|
|
 |
|
Preguntas
El Cliente VPN IPSec TheGreenBow
Localización y resolución de problemas
VPN General
 |
¿Qué es una VPN? |
 |
Una red privada virtual (VPN) es el modo de utilizar una infraestructura de telecomunicación pública, como Internet, para ofrecer a oficinas o usuarios individuales remotos la posibilidad de conectarse a la red de su empresa de manera securizada. En el pasado, las compañías alquilaban costosos sistemas de líneas para construir su propia red privada, que sólo podían utilizar entre ellos. Una VPN proporciona el mismo servicio a un coste bastante inferior. Una VPN funciona utilizando Internet al mismo tiempo que mantiene la seguridad de los datos transportados a través de mecanismos (procedimientos y protocolos) que permiten el "tunneling" (L2TP o IPSec). Los datos son cifrados por el emisor y descifrados por el destinatario, creando así un túnel cerrado en el que no puede entrar o transitar ningún otro dato.
|
|
¿Por qué IPSec está en la categoría de "Seguridad fuerte"? |
|
|
Definición: IPSec (abreviatura de Internet Protocol Security) proporciona a la capa IP un conjunto de servicios de seguridad permitiendo que un sistema elija los protocolos de seguridad requeridos, determine el algoritmo que se utilizará para el servicio en cuestión e instaure todas las claves de cifrado que se necesiten para asegurar los servicios solicitados. La arquitectura IPSec aparece descrita en la RFC-2401 (www.ietf.org RFC-2401). IPSec ha sido seleccionada para incluirse en IPv6. IPSec fue inicialmente diseñada como un protocolo de seguridad fuerte, particularmente para sustituir otros protocolos más antiguos como PPTP. Hoy en día IPSec es la manera más segura de acceder a la red de una empresa desde Internet, entre otros, por:
- Mecanismos de fuerte cifrado como Encapsulated Security Payload (ESP) utilizando DES, 3DES, AES con claves de longitud importante (128, 192, 256)
- Autentificación fuerte de las identidades gracias al empleo de X-Auth y de certificados con claves de longitud importante (1536, 2048)
- Utilización de IKE (Intercambio de Claves de Internet) e ISAKMP para intercambiar automáticamente claves y realizar autentificaciones mutuas.
- Protección contra ataques del tipo "denegación de servicio". Los protocolos IPSec utilizan una ventana deslizante. Los paquetes están numerados y sólo son aceptados si entran en la ventana.
- Utilización de Memoria USB o Token USB con el Cliente IPSec para proteger las informaciones de identidad/autentificación y las configuraciones VPN (específicamente TheGreenBow).
|
|
¿Qué es la NAT Traversal? |
|
|
Definición: El mecanismo de traducción de dirección de red (NAT) fue concebido para reducir la frustración por las escasas direcciones IP públicas. El sistema NAT toma la dirección IP privada originada por un paquete, la traduce en direcciones IP públicas y envía el paquete por Internet a su destino. Utiliza una tabla interna para seguir las direcciones traducidas pero desgraciadamente manipula el encabezamiento IP original del paquete, impactando en la capacidad de IPSec para funcionar correctamente. El Grupo IETF (Grupo de Trabajo en Ingeniería de Internet) desarrolló una solución llamada NAT Traversal (NAT-T RFC-3193) que se ha implementado en la mayoría de routers y aplicaciones.
El Cliente VPN IPSec TheGreenBow soporta NAT-T drafts 1, 2 y 3, incluyendo la encapsulación udp.
|
|
¿Modo Túnel versus Modo Transporte? |
|
|
Las diferencias entre el modo Transporte y el modo Túnel pueden definirse (www.ietf.org RFC-2401) utilizando las siguientes configuraciones de red:
- El
Modo Túnel
es el utilizado con más frecuencia, cuando el extremo de una asociación de seguridad es un router VPN o cuando los dos extremos son routers VPN, donde la gateweay de seguridad actúa como proxy para los servidores que se encuentran detrás. El modo Túnel cifra tanto la carga útil como el encabezamiento completo (UDP/TCP e IP).
-
El modo Transporte
se utiliza cuando el tráfico está destinado a una gateway de seguridad y esta actúa como host (por ejemplo, comandos SNMP). El modo Transporte sólo cifra los datos, dejando intacto el encabezamiento IP.
