VPN Client FAQ

Ein virtuelles privates Netzwerk (VPN) bietet die Möglichkeit, öffentliche Telekommunikations­infra­strukturen wie z.B. das Internet zu nutzen, um Firmenstandorte oder einzelne Arbeitsplätze sicher zu vernetzen. In der Vergangenheit waren hierzu teure und exklusive Standleitungen notwendig. Ein VPN bietet die gleichen Möglichkeiten wie eine Standleitung, nur zu wesentlich niedrigeren Kosten.

Ein VPN benutzt das Internet (World Wide Web) als Zugang/Trägermedium, sichert jedoch gleichzeitig die Privatsphäre durch stärkste Datenverschlüsselung. Der Informationsaustausch selbst geschieht in einem verschüsselten, abhörsicheren Tunnel über die Protokolle "Layer Two Tunneling Protocol (L2TP)" oder "IPSec".

Definition: IPSec (Internet Protocol Security) bietet Sicherheitsmechanismen auf dem IP-Layer. Der IPSec Standard gewährleistet somit Vertraulichkeit, Authentizität und Integrität der Kommunikation über IP Netze.

Die Architektur von IPSec ist beschrieben in der RFC-2401 (www.ietf.org RFC-2401). Auch ist IPSec im IPv6 Standard implementiert und löst ältere Methoden wie z.B. PPTP ab. Heute ist IPSec die sicherste Methode, geschützte Datenverbindungen über öffentliche Infrastrukturen zu etablieren.

• Starke Verschlüsselungs­mechanismen wie "Encapsulated Security Payload (ESP)" unter Verwendung von DES, 3DES oder AES mit Schlüssellängen von 128, 192, bis zu 256.
• Stärkste Authentisierung der beteiligten Komponenten unter Verwendung von X-AUTH und Zertifikaten mit Schlüssellängen bis zu 2048.
• Verwendung von IKE (Internet Key Exchange) und ISAKMP zum Schlüsselaustausch und korrelativer Authentisierung.
• Schutz gegen "Denial of Service (DoS)" Angriffe durch sog. "Sliding Window" Methoden. Die einzelnen Datenpakete sind durchnummeriert und werden nur akzeptiert, wenn sie entsprechend in das "Sliding Window" passen.
• Kombiniert mit USB Stick, USB Token und IPSec Client Software werden Identitäts- und Authentisierungsdaten, als auch die IPSec Konfiguration selbst geschützt.

Definition: Network Address Translation (NAT) ist ein Verfahren, um Adressinformationen in Datenpaketen durch andere auszutauschen. Ein NAT Gerät nimmt die originäre private IP Adresse des Datenpakets und übersetzt diese in eine öffentliche IP Adresse. Üblicherweise verwenden NAT Geräte interne Tabellen zur Verwaltung der "übersetzten" Adressen. Jedoch wird bei diesem Verfahren der IP-Header des Paketes verändert, ältere IPSec Implementierungen konnten damit nicht umgehen, der Tunnelaufbau kam nicht zustande. Die IETF (Internet Engineering Task Force) erarbeitete eine Lösung, genannt NAT-Traversal, oder auch kurz NAT-T (NAT-T RFC-3193).

Heute ist NAT-Traversal in allen modernen VPN Gateways und Appliances implementiert. Unser TheGreenBow IPSec VPN Client unterstützt NAT-T Drafts 1, 2 und 3 (inkl. UDP Encapsulation).

Der Unterschied zwischen Transport Modus und Tunnel Modus (www.ietf.org RFC-2401) wird wie folgt definiert:

• Tunnel Mode: Wird meistens verwendet, wenn entweder einer der Endpunkte einer "Security Association (SA)", auch Sicherheitsverbindung genannt, oder beide Endpunkte als Security Gateway agieren. Das Security Gateway verhält sich hierbei als Proxy für die Hosts dahinter. Der Tunnel Modus verschlüsselt Payload und den kompletten Header (UDP/TCP and IP).

• Transport Mode wird verwendet, wenn der Traffic für ein bestimmtes Security Gateway bestimmt ist und dieses als Host agiert. Der Transport Modus verschlüsselt nur den Datenanteil eines Paketes und lässt den IP Header unberührt.

