Una red privada virtual (VPN) es el modo de utilizar una infraestructura de telecomunicación pública, como Internet, para ofrecer a oficinas o usuarios individuales remotos la posibilidad de conectarse a la red de su empresa de manera securizada. En el pasado, las compañías alquilaban costosos sistemas de líneas para construir su propia red privada, que sólo podían utilizar entre ellos. Una VPN proporciona el mismo servicio a un coste bastante inferior. Una VPN funciona utilizando Internet al mismo tiempo que mantiene la seguridad de los datos transportados a través de mecanismos (procedimientos y protocolos) que permiten el "tunneling" (L2TP o IPSec). Los datos son cifrados por el emisor y descifrados por el destinatario, creando así un túnel cerrado en el que no puede entrar o transitar ningún otro dato.
¿Por qué IPSec está en la categoría de "Seguridad fuerte"?
Definición: IPSec (abreviatura de Internet Protocol Security) proporciona a la capa IP un conjunto de servicios de seguridad permitiendo que un sistema elija los protocolos de seguridad requeridos, determine el algoritmo que se utilizará para el servicio en cuestión e instaure todas las claves de cifrado que se necesiten para asegurar los servicios solicitados. La arquitectura IPSec aparece descrita en la RFC-2401 (www.ietf.org RFC-2401). IPSec ha sido seleccionada para incluirse en IPv6. IPSec fue inicialmente diseñada como un protocolo de seguridad fuerte, particularmente para sustituir otros protocolos más antiguos como PPTP. Hoy en día IPSec es la manera más segura de acceder a la red de una empresa desde Internet, entre otros, por:
Mecanismos de fuerte cifrado como Encapsulated Security Payload (ESP) utilizando DES, 3DES, AES con claves de longitud importante (128, 192, 256)
Autentificación fuerte de las identidades gracias al empleo de X-Auth y de certificados con claves de longitud importante (1536, 2048)
Utilización de IKE (Intercambio de Claves de Internet) e ISAKMP para intercambiar automáticamente claves y realizar autentificaciones mutuas.
Protección contra ataques del tipo "denegación de servicio". Los protocolos IPSec utilizan una ventana deslizante. Los paquetes están numerados y sólo son aceptados si entran en la ventana.
Utilización de Memoria USB o Token USB con el Cliente IPSec para proteger las informaciones de identidad/autentificación y las configuraciones VPN (específicamente TheGreenBow).
¿Qué es la NAT Traversal?
Definición: El mecanismo de traducción de dirección de red (NAT) fue concebido para reducir la frustración por las escasas direcciones IP públicas. El sistema NAT toma la dirección IP privada originada por un paquete, la traduce en direcciones IP públicas y envía el paquete por Internet a su destino. Utiliza una tabla interna para seguir las direcciones traducidas pero desgraciadamente manipula el encabezamiento IP original del paquete, impactando en la capacidad de IPSec para funcionar correctamente. El Grupo IETF (Grupo de Trabajo en Ingeniería de Internet) desarrolló una solución llamada NAT Traversal (NAT-T RFC-3193) que se ha implementado en la mayoría de routers y aplicaciones.
El Cliente VPN IPSec TheGreenBow soporta NAT-T drafts 1, 2 y 3, incluyendo la encapsulación udp.
¿Modo Túnel versus Modo Transporte?
Las diferencias entre el modo Transporte y el modo Túnel pueden definirse (www.ietf.org RFC-2401) utilizando las siguientes configuraciones de red:
El
Modo Túnel
es el utilizado con más frecuencia, cuando el extremo de una asociación de seguridad es un router VPN o cuando los dos extremos son routers VPN, donde la gateweay de seguridad actúa como proxy para los servidores que se encuentran detrás. El modo Túnel cifra tanto la carga útil como el encabezamiento completo (UDP/TCP e IP).
El modo Transporte
se utiliza cuando el tráfico está destinado a una gateway de seguridad y esta actúa como host (por ejemplo, comandos SNMP). El modo Transporte sólo cifra los datos, dejando intacto el encabezamiento IP.
El Cliente VPN IPSec TheGreenBow soporta ambos modos.
¿Pre-shared key versus Certificados?
