|
|
 |
|
FAQ zum TheGreenBow VPN Client
TheGreenBow IPSec VPN Client Software
Fehermeldungen und Troubleshoots
VPN Overview
 |
Was ist ein "Virtual Private Network" (VPN)? |
 |
Ein virtuelles privates Netzwerk (VPN) bietet die Möglichkeit, öffentliche Telekommunikationsinfrastrukturen wie z.B. das Internet zu nutzen, um Firmenstandorte oder einzelne Arbeitsplätze sicher zu vernetzen. In der Vergangenheit waren hierzu teure und exklusive Standleitungen notwendig. Ein VPN bietet die gleichen Möglichkeiten wie eine Standleitung, nur zu wesentlich niedrigeren Kosten.
Ein VPN benutzt das Internet (World Wide Web) als Zugang/Trägermedium, sichert jedoch gleichzeitig die Privatsphäre durch stärkste Datenverschlüsselung. Der Informationsaustausch selbst geschieht in einem abhörsicheren Tunnel über die Protokolle „Layer Two Tunneling Protocol (L2TP)“ oder „IPSec“.
|
Warum ist IPSec sicher? |
|
Definition: IPSec (Internet Protocol Security) bietet Sicherheitsmechanismen auf dem IP-Layer. Der IPSec Standard gewährleistet somit Vertraulichkeit, Authentizität und Integrität der Kommunikation über IP Netze.
Die Architektur von IPSec ist beschrieben in der RFC-2401 (www.ietf.org RFC-2401). Auch ist IPSec im zukünftigen Ipv6 Standard implementiert und löst ältere Methoden wie z.B. PPTP ab.
Heute ist IPSec die sicherste Methode, geschützte Datenverbindungen über öffentliche Infrastrukturen zu etablieren.
- Starke Verschlüsselungsmechanismen wie „Encapsulated Security Payload (ESP)” unter Verwendung von DES, 3DES oder AES mit Schlüssellängen bis zu 256.
- Stärkste Authentisierung der beteiligten Komponenten unter Verwendung von X-AUTH und Zertifikaten mit Schlüssellängen bis zu 2048.
- Verwendung von IKE (Internet Key Exchange) und ISAKMP zum Schlüsselaustausch und korrelativer Authentisierung.
- Schutz gegen „Denial of Service (DoS)“ Angriffe durch sog. „Sliding Window“ Methoden. Die einzelnen Datenpakete sind durchnummeriert und werden nur akzeptiert, wenn sie entsprechend in das „Sliding Window“ passen.
- Kombiniert mit USB Stick, USB Token und IPSec Client Software werden Identitäts- und Authentisierungsdaten, als auch die IPSec Konfiguration selbst geschützt.
|
Was ist NAT Traversal und unterstützt der Client dieses ? |
|
Definition: Network Address Translation (NAT) ist ein Verfahren, um Adressinformationen in Datenpaketen durch andere auszutauschen. Ein NAT Gerät nimmt die originäre private IP Adresse des Datenpakets und übersetzt diese in eine öffentliche IP Adresse.
Üblicherweise verwenden NAT Geräte interne Tabellen zur Verwaltung der "übersetzten" Adressen. Jedoch wird bei diesem Verfahren der IP-Header des Paketes verändert, ältere IPSec Implementierungen konnten damit nicht umgehen, der Tunnelaufbau kam nicht zustande
Die IETF
(Internet Engineering Task Force) erarbeitete eine Lösung, genannt NAT-Traversal, oder auch kurz NAT-T (NAT-T RFC-3193). Heute ist NAT-Traversal in allen modernen VPN Gateways und Appliances implementiert.
Unser TheGreenBow IPSec VPN Client unterstützt NAT-T Drafts 1, 2 und 3 (inkl. UDP Encapsulation).
|
Tunnel oder Transport Modus? |
|
Der Unterschied zwischen Transport Modus und Tunnel Modus
(www.ietf.org RFC-2401)
wird wie folgt definiert:
- Tunnel Mode:Wird meistens verwendet, wenn entweder einer der Endpunkte einer „Security Association (SA)“, auch Sicherheitsverbindung genannt, oder beide Endpunkte als Security Gateway agieren. Das Security Gateway verhält sich hierbei als Proxy für die Hosts dahinter.
Der Tunnel Modus verschlüsselt Payload und den kompletten Header (UDP/TCP and IP).