El Cliente VPN IPSec TheGreenBow soporta ambos modos.
|
|
¿Pre-shared key versus Certificados? |
|
|
La autentificación del ordenador por IPSec puede efectuarse utilizando preshared keys o certificados. Una pre-shared key (clave compartida con anterioridad) identifica una de las partes durante la Fase de Autentificación. Por definición, "Pre-shared" significa que comparte la clave con el otro usuario antes de establecer un túnel VPN securizado. El método de autentificación más fuerte es el sistema PKL y los certificados. No obstante, las pequeñas empresas no pueden afrontar una implementación del sistema PKI y utilizan el método de preshared key ya que es más sencillo e igual de potente.
El Cliente VPN IPSec TheGreenBow soporta ambos modos.
|
|
¿IPSec versus SSL? |
|
|
Por favor, consulte nuestra página
IPSec versus SSL
donde comparamos ambas tecnologías.
|
|
¿Puedo utilizar IPSec para securizar mi red WiFi? |
|
|
Por favor, consulte nuestra página
IPSec versus WiFi
donde hacemos un análisis de WEP; 802.11i y comparamos ambas tecnologías.
|
|
¿Qué es DPD? |
|
|
La Detección de Punto Inactivo (DPD) en una extensión IKE (Internet Key Exchange - Intercambio de Claves de Internet) (RFC3706) para detectar un punto IKE inactivo. Este mecanismo se utiliza en la opción Gateway Redundante.
El Cliente VPN IPSec TheGreenBow
|
|
¿Qué versiones de Windows soporta? |
|
|
- Windows 2000 (Workstation)
- Windows XP 32-bit. WinXP all service packs, including SP2
- Windows Server 2003 32-bit
- Windows Server 2008 32-bit
- Windows Server 2008 64-bit
- Windows Vista 32/64-bit
- Windows 7 32-bit
- Windows 7 64-bit
|
 |
|
|
¿Qué idiomas soporta? |
|
|
El Cliente VPN IPSec TheGreenBow está disponible en inglés, francés, alemán, portugués y
español.
Puede seleccionar el idioma durante la instalación del Cliente VPN IPSec.
|
|
¿Cómo localizar el Cliente VPN IPSec? |
|
|
¿Desea tener el Cliente VPN IPSec TheGreenBow en su propio idioma? Diríjase a
IPSec VPN Client localization, descargue y traduzca las secuencias del Cliente VPN IPSec en su propio idioma.
El proceso de localización es muy sencillo y la traducción en su idioma estará disponible en la siguiente versión del programa.
|
|
¿Cuáles son las Gateways compatibles? |
|
|
El Cliente VPN IPSec TheGreenBow es compatible con todos los routers IPSec que se atienden a las normas existentes (IKE e IPSec). Compruebe nuestra
lista de Productos VPN Compatibles
para encontrar su gateway VPN.
Si el equipamiento que está buscando no se encuentra en esta lista, por favor contacte con nuestro
servicio técnico
y trabajaremos para certificarlo. Necesitaremos el archivo de configuración, el de registro desde la ventana "Consola" y una captura de pantalla de la página de configuración del router.
|
|
¿Cómo conecto el Cliente VPN IPSec a un router VPN Linksys? |
|
|
Puede descargar los Manuales de Configuración VPN de la mayoría de las gateways que suministramos desde nuestra página web, accediendo a
support section, y allí encontrará algunos sobre Linksys. Los Manuales de Configuración VPN están escritos por nuestros colaboradores o por nuestro equipo de ingenieros.
Ofrecemos soporte Linksys RV082 y Linksys BEFVP41. Puede también consultar
nuestra respuesta
acerca de Linksys WRV54G.
|
|
¿Cómo instalar el Cliente VPN IPSec para un router VPN Cisco? |
|
|
Puede descargar los Manuales de Configuración VPN de la mayoría de las gateways que suministramos desde nuestra página web, y allí encontrará algunos sobre Cisco. Los Manuales de Configuración VPN están escritos por nuestros colaboradores o por nuestro equipo de ingenieros.
Ofrecemos soporte de gateways Cisco como Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871, Cisco 1721.
|
|
¿El Cliente VPN IPSec soporta NAT Traversal? |
|
|
Sí. Ofrecemos soporte de NAT Traversal Draft 1 (avanzado), Draft 2 y 3 (implementación completa). Emulación de dirección IP.
