor Tunnelöffnung
- Nach Tunnelöffnung
- Vor Tunnelschliessung
- Nach Tunnelschliessung
Dieses Feature erlaubt das Asführen von Skripren (Batches, Skripte, Applikationen, usw.) zu jedem Zeitpunkt der Tunnelverbindung. Die Anwendungsmöglichkeiten sind vielfältig, so lassen sich z.B. Backups erstellen, Synchronisierungen anstoßen oder Anwendungen starten. Auch lassen sich spezielle Netzwerkkonfigurationen vor, während oder nach der Tunnelverbindung einstellen.
Finde hier weiterführende Infos zur
Automatisietung mit Windows PowerShell.
|
|
Unterstützt der IPSec VPN Client Zwei-Faktor-Authentifizierung und Token? |
|
Ja, die Software unterstützt verschiedene Zwei-Faktor und Zwei-Wege-Authentisierungstoken um Credentials wie z.B. Schlüssel, Passwörter oder Zertifikate zu sichern. Bitte sehen Sie hier:
Zertifizierte Token
|
|
Kann man sich über den Tunnel an einer Windows Domäne vor dem eigentlichen Windows Logon Screen anmelden? |
|
Ja, hierzu sind folgende Schritte notwendig:
- Wählen Sie in der Übersicht die entspr. Phase 2 und wechseln Sie in das Tab "Erweitert". Wählen Sie hier "Vor dem Windows Logon" und speichern Sie die Änderung.
- Wenn Sie sich nun das nächste mal in Windows anmelden, wird Ihnen vor dem Logon Screen ein kleines Fenster eingeblendet, mit dem Sie den Tunnel vor dem Logon etablieren können.
- Mehr Informationen hierzu im Online Benutzerhandbuch, Klicke auf 'Search' oben links > und suche nach 'Gina'.
Achtung: Diese Funktion steht in der Demoversion nicht zur Verfügung.
|
|
How to setup VPN connections and VPN ports for users in hotels or hotspots? |
|
For more information on the negotiation of NAT Traversal in IKE see IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) or draft "
draft-ietf-ipsec-nat-t-ike-08". Also see the
TCP and UDP ports list.
Here are the negotiation Phases in VPN connection and their default VPN Ports when TheGreenBow IPSec VPN Client software is behind any router:
| Phase |
Default Port |
Where to modify the ports? |
| Phase1 negotiation |
UDP Port 500 |
Go to 'Config Panel'
> 'Parameters'
> 'IKE Port' |
|
| Phase2 negotiation |
UDP Port 4500 |
Go to 'Config Panel'
> 'Parameters'
> 'NAT-T Port' |
| Traffic after IPSec/IKE negotiation |
Stays on last port defined |
|
In some hotels, hotspots or airports, the UDP port 500 and 4500 for outgoing traffic might be prohibited, preventing any outgoing VPN Connections to your corporate network. So it is necessary to configure IKE and NAT-T ports accordingly.
Here is an example of alternative VPN Port in Configuration Panel (i.e. remember this only affects UDP protocol):
| IKE Port |
NAT-T Port |
| 80 |
443 |
If you decide to use non default VPN Ports (i.e. UDP 500 & UDP 4500), the destination router (i.e. at the edge of your corporate network) must be configured to reroute the incoming traffic associated with the new selected VPN ports onto the default UDP 500 & UDP 4500 so that they properly routed to the IPSec service. Here is the diagram for example above, knowing that some router models do not provide the capability to reroute ports within itself and two routers might be needed:
Here is a Linux Firewall configuration file when your VPN router does not provide the capability to reroute ports within itself and you want to add a front-end firewall:
|
|
Is it possible to use Certificates from the Windows Certificate Store where our PKI software put user Certificates? |
|
Yes. When setting up a new VPN Tunnel,
- Go to 'Phase1' > 'Certificate' tab
- All Certificates in the Windows Certificate Store (Personal Store) should appear here.
- Select the Certificate you need, click 'Ok', click 'Save'.
You might want to download our IPSec VPN Client software
User Guide.
|
|
Is SHA-2 supported? Which Hash Algorithms are supported? |
|
Yes. SHA-1 and SHA-2 256-bit are supported. MD5 is also supported. See full list in the
datasheet.
|
|
How to see VPN Connections? |
|
There are several ways to see opened VPN connections:
- Right click on the VPN Client software systray icon. Green lights mean VPN tunnels are open.
- Single click on the VPN Client software systray icon to open Configuration Panel. Tap Ctrl+Enter to go to Connection Panel, back and forth.
- Once the Configuration Panel pops up, click on 'Connections' button.
|
|
How to force all internet traffic in VPN tunnel? |
|
It is possible to force all internet traffic in VPN tunnel. Doing so, all internet traffic is routed from the remote gateway instead of the remote user network, the remote user network IP address is virtually hidden to visited websites as it is replaced with remote gateway IP address. Corporate network may apply some additional traffic scan to increase security.