- Transport Mode wird verwendet, wenn der Traffic für ein bestimmtes Security Gateway bestimmt ist und dieses als Host agiert. Der Transport Modus verschlüsselt nur den Datenanteil eines Paketes und lässt den IP Header unberührt.
Der TheGreenBow IPSec VPN Client unterstützt beide Methoden.
|
Preshared Key oder Zertifikate? |
|
Die Authentisierung mit IPSec geschieht in der Regel über Preshared Keys (PSK) oder Zertifikate. Ein Preshared Key identifiziert eine Partei während der Authentisierungsphase und muss vor der Kommunikation beiden Teilnehmern, bzw. Endpunkten bekannt sein.
Die stärkste Authentisierungsmethode ist jedoch die Verwendung einer Public-Key-Infrastruktur mit Zertifikaten. Die in der PKI ausgestellten Zertifikate werden zur Absicherung der VPN Verbindung verwendet.
Der TheGreenBow IPSec VPN Client unterstützt beide Verfahren.
|
IPSec oder SSL? |
|
Auf unserer Seite IPSec versus SSL finden Sie Informationen zu beiden Verfahren.
|
IPSec zur Absicherung von WLAN? |
|
Auf unserer Seite IPSec versus WiFi page finden Sie Informationen zur Absicherung.
|
Was ist Dead Peer Detection (DPD)? |
|
"Dead Peer Detection (DPD)" oder auch ISAKMP-Keepalive genannt, ist eine Internet Key Exchange (IKE) Erweiterung (RFC3706), um nicht reagierende Gegenstellen oder Verbindungsabbrüche zu identifizieren und die Verbindung im Fehlerfall wieder aufzubauen. Dieser Mechanismus kann zusammen mit dem Redundant Gateway Feature verwendet werden.
|
Kann Dead Peer Detection (DPD) deaktiviert werden? |
|
Ja, in der Konfigurationsübersicht unter dem Menüpunkt "Globale Parameter" könenn Sie die DPD Funktionalität deaktivieren.
TheGreenBow IPSec VPN Client Software
 |
To install TheGreenBow IPSec VPN Client on Windows 7:
- Right click on 'TheGreenBow_VPN_Client.exe' before install and select 'Properties'
- In the properties window, select 'Compatibility' tab
- Check 'Run this program in compatibility mode for:' and select 'Windows Vista'
- Click 'Ok'
|
|
Welche Windows Versionen werden unterstützt? |
|
- Windows 2000 (Workstation)
- Windows XP 32-bit. WinXP alle Service Packs, inklusive SP2
- Windows Server 2003 32-Bit
- Windows Server 2008 32-Bit
- Windows Server 2008 64-Bit
- Windows Vista 32/64-Bit
- Windows 7 32-Bit
- Windows 7 64-Bit
|
 |
 Client Releases für ältere Windows Versionen:
|
In welchen Sprachen ist der Client verfügbar? |
|
TheGreenBow IPSec VPN Client ist in vielen Sprachversionen verfügbar. (z.B. Deutsch, Französisch, Englisch, Portugiesisch, Spanisch, ...). Auf unserer Seite Supported Languages, finden Sie eine komplette Auswahl an nun über mehr als 20 Sprachversionen.
Die gewünschte Sprache kann während der Softwareinstallation ausgewählt werden.
|
Wie kann der VPN Client lokalisiert werden? |
|
Sie möchten den TheGreenBow IPSec VPN Client in Ihrer eigenen Sprache? Auf unserer VPN Client Localization Webseite erhalten Sie eine Übersetzungsdatei. Downloaden Sie diese und erstellen Sie Ihre eigene Sprachversion.
Diese neue Übersetzung steht dann im nächsten Software Release zur Verfügung.
|
Welche VPN Gateways sind kompatibel zum Client? |
|
Der TheGreenBow IPSec VPN Client ist kompatibel zu allen auf dem IPsec Standard (IKE & IPsec) basierenden VPN Gateways.
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen.
|
IPSec Verbindung mit dem VPN Client zu einem Linksys VPN Router? |
|
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch viele Linksys Beispiele.
Wir unterstützen z.B. die Modelle Linksys RV082 und Linksys BEFVP41. Zum Linksys WRV54G sehen Sie bitte hier.
|
IPSec Verbindung mit dem VPN Client zu einer Cisco? |
|
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch viele Cisco Beispiele.
