Ein virtuelles privates Netzwerk (VPN) bietet die Möglichkeit, öffentliche Telekommunikationsinfrastrukturen wie z.B. das Internet zu nutzen, um Firmenstandorte oder einzelne Arbeitsplätze sicher zu vernetzen. In der Vergangenheit waren hierzu teure und exklusive Standleitungen notwendig. Ein VPN bietet die gleichen Möglichkeiten wie eine Standleitung, nur zu wesentlich niedrigeren Kosten.
Ein VPN benutzt das Internet (World Wide Web) als Zugang/Trägermedium, sichert jedoch gleichzeitig die Privatsphäre durch stärkste Datenverschlüsselung. Der Informationsaustausch selbst geschieht in einem verschüsselten, abhörsicheren Tunnel über die Protokolle "Layer Two Tunneling Protocol (L2TP)" oder "IPSec".
Definition: IPSec (Internet Protocol Security) bietet Sicherheitsmechanismen auf dem IP-Layer. Der IPSec Standard gewährleistet somit Vertraulichkeit, Authentizität und Integrität der Kommunikation über IP Netze.
Die Architektur von IPSec ist beschrieben in der RFC-2401 (www.ietf.org RFC-2401). Auch ist IPSec im IPv6 Standard implementiert und löst ältere Methoden wie z.B. PPTP ab. Heute ist IPSec die sicherste Methode, geschützte Datenverbindungen über öffentliche Infrastrukturen zu etablieren.
Definition: Network Address Translation (NAT) ist ein Verfahren, um Adressinformationen in Datenpaketen durch andere auszutauschen. Ein NAT Gerät nimmt die originäre private IP Adresse des Datenpakets und übersetzt diese in eine öffentliche IP Adresse. Üblicherweise verwenden NAT Geräte interne Tabellen zur Verwaltung der "übersetzten" Adressen. Jedoch wird bei diesem Verfahren der IP-Header des Paketes verändert, ältere IPSec Implementierungen konnten damit nicht umgehen, der Tunnelaufbau kam nicht zustande. Die IETF (Internet Engineering Task Force) erarbeitete eine Lösung, genannt NAT-Traversal, oder auch kurz NAT-T (NAT-T RFC-3193).
Heute ist NAT-Traversal in allen modernen VPN Gateways und Appliances implementiert. Unser TheGreenBow IPSec VPN Client unterstützt NAT-T Drafts 1, 2 und 3 (inkl. UDP Encapsulation).
Der Unterschied zwischen Transport Modus und Tunnel Modus (www.ietf.org RFC-2401) wird wie folgt definiert:
Der TheGreenBow IPSec VPN Client unterstützt beide Methoden.
Die Authentisierung mit IPSec geschieht in der Regel über Preshared Keys (PSK) oder Zertifikate. Ein Preshared Key identifiziert eine Partei während der Authentisierungsphase und muss vor der Kommunikation beiden Teilnehmern, bzw. Endpunkten bekannt sein. Die stärkste Authentisierungsmethode ist jedoch die Verwendung einer Public-Key-Infrastruktur mit Zertifikaten. Die in der PKI ausgestellten Zertifikate werden zur Absicherung der VPN Verbindung verwendet.
Der TheGreenBow IPSec VPN Client unterstützt beide Verfahren.
"Dead Peer Detection (DPD)" oder auch ISAKMP-Keepalive genannt, ist eine Internet Key Exchange (IKE) Erweiterung (RFC3706), um nicht reagierende Gegenstellen oder Verbindungsabbrüche zu identifizieren und die Verbindung im Fehlerfall wieder aufzubauen. Dieser Mechanismus kann zusammen mit dem Redundant Gateway Feature verwendet werden.
Ja, in der Konfigurationsübersicht unter dem Menüpunkt "Globale Parameter" könenn Sie die DPD Funktionalität deaktivieren.