Der TheGreenBow IPSec VPN Client unterstützt beide Methoden.

Die Authentisierung mit IPSec geschieht in der Regel über Preshared Keys (PSK) oder Zertifikate. Ein Preshared Key identifiziert eine Partei während der Authentisierungsphase und muss vor der Kommunikation beiden Teilnehmern, bzw. Endpunkten bekannt sein. Die stärkste Authentisierungsmethode ist jedoch die Verwendung einer Public-Key-Infrastruktur mit Zertifikaten. Die in der PKI ausgestellten Zertifikate werden zur Absicherung der VPN Verbindung verwendet.

Der TheGreenBow IPSec VPN Client unterstützt beide Verfahren.

"Dead Peer Detection (DPD)" oder auch ISAKMP-Keepalive genannt, ist eine Internet Key Exchange (IKE) Erweiterung (RFC3706), um nicht reagierende Gegenstellen oder Verbindungsabbrüche zu identifizieren und die Verbindung im Fehlerfall wieder aufzubauen. Dieser Mechanismus kann zusammen mit dem Redundant Gateway Feature verwendet werden.

Ja, in der Konfigurationsübersicht unter dem Menüpunkt "Globale Parameter" könenn Sie die DPD Funktionalität deaktivieren.

Unterstützte Betriebs­systeme:

• Windows 10 32/64-bit
• Windows 8.1 32/64-bit
• Windows 8 32/64-bit
• Windows 7 32/64-bit
• Windows Server 2012 32/64-bit
• Windows Server 2008 32/64-bit

Downloadseite: TheGrenBow IPsec SSL VPN Client

VPN Client Downloads kompatibel mit älteren Windows Versionen:

• VPN Client 5.55 (Windows XP /Server 2003)
• VPN Client 4.51 (Windows 2000 Server)
• VPN Client 3.11 (Windows 98)

Der TheGreenBow VPN Client ist in 25 Sprachen erhältlich, einschließlich Russisch, Chinesisch, Hindi, Farsi, usw. Auf unser Sprachenübersicht finden Sie alle unterstützen Sprachversionen, sowie Informationen zur Erstellung eigener Sprachdateien.

Sie möchten den TheGreenBow IPSec VPN Client in Ihre eigene Sprache übersetzen? Auf unserer VPN Client Localization Webseite erhalten Sie eine Übersetzungsdatei. Downloaden Sie diese und erstellen Sie Ihre eigene Sprachversion. Diese neue Übersetzung steht dann im nächsten Software Release zur Verfügung.

Der TheGreenBow IPSec VPN Client ist kompatibel zu allen auf dem IPsec Standard (IKE & IPsec) basierenden VPN Gateways und Router. Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen.

Sollten Sie über ein Gerät verfügen, welches nicht in underen Anleitungen aufgeführt ist, helfen wir Ihnen gerne bei der Einrichtung. Senden Sie hierzu bitte Screenshots der Router Konfigurationseinstellungen, die TheGreenBow VPN Konfigurationsdatei und die Konsolen Logdatei an unseren Support: E-Mail: support@thegreenbow.de. Weitere Hilfestellung zur Bedienung und Konfiguration des VPN Clients finden Sie in unserem Benutzerhandbuch (PDF).

Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Linksys Modellen. Wir unterstützen z.B. die Modelle Linksys RV082 und Linksys BEFVP41. Zum Linksys WRV54G sehen Sie bitte hier.

Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Cisco Modellen. Wir unterstützen z.B. die Modelle Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 und Cisco 1721.

Ja, der VPN Client unterstützt NAT Traversal Draft 1 (Erweitert), Draft 2 und Draft 3 (volle Implementierung) inkl. IP Address Emulation.

• NAT_OA Support
• NAT Keepalive
• NAT-T Aggressive Mode

Ja, unser IPSec VPN Client unterstützt "Mode-Config". Der Config Mode ist eine Internet Key Exchange (IKE) Erweiterung und ermöglicht dem VPN Gateway LAN Konfigurationsdaten wie z.B. DNS/WINS Serveradressen an den über VPN Tunnel zugreifenden Rechner, bzw. an den VPN Client weiterzugeben. Falls Mode-Config nicht von Ihrem IPSec Gateway/Router unterstützt wird können Sie alternativ DNS und/oder WINS IP Adressen im IPSec Client eintragen.