- Incluye soporte de NAT_OA
- Incluye NAT keepalive
- Incluye NAT-T modo agresivo
|
|
¿El Cliente VPN IPSec TheGreenBow soporta DNS/WINS discovering? |
|
|
Sí, el Cliente VPN IPSec soporta el "Modo Configuración". El “Modo Configuración” es un Intercambio de Claves por Internet (IKE) que permite que el gateway VPN IPSec proporcione configuración LAN como direcciones de servidor DNS/WINS a usuarios remotos (Cliente VPN IPSec). En caso de que la gateway remota no soporte el "Modo Configuración", las direcciones IP de servidor DNS y WINS de la red LAN remota podrán definirse en el Cliente VPN IPSec.
|
|
¿El Cliente VPN IPSec TheGreenBow es compatible con Linksys WRV54G? |
|
|
El Cliente VPN IPSec TheGreenBow es totalmente compatible con la firmware Linksys WRV54G 2.37 y posteriores. Por favor, descargue el
Manual de Configuración
de Linksys WRV54G VPN.
La firmware Linksys WRV54G 2.25 no acepta las conexiones IPSec de un Cliente VPN IPSec con direcciones IP dinámicas. Sin embargo, existe una solución alternativa. Debe establecer la dirección IP del Cliente VPN IPSec en la configuración del Linksys. Linksys ha creado una nueva versión del firmware desde entonces, que puede
descargar aquí
El Cliente VPN IPSec TheGreenBow es totalmente compatible con Linksys RV082 y Linksys BRFVP41 (ver también
lista de Productos VPN compatibles o descargue los
Manuales de Configuración
VPN).
|
|
¿Qué puerto necesita el Cliente VPN IPSec TheGreenBow? |
|
|
El puerto UDP 500 y el puerto UDP 4500 deben estar abiertos y el protocolo ESP (protocolo número 50) debe estar permitido.
Ver también otras preguntas frecuentes:
¿Cómo configurar la VPN para las conexiones VPN de los usuarios y las puertas de los hoteles o los hotspots?
No es posible abrir un túnel VPN en Windows Vista. ¿Problema con cortafuego Vista?
¿Puede modificarse un Puerto IKE?
|
|
¿Es posible usar el Cliente VPN IPSec TheGreenBow con Microsoft ISA Server 2000 y 2004? |
|
|
Según el servicio técnico de Microsoft, la mayoría de las veces el tráfico IPSec VPN no pasa a través de ISA Server 2000.
Para más detalles sobre ISA server 2004, lea
Q838379
en la Base Conocimiento de Microsoft.
|
|
¿Qué debo rellenar en el campo "dirección de cliente VPN" de la Fase 2? |
|
|
Este campo es la dirección IP virtual que el Cliente VPN IPSec tendrá en la subred remota. Con la mayoría de las gateways VPN, esta dirección no tiene por qué pertenecer a la subred remota.
Por ejemplo, si utiliza una gateway VPN con una subred 192.168.0.0/255.255.255.0, deberá usar en la "dirección de Cliente VPN" un valor como 192.168.100.1 o 10.10.10.1.
Imagine que usted elige una dirección IP no utilizada en la subred, por ejemplo 192.168.0.200. Cuando el Cliente VPN IPSec intenta enviar un TPC o un paquete UDP a un ordenador remoto 192.168.0.x, este último enviará en su subred una solicitud ARP para obtener la dirección MAC del Cliente VPN y responder directamente a ella. Pero esta solicitud no puede recibir ninguna respuesta porque el cliente no está presente físicamente en la subred, por lo que los paquetes iniciales del cliente no obtendrán respuesta.
Si su gateway VPN puede responder a esta solicitud ARP para el Cliente VPN IPSec, podrá rellenar el campo de "dirección de Cliente VPN" con una dirección IP perteneciente a una subred remota.
También puede descargar nuestro
Manual de Usuario
del Cliente VPN IPSec.
|
|
¿Es posible esconder la interfaz gráfica de usuario (modo "silencioso")? |
|
|
Es posible ejecutar la instalación del Cliente VPN IPSec en modo "silencioso". Necesitará descargar toda la descripción del proceso en el documento:
Guía de Implementación VPN
|
|
¿El Cliente VPN IPSec TheGreenBow es compatible con Linksys WRVS4400N o WRV200? |
|
|
Sí, el Cliente VPN IPSec TheGreenBow es totalmente compatible con Linksys WRVS4400N y Linksys WRV200 (ver también
lista de Gateways VPN compatibles o descargue los
Manuales de Configuración
VPN).
|
|
¿Puede ser definida una Gateway Redundante? |
|
|
Sí. Es posible definir una Gateway Redundante en el Cliente VPN IPSec. Una Gateway Redundante ofrece a los usuarios remotos una conexión segura y fiable a la red de la empresa. Las características de una Gateway Redundante permiten que el Cliente VPN TheGreenBow pueda abrir un túnel IPSec con una puerta de enlace alternativa si la puerta primaria se ha caído o no responde. La función DPD (Detección de Punto Inactivo) detecta los posibles fallos de la gateway remota.
|
|
¿Puede modificarse un Puerto IKE? |
|
|
Sí. Se puede establecer un Puerto IKE específico.