Wir unterstützen z.B. die Modelle Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871, Cisco 1721.
|
Wird NAT Traversal unterstützt? |
|
Ja, der VPN Client unterstützt NAT Traversal Draft 1 (Erweitert), Draft 2 und Draft 3 (volle Implementierung). IP Address Emulation.
- inklusive NAT_OA Support
- inklusive NAT Keepalive
- inklusive NAT-T Aggressive Mode
|
Unterstützt der TheGreenBow VPN Client DNS/WINS Auflösung? |
|
Ja, unser IPSec VPN Client unterstützt "Mode-Config". Der Config Mode ist eine Internet Key Exchange (IKE) Erweiterung und ermöglicht dem VPN Gateway LAN Konfigurationsdaten wie z.B. DNS/WINS Serveradressen an den über Tunnel zugreifenden Rechner, bzw. an den VPN Client weiterzugeben. Falls Mode-Config nicht von Ihrem IPSec Gateway/Router unterstützt wird können Sie alternativ DNS und/oder WINS IP Adressen im IPSec Client eintragen.
|
Ist der IPSec VPN Client kompatibel zu einem Linksys WRV54G? |
|
Der TheGreenBow IPSec VPN Client unterstützt den Linksys WRV54G Router ab Firmware 2.37 und höher in vollem Umfang. Hier Konfigurationsbeispiele.
|
Welche Portfreischaltungen benötigt der TheGreenBow IPSec VPN Client? |
|
Der Client benötigt UDP Port 500 und UDP Port 4500. Auch muss das ESP Protokoll (Protokoll Numer 50) erlaubt sein.
Bitte sehen Sie hierzu auch diese Artikel:
VPN Konfiguration und VPN Ports für eingeschränkte WLAN- oder Hotelzugänge?
Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)?
Kann der IKE Port verändert werden?
|
Kann sich der TheGreenBow IPSec VPN Client durch Microsoft ISA Server 2000
oder 2004 verbinden? |
|
Laut Aussage des Microsoft Support passiert VPN Traffic in den meisten Fällen nicht den ISA Server 2000.
Für Informationen bezügl. des ISA Server 2004, bitte schauen Sie Artikel Q838379 in der Microsoft Knowledge Base.
|
Was muss in der Phase 2 in das Feld "VPN Client Adresse" eingetragen werden? |
|
This field is the virtual IP address that the IPSec VPN client will have inside the remote subnet. With most of VPN gateways, this address must not belong to the remote network subnet.
For example, if you use a VPN gateway with a subnet 192.168.0.0/255.255.255.0, you should use in "VPN Client address" a value like 192.168.100.1 or 10.10.10.1.
Take the case you choose an IP address non-used in the subnet like 192.168.0.200. When the IPSec VPN Client is sending a TCP or an UDP packet to a target remote computer 192.168.0.x, this target will send inside its subnet an ARP request in order to get IPSec VPN Client MAC address and reply directly to it. But, this request cannot receive any answer because the client is not physically present inside the subnet. So, initial packets from the client will not be answered.
If your VPN gateway can answer this ARP request for the IPSec VPN Client, you can fill "VPN Client address" field with an IP address belonging to remote subnet.
You might want to download our IPSec VPN Client User Guide.
|
Kann das grafische Benutzerinterface versteckt oder eingeschränkt werden? |
|
Es ist möglich, das IPSec VPN Client Setup im sog. "Silent" Mode auszuführen. Informationen hierzu finden Sie un diesem Dokument: VPN Deployment Guide
|
Ist der IPSec VPN Client kompatibel zu einem Linksys WRVS4400N oder WRV200? |
|
Ja, der TheGreenBow IPSec VPN Clienunterstützt die Gateways Cisco Linksys WRVS4400N, Cisco Linksys WRV200 und den Cisco Linksys RV082 und BEFVP41
(Informationen hier: Zertifizierte VPN Gateway Liste oder VPN Konfigurationsbeispiele) zum Download.
|
Kann ein redundantes Gateway definiert werden? |
|
Ja. Es ist möglich in der VPN Client Konfiguration ein redundantes Gateway anzugeben, um die Ausfallsicherheit der VPN Verbindung zu erhöhen. Über diese Funktion kann ein alternatives VPN Gateway angesteuert werden, wenn die primäre Verbindung ausfällt oder die Gegenstelle nicht antwortet. Über die Funktion „Dead Peer Detection“ können Fehler auf der Gateway Seite erkannt werden.
|
Kann der IKE Port angepasst oder verändert werden? |
|
Ja. Ein spezifischer IKE Port kann in der Konfiguration hinterlegt werden.