Der TheGreenBow IPSec VPN Client unterstützt den Linksys WRV54G Router ab Firmware 2.37 und höher in vollem Umfang. Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen.

Der VPN Client benötigt UDP Port 500 und UDP Port 4500. Ebenso muss das ESP Protokoll (Protokoll Numer 50) erlaubt sein. Sehen Sie hierzu weitere Artikel:

• VPN Konfiguration und VPN Ports bei eingeschränkten WLAN- oder Hotelzugängen
• VPN Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)
• Kann der IKE Port verändert werden?

Ja. Ein spezifischer IKE Port kann in der Konfiguration hinterlegt werden. Über den Menüpunkt "Parameter" erreichen Sie das entsprechende Konfigurationsmenü. Hier können Sie den IKE Port und den NAT-T Port definieren. Sehen Sie hierzu weitere Artikel:

• VPN Tunnel unter Windows Vista lässt sich nicht öffnen (Vista Firewall)
• VPN Konfiguration und VPN Ports bei eingeschränkten WLAN- oder Hotelzugängen

Laut Aussage des Microsoft Support kann der VPN Traffic in den meisten Fällen nicht den ISA Server 2000 passieren. Für Informationen bezügl. des ISA Server 2004 wenden Sie sich bitte an den Microsoft Support.

In dieses Feld wird die virtuelle IP Adresse des VPN Client eingetragen, welche dieser im entfenten (Remote) Netzwerk verwenden soll. In den meisten Fällen darf diese IP Adresse nicht in der Range des entfernten (Remote) Netzwerk liegen.

Zm Beispiel:
Lokales Netzt des Client PC = 192.168.0.0/255.255.255.0
Entferntes Netz des Gateways = 192.168.1.0/255.255.255.0
In diesem Fall sollte die virtuelle IP Adresse des VPN Client in keiner der beiden Ranges sein. Mögliche Werte wären hier z.B. 192.168.100.1 oder 10.10.10.1.

Weitere Hilfestellung zur Bedienung und Konfiguration des VPN Clients finden Sie in unserem Benutzerhandbuch (PDF).

Es ist möglich, das IPSec VPN Client Setup im sog. "Silent" Mode auszuführen. Informationen hierzu finden Sie un diesem Dokument: VPN Deployment Guide (PDF).

Hier eine Übersicht der von uns getesteten VPN Gateways mit Konfigurationsbeispielen, u.a. auch mit vielen Cisco Linksys Modellen. Wir unterstützen z.B. die Modelle Cisco Linksys WRVS4400N, Cisco Linksys WRV200, Cisco Linksys RV082 und BEFVP41.

Ja. Es ist möglich in der VPN Client Konfiguration ein redundantes Gateway anzugeben, um die Ausfallsicherheit der VPN Verbindung zu erhöhen. Über diese Funktion kann ein alternatives VPN Gateway angesteuert werden, wenn die primäre Verbindung ausfällt oder die Gegenstelle nicht antwortet. Über die Funktion "Dead Peer Detection" können Fehler auf der Gateway-Seite erkannt werden.

• TgbStarter.exe ist die Software Daemon Komponente (Läuft als Dienst).
• TgbIke.exe ist die IPSec/IKE Run-Time der Software.

Hier finden Sie einen Assistenten zum Identifizieren und Beheben von Fehlern während des Aktivierungsvorgangs: Online Software Aktivierungshilfe.

Alternativ ist es möglich, die Software manuell unter Umgehung des Assistenten zu aktivieren. In vielen Fällen blockiert eine Firewall oder ein Proxy-Server den Aktivierungsvorgang. Hier finden Sie entsprechende Hinweise zur manuellen Software-Aktivierung.

Im VPN Client enthalten ist eine beispielhafte Test- oder Demokonfiguration. Diese ist so vorkonfiguriert, dass Sie einen Tunnel zu unserem VPN Testgateway aufbauen können. Sie dient hauptsächlich zu Test- und Demonstrationszwecken und um zu prüfen, ob eventuell lokale Firewalleinstellungen die VPN Verbindung blockieren. Diese Testkonfiguration ist in der Standard-Installation enthalten.