Para hacerlo, ir para Configuración VPN -> Parámetros y entrar el puerto que desea para el IKE Port.
Ver también otras preguntas frecuentes:
¿Cómo configurar la VPN para las conexiones VPN de los usuarios y las puertas de los hoteles o los hotspots?
No es posible abrir un túnel VPN en Windows Vista. ¿Problema con cortafuego Vista?
|
|
¿Qué son TgbStarter.exe y TgbIke.exe? |
|
|
TgbStarter.exe y TgbIke.exe son componentes del Cliente VPN IPSec TheGreenBow.
- TgbStarter.exe es un componente daemon del software, es decir, se ejecuta como un servicio.
- TgbIke.exe es el tiempo de ejecución IPSec/IKE del programa.
|
|
La Activación del Software no se realizó con éxito. |
|
|
Cuando intento activar el software, no se realiza con éxito (obtengo un mensaje de error)
Puede encontrar una guía de ayuda completa acerca de la activación en nuestro
Manual de Ayuda para la Activación del Software Online.
También puede activar su programa en cualquier momento siguiendo el procedimiento descrito en nuestro
Manual de activación del Software.
|
|
¿En qué consiste el test de Configuración VPN? |
|
|
Una test de Configuración VPN es una configuración VPN diseñada por el equipo de servicio técnico TheGreenBow para conectar online con nuestras gateways y servidores VPN IPSec. Permanecen siempre conectados y puede utilizarlos para verificar su entorno de red en cualquier momento. El test de Configuración VPN está incrustado en el Cliente VPN IPSec. Compruebe la ayuda online o descargue el archivo de Configuración VPN por defecto que aparece a continuación.
|
|
¿Puedo obtener números licencia temporales para utilizarlos durante mis tests? |
|
|
Sí, la licencia puede tener validez durante varias semanas. Para más detalles, contacte con nuestro departamento de ventas.
|
|
|
¿Cómo inicio automáticamente mi archivo ejecutable CRM al abrir un túnel IPSec en el intranet de mi empresa? |
|
|
Es posible. Vaya al Panel de Configuración>Fase2 y haga clic en scripts. En la ventana Script, puede seleccionar la aplicación que desea iniciar antes o después de abrir o cerrar un túnel.
|
|
|
¿El Cliente VPN IPSec soporta las claves de autentificación bidireccionales y los Tokens? |
|
|
Sí. TheGreenBow soporta numerosas autentificaciones de doble factor y bidireccionales para almacenar usuarios y credenciales personales, como claves privadas, contraseñas y certificados digitales. Por favor, vea también la
Lista de Tokens certificados.
|
¿Cómo conectarse a distancia de Dominio de Windows, usando "e;Activar Antes de inicio de sesión de Windows"e; características? |
|
Para que funcione, hacer los siguientes pasos:
- Ir a la 'F2 avanzadas', seleccione 'Activar Dantes de inicio de sesión de Windows'. Continuación, haga clic en 'Aceptar' y en Aplicar y en Guardar.
- La próxima vez, en el registro de Windows, aparece una pequeña ventana y usted no será capaz de abrir el túnel VPN. Múltiples conexiones VPN puede ser establecida con anterioridad al inicio de sesión de Windows.
Ahora, la atención y ser conscientes de que debido a la especificidad de esta función sólo puede trabajar con un Software de Cliente VPN IPSec, que ya ha sido activado. Mientras que el software cliente VPN IPSec para seguir siendo exprimental, comenzará sólo después de que el usuario haga clic en 'Votar' y por lo tanto, después de las ventanas de inicio de sesión de forma natural. En consecuencia, es el único servicio que no puede ser probado en versión de demostración o prueba.
|
|
¿Cómo configurar la VPN para las conexiones VPN de los usuarios y las puertas de los hoteles o los hotspots? |
|
Para obtener más información sobre las negociaciones de la IKE NAT Traversal ver IETF RFC 3948 (UDP Encapsulado de paquetes IPSec), IETF RFC 3947 (NAT negociar - transversal en el IKE) o el proyecto de "draft-ietf-ipsec-nat-t-ike-08". También puede consultar la lista de las puertas TCP y UDP.