Über den Menüpunkt „Parameter“ erreichen Sie das entsprechende Konfigurationsmenü. Hier können Sie den IKE Port und den NAT-T Port definieren.
Bitte sehen Sie hierzu auch diese Artikel:
VPN Konfiguration und VPN Ports für eingeschränkte WLAN- oder Hotelzugänge?
Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)?
|
Was sind die Dateien TgbStarter.exe und TgbIke.exe? |
|
TgbStarter.exe und TgbIke.exe sind Kompunenten des TheGreenBow IPSec VPN Client.
- TgbStarter.exe ist die Software Daemon Komponente (Läuft als Dienst)
- TgbIke.exe ist die IPSec/IKE Run-Time der Software.
|
Die Software Aktivierung funktioniert nicht oder schlägt fehl. |
|
Die Software-Aktivierung scheitert (Es erscheint eine Fehlermeldung).
Hier finden Sie einen Assistenten zum Identifizieren und Beheben von Fehlern während des Aktivierungsvorgangs: Online Software Activation Help Guide.
Alternativ ist es möglich, die Software manuell unter Umgehung des Assistenten zu aktivieren.
Hier finden Sie entsprechende Hinweise zur
Manuellen Software-Aktivierung.
|
Wozu dient die VPN Test Konfiguration? |
|
Im VPN Client enthalten ist eine beispielhafte Test- oder Demokonfiguration. Diese ist so vorkonfiguriert, dass Sie einen Tunnel zu unserem VPN Testgateway aufbauen können. Diese dient Hauptsächlich zu Test- und Demonstrationszwecken.
Mehr Informationen finden Sie in unserer Onlinehilfe, die Testkonfiguration kann auch hier separat heruntergeladen werden:
|
Kann der Testzeitraum (Trial-Periode) verlängert werden? |
|
Ja, die Testzeiträume können über temporäre Lizenzschlüssel verlängert werden. Kontaktieren Sie hierzu bitte unseren Support.
|
|
Können Applikationen (z.B. CRM) automatisch gestartet werden, wenn der Tunnel etabliert ist? |
|
Das ist möglich. Gehen Sie hierzu im Konfigurationsfenster auf die Phase 2 und klicken Sie auf "Skripte". Hier können Sie Skripte, Programme oder URL's hinterlegen, die bei dem jeweiligen Tunnelzustand aufgerufen oder ausgeführt werden sollen.
|
|
Unterstützt der IPSec VPN Client Zwei-Faktor-Authentifizierung und Token? |
|
Ja, die Software unterstützt verschiedene Zwei-Faktor und Zwei-Wege-Authentisierungstoken um Credentials wie z.B. Schlüssel, Passwörter oder Zertifikate zu sichern.
Bitte sehen Sie hier: Zertifizierte Token
|
Kann man sich über den Tunnel an einer Windows Domäne vor dem eigentlichen Windows Logon Screen anmelden? |
|
Ja, hierzu sind folgende Schritte notwendig:
- Wählen Sie in der Übersicht die entspr Phase 2. und wechseln Sie in das Tab "Erweitert". Wählen Sie hier "Vor dem Windows Logon" und speichern Sie die Änderung.
- Wenn Sie sich nun das nächste mal in Windows anmelden, wird Ihnen vor dem Logon Screen ein kleines Fenster eingeblendet, mit dem Sie den Tunnel vor dem Logon etablieren können.
Achtung: Diese Funktion steht in der Demoversion nicht zur Verfügung.
|
|
How to setup VPN connections and VPN ports for users in hotels or hotspots? |
|
For more information on the negotiation of NAT Traversal in IKE see IETF RFC 3948 (UDP Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) or draft "draft-ietf-ipsec-nat-t-ike-08". Also see the TCP and UDP ports list.