Die Testkonfiguration kann auch hier separat heruntergeladen werden:

• VPN Konfiguration für IKEv1 Verbindungen (tgbvpn_demo.tgb)* VPN Client Standard
• VPN Konfiguration für IKEv2 Verbindungen (tgbvpn_demo_IKEv2.tgb)* VPN Client Standard, Premium und Certified

Bitte entpacken Sie diese Datei an einen Ort Ihrer Wahl, über die Menüfuktion "Konfiguration" - "Importieren" im Client können Sie Sie die Testkonfiguration einlesen. Wählen Sie "Hinzufügen", falls Sie bereits eine Konfiguration im VPN Client hinterlegt haben. So gehen Ihnen keine Einstellungen verloren.

Die Testzeiträume können auf Anfrage über temporäre Lizenzschlüssel verlängert werden. Kontaktieren Sie hierzu bitte unseren Support: E-Mail: support@thegreenbow.de

Benutzerdefinierte Automatisierungen können über den Tab Skripte in den Einstellungen der Phase 2 definiert werden. Aktionen können für jede Phase des Tunnel Auf- und Abbaus eingerichtet werden:

• Vor der Tunnelöffnung
• Nach der Tunnelöffnung
• Vor der Tunnelschließung
• Nach der Tunnelschließung

Dieses Feature erlaubt das Asführen von Skripren (Batches, Skripte, Applikationen, usw.) zu jedem Zeitpunkt der Tunnelverbindung. Die Anwendungsmöglichkeiten sind vielfältig, so lassen sich z.B. Backups erstellen, Synchronisierungen anstoßen oder Anwendungen starten. Auch lassen sich spezielle Netzwerkkonfigurationen vor, während oder nach der Tunnelverbindung einstellen.

Die Software unterstützt verschiedene Zwei-Faktor und Zwei-Wege-Authentisierungstoken um Credentials wie z.B. Schlüssel, Passwörter oder Zertifikate zu sichern. Hier eine Übersicht der von uns getesteten USB Token und SmartCards mit Konfigurationsbeispielen.

Ja, hierzu sind folgende Schritte notwendig:

• Wählen Sie in der Übersicht die entspr. Phase 2 und wechseln Sie in das Tab Erweitert. Wählen Sie hier Vor dem Windows Logon und speichern Sie die Änderung.
• Wenn Sie sich nun das nächste mal in Windows anmelden, wird Ihnen vor dem Logon Screen ein kleines Fenster eingeblendet, mit dem Sie den Tunnel vor dem Logon starten können.
• Weitere Hilfestellung zur Bedienung und Konfiguration des VPN Clients finden Sie in unserem Benutzerhandbuch unter dem Stichwort "Gina".

Achtung: Diese Funktion steht in der Demoversion nicht zur Verfügung.

Hier die Phasen der VPN Verbindung und die jeweils korrespondierenden VPN Ports:

• Phase 1: UDP Port 500 (IKE Port)
• Phase 2: UDP Port 4500 (NAT-T Port)
• IP Traffic nach erfolgter IPSec/IKE Aushandlung: Bleibt auf dem zuletzt definierten Port.

In manchen Umgebungen, z.B. Hotels, Flughäfen, öffentliche HotSpots usw. sind die UDP Ports 500 und/oder 4500 eingeschränkt bzw. blockiert. VPN Verbindungen können in diesen Situationen nicht über die Standard-Ports aufgebaut werden. Eine Möglichkeit nesteht darin, die UDP Ports für Phase 1 und Phase 2 auf Ports umzukonfigurieren, welche vom jeweiligen Anbieter freigegeben und nicht blockiert sind.

Mögliche Ports wären z.B. UDP Port 80 (IKE Port) und UDP Port 443 (NAT-T Port), welche in den meisten Fällen nicht blockiert werden. Im VPN Client können Sie diese Einstellung vornehmen, wählen Sie die entspr. Phase 1 aus und wechseln Sie in den Tab Protokoll.

Achtung: Falls Sie sich entscheiden, die Standard UDP Ports umzustellen, müssen ebenso im VPN Gateway oder Router für diese Tunnelverbindung (SA) die Ports umgestellt werden. Bitte beachten Sie auch, dass manche Router diese Funktion nicht unterstützen, bzw. das interne Umkonfigurieren von Ports nicht erlauben.