La autentificación del ordenador por IPSec puede efectuarse utilizando preshared keys o certificados. Una pre-shared key (clave compartida con anterioridad) identifica una de las partes durante la Fase de Autentificación. Por definición, "Pre-shared" significa que comparte la clave con el otro usuario antes de establecer un túnel VPN securizado. El método de autentificación más fuerte es el sistema PKL y los certificados. No obstante, las pequeñas empresas no pueden afrontar una implementación del sistema PKI y utilizan el método de preshared key ya que es más sencillo e igual de potente.
El Cliente VPN IPSec TheGreenBow soporta ambos modos.
¿IPSec versus SSL?
Por favor, consulte nuestra página
IPSec versus SSL
donde comparamos ambas tecnologías.
¿Puedo utilizar IPSec para securizar mi red WiFi?
Por favor, consulte nuestra página
IPSec versus WiFi
donde hacemos un análisis de WEP; 802.11i y comparamos ambas tecnologías.
¿Qué es DPD?
La Detección de Punto Inactivo (DPD) en una extensión IKE (Internet Key Exchange - Intercambio de Claves de Internet) (RFC3706) para detectar un punto IKE inactivo. Este mecanismo se utiliza en la opción Gateway Redundante.
El Cliente VPN IPSec TheGreenBow
¿Qué versiones de Windows soporta?
Windows 98/98SE.
Windows Millennium.
Windows 2000. Todos los service packs Win2000.
Windows NT4.
Windows XP. Todos los service packs WINXP, incluyendo SP2.
Windows Server 2003.
Windows Vista (32bits)
¿Qué idiomas soporta?
El Cliente VPN IPSec TheGreenBow está disponible en inglés, francés, alemán, portugués y
español.
Puede seleccionar el idioma durante la instalación del Cliente VPN IPSec.
¿Cómo localizar el Cliente VPN IPSec?
¿Desea tener el Cliente VPN IPSec TheGreenBow en su propio idioma? Diríjase a
IPSec VPN Client localization, descargue y traduzca las secuencias del Cliente VPN IPSec en su propio idioma.
El proceso de localización es muy sencillo y la traducción en su idioma estará disponible en la siguiente versión del programa.
¿Cuáles son las Gateways compatibles?
El Cliente VPN IPSec TheGreenBow es compatible con todos los routers IPSec que se atienden a las normas existentes (IKE e IPSec). Compruebe nuestra
lista de Productos VPN Compatibles
para encontrar su gateway VPN.
Si el equipamiento que está buscando no se encuentra en esta lista, por favor contacte con nuestro
servicio técnico
y trabajaremos para certificarlo. Necesitaremos el archivo de configuración, el de registro desde la ventana "Consola" y una captura de pantalla de la página de configuración del router.
¿Cómo conecto el Cliente VPN IPSec a un router VPN Linksys?
Puede descargar los Manuales de Configuración VPN de la mayoría de las gateways que suministramos desde nuestra página web, accediendo a
support section, y allí encontrará algunos sobre Linksys. Los Manuales de Configuración VPN están escritos por nuestros colaboradores o por nuestro equipo de ingenieros.
Ofrecemos soporte Linksys RV082 y Linksys BEFVP41. Puede también consultar
nuestra respuesta
acerca de Linksys WRV54G.
¿Cómo instalar el Cliente VPN IPSec para un router VPN Cisco?
Puede descargar los Manuales de Configuración VPN de la mayoría de las gateways que suministramos desde nuestra página web, accediendo a
support section, y allí encontrará algunos sobre Cisco. Los Manuales de Configuración VPN están escritos por nuestros colaboradores o por nuestro equipo de ingenieros.
Ofrecemos soporte de gateways Cisco y Cisco PIX501.
¿El Cliente VPN IPSec soporta NAT Traversal?
Sí. Ofrecemos soporte de NAT Traversal Draft 1 (avanzado), Draft 2 y 3 (implementación completa). Emulación de dirección IP.
Sí, el Cliente VPN IPSec soporta el "Modo Configuración". El “Modo Configuración” es un Intercambio de Claves por Internet (IKE) que permite que el gateway VPN IPSec proporcione configuración LAN como direcciones de servidor DNS/WINS a usuarios remotos (Cliente VPN IPSec). En caso de que la gateway remota no soporte el "Modo Configuración", las direcciones IP de servidor DNS y WINS de la red LAN remota podrán definirse en el Cliente VPN IPSec.