The VPN Configuration is simple and requires 3 steps:
- Go to 'Configuration Panel' > 'Parameters' > select 'Block non-ciphered connection' to prohibit non-ciphered traffic from being routed to internet directly.
- Go to 'Configuration Panel' > 'Phase2' > select 'Subnet Address' as 'Address Type' and set both 'Remote LAN' and 'Subet Mask' to '0.0.0.0', so that all traffic (to any IP address) will be routed to VPN tunnel. Note that '0.0.0.0' means all traffic including traffic to your local network will be routed through the VPN tunnel.
- On the remote gateway, set the VPN tunnel in the same way as both configuration must be symetrical with local subnet de 0.0.0.0/0.
Note: Some VPN Gateway/Routers may not support this feature (i.e. hub&spoke: '0.0.0.0/0'). If supported, you'll need to create a rule to authorize wan to wan traffic.
|
|
Does TheGreenBow IPSec VPN Client support WWAN? |
|
Yes. WWAN stand for Wireless Wide Area Network or Wireless WAN, and now supported by several 3G/4G wireless modem/boards manufacturers. It uses mobile telecommunication cellular network technologies such as WIMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA or 3G/4G to transfer data. WWAN connectivity allows a user with a laptop and a WWAN card to surf the web, check email, or connect to a virtual private network (VPN) from anywhere within the regional boundaries of cellular service.
Microsoft has introduced the WWAN miniport adapter to support it. The WWAN miniport adapter is used to manage establishment, configuration, packet transmission, packet reception and disconnection of NDIS-based data connections.
All manufacturers must support "Mobile Broadband Driver Model Specification" for Windows 7 based on NDIS6.20 miniport driver model. See our
list of 3G modem/adapters.
|
VPN Geschwindigkeit steigern durch Ändern der MTU Size? |
|
Die Größe der sog. "MTU Size" hat Auswirkungen auf Geschwindigkeit und Performanz der VPN Verbindung. MTU steht für Maximum Transmission Unit, es ist möglich, diese Größe individuell anupassen. Sie bezeichnet die maximale Größe eines TCP/IP Pakets, welches übermittelt werden kann. Sind einzene Blöcke größer, müssen diese in mehrere Pakete aufgesplittet werden, was zu Performanceeinbußen führen kann. Auf der anderen Seite jedoch kann es sein, dass größere Paktete (mit einer großen MTU) nicht von allen Nertwerkkomponenten unterstützt wird, was ebenfalls zu Geschwindigkeitsproblemen führen kann.
Sie können die MTU Größe für den VPN Traffic über einen Registry Eintrag festlegen:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters]
"MTUSize"=dword:000004b0
Limits der Wertebereiche: #4b0 < MTUSize < #ffff (or 1200 < MTUSize < 65535)
Achtung ab Client Version 5.1
und größer mit Win 7 oder Vista:
Es besteht keine
Notwendigkeit, die MTU über o.g. Eintrag anzupassen. Der Client setzt automatisch die MTU Werte der verwendeten Netzwerkkarte. Der MTU Wert kann hier nur über die Eigenschaften der Netzwerkkarte oder einen auf die Netzwerkkarte bezogenen Registry Eintrag geändert werden. Sehen Sie hierzu die Dokumentation Ihrer Netzwerkkarte.
|
Remote Desktop Sharing Session (RDP) mit einem Klick öffnen? |
|
Der VPN Client unterstützt Remote Desktop Sitzugen (RDP) ganz einfach:
- Mehrere Sessions können im RDP Tab konfiguriert werden.
- Klicken Sie auf eine Sessionkonfiguration, wird der damit assoziirte VPN Tunnel geöffnen und die RDP Session gestartet.
- Hier ein Video Tutorial.
Hier eine Drittanbieter Lösung, welche über Kommandozeilenoptionen gesteuert wird:
- Devolutions.net: Remote Desktop Manager ist eine Applikation zur Verwaltung von RDP Konfigurationen und virtuellen Maschinen. Devolutions hat ein Plugin entwickelt, welches vor dem Aufbau der RDP Verbindung den assoziierten VPN Tunnel automatisch startet. Wie einfach das funktioniert sehen Sie in diesem Tutorial Video.
|
GINA Funktion abschalten? |
|
Unter Umständen kann sich der VPN Client unter Windows Vista oder Windows 7 instabil verhalten, wenn der Rechner aus dem Sleep- bzw. Hybernate Modus aufwacht. In diesen Fällen hilft das Deaktivieren des Gina Modus.
Troubleshootings
|
"I have message XXXXX in the console". What does it mean? |
|
We do make available for download a
complete guide of messages from TheGreenBow IPSec VPN Client console with explanations and resolving hints. If this document does not help you, send us all the exchanges with RECV and SEND lines. Keep log levels to "0" and click on "Save file".
Log file can be found in C:\Program Files\TheGreenBow\TheGreenBow VPN.
|
No response from the VPN server |
|
If you have the following logs, that means the remote VPN server does not answer to client’s IKE requests.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Take a look at remote VPN server logs and check if requests from the client are received. If you find no trace, IKE requests must have been dropped somewhere. Check any firewall (including computer Personal Firewall) that can be found between the IPSec VPN client and the VPN server.
|
VPN is up but I can't ping? |
|
When logs look like the ones below, the IPSec VPN tunnel is established. Now you should be able to ping any devices onto your VPN server LAN. TheGreenBow IPSec VPN Client configuration is correct.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
If you still cannot ping the remote LAN, here are a few guidelines:
- Check Phase 2 settings : VPN client address and Remote LAN address. Usually, client IP address should not belong to the remote LAN subnet (read also What must be filled in Phase 2 field "VPN client address" ?)
- Once tunnel is up, packets are sent with ESP protocol. This protocol can be blocked by firewall. Check that every device between the client and the VPN server does accept ESP
- Check your VPN server logs. Packets can be dropped by one of its firewall rules.
- Check your ISP support ESP
- If you still cannot ping, follow ICMP traffic on VPN server LAN interface and on LAN computer interface (with Ethereal for example). You will have an indication that encryption works.
- Check the “default gateway” value in VPN Server LAN. A target on your remote LAN can receive pings but does not answer because there is not “Default gateway” settings.
- You cannot access to the computers in the LAN by their name. You must have specified their IP address inside the LAN.
For full trace with explanations and resolving hints, please see our
Troubleshooting document.
|
DELL oder HP Laptops mit Broadcom Chipsatz |
|
Wir empfehlen Kunden bei Geräten mit Broadcom Chipsatz ein Treiberupdate der Datei bcmwl5.sys auf die aktuellste Version. Ältere Treiberversionen können im Zusammenhang nit unserer Client Software zu Bluescreens/GPFs führen.
|
Intel Adapter Switching Utility |
|
Intel Adapter Switching Utility causes blue screen when TheGreenBow IPSec VPN Client is installed.
If you have an Intel Pro/Wireless 2100 or 2200, follow these steps in the given order.
- Go to the Start/Control Panel/Add\Remove Programs. Remove the Intel PROset item
- Go to the Start/Control Panel/System.
- Select the hardware tab and press the device manager button.
- In the device manager, click on the plus sign to expand the Network Adapters item.
- Select Intel PRO/Wireless LAN 2200 (or 2100) adapter and right click.
- Select Uninstall from the pop-up menu.
- Restart the computer.
Upon reboot the laptop will re-detect the wireless card and install the drivers for it. It will not
install the Intel PROset drivers. The wireless card should still function, but the added functionality
of the adapter switching will not be available. Windows will then manage the wireless profiles instead
of the Intel PROset utilities.
For more details, see the
Intel technical advisory
|
I cannot uninstall IPSec VPN Client software |
|
Problem: I cannot uninstall IPSec VPN Client software, it always asks to first uninstall the previous version.
Solution: You can use
our tool
to clean the remaining components of IPSec VPN Client software.
|
Issues with TheGreenBow drivers on Windows Vista |
|
We strongly recommend users on Windows Vista to upgrade their network adapter drivers with Windows Update. This action can prevent
from driver crashes in some network configurations. Also, Windows Vista bug fix pack KB938194 should be installed. More details and
download are available on
http://support.microsoft.com/?kbid=938194.
|
Unable to open a VPN tunnel under Vista, problem with Vista Firewall? |
|
Once TheGreenBow VPN Client installed on Vista, it might be impossible to open a VPN tunnel. The opening of the VPN tunnel remains
blocked with the following IPSec messages (use the IPSec VPN Client console):
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
This can happen on Windows Vista because the Vista Firewall can forbid IPSec communications.
TheGreenBow VPN IPSec 4.2 (and further): The software automatically creates new rules into the Windows Vista Firewall during software installation so that IPSec VPN traffic is enabled (see "windows firewall" in the
User Guide).
Note: In Windows Seven (Wind 7), your profile 'Private' and 'Domain' in existing Windows Firewall rules for TheGreenBow VPN Client is not set accordingly. Please check in Windows Firewall rules and make sure your profile 'Private' and 'Domain' are selected (see step 6 below).
Restriction lifted in TheGreenBow VPN IPSec 4.7 (and further).
TheGreenBow VPN IPSec 4.1: To allow IPSec communications (or verify that they are authorized or restricted), please proceed as follows:
- Step 1: Go to 'Windows Start' button and enter "Windows Firewall with Advanced Security" in Search field. Alternatively, enter 'cmd' and in the command line window enter 'wf'.
|
|
Open "Windows Firewall with Advanced Security".
|
- Step 2: Select in the left menu "Inbound Rules", then in the right column "New Rule...".
|
|
Select in the left menu "Inbound Rules", then in the right column "New Rule...".
|
- Step 3: Select "Port" and then click on "Next".
|
|
Select "Port" and then click on "Next".
|
- Step 4: Select "UDP" and the "Specific local ports," then enter two values 500 and 4500 separated by comma (i.e. "500,4500").
Click on "Next".
|
|
Select "UDP" and the "Specific local ports," then enter two values 500 and 4500 separated by comma (i.e. "500,4500").
Click on "Next".
|
- Step 5: Verify that "Allow the connection" bullet is selected.
Click on "Next".
|
|
Verify that "Allow the connection" bullet is selected. Click on "Next".
|
- Step 6: Make sure this rule applies to all Profiles. Click on "Next".
|
|
Make sure this rule applies to all Profiles. Click on "Next".
|
- Step 7: Assign a name to this new rule. Click on "Finish".
|
|
Assign a name to this new rule. Click on "Finish".
|
- Step 8: The new rule is created.
|
|
|
- Step 9: Select in the left column "Outbound Rules" and in the right column "New Rule...", and configure exactly the same rule (i.e. UDP ports 500 and 4500, VPN Outbound).
|
|
Select in the left column "Outbound Rules" and in the right column "New Rule...", and configure exactly the same rule (i.e. UDP ports 500 and 4500, VPN Outbound).
|
|
Treibercache leeren unter Windows Visa und Windows 7 |
|
(IPSec VPN Client Versionen 4.* and 5.x)
In manchen Fällen ist es möglich, dass der TheGreenBow NDIS Treiber nach einer Neuinstallation nicht aktualisiert werden kann. Bitte führen Sie die folgenden Schritte aus:
- Führen Sie "cmd.exe" als Administrator aus
- Geben Sie "pnputil.exe -e" ein und drücken Sie "Enter"
Die Ergebnisliste sieht ähnlich wie folgt aus::
Published name : oem68.inf
Driver package provider : Atheros Communications Inc.
Class : Network adapters
Driver version and date : 01/13/2009 7.6.1.204
Signer name : microsoft windows hardware compatibility publisher
Published name : oem86.inf
Driver package provider : TheGreenBow
Class : Network Service
Driver version and date : 05/19/2009 1.0.1.20
Signer name : thegreenbow
Published name : oem95.inf
Driver package provider : Microsoft
Class : Mobile devices
Driver version and date : 10/06/2004 4.0.4232.0
Signer name : microsoft windows hardware compatibility publisher
Published name : oem69.inf
Driver package provider : Acer
Class : Monitors
Driver version and date : 12/11/2006 1.00
Signer name : microsoft windows hardware compatibility publisher
Published name : oem78.inf
Driver package provider : Microsoft
Class : Network Service
Driver version and date : 01/24/2007 2.6.553.0
Signer name : microsoft windows hardware compatibility publisher
- Suchen Sie die Zeile "Driver package provider" mit "TheGreenBow" und notieren Sie sich den Namen der INF Datei. Hier i Beispiel wäre dies oem86.inf.
- Geben Sie "pnputil.exe -d oem86.inf" ein und drücken Sie "Enter"
Der Treiber ist jetzt aus dem Treibercahe gelöscht.
|
How to manually install IPSec VPN Client drivers? |
|
(IPSec VPN Client 4.* and 5.0)
Microsoft Windows driver installation module might not install 3rd party drivers properly (e.g. TheGreenBow IPSec VPN Client ndistgb.inf drivers), especially when Windows is loaded with multiple tasks. Sometimes, registry settings are not performed properly, sometimes, not at all.
There is a simple manual procedure to get you up and running. The required drivers are still in the system, so no additional download should be necessary. Here are the steps:
- Go to Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > right click on a network connection > click on 'Properties'.
|
|
Go to Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > right click on a network connection > click on 'Properties'.
|
|
|
Click on 'Install...'
|
- Select 'Service' and click on 'Add...'
|
|
Select 'Service' and click on 'Add...'.
|
- Click on 'Have Disk...' to find the drivers.
|
|
Click on 'Have Disk...' to find the drivers.
|
- Click on 'Browse...' to find the drivers.
|
|
Click on 'Browse...' to find the drivers.
|
- Go to C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} and select the 'ndistgb.inf' file (i.e. setup information), and click 'Open'.
|
|
Go to C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} and select the 'ndistgb.inf' file (i.e. setup information), and click 'Open'.
|
- Proceed again with all other 'Network Connections' you want to use the IPSec VPN Client with.
|
|
|