Weitergehende Informationen zum Handling von NAT Traversal mit IKE:

• IETF RFC 3948 (UDP Encapsulation of IPsec Packets)
• IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) oder Draft "draft-ietf-ipsec-nat-t-ike-08"
• TCP und UDP Ports Liste

Ja, hierzu sind folgende Schritte notwendig:

• Wählen Sie die entsp. Phase 1 aus und wechseln Sie in den Tab Zertifikate.
• Alle Zertifikate im Windows Certificate Store (Personal Store) werden auggelistet.
• Wählen Sie ein passendes Zertifikat, klicken Sie OK und dann Speichern.

Ja, SHA-1 und SHA-2 256-bit, sowie MD5 werden unterstützt. Weitere Informationen finden Sie im VPN Client Datenblatt (PDF).

Dazu gibt es mehere Möglichkeiten:

• Rechtsklick auf das VPN Client Icon im Sytemtray. Ein grünes Symbol bedeutet, der Tunnel ist geöffnet.
• Einfacher Klick auf das VPN Client Icon im Sytemtray. Das Konfigurations-Panel öffnet sich. Mit der Tastenkombination Ctrl+Enter wechseln Sie in das Verbindungs-Panel.
• Ist das Konfigurations-Panel geöffnet, klicken Sie den Button Verbindungen.

Es ist möglich, sämtlichen Internet Traffic duch den Tunnel zu leiten. In diese Fall wird sämtlicher Internet Traffic vom entfernten (Remote) Gatrway anstatt vom lokalen (Local) Gateway geroutet. Die entfernte (Remote) Benutzer IP Adresse bleibt dabei nach aussen verborgen, sie wird durch die IP Adresse des entfernten (Remote) Gateway ersetzt. Unter Umständen sollten Sie diese Art von Verbinungen zusätzlich nach aussen absichern, z.B. via Firewall und Virschschutz.

Die Client Konfiguration erfolgt in 3 Schritten:

• Öffnen Sie die Konfigurationsansicht, wählen Sie den Eintrag Allgemein in der Phase 1. Aktivieren sie die Option Split-Tunnel deaktivieren, um unverschlüsselten Traffic über das Internet zu unterbinden.
• Wählen Sien nun die Phase 2 aus. Wählen Sie unter Netzwerk-Adresstyp Subnetzadresse aus und tragen Sie den Wert 0.0.0.0 in die Felder Remote LAn Adresse und Subnetzmaskeein, um allen Traffic exklusiv durch den Tunnel zu leiten. 0.0.0.0 bedeutet, dass auch der Traffic in das lokale Netzwerk über den VPN Tunnel geroutet wird.
• Nehmen Sie diese Einstellungen auch im entfernten (Remote) Gatrway vor, lokale und entfernte Subnet Einstellungen 0.0.0.0/0 müssen übereinstimmen.

Achtung: Bitte beachten Sie, dass manche Router diese Funktion (hub&spoke: '0.0.0.0/0') nicht unterstützen. Unter Umständen muss eine Regel erstellt werden, die WAN to WAN Traffic erlaubt.

Ja, WWAN (Wireless Wide Area Network oder Wireless WAN) werden von vielen 3G/4G Wireless Herstellern unterstützt. Dabei muss der Hersteller die "Mobile Broadband Driver Model Specification" für Windows 7 basierend auf dem NDIS6.20 miniport driver Modell unterstützen.

Unter Umständen kann sich der VPN Client unter Windows Vista oder Windows 7 instabil verhalten, wenn der Rechner aus dem Sleep- bzw. Hybernate Modus aufwacht. In diesen Fällen hilft das Deaktivieren des Gina Modus.

• Download "Gina deaktivieren" für Windows Vista/Seven 32-bit oder Gina in Windows Vista/Seven 64-bit
• Download "Gina aktivieren" für Windows Vista/Seven 32-bit oder Gina in Windows Vista/Seven 64-bit

Führen Sie die passende Datei mittels Doppelklick aus, klicken Sie zum Bestätigen 'OK'.

Der TheGreenBow VPN Client unterstützt keine Mehrbenutzer-Konfigurationen (meherere gleichzeitig angemeldete Windows Benutzer).