Aquí está la etapa de negociaciones en las que la conexiones VPN y VPN de puertos por defecto, tienen la TheGreenBow software de cliente VPN IPSec en la parte posterior de un router:
| Fase |
Default Port |
¿En caso de que para modificar la puerta? |
| Fase 1 de las negociaciones |
Puerta UDP 500 |
ir al 'Panel de Configuración'
> 'Parámetros'
> 'Puerta IKE' |
|
| Fase 2 de las negociaciones |
Puerta UDP 4500 |
Ir al 'Panel de Configuración'
> 'Parámetros'
> 'Puerta NAT-T' |
| Las negociaciones comerciales después de la IPSec / IKE |
Se define la última puerta que se utiliza |
|
En algunos hoteles, aeropuertos o puntos de acceso, los puertos UDP 500 y 4500 puede ser bloqueado o prohibido. Será necesario configurar las puertass y NAT-T de IKE correctamente.
Aquíhay un ejemplo de otros puertos en el panel de configuración de VPN (es decir, recuerde que esto sólo afecta el protocolo UDP):
| Puerta IKE |
Puerta NAT-T |
| 80 |
443 |
Si decide no utilizar el estándar de puertas VPN (es decir, UDP UDP 500 y 4500), el destino del router (es decir, la entrada de su red corporativa) debe estar configurado para redirigir el tráfico recibido en los puertos asociados con el nuevo VPN para seleccionar la opción predeterminada UDP 500 y UDP 4500 para ser correctamente dirigida a los servicios a bajo IPSec.
Aquí tenemos un diagrama de un ejemplo, a sabiendas de que algunos modelos de router no tiene la capacidad para redirigir a la puerta interior que pueda necesitar el uso de dos:
Aquí está un fichero de configuración de Linux como servidor de seguridad de su router VPN no tiene la capacidad para reorientar la información entre sí y que desea añadir un front-end de firewall:
|
|
¿Puede utilizar los certificados de Windows Certificado de la tienda donde poner nuestro software PKI de los certificados del usuario? |
|
Si la respuesta es Sí para crear un nuevo túnel VPN,
- Ir al 'Paso 1' > 'Gestión de certificados...'
- Todos los certificados en el Almacén de certificados de Windows (Personal Store) debería aparecer aqui.
- Seleccione las licencias que necesita, haga clic en 'Ok' y, a continuación, haga clic en 'Guardar y Aplicar'
Puede que desee descargar el software o el Cliente VPN IPSec o el Guía del usuario.
|
|
¿El SHA-2 cuenta con el apoyo? Que Algoritmos hash son compatibles? |
|
Sí, SHA-1 y SHA-2 254 bits son compatibles. MD5 también se apoya. Ver listado completo en la hoja de datos.
|
|
¿Cómo ver a mis conexiones VPN? |
|
Hay varias maneras de ver las conexiones abiertas en el VPN:
- Haga clic en el icono en el Systray Software de Cliente VPN. Verde significa que los túneles VPN están abiertos.
- Haga clic en el Software de Cliente VPN Systray icono para abrir el panel de configuración. Presione Ctrl + Enter para ir al panel de conexiones y de vuelta a lo largo de la configuración del panel.
- Como surge de lo panel de configuración, haga clic en 'Conexiones'.
|
|
¿Cómo forzar a todo el tráfico de Internet en el túnel de VPN? |
|
Usted puede obligar a todo el tráfico de Internet en el túnel VPN. Si lo hace, todo el tráfico Internet es dirigido a partir del router distante en lugar de la rede del utilizador remoto. La dirección IP del utilizador es asi osculatada a los sites visitados por ser sustituyida por la dirección IP del enrutador distante. Las redes corporativas puedem añadir mas scan de tráfico para mejorar la segurancia.
La configuración VPN es sencilla y requiere de 3 pasos:
- Ir para 'Painel de Configuración' > 'Parâmetros' > seleccione ''Bloqueo de conexión no cifrada' prohibir el tráfico no cifrado para ser transferido directamente a Internet.