Here are the negotiation Phases in VPN connection and their default VPN Ports when TheGreenBow IPSec VPN Client software is behind any router:
| Phase |
Default Port |
Where to modify the ports? |
| Phase1 negotiation |
UDP Port 500 |
Go to 'Config Panel'
> 'Parameters'
> 'IKE Port' |
|
| Phase2 negotiation |
UDP Port 4500 |
Go to 'Config Panel'
> 'Parameters'
> 'NAT-T Port' |
| Traffic after IPSec/IKE negotiation |
Stays on last port defined |
|
In some hotels, hotspots or airports, the UDP port 500 and 4500 for outgoing traffic might be prohibited, preventing any outgoing VPN Connections to your corporate network. So it is necessary to configure IKE and NAT-T ports accordingly.
Here is an example of alternative VPN Port in Configuration Panel (i.e. remember this only affects UDP protocol):
| IKE Port |
NAT-T Port |
| 80 |
443 |
If you decide to use non default VPN Ports (i.e. UDP 500 & UDP 4500), the destination router (i.e. at the edge of your corporate network) must be configured to reroute the incoming traffic associated with the new selected VPN ports onto the default UDP 500 & UDP 4500 so that they properly routed to the IPSec service. Here is the diagram for example above, knowing that some router models do not provide the capability to reroute ports within itself and two routers might be needed:
Here is a Linux Firewall configuration file when your VPN router does not provide the capability to reroute ports within itself and you want to add a front-end firewall:
|
|
Is it possible to use Certificates from the Windows Certificate Store where our PKI software put user Certificates? |
|
Yes. When setting up a new VPN Tunnel,
- Go to 'Phase1' > 'Certificate' tab
- All Certificates in the Windows Certificate Store (Personal Store) should appear here.
- Select the Certificate you need, click 'Ok', click 'Save'.
You might want to download our IPSec VPN Client software User Guide.
|
|
Is SHA-2 supported? Which Hash Algorithms are supported? |
|
Yes. SHA-1 and SHA-2 256-bit are supported. MD5 is also supported. See full list in the datasheet.
|
|
How to see VPN Connections? |
|
There are several ways to see opened VPN connections:
- Right click on the VPN Client software systray icon. Green lights mean VPN tunnels are open.
- Single click on the VPN Client software systray icon to open Configuration Panel. Tap Ctrl+Enter to go to Connection Panel, back and forth.
- Once the Configuration Panel pops up, click on 'Connections' button.
|
|
How to force all internet traffic in VPN tunnel? |
|
It is possible to force all internet traffic in VPN tunnel. Doing so, all internet traffic is routed from the remote gateway instead of the remote user network, the remote user network IP address is virtually hidden to visited websites as it is replaced with remote gateway IP address. Corporate network may apply some additional traffic scan to increase security.
The VPN Configuration is simple and requires 3 steps:
- Go to 'Configuration Panel' > 'Parameters' > select 'Block non-ciphered connection' to prohibit non-ciphered traffic from being routed to internet directly.
- Go to 'Configuration Panel' > 'Phase2' > select 'Subnet Address' as 'Address Type' and set both 'Remote LAN' and 'Subet Mask' to '0.0.0.0', so that all traffic (to any IP address) will be routed to VPN tunnel. Note that '0.0.0.0' means all traffic including traffic to your local network will be routed through the VPN tunnel.
- On the remote gateway, set the VPN tunnel in the same way as both configuration must be symetrical with local subnet de 0.0.0.0/0.
Note: Some VPN Gateway/Routers may not support this feature (i.e. hub&spoke: '0.0.0.0/0'). If supported, you'll need to create a rule to authorize wan to wan traffic.
|
|
Does TheGreenBow IPSec VPN Client support WWAN? |
|
Yes. WWAN stand for Wireless Wide Area Network or Wireless WAN, and now supported by several 3G/4G wireless modem/boards manufacturers. It uses mobile telecommunication cellular network technologies such as WIMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA or 3G/4G to transfer data. WWAN connectivity allows a user with a laptop and a WWAN card to surf the web, check email, or connect to a virtual private network (VPN) from anywhere within the regional boundaries of cellular service.
Microsoft has introduced the WWAN miniport adapter to support it. The WWAN miniport adapter is used to manage establishment, configuration, packet transmission, packet reception and disconnection of NDIS-based data connections.