¿El Cliente VPN IPSec TheGreenBow es compatible con Linksys WRV54G?
El Cliente VPN IPSec TheGreenBow es totalmente compatible con la firmware Linksys WRV54G 2.37 y posteriores. Por favor, descargue el
Manual de Configuración
de Linksys WRV54G VPN.
La firmware Linksys WRV54G 2.25 no acepta las conexiones IPSec de un Cliente VPN IPSec con direcciones IP dinámicas. Sin embargo, existe una solución alternativa. Debe establecer la dirección IP del Cliente VPN IPSec en la configuración del Linksys. Linksys ha creado una nueva versión del firmware desde entonces, que puede
descargar aquí
¿Qué puerto necesita el Cliente VPN IPSec TheGreenBow?
El puerto UDP 500 y el puerto UDP 4500 deben estar abiertos y el protocolo ESP (protocolo número 50) debe estar permitido.
¿Es posible usar el Cliente VPN IPSec TheGreenBow con Microsoft ISA Server 2000 y 2004?
Según el servicio técnico de Microsoft, la mayoría de las veces el tráfico IPSec VPN no pasa a través de ISA Server 2000.
Para más detalles sobre ISA server 2004, lea
Q838379
en la Base Conocimiento de Microsoft.
¿Qué debo rellenar en el campo "dirección de cliente VPN" de la Fase 2?
Este campo es la dirección IP virtual que el Cliente VPN IPSec tendrá en la subred remota. Con la mayoría de las gateways VPN, esta dirección no tiene por qué pertenecer a la subred remota.
Por ejemplo, si utiliza una gateway VPN con una subred 192.168.0.0/255.255.255.0, deberá usar en la "dirección de Cliente VPN" un valor como 192.168.100.1 o 10.10.10.1.
Imagine que usted elige una dirección IP no utilizada en la subred, por ejemplo 192.168.0.200. Cuando el Cliente VPN IPSec intenta enviar un TPC o un paquete UDP a un ordenador remoto 192.168.0.x, este último enviará en su subred una solicitud ARP para obtener la dirección MAC del Cliente VPN y responder directamente a ella. Pero esta solicitud no puede recibir ninguna respuesta porque el cliente no está presente físicamente en la subred, por lo que los paquetes iniciales del cliente no obtendrán respuesta.
Si su gateway VPN puede responder a esta solicitud ARP para el Cliente VPN IPSec, podrá rellenar el campo de "dirección de Cliente VPN" con una dirección IP perteneciente a una subred remota.
También puede descargar nuestro
Manual de Usuario
del Cliente VPN IPSec.
Windows(NT) no puede encontrar/iniciar el servicio TGBSTARTER
Windows NT puede no ser capaz de iniciar el servicio "TgbIKE Starter". Este mensaje de error informa al usuario de que Windows no puede encontrar TgbStrater, a pesar de que encontrarse en el directorio del sistema.
Esto se debe a un error de configuración en el registro. Para solucionarlo, compruebe la siguiente clave de registro:
¿Es posible esconder la interfaz gráfica de usuario (modo "silencioso")?
Es posible ejecutar la instalación del Cliente VPN IPSec en modo "silencioso". Necesitará descargar toda la descripción del proceso en el documento:
Guía de Implementación VPN
¿El Cliente VPN IPSec TheGreenBow es compatible con Linksys RV082 o BEDVP41?
Sí. Es posible definir una Gateway Redundante en el Cliente VPN IPSec. Una Gateway Redundante ofrece a los usuarios remotos una conexión segura y fiable a la red de la empresa. Las características de una Gateway Redundante permiten que el Cliente VPN TheGreenBow pueda abrir un túnel IPSec con una puerta de enlace alternativa si la puerta primaria se ha caído o no responde. La función DPD (Detección de Punto Inactivo) detecta los posibles fallos de la gateway remota.
¿Puede modificarse un Puerto IKE?
Sí. Se puede establecer un Puerto IKE específico.
Para hacerlo, ir para Configuración VPN -> Parámetros y entrar el puerto que desea para el IKE Port.
¿Qué son TgbStarter.exe y TgbIke.exe?
TgbStarter.exe y TgbIke.exe son componentes del Cliente VPN IPSec TheGreenBow.
TgbStarter.exe es un componente daemon del software, es decir, se ejecuta como un servicio.