- Ir para 'Painel de Configuración' > 'Fase2' > seleccione 'Dirección IP de Red' como 'Tipo de Dirección' y definir 'Dirección de LAN Remota' y 'Mascara de Red' to '0.0.0.0', de manera que todo el tráfico (de cualquier dirección IP) se remite al túnel de VPN.
- En el Enrutador remoto, configurar el túnel VPN, así como los ajustes deben ser equilibradas con la subred local de 0.0.0.0/0.
Nota: Algunos Enrutadores VPN no admiten esta característica (i.e. hub&spoke: '0 .0.0.0 / 0 '). Si se admite, es necesario crear una regla para permitir el tráfico de WAN a la WAN.
Localización y resolución de problemas
|
|
"Tengo el mensaje XXXXX en la consola". ¿Qué significa? |
|
|
Tenemos disponible para descargar una
guía completa de mensajes de la consola del Cliente VPN IPSec TheGreenBow
con explicaciones y pistas para solucionar problemas. Si este documento no le ayuda, envíenos los intercambios con las líneas RECV y SEND. Mantenga los niveles de registro en "0" y haga clic en "Guardar archivo". Encontrará el archivo de registro en Archivos de Programa\Sistech \TheGreenBow\ LogFiles.
|
|
No hay respuesta del servidor VPN |
|
|
Si posee los siguientes registros, significa que el servidor VPN remoto no responde a las solicitudes IKE del cliente.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
|
Observe los registros del servidor VPN remoto y verifique si las solicitudes del cliente se han recibido. Si no encuentra ningún registro, las solicitudes IKE pueden haberse perdido en alguna parte. Compruebe todos los firewalls (incluyendo el Firewall Personal del ordenador) que puedan encontrarse entre el cliente VPN IPSec y el servidor VPN.
|
|
El túnel VPN está abierto pero el ping no funciona |
|
|
Si posee los registros que aparecen a continuación, el túnel VPN IPSec está establecido. Por tanto, debería ser capaz de hacer un ping en cualquier dirección de la red LAN. En ese caso, la configuración del Cliente VPN IPSec TheGreenBow es correcta.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
|
Si sigue sin poder hacer un ping en la red LAN remota, aquí tiene algunas ayudas:
- Verifique los parámetros de la Fase 2: la dirección del cliente VPN y la dirección LAN Remota. Generalmente, la dirección IP del cliente no debería pertenecer a la subred LAN remota (lea también ¿Qué debo rellenar en el campo "dirección de cliente VPN" en la Fase 2?)
- Una vez que el túnel está abierto, los paquetes se envían con el protocolo ESP. Este protocolo puede estar bloqueado por un firewall. Verifique que cada elemento entre el cliente y el servidos VPN aceptan ESP.
- Verifique los registros del servidor VPN. Los paquetes pueden ser eliminados por una de las normas del firewall.
- Verifique su ISP soporta ESP.
- Si continúa sin poder hacer un ping, siga el tráfico ICMP en la interfaz LAN del servidor VPN y en la interfaz LAN del ordenador (con Ethereal por ejemplo). Obtendrá una indicación de que el cifrado funciona.
- Verifique la "gateway por defecto" en la configuración LAN del servidor VPN. Un destinatario en su red LAN remota puede recibir pings pero no responder porque no existe una gateway "por defecto" configurada.
- No puedo acceder a los ordenadores por su nombre en la red LAN. Debe especificar sus respectivas direcciones IP dentro de la red LAN.
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "PAYLOAD MALFORMED" (Fase 1 Incorrecta [SA]) |
|
|
Si se encuentra con un error "PAYLOAD MALFORMED", como esta secuencia, verifique que los algoritmos IKE sean los mismos a cada lado del túnel VPN.
114920 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
114920 Default (SA Cnx-P1) RECV phase 1 Main Mode [NOTIFY]
114920 Default exchange_run: exchange_validate failed
114920 Default dropped message from 195.100.205.114 port 500 due to notification type PAYLOAD_MALFORMED
114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "INVALID COOKIE" |
|
|
Si tiene un error "INVALID COOKIE", significa que uno de los extremos está utilizando una SA que ya no está en uso. Resetee la conexión VPN en cada lado.