Unterstützte Betriebssysteme:
Downloadseite: TheGrenBow IPsec SSL VPN Client
VPN Client Downloads kompatibel mit älteren Windows Versionen:
Der TheGreenBow VPN Client ist in 25 Sprachen erhältlich, einschließlich Russisch, Chinesisch, Hindi, Farsi, usw. Auf unser Sprachenübersicht finden Sie alle unterstützen Sprachversionen, sowie Informationen zur Erstellung eigener Sprachdateien.
Sie möchten den TheGreenBow IPSec VPN Client in Ihre eigene Sprache übersetzen? Auf unserer VPN Client Localization Webseite erhalten Sie eine Übersetzungsdatei. Downloaden Sie diese und erstellen Sie Ihre eigene Sprachversion. Diese neue Übersetzung steht dann im nächsten Software Release zur Verfügung.
Der TheGreenBow IPSec VPN Client ist kompatibel zu allen auf dem IPsec Standard (IKE & IPsec) basierenden VPN Gateways und Router. Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen.
Sollten Sie über ein Gerät verfügen, welches nicht in underen Anleitungen aufgeführt ist, helfen wir Ihnen gerne bei der Einrichtung. Senden Sie hierzu bitte Screenshots der Router Konfigurationseinstellungen, die TheGreenBow VPN Konfigurationsdatei und die Konsolen Logdatei an unseren Support: E-Mail: support@thegreenbow.de. Weitere Hilfestellung zur Bedienung und Konfiguration des VPN Clients finden Sie in unserem Benutzerhandbuch (PDF).
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Linksys Modellen. Wir unterstützen z.B. die Modelle Linksys RV082 und Linksys BEFVP41. Zum Linksys WRV54G sehen Sie bitte hier.
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Cisco Modellen. Wir unterstützen z.B. die Modelle Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 und Cisco 1721.
Ja, der VPN Client unterstützt NAT Traversal Draft 1 (Erweitert), Draft 2 und Draft 3 (volle Implementierung) inkl. IP Address Emulation.
Ja, unser IPSec VPN Client unterstützt "Mode-Config". Der Config Mode ist eine Internet Key Exchange (IKE) Erweiterung und ermöglicht dem VPN Gateway LAN Konfigurationsdaten wie z.B. DNS/WINS Serveradressen an den über VPN Tunnel zugreifenden Rechner, bzw. an den VPN Client weiterzugeben. Falls Mode-Config nicht von Ihrem IPSec Gateway/Router unterstützt wird können Sie alternativ DNS und/oder WINS IP Adressen im IPSec Client eintragen.
Der TheGreenBow IPSec VPN Client unterstützt den Linksys WRV54G Router ab Firmware 2.37 und höher in vollem Umfang. Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen.
Der VPN Client benötigt UDP Port 500 und UDP Port 4500. Ebenso muss das ESP Protokoll (Protokoll Numer 50) erlaubt sein. Sehen Sie hierzu weitere Artikel:
Ja. Ein spezifischer IKE Port kann in der Konfiguration hinterlegt werden. Über den Menüpunkt "Parameter" erreichen Sie das entsprechende Konfigurationsmenü. Hier können Sie den IKE Port und den NAT-T Port definieren. Sehen Sie hierzu weitere Artikel:
Laut Aussage des Microsoft Support kann der VPN Traffic in den meisten Fällen nicht den ISA Server 2000 passieren. Für Informationen bezügl. des ISA Server 2004 wenden Sie sich bitte an den Microsoft Support.
In dieses Feld wird die virtuelle IP Adresse des VPN Client eingetragen, welche dieser im entfenten (Remote) Netzwerk verwenden soll. In den meisten Fällen darf diese IP Adresse nicht in der Range des entfernten (Remote) Netzwerk liegen.
Zm Beispiel:
Lokales Netzt des Client PC = 192.168.0.0/255.255.255.0
Entferntes Netz des Gateways = 192.168.1.0/255.255.255.0
In diesem Fall sollte die virtuelle IP Adresse des VPN Client in keiner der beiden Ranges sein. Mögliche Werte wären hier z.B. 192.168.100.1 oder 10.10.10.1.
Weitere Hilfestellung zur Bedienung und Konfiguration des VPN Clients finden Sie in unserem Benutzerhandbuch (PDF).
Es ist möglich, das IPSec VPN Client Setup im sog. "Silent" Mode auszuführen. Informationen hierzu finden Sie un diesem Dokument: VPN Deployment Guide (PDF).
Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Cisco Linksys Modellen. Wir unterstützen z.B. die Modelle Cisco Linksys WRVS4400N, Cisco Linksys WRV200, Cisco Linksys RV082 und BEFVP41.
Ja. Es ist möglich in der VPN Client Konfiguration ein redundantes Gateway anzugeben, um die Ausfallsicherheit der VPN Verbindung zu erhöhen. Über diese Funktion kann ein alternatives VPN Gateway angesteuert werden, wenn die primäre Verbindung ausfällt oder die Gegenstelle nicht antwortet. Über die Funktion "Dead Peer Detection" können Fehler auf der Gateway-Seite erkannt werden.
Hier finden Sie einen Assistenten zum Identifizieren und Beheben von Fehlern während des Aktivierungsvorgangs: Online Software Aktivierungshilfe.
Alternativ ist es möglich, die Software manuell unter Umgehung des Assistenten zu aktivieren. In vielen Fällen blockiert eine Firewall oder ein Proxy-Server den Aktivierungsvorgang. Hier finden Sie entsprechende Hinweise zur manuellen Software-Aktivierung.
Im VPN Client enthalten ist eine beispielhafte Test- oder Demokonfiguration. Diese ist so vorkonfiguriert, dass Sie einen Tunnel zu unserem VPN Testgateway aufbauen können. Sie dient hauptsächlich zu Test- und Demonstrationszwecken und um zu prüfen, ob eventuell lokale Firewalleinstellungen die VPN Verbindung blockieren. Diese Testkonfiguration ist in der Standard-Installation enthalten.
Die Testkonfiguration kann auch hier separat heruntergeladen werden:
Bitte entpacken Sie diese Datei an einen Ort Ihrer Wahl, über die Menüfuktion "Konfiguration" - "Importieren" im Client können Sie Sie die Testkonfiguration einlesen. Wählen Sie "Hinzufügen", falls Sie bereits eine Konfiguration im VPN Client hinterlegt haben. So gehen Ihnen keine Einstellungen verloren.
Die Testzeiträume können auf Anfrage über temporäre Lizenzschlüssel verlängert werden. Kontaktieren Sie hierzu bitte unseren Support: E-Mail: support@thegreenbow.de
Benutzerdefinierte Automatisierungen können über den Tab Skripte in den Einstellungen der Phase 2 definiert werden. Aktionen können für jede Phase des Tunnel Auf- und Abbaus eingerichtet werden:
Dieses Feature erlaubt das Asführen von Skripren (Batches, Skripte, Applikationen, usw.) zu jedem Zeitpunkt der Tunnelverbindung. Die Anwendungsmöglichkeiten sind vielfältig, so lassen sich z.B. Backups erstellen, Synchronisierungen anstoßen oder Anwendungen starten. Auch lassen sich spezielle Netzwerkkonfigurationen vor, während oder nach der Tunnelverbindung einstellen.
Die Software unterstützt verschiedene Zwei-Faktor und Zwei-Wege-Authentisierungstoken um Credentials wie z.B. Schlüssel, Passwörter oder Zertifikate zu sichern. Hier eine Übersicht der von uns getesteten USB Token und SmartCards mit Konfigurationsbeispielen.
Ja, hierzu sind folgende Schritte notwendig:
Achtung: Diese Funktion steht in der Demoversion nicht zur Verfügung.
Hier die Phasen der VPN Verbindung und die jeweils korrespondierenden VPN Ports:
In manchen Umgebungen, z.B. Hotels, Flughäfen, öffentliche HotSpots usw. sind die UDP Ports 500 und/oder 4500 eingeschränkt bzw. blockiert. VPN Verbindungen können in diesen Situationen nicht über die Standard-Ports aufgebaut werden. Eine Möglichkeit nesteht darin, die UDP Ports für Phase 1 und Phase 2 auf Ports umzukonfigurieren, welche vom jeweiligen Anbieter freigegeben und nicht blockiert sind.
Mögliche Ports wären z.B. UDP Port 80 (IKE Port) und UDP Port 443 (NAT-T Port), welche in den meisten Fällen nicht blockiert werden. Im VPN Client können Sie diese Einstellung vornehmen, wählen Sie die entspr. Phase 1 aus und wechseln Sie in den Tab Protokoll.
Achtung: Falls Sie sich entscheiden, die Standard UDP Ports umzustellen, müssen ebenso im VPN Gateway oder Router für diese Tunnelverbindung (SA) die Ports umgestellt werden. Bitte beachten Sie auch, dass manche Router diese Funktion nicht unterstützen, bzw. das interne Umkonfigurieren von Ports nicht erlauben.
Weitergehende Informationen zum Handling von NAT Traversal mit IKE:
Ja, hierzu sind folgende Schritte notwendig:
Ja, SHA-1 und SHA-2 256-bit, sowie MD5 werden unterstützt. Weitere Informationen finden Sie im VPN Client Datenblatt (PDF).
Dazu gibt es mehere Möglichkeiten:
Es ist möglich, sämtlichen Internet Traffic duch den Tunnel zu leiten. In diese Fall wird sämtlicher Internet Traffic vom entfernten (Remote) Gatrway anstatt vom lokalen (Local) Gateway geroutet. Die entfernte (Remote) Benutzer IP Adresse bleibt dabei nach aussen verborgen, sie wird durch die IP Adresse des entfernten (Remote) Gateway ersetzt. Unter Umständen sollten Sie diese Art von Verbinungen zusätzlich nach aussen absichern, z.B. via Firewall und Virschschutz.
Die Client Konfiguration erfolgt in 3 Schritten:
Achtung: Bitte beachten Sie, dass manche Router diese Funktion (hub&spoke: '0.0.0.0/0') nicht unterstützen. Unter Umständen muss eine Regel erstellt werden, die WAN to WAN Traffic erlaubt.
Ja, WWAN (Wireless Wide Area Network oder Wireless WAN) werden von vielen 3G/4G Wireless Herstellern unterstützt. Dabei muss der Hersteller die "Mobile Broadband Driver Model Specification" für Windows 7 basierend auf dem NDIS6.20 miniport driver Modell unterstützen.
Unter Umständen kann sich der VPN Client unter Windows Vista oder Windows 7 instabil verhalten, wenn der Rechner aus dem Sleep- bzw. Hybernate Modus aufwacht. In diesen Fällen hilft das Deaktivieren des Gina Modus.
Führen Sie die passende Datei mittels Doppelklick aus, klicken Sie zum Bestätigen 'OK'.
Der TheGreenBow VPN Client unterstützt keine Mehrbenutzer-Konfigurationen (meherere gleichzeitig angemeldete Windows Benutzer).
In Release Versionen kleiner als Ver. 6.62.x ist die Authentisierung via Captive Portal möglich.
Aus Sicherheitsgründen wurde dieses Feature ab Release Versionen 6.62.x und höher deaktiviert.
Ja, sie dient hauptsächlich zu Test- und Demonstrationszwecken und um zu prüfen, ob eventuell lokale Firewalleinstellungen die VPN Verbindung blockieren.
Bitte entpacken Sie diese Datei an einen Ort Ihrer Wahl, über die Menüfuktion "Konfiguration" - "Importieren" im Client können Sie Sie die Testkonfiguration einlesen. Wählen Sie "Hinzufügen", falls Sie bereits eine Konfiguration im VPN Client hinterlegt haben. So gehen Ihnen keine Einstellungen verloren.