TgbIke.exe es el tiempo de ejecución IPSec/IKE del programa.
La Activación del Software no se realizó con éxito.
Cuando intento activar el software, no se realiza con éxito (obtengo un mensaje de error)
También puede activar su programa en cualquier momento siguiendo el procedimiento descrito en nuestro
Manual de activación del Software.
¿En qué consiste el test de Configuración VPN?
Una test de Configuración VPN es una configuración VPN diseñada por el equipo de servicio técnico TheGreenBow para conectar online con nuestras gateways y servidores VPN IPSec. Permanecen siempre conectados y puede utilizarlos para verificar su entorno de red en cualquier momento. El test de Configuración VPN está incrustado en el Cliente VPN IPSec. Compruebe la ayuda online o descargue el archivo de Configuración VPN por defecto que aparece a continuación.
¿Puedo obtener números de licencia temporales para utilizarlos durante mis tests?
Sí, la licencia puede tener validez durante varias semanas. Para más detalles, contacte con nuestro departamento de ventas.
¿Cómo inicio automáticamente mi archivo ejecutable CRM al abrir un túnel IPSec en el intranet de mi empresa?
Es posible. Vaya al Panel de Configuración>Fase2 y haga clic en scripts. En la ventana Script, puede seleccionar la aplicación que desea iniciar antes o después de abrir o cerrar un túnel.
¿El Cliente VPN IPSec soporta las claves de autentificación bidireccionales y los Tokens?
Sí. TheGreenBow soporta numerosas autentificaciones de doble factor y bidireccionales para almacenar usuarios y credenciales personales, como claves privadas, contraseñas y certificados digitales. Por favor, vea también la
Lista de Tokens certificados.
Localización y resolución de problemas
"Tengo el mensaje XXXXX en la consola". ¿Qué significa?
Tenemos disponible para descargar una
guía completa de mensajes de la consola del Cliente VPN IPSec TheGreenBow
con explicaciones y pistas para solucionar problemas. Si este documento no le ayuda, envíenos los intercambios con las líneas RECV y SEND. Mantenga los niveles de registro en "0" y haga clic en "Guardar archivo". Encontrará el archivo de registro en Archivos de Programa\Sistech \TheGreenBow\ LogFiles.
No hay respuesta del servidor VPN
Si posee los siguientes registros, significa que el servidor VPN remoto no responde a las solicitudes IKE del cliente.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Observe los registros del servidor VPN remoto y verifique si las solicitudes del cliente se han recibido. Si no encuentra ningún registro, las solicitudes IKE pueden haberse perdido en alguna parte. Compruebe todos los firewalls (incluyendo el Firewall Personal del ordenador) que puedan encontrarse entre el cliente VPN IPSec y el servidor VPN.
El túnel VPN está abierto pero el ping no funciona
Si posee los registros que aparecen a continuación, el túnel VPN IPSec está establecido. Por tanto, debería ser capaz de hacer un ping en cualquier dirección de la red LAN. En ese caso, la configuración del Cliente VPN IPSec TheGreenBow es correcta.
Si sigue sin poder hacer un ping en la red LAN remota, aquí tiene algunas ayudas:
Verifique los parámetros de la Fase 2: la dirección del cliente VPN y la dirección LAN Remota. Generalmente, la dirección IP del cliente no debería pertenecer a la subred LAN remota (lea también ¿Qué debo rellenar en el campo "dirección de cliente VPN" en la Fase 2?)
Una vez que el túnel está abierto, los paquetes se envían con el protocolo ESP. Este protocolo puede estar bloqueado por un firewall. Verifique que cada elemento entre el cliente y el servidos VPN aceptan ESP.
Verifique los registros del servidor VPN. Los paquetes pueden ser eliminados por una de las normas del firewall.
Verifique su ISP soporta ESP.
Si continúa sin poder hacer un ping, siga el tráfico ICMP en la interfaz LAN del servidor VPN y en la interfaz LAN del ordenador (con Ethereal por ejemplo). Obtendrá una indicación de que el cifrado funciona.
Verifique la "gateway por defecto" en la configuración LAN del servidor VPN. Un destinatario en su red LAN remota puede recibir pings pero no responder porque no existe una gateway "por defecto" configurada.