All manufacturers must support "Mobile Broadband Driver Model Specification" for Windows 7 based on NDIS6.20 miniport driver model. See our list of 3G modem/adapters.
|
VPN Geschwindigkeit steugern durch Ändern der MTU Size? |
|
Die Größe der sog. "MTU Size" hat Auswirkungen auf Geschwindigkeit und Performanz der VPN Verbindung. MTU steht für Maximum Transmission Unit, es ist möglich, diese Größe individuell anupassen. Sie bezeichnet die maximale Größe eines TCP/IP Pakets, welches übermittelt werden kann. Sind einzene Blöcke größer, müssen diese in mehrere Pakete aufgesplittet werden, was zu Performanceeinbußen führen kann. Auf der anderen Seite jedoch kann es sein, dass größere Paktete (mit einer großen MTU) nicht von allen Nertwerkkomponenten unterstützt wird, was ebenfalls zu Geschwindigkeitsproblemen führen kann. .
Sie können die MTU Größe für den VPN Traffic über einen Registry Eintrag festlegen:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters]
"MTUSize"=dword:000004b0
Limits der Wertebereiche: #4b0 < MTUSize < #ffff (or 1200 < MTUSize < 65535)
Achtung ab Client Version 5.1
und größer mit Win 7 oder Vista:
Es besteht keine
Notwendigkeit, die MTU über o.g. Eintrag anzupassen. Der Client setzt automatisch die MTU Werte der verwendeten Netzwerkkarte. Der MTU Wert kann hier nur über die Eigenschaften der Netzwerkkarte oder einen auf die Netzwerkkarte bezogenen Registry Eintrag geändert werden. Sehen Sie hierzu die Dokumentation Ihrer Netzwerkkarte.
|
|
Remote Desktop Sharing Session (RDP) mit einem Klick öffnen? |
|
Der VPN Client unterstützt Remote Desktop Sitzugen (RDP) ganz einfach:
- Mehrere Sessions können im RDP Tab konfiguriert werden.
- Klicken Sie auf eine Sessionkonfiguration, wird der damit assoziirte VPN Tunnel geöffnen und die RDP Session gestartet.
- Hier ein Video Tutorial.
Hier eine 3rd Party Lösung, welche über Kommandozeilenoptionen gesteuert wird:
- Devolutions.net: Remote Desktop Manager ist eine Applikation zur Verwaltung von RDP Konfigurationen und virtuellen Maschinen. Devolutions hat ein Plugin entwickelt, welches vor dem Aufbau der RDP Verbindung den assoziierten VPN Tunnel automatisch startet. Wie einfach das funktioniert sehen Sie in diesem Tutorial Video.
- Remote Sharing: Im RDP Tab können Sie multiple RDP Sessions verwalten. Mit dieser Funktion haben Sie vollen Zugriff auf den Desktop eines entfernten Rechners, abgesichert über einen IPSec VPN Tunnel.
|
|
GINA Feature abschalten? |
|
In manchen Fällen unter Windows Vista oder Windows 7 kann sich der VPN Client instabil verhalten, wenn der Rechner aus dem Sleep- bzw. Hybernate Modus aufwacht. In diesen Fälles hilft das Deaktivieren des Gina Modus.
Troubleshootings
|
"I have message XXXXX in the console". What does it mean? |
|
We do make available for download a complete guide of messages from TheGreenBow IPSec VPN Client console with explanations and resolving hints. If this document does not help you, send us all the exchanges with RECV and SEND lines. Keep log levels to "0" and click on "Save file".
Log file can be found in C:\Program Files\TheGreenBow\TheGreenBow VPN.
|
No response from the VPN server |
|
If you have the following logs, that means the remote VPN server does not answer to client’s IKE requests.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Take a look at remote VPN server logs and check if requests from the client are received. If you find no trace, IKE requests must have been dropped somewhere. Check any firewall (including computer Personal Firewall) that can be found between the IPSec VPN client and the VPN server.
|
VPN is up but I can't ping? |
|
When logs look like the ones below, the IPSec VPN tunnel is established. Now you should be able to ping any devices onto your VPN server LAN. TheGreenBow IPSec VPN Client configuration is correct.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
If you still cannot ping the remote LAN, here are a few guidelines:
- Check Phase 2 settings : VPN client address and Remote LAN address. Usually, client IP address should not belong to the remote LAN subnet (read also What must be filled in Phase 2 field "VPN client address" ?)
- Once tunnel is up, packets are sent with ESP protocol. This protocol can be blocked by firewall. Check that every device between the client and the VPN server does accept ESP
- Check your VPN server logs. Packets can be dropped by one of its firewall rules.