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
115933 Default dropped message from 195.100.205.114 port 500 due to notification type INVALID_COOKIE
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "NO KEYSTATE" |
|
|
Si se encuentra con un error "no keystare", verifique si la preshared key es correcta o si la ID local es correcta (ver botón "Avanzado"). Debería tener más información en los registros de los puntos remotos.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) RECV phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "received remote ID other than expected" |
|
|
Si tiene un error "received remote ID other than expected...", la "ID Remota" (ver botón "Avanzado") no corresponde con lo que el punto VPN remoto espera.
120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default (SA Cnx-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default ike_phase_1_recv_ID: received remote ID other than expected
support@thegreenbow.fr
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "NO PROPOSAL CHOSEN" |
|
|
Si se encuentra con un error "NO PROPOSAL CHOSEN" (Fase 2), compruebe si los algoritmos de la Fase 2 son los mismos a cada lado del Túnel VPN IPSec.
115915 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
115915 Default RECV Informational [HASH][NOTIFY] with NO_PROPOSAL_CHOSEN error
115915 Default RECV Informational [HASH][DEL]
115915 Default Cnx-P1 deleted
|
Si se encuentra con un error "NO PROPOSAL CHOSEN" (Fase 1), compruebe si los algoritmos de la Fase 1 son los mismos a cada lado del Túnel VPN IPSec.
115905 Default sysdep_app_open: Init Connection for : Cnx-Cnx-P2 Cnx-remote-addr
115905 Default sysdep_app_open: IPV4_SUBNET Network 192.168.1.1
115905 Default sysdep_app_open: IPV4_SUBNET Netmask 255.255.255.0
115911 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115911 Default RECV Informational [NOTIFY] with NO_PROPOSAL_CHOSEN error
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Error "INVALID ID INFORMATION" |
|
|
Si tiene un error "INVALID ID INFORMATION", verifique si las ID de la "Fase 2" (dirección local y red local) son correctas y corresponden con lo que espera el punto VPN remoto. Verifique también el tipo de ID. Si la máscara de red no está seleccionada, estará utilizando un tipo IPV4_ADDR (y no un tipo IPC4_SUBNET).
122626 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error
122626 Default RECV Informational [HASH][DEL]
122626 Default Cnx-P1 deleted
|
Para una solución completa con explicaciones y posibles soluciones, vea nuestro documento
Localización y solución de problemas.
|
|
Portátiles DELL o HP con Chipset Broadcom |
|
|
TheGreenBow recomienda a sus clientes utilizar un chipset Broadcom integrado con algunos portátiles Dell o HP para actualizar el driver bcmwl5.sys en las versiones más recientes. Este driver provoca una pantalla azul intermitente, incluso si su cliente VPN IPSec no está instalado.
|
|
Intel Adapter Switching Utility |
|
|
Intel Adapter Switching Utility genera una pantalla azul una vez que el Cliente VPN IPSec TheGreenBow está instalado.
Si tiene un Intel Pro/Wireless 2100 o 2200, siga los siguientes pasos en el orden indicado.
- Diríjase a Inicio/Panel de Control/Añadir o Quitar Programas. Borre el elemento Intel PROset
- Diríjase a Inicio/Panel de Control/Sistema.
Seleccione la pestaña de hardware y apriete el botón de administrador de dispositivos.
En el administrador de dispositivos, haga clic en el símbolo "+" para expandir los Adaptadores de Red.
Seleccione el adaptador Intel PRO/Wireless LAN 2200 (o 2100) y haga clic con el botón derecho.
Seleccione Desinstalar desde el menú emergente.
- Reinicie el ordenador.
Cuando el portátil vuelva a arrancar, detectará la tarjeta wireless e instalará sus drivers. No instalará los drivers del Intel PROset. La tarjeta wireless aún puede funcionar, pero la funcionalidad añadida del adaptador switching ya no estará disponible. Así, Windows administrará los perfiles del wireless en lugar de las utilidades del Intel PROset.
Para más detalles, ver el
Intel technical advisory
|
|
"Default UDP create:[...] must exist as a listener too" |
|
|
Problema: aparece el siguiente mensaje en la consola:
205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
205618 Default exchange_establish: transport "udp" for peer "CnxVpn1-P1" could not be created
|
Solución: Este error ocurre cuando el cliente no puede crear un socket para comunicaciones externas. Esto se puede deber a que la dirección IP sea inválida o ya no esté en uso. Verifique si la dirección aún existe. Normalmente, este error ocurre cuando se seleccionó una específica dirección IP en el menú dropdown de la Interfaz y se guardó en lugar de "*".
|
|
No puedo desinstalar el Cliente VPN IPSec |
|
|
Problema: No puedo desinstalar el Cliente VPN IPSec, siempre me pide que desinstale primero la versión anterior.
Solución: Puede utilizar
nuestra herramienta
para borrar los componentes restantes del Cliente VPN IPSec.
|
|
¿Cómo dar parte de un bug cuando el Daemon IKE se bloquea? |
|
|
Puede seguir el procedimiento que se explica en la siguiente página:
Reporting Bugs.
|
|
Problemas con los drivers TheGreenBow en Windows Vista |
|
|
Aconsejamos vivamente los usuarios de Windows Vista a actualizar los drivers do los adaptadores de rede con Windows Update. Esa accíon puede impedir crashes del driver en algunas configuraciones de rede. Tambien, el pack de correccion Windows Vista KB938194 debe ser instalado. Más informaciones e descargas estan disponibles en
http://support.microsoft.com/?kbid=938194.
 |
No es posible abrir un túnel VPN en Windows Vista. ¿Problema con cortafuego Vista? |
 |
Una vez que el Cliente VPN TheGreenBow es instalado en Vista, podría ser imposible abrir un túnel VPN. La apertura del túnel VPN sigue siendo
bloqueado con los siguientes mensajes IPSec (ver la consola del Cliente VPN IPSec):
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
|
Esto puede suceder con Windows Vista debido a que el cortafuego Vista puede prohibir las comunicaciones IPSec.
Cliente VPN IPSec TheGreenBow 4.2 (y superiores): El software crea automáticamente nuevas reglas en el Firewall de Windows Vista durante la instalación del software a fin de que el tráfico VPN IPSec está habilitado (ver "Firewall de Windows" en el Guía del Usuario).
Nota: En Windows Seven (Win 7), su perfil 'Private' y 'Domain' en la reglas actuales del Windows Firewall para el Cliente VPN TheGreenBow pueden no estar ciertas. Por favor, consulte la reglas del Windows Firewall e asegúrese de que su perfil 'Private' y 'Domain' estan seleccionados (véase el paso 6).
Cliente VPN IPSec TheGreenBow 4.1 (y anteriores): Para permitir las comunicaciones IPSec (o comprobar que están autorizadas o restringidas), por favor, siga estos pasos:
- Paso 1: Ir al Inicio de Windows y lanzar "Windows Firewall with Advanced Security" o en alternativa lanzar "cmd" y en la ventana de lineas de comando escribir "wf".
|
|
Abrir "Windows Firewall with Advanced Security".
|
- Paso 2: Seleccione en el menú de la izquierda "Inbound Rules", entonces en la columna derecha "New Rule...".
|
|
Seleccione en el menú de la izquierda "Inbound Rules", entonces en la columna derecha "New Rule...".
|
- Paso 3: Seleccione "Port" y, a continuación, haga clic en "Next".
|
|
Seleccione "Port" y, a continuación, haga clic en "Next".
|
- Paso 4: Seleccione "UDP" y "Specific local ports", a continuación, escriba los dos valores 500 y 4500 separados por una coma ("500,4500").
Haga clic en "Next".
|
|
Seleccione "UDP" y "Specific local ports", a continuación, escriba los dos valores 500 y 4500 separados por una coma ("500,4500").
Haga clic en "Next".
|
- Paso 5: Compruebe que la opción "Allow the connection" está selecionada. Haga clic en "Next".
|
|
Compruebe que la opción "Allow the connection" está selecionada. Haga clic en "Next".
|
- Paso 6: Asegúrese de que esta regla se aplica a todos los perfiles. Haga clic en "Next".
|
|
Asegúrese de que esta regla se aplica a todos los perfiles. Haga clic en "Next".
|
- Paso 7: Asigne un nombre a esta nueva regla. Haga clic en "Finish".
|
|
Asigne un nombre a esta nueva regla. Haga clic en "Finish".
|
- Paso 8: La nueva regla ha sido creada.
|
|
|
- Paso 9: Seleccione en la columna de la izquierda "Outbound Rules" y en la columna de la derecha "New Rule...", y configure exactamente la misma regla (UDP ports 500 y 4500, VPN Outbound).
|
|
Seleccione en la columna de la izquierda "Outbound Rules" y en la columna de la derecha "New Rule...", y configure exactamente la misma regla (UDP ports 500 y 4500, VPN Outbound).
|
|
Hay varias maneras de ver las conexiones abiertas en el VPN:
)
)