No puedo acceder a los ordenadores por su nombre en la red LAN. Debe especificar sus respectivas direcciones IP dentro de la red LAN.
Si tiene un error "INVALID COOKIE", significa que uno de los extremos está utilizando una SA que ya no está en uso. Resetee la conexión VPN en cada lado.
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
115933 Default dropped message from 195.100.205.114 port 500 due to notification type INVALID_COOKIE
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error
Si se encuentra con un error "no keystare", verifique si la preshared key es correcta o si la ID local es correcta (ver botón "Avanzado"). Debería tener más información en los registros de los puntos remotos.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) RECV phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50
Si tiene un error "received remote ID other than expected...", la "ID Remota" (ver botón "Avanzado") no corresponde con lo que el punto VPN remoto espera.
120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default (SA Cnx-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default ike_phase_1_recv_ID: received remote ID other than expected
support@thegreenbow.fr
Si tiene un error "INVALID ID INFORMATION", verifique si las ID de la "Fase 2" (dirección local y red local) son correctas y corresponden con lo que espera el punto VPN remoto. Verifique también el tipo de ID. Si la máscara de red no está seleccionada, estará utilizando un tipo IPV4_ADDR (y no un tipo IPC4_SUBNET).
TheGreenBow recomienda a sus clientes utilizar un chipset Broadcom integrado con algunos portátiles Dell o HP para actualizar el driver bcmwl5.sys en las versiones más recientes. Este driver provoca una pantalla azul intermitente, incluso si su cliente VPN IPSec no está instalado.
Intel Adapter Switching Utility
Intel Adapter Switching Utility genera una pantalla azul una vez que el Cliente VPN IPSec TheGreenBow está instalado.
Si tiene un Intel Pro/Wireless 2100 o 2200, siga los siguientes pasos en el orden indicado.
- Diríjase a Inicio/Panel de Control/Añadir o Quitar Programas. Borre el elemento Intel PROset
- Diríjase a Inicio/Panel de Control/Sistema.
Seleccione la pestaña de hardware y apriete el botón de administrador de dispositivos.
En el administrador de dispositivos, haga clic en el símbolo "+" para expandir los Adaptadores de Red.
Seleccione el adaptador Intel PRO/Wireless LAN 2200 (o 2100) y haga clic con el botón derecho.
Seleccione Desinstalar desde el menú emergente.
- Reinicie el ordenador.
Cuando el portátil vuelva a arrancar, detectará la tarjeta wireless e instalará sus drivers. No instalará los drivers del Intel PROset. La tarjeta wireless aún puede funcionar, pero la funcionalidad añadida del adaptador switching ya no estará disponible. Así, Windows administrará los perfiles del wireless en lugar de las utilidades del Intel PROset.
"Default UDP create:[...] must exist as a listener too"
Problema: aparece el siguiente mensaje en la consola:
205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
205618 Default exchange_establish: transport "udp" for peer "CnxVpn1-P1" could not be created
Solución: Este error ocurre cuando el cliente no puede crear un socket para comunicaciones externas. Esto se puede deber a que la dirección IP sea inválida o ya no esté en uso. Verifique si la dirección aún existe. Normalmente, este error ocurre cuando se seleccionó una específica dirección IP en el menú dropdown de la Interfaz y se guardó en lugar de "*".
Sincronizar un PDA con Microsoft ActiveSync 4.1 causó un bloqueo
vuelva a enchufar el cable y sincronice su dispositivo con ActiveSync
No puedo desinstalar el Cliente VPN IPSec
Problema: No puedo desinstalar el Cliente VPN IPSec, siempre me pide que desinstale primero la versión anterior.
Solución: Puede utilizar
nuestra herramienta
para borrar los componentes restantes del Cliente VPN IPSec.
¿Cómo dar parte de un bug cuando el Daemon IKE se bloquea?
Puede seguir el procedimiento que se explica en la siguiente página:
Reporting Bugs.
Problemas con los drivers TheGreenBow en Windows Vista
Aconsejamos vivamente los usuarios de Windows Vista a actualizar los drivers do los adaptadores de rede con Windows Update. Esa accíon puede impedir crashes del driver en algunas configuraciones de rede. Tambien, el pack de correccion Windows Vista KB938194 debe ser instalado. Más informaciones e descargas estan disponibles en
http://support.microsoft.com/?kbid=938194.
)
)