Der TheGreenBow VPN Client Version 6 unterstützt Windows XP nicht.
Ja, Sie können innerhalb einer Phase 1 mehrere Phasen 2 anlegen und hier die gleiche VPN Client Addresse verwenden.
Wenn Heimnetztwerk und entferntes (Remote) Netzwerk das geleiche Subnetz haben, kann durch exklusive Adressbereichsangabe zwischen LAN und Remote LAN unterschieden werden. Angenommen wird folgende Konfiguration: LAN1 (Home/Local) (192.168.133.x) und LAN2 (Entfernt/Remote) (192.168.133.y).
Man kann nun z.B. über Adressbereichsangaben segmentieren: LAN1 (x->1-20) und, LAN2 (y->30-50)
Einstellngen im VPN Client:
Einstellungen im VPN Gateway:
Ja, "Nested Tunnel" sind möglich. Ein Tunnel kann innerhalb eines anderen Tunnel geöffnet werden.
Angenommen wird folgende Konfiguration: LAN1 (192.168.133.x) ist das entfernte (Remote) Netzwerk hinter VPN Gateway 1. Innerhalb dieses entfernten Netzwerks besteht ein weiteres Netzwerk hinter Gateway2 (z.B. WAN:192.168.133.1, LAN: 192.168.10.1).
Einstellngen im VPN Client:
Der TheGreenBow VPN Client unterstützt heterogenen IPv6-IPv4 Netzwerkumgebungen auf LAn und WAN Seite. Das Feature "Auto" (für IPv4/IPv6) ermöglicht die Unterstützung in solch komplexeren Umgebungen.
Abhängig von Ihrer Situation (Mix aus IPv4 and IPv6 Netzen) können folgende Einstellungen gemacht werden:
Ja, ab VPN Client Version 6.1x und höher werden multiple IPsec VPN (IKEv1 und IKEv2) und SSL Tunnel unterstützt.
Wir stellen eine komplette Anleitung für Nachrichten von der TheGreenBow IPSec VPN Client Konsole mit Erklärungen und Lösungshinweisen zum Download zur Verfügung. Wenn Ihnen dieses Dokument nicht weiterhilft, senden Sie uns alle Austausche mit RECV- und SEND-Leitungen. Halten Sie die Log-Stufen auf "0" und klicken Sie auf "Datei speichern". Die Log-Datei finden Sie unter C:/ProgramData/TheGreenBow/TheGreenBow VPN.
https://www.thegreenbow.fr/doc/tgbvpn_troubleshooting_en.pdf
Wenn sie nur "SEND phase 1" Messages in der Konsole sehen, jedoch keinen "RECV" Messages, antwortet die Gegenstelle nicht, oder die Antworten gehen auf dem Rückweg verloren.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Schauen Sie sich die Protokolle der Gegenstelle an und prüfen Sie, ob Anfragen vom Client eingehen. Wenn Sie keine Spur finden, müssen die IKE-Anforderungen irgendwo verloren gehen. Überprüfen Sie jede Firewall (einschließlich der Personal Firewall des Computers), zwischen dem IPSec-VPN-Client und dem VPN Gateway.
Wenn die Protokolle wie die folgenden aussehen, wird der IPSec-VPN-Tunnel aufgebaut. Jetzt sollten Sie in der Lage sein, beliebige Geräte im entfernten Netzwerk hinter dem VPN Router anzupingen. Die Konfiguration des TheGreenBow IPSec-VPN-Clients ist soweit korrekt.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
Wenn Sie das entfernte Netzwerk nich anpingen können:
https://www.thegreenbow.fr/doc/tgbvpn_troubleshooting_en.pdf
TheGreenBow empfiehlt Kunden, die einen in einigen Dell- oder HP-Laptops integrierten Broadcom-Chipsatz verwenden, den Treiber bcmwl5.sys auf die neueste Version zu aktualisieren. Dieser Treiber verursacht zeitweise einen Bluescreen, auch wenn unser VPN-Client nicht installiert ist.