In Release Versionen kleiner als Ver. 6.62.x ist die Authentisierung via Captive Portal möglich.
Aus Sicherheitsgründen wurde dieses Feature ab Release Versionen 6.62.x und höher deaktiviert.

Ja, sie dient hauptsächlich zu Test- und Demonstrationszwecken und um zu prüfen, ob eventuell lokale Firewalleinstellungen die VPN Verbindung blockieren.

• VPN Konfiguration für IPv6 Verbindungen (tgbvpn_demo_ipv6.tgb)* VPN Client Standard, Premium und Certified

Bitte entpacken Sie diese Datei an einen Ort Ihrer Wahl, über die Menüfuktion "Konfiguration" - "Importieren" im Client können Sie Sie die Testkonfiguration einlesen. Wählen Sie "Hinzufügen", falls Sie bereits eine Konfiguration im VPN Client hinterlegt haben. So gehen Ihnen keine Einstellungen verloren.

Der TheGreenBow VPN Client Version 6 unterstützt Windows XP nicht.

Ja, Sie können innerhalb einer Phase 1 mehrere Phasen 2 anlegen und hier die gleiche VPN Client Addresse verwenden.

• Phase 1 > "Protokoll" > "Config Mode"
• Phase 2 > "IPsec" > Tragen Sie die gleiche IP in das Feld "VPN Client Addresse" für alle weiteren Phasen 2 ein.

• IPv6 Ready: Google IPv6 Test, Testen Sie Ihre IPv6-Konnektivität
• IPv6 Literatur: World IPv6 Launch, Wikipedia IPv6, IPv6 Ready Logo Program, IPv6 Ready Logo Program Approved List
• IPv6 Infografik: World IPv6 Infografiken, Google IPv6 Übersicht
• IPv6 Verbreitung: Google IPv6 Statistiken

Wenn Heimnetztwerk und entferntes (Remote) Netzwerk das geleiche Subnetz haben, kann durch exklusive Adressbereichsangabe zwischen LAN und Remote LAN unterschieden werden. Angenommen wird folgende Konfiguration: LAN1 (Home/Local) (192.168.133.x) und LAN2 (Entfernt/Remote) (192.168.133.y).

Man kann nun z.B. über Adressbereichsangaben segmentieren: LAN1 (x->1-20) und, LAN2 (y->30-50)

• Lokales Netzwerk: Adressen 192.168.133.1 bis 192.168.133.20
• Entferntes Netzwerk: Adressen 192.168.133.30 bis 192.168.133.50

Einstellngen im VPN Client:

• Phase 1 > Netzwerk Interface: "Alle"
• Phase 2 > Netzwerk Adresstyp: "Rangeadresse"
• Tragen Sie Start- und Endadresse ein, z.B. 192.168.133.30 und 192.168.133.50

Einstellungen im VPN Gateway:

• Phase 2 > Netzwerk Adresstyp: "Subnetz" remote/mask=192.168.133.0 / 255.255.255.0

Ja, "Nested Tunnel" sind möglich. Ein Tunnel kann innerhalb eines anderen Tunnel geöffnet werden.

Angenommen wird folgende Konfiguration: LAN1 (192.168.133.x) ist das entfernte (Remote) Netzwerk hinter VPN Gateway 1. Innerhalb dieses entfernten Netzwerks besteht ein weiteres Netzwerk hinter Gateway2 (z.B. WAN:192.168.133.1, LAN: 192.168.10.1).

Einstellngen im VPN Client:

1. VPN Tunnel #1
• Phase 1 > "Remote VPN Gateway" > IP WAN Adresse des 1. Gateways
• Phase 2 > "VPN Client Adresse" > Netzwerk Adresstyp: "Subnetzadresse" und z.B. "remote/mask= 192.168.133.1/255.255.255.0"
2. VPN Tunnel #2
• Phase 1 > "Remote VPN Gateway" > IP WAN Adresse des 2. Gateways (z.B. 192.168.10.1)
• Phase 2 > "VPN Client Adresse" > Netzwerk Adresstyp: "Subnetzadresse" und z.B. "remote/mask= 192.168.10.1/255.255.255.0"

Der TheGreenBow VPN Client unterstützt heterogenen IPv6-IPv4 Netzwerkumgebungen auf LAn und WAN Seite. Das Feature "Auto" (für IPv4/IPv6) ermöglicht die Unterstützung in solch komplexeren Umgebungen.

Abhängig von Ihrer Situation (Mix aus IPv4 and IPv6 Netzen) können folgende Einstellungen gemacht werden:

• Phase 1 > Authentisierung: Der AUTO Modus ist automatish aktiv.
• Phase 2 > IPsec: Sie können je nach Situatuin zwischen IPv4 und IPv6 umschalten.

Ja, ab VPN Client Version 6.1x und höher werden multiple IPsec VPN (IKEv1 und IKEv2) und SSL Tunnel unterstützt.

Wir stellen eine komplette Anleitung für Nachrichten von der TheGreenBow IPSec VPN Client Konsole mit Erklärungen und Lösungshinweisen zum Download zur Verfügung. Wenn Ihnen dieses Dokument nicht weiterhilft, senden Sie uns alle Austausche mit RECV- und SEND-Leitungen. Halten Sie die Log-Stufen auf "0" und klicken Sie auf "Datei speichern". Die Log-Datei finden Sie unter C:/ProgramData/TheGreenBow/TheGreenBow VPN.

https://www.thegreenbow.fr/doc/tgbvpn_troubleshooting_en.pdf

Wenn sie nur "SEND phase 1" Messages in der Konsole sehen, jedoch keinen "RECV" Messages, antwortet die Gegenstelle nicht, oder die Antworten gehen auf dem Rückweg verloren.

    
    115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
    115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
    115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
    115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
    
                                

Schauen Sie sich die Protokolle der Gegenstelle an und prüfen Sie, ob Anfragen vom Client eingehen. Wenn Sie keine Spur finden, müssen die IKE-Anforderungen irgendwo verloren gehen. Überprüfen Sie jede Firewall (einschließlich der Personal Firewall des Computers), zwischen dem IPSec-VPN-Client und dem VPN Gateway.

Wenn die Protokolle wie die folgenden aussehen, wird der IPSec-VPN-Tunnel aufgebaut. Jetzt sollten Sie in der Lage sein, beliebige Geräte im entfernten Netzwerk hinter dem VPN Router anzupingen. Die Konfiguration des TheGreenBow IPSec-VPN-Clients ist soweit korrekt.

    
    121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
    121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
    121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
    
                                

Wenn Sie das entfernte Netzwerk nich anpingen können:

• Überprüfen Sie die Einstellungen der Phase 2: VPN-Client-Adresse und Remote-LAN-Adresse. Normalerweise sollte die Client-IP-Adresse nicht zum Remote-LAN-Subnetz gehören.
• Sobald der Tunnel aktiv ist, werden Pakete mit dem ESP-Protokoll gesendet. Dieses Protokoll kann durch eine Firewall blockiert werden. Überprüfen Sie, ob jedes Gerät zwischen dem Client und dem VPN-Server ESP akzeptiert.
• Prüfen Sie die Logdateien des VPN Gateway, speziell hier auch die Logdateien der Firewall.
• Prüfen Sie, ob Ihr Internet Provider das ESP-Protokoll unterstützt.
• Wenn Sie immer noch nicht pingen können, folgen Sie dem ICMP-Verkehr auf der LAN-Schnittstelle des VPN-Servers und auf der LAN-Computerschnittstelle (z. B. mit Ethereal).
• Überprüfen Sie den Wert "Standard-Gateway" im VPN Server LAN. Ein Ziel in Ihrem Remote-LAN kann Pings empfangen, antwortet jedoch nicht, da keine "Standard-Gateway" -Einstellungen vorhanden sind.
• Sie können nicht über ihren Namen auf die Computer im LAN zugreifen. Sie müssen ihre IP-Adresse im LAN angegeben haben.

https://www.thegreenbow.fr/doc/tgbvpn_troubleshooting_en.pdf

TheGreenBow empfiehlt Kunden, die einen in einigen Dell- oder HP-Laptops integrierten Broadcom-Chipsatz verwenden, den Treiber bcmwl5.sys auf die neueste Version zu aktualisieren. Dieser Treiber verursacht zeitweise einen Bluescreen, auch wenn unser VPN-Client nicht installiert ist.