- Check your ISP support ESP
- If you still cannot ping, follow ICMP traffic on VPN server LAN interface and on LAN computer interface (with Ethereal for example). You will have an indication that encryption works.
- Check the “default gateway” value in VPN Server LAN. A target on your remote LAN can receive pings but does not answer because there is not “Default gateway” settings.
- You cannot access to the computers in the LAN by their name. You must have specified their IP address inside the LAN.
For full trace with explanations and resolving hints, please see our Troubleshooting document.
|
DELL oder HP Laptops mit Broadcom Chipsatz |
|
Wir empfehlen Kunden bei Geräten mit Broadcom Chipsatz ein Treiberupdate der Datei bcmwl5.sys auf die aktuellste Version. Ältere Treiberversionen können im Zusammenhang nit unserer Client Software zu Bluescreens/GPFs führen.
|
Intel Adapter Switching Utility |
|
Intel Adapter Switching Utility causes blue screen when TheGreenBow IPSec VPN Client is installed.
If you have an Intel Pro/Wireless 2100 or 2200, follow these steps in the given order.
- Go to the Start/Control Panel/Add\Remove Programs. Remove the Intel PROset item
- Go to the Start/Control Panel/System.
- Select the hardware tab and press the device manager button.
- In the device manager, click on the plus sign to expand the Network Adapters item.
- Select Intel PRO/Wireless LAN 2200 (or 2100) adapter and right click.
- Select Uninstall from the pop-up menu.
- Restart the computer.
Upon reboot the laptop will re-detect the wireless card and install the drivers for it. It will not
install the Intel PROset drivers. The wireless card should still function, but the added functionality
of the adapter switching will not be available. Windows will then manage the wireless profiles instead
of the Intel PROset utilities.
For more details, see the Intel technical advisory
|
I cannot uninstall IPSec VPN Client software |
|
Problem: I cannot uninstall IPSec VPN Client software, it always asks to first uninstall the previous version.
Solution: You can use our tool
to clean the remaining components of IPSec VPN Client software.
|
IKE Daemon Absturz als Bug melden? |
|
Bei Programmabstürzen oder Crashes können Sie uns hier einen Bugreport zusenden:
Reporting Bugs.
|
Issues with TheGreenBow drivers on Windows Vista |
|
We strongly recommend users on Windows Vista to upgrade their network adapter drivers with Windows Update. This action can prevent
from driver crashes in some network configurations. Also, Windows Vista bug fix pack KB938194 should be installed. More details and
download are available on http://support.microsoft.com/?kbid=938194.
|
Unable to open a VPN tunnel under Vista, problem with Vista Firewall? |
|
Once TheGreenBow VPN Client installed on Vista, it might be impossible to open a VPN tunnel. The opening of the VPN tunnel remains
blocked with the following IPSec messages (use the IPSec VPN Client console):
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
This can happen on Windows Vista because the Vista Firewall can forbid IPSec communications.
TheGreenBow VPN IPSec 4.2 (and further): The software automatically creates new rules into the Windows Vista Firewall during software installation so that IPSec VPN traffic is enabled (see "windows firewall" in the User Guide).
Note: In Windows Seven (Wind 7), your profile 'Private' and 'Domain' in existing Windows Firewall rules for TheGreenBow VPN Client is not set accordingly. Please check in Windows Firewall rules and make sure your profile 'Private' and 'Domain' are selected (see step 6 below).
Restriction lifted in TheGreenBow VPN IPSec 4.7 (and further).
TheGreenBow VPN IPSec 4.1: To allow IPSec communications (or verify that they are authorized or restricted), please proceed as follows:
- Step 1: Go to 'Windows Start' button and enter "Windows Firewall with Advanced Security" in Search field. Alternatively, enter 'cmd' and in the command line window enter 'wf'.
|
|
Open "Windows Firewall with Advanced Security".
|
- Step 2: Select in the left menu "Inbound Rules", then in the right column "New Rule...".
|
|
Select in the left menu "Inbound Rules", then in the right column "New Rule...".
|
- Step 3: Select "Port" and then click on "Next".
|
|
Select "Port" and then click on "Next".
|
- Step 4: Select "UDP" and the "Specific local ports," then enter two values 500 and 4500 separated by comma (i.e. "500,4500").
Click on "Next".
|
|
Select "UDP" and the "Specific local ports," then enter two values 500 and 4500 separated by comma (i.e. "500,4500").
Click on "Next".
|
- Step 5: Verify that "Allow the connection" bullet is selected.
Click on "Next".
|
|
Verify that "Allow the connection" bullet is selected. Click on "Next".
|
- Step 6: Make sure this rule applies to all Profiles. Click on "Next".
|
|
Make sure this rule applies to all Profiles. Click on "Next".
|
- Step 7: Assign a name to this new rule. Click on "Finish".
|
|
Assign a name to this new rule. Click on "Finish".
|
- Step 8: The new rule is created.
|
|
|
- Step 9: Select in the left column "Outbound Rules" and in the right column "New Rule...", and configure exactly the same rule (i.e. UDP ports 500 and 4500, VPN Outbound).
|
|
Select in the left column "Outbound Rules" and in the right column "New Rule...", and configure exactly the same rule (i.e. UDP ports 500 and 4500, VPN Outbound).
|
|
Treibercache leeren unter Windows Visa und Windows 7 |
|
In ist es möglich, dass der TheGreenBow NDIS Treiber nach einer Neuinstallation nicht aktualisiert werden kann. Bitte führen Sie die folgenden Schritte aus:
- Führen Sie "cmd.exe" als Administrator aus
- Geben Sie "pnputil.exe -e" ein und drücken Sie "Enter"
Die Ergebnisliste sieht ähnlich wie folgt aus::
Published name : oem68.inf
Driver package provider : Atheros Communications Inc.
Class : Network adapters
Driver version and date : 01/13/2009 7.6.1.204
Signer name : microsoft windows hardware compatibility publisher
Published name : oem86.inf
Driver package provider : TheGreenBow
Class : Network Service
Driver version and date : 05/19/2009 1.0.1.20
Signer name : thegreenbow
Published name : oem95.inf
Driver package provider : Microsoft
Class : Mobile devices
Driver version and date : 10/06/2004 4.0.4232.0
Signer name : microsoft windows hardware compatibility publisher
Published name : oem69.inf
Driver package provider : Acer
Class : Monitors
Driver version and date : 12/11/2006 1.00
Signer name : microsoft windows hardware compatibility publisher
Published name : oem78.inf
Driver package provider : Microsoft
Class : Network Service
Driver version and date : 01/24/2007 2.6.553.0
Signer name : microsoft windows hardware compatibility publisher
- Suchen Sie die Zeile "Driver package provider" mit "TheGreenBow" und notieren Sie sich den Namen der INF Datei. Hier i Beispiel wäre dies oem86.inf.
-
geben Sie "pnputil.exe -d oem86.inf" ein und drücken Sie "Enter"
Der Treiber ist jetzt aus dem Treibercahe gelöscht.
|
How to manually install IPSec VPN Client drivers? |
|
Microsoft Windows driver installation module might not install 3rd party drivers properly (e.g. TheGreenBow IPSec VPN Client ndistgb.inf drivers), especially when Windows is loaded with multiple tasks. Sometimes, registry settings are not performed properly, sometimes, not at all.
There is a simple manual procedure to get you up and running. The required drivers are still in the system, so no additional download should be necessary. Here are the steps:
- Go to Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > right click on a network connection > click on 'Properties'.
|
|
Go to Windows 'Configuation Panel' > 'Network and Sharing Center' > 'Manage Network Connections' > right click on a network connection > click on 'Properties'.
|
|
|
Click on 'Install...'
|
- Select 'Service' and click on 'Add...'
|
|
Select 'Service' and click on 'Add...'.
|
- Click on 'Have Disk...' to find the drivers.
|
|
Click on 'Have Disk...' to find the drivers.
|
- Click on 'Browse...' to find the drivers.
|
|
Click on 'Browse...' to find the drivers.
|
- Go to C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} and select the 'ndistgb.inf' file (i.e. setup information), and click 'Open'.
|
|
Go to C:\Program Files\Common Files\temp\{389b11eb-c24e-4a3d-8032-f44daa4cde4d} and select the 'ndistgb.inf' file (i.e. setup information), and click 'Open'.
|
- Proceed again with all other 'Network Connections' you want to use the IPSec VPN Client with.
|
|
|
|
There are several ways to see opened VPN connections:
