|
|
 |
|
Perguntas
Generalidades do VPN
O Cliente VPN IPSec TheGreenBow
Resolução de Problemas
Generalidades VPN
 |
O que é o VPN ? |
 |
Uma rede virtual privada (VPN) é uma maneira de usar uma infraestrutura de telecomunicação pública, tal como a internet, para sustentar escritórios distantes ou utilizadores individuais com acesso seguro para as redes das suas organizações. No passado, as empresas tinham de alugar sistemas caros de linhas dedicadas para construir o VPN que só eles podiam usar. A VPN oferece as mesmas capacidades a custos mais baixos.
O VPN trabalha usando a internet enquanto guarda a privacidade através dos processos de segurança e protocolos de tunneling tais como o Layer Two Tunneling Protocol (L2TP) ou o IPSec. De facto, o dado privado, sendo encriptado no fim de enviar e decriptado no fim do receber, é enviado através de um túnel no qual nenhum outro dado pode entrar.
|
|
Porquê o IPSec é Segurança forte? |
|
|
Definição: IPSec (Internet Protocol Security) oferece serviços de segurança na camada IP permitindo ao sistema de seleccionar os protocolos de segurança requeridos, de determinar os algoritmos precisos para usar os serviços, e colocar qualquer chave de cryptografia requerida para sustentar os serviços procurados. A arquitectura do IPSec é descrita na RFC-2401 ( www.ietf.org RFC- 2401). O IPSec foi seleccionado para ser incluido no IPv6. O IPSec está na categoria da “ segurança forte” porque foi concebido para ser forte e substituir outros antigos métodos como PPTP.
Hoje em dia o IPSec é a maneira mais segura para aceder à rede da empresa através da internet, a seguir estão alguns elementos que o demonstram:
- Mecanismos de encriptação forte como Encapsulated Security Payload (ESP) usando DES, 3DES, AES com uma chave comprida (i.e. 128, 192, 256)
- Autenticação forte das identidades com o uso do X- Auth e Certificado com uma chave comprida (i.e 1536, 2048)
- Uso do IKE (Internet Key Exchance) e ISAKMP para trocar automaticamente as chaves e fazer uma autenticação mutual.
- Protecção contra os ataques “ denial of service”. O protocolo IPSec utiliza uma janela deslizante. Os pacotes são numerados e só são aceites se corresponderem com a janela.
- O uso de USB Stick, USB Token em conjunto com o software do Cliente IPSec serve para proteger a identificação/autenticação da informação e as configurações do VPN (i.e. funcionalidade especifica do TheGreenBow).
|
|
O que é um NAT-Traversal e o produto suporta isso? |
|
|
Definição: Network Address Translation (NAT) é designado para diminuir a frustração do responsável informático face à raridade dos endereços IP públicos. O sistema NAT toma o endereço IP privado do cabeçalho do pacote, transforma esse endereço em IP address, antes de enviar esse pacote pela internet até ao seu destino. O sistema NAT usa uma tabela interna para guardar os endereços traduzidos, mas infelizmente manipula o cabeçalho IP original do pacote, afectando a capacidade do IPSec funcionar. O grupo IETF (Internet Engineering Taks Force) criou uma solução chamada NAT Traversal (NAT- TRFC- 3193). O NAT Traversal é hoje em dia largamente implementado nos routers e aplicações.
O Cliente VPN IPSec TheGreenBow suporta o NAT- T drafts 1, 2 e 3 (incluindo encapsulação udp).
|
|
Modo Túnel vs Modo de transporte? |
|
|
As diferenças entre o modo transporte e o modo túnel podem ser definidas (www.ietf.org RFC- 2401) através das configurações de redes seguintes:
-
Modo Túnel é na maioria o mais usado cada vez que uma das extremidades de uma associação segura (Security Association, SA) é um router VPN ou onde as duas extremidades de uma associação segura são routers VPN, o router agindo enquanto proxy para os servidores atrás dele.O modo túnel encripta o corpo do datagrama e o cabeçalho inteiro (UDP/TCP e IP).
-
Modo transporte é usado onde o tráfico é destinado para uma gateway de segurança e esta gateway está agindo enquanto computador hospedeiro i.e. comandos SNMP. O modo de transporte só encripta a parte dos dados (corpo do datagrama) e mantém o cabeçalho IP original.
O Cliente VPN IPSec TheGreenBow suporta os dois modos.
|
|
Chave pré-partilhada vs Certificados? |
|
|
A autenticação do computador pela IPSec é executado usando uma chave pré-partilhada ou certificados de computadores. A chave pré-partilhada identifica uma parte durante a fase de autenticação. Por definição a “ pré-partilhada” significa que tem de se compartilha-la com outra parte antes de estabelecer um túnel VPN seguro.
O método mais forte de autenticação é o uso de PKI e certificados. No entanto, pequenas organizações não podem suportar a implementação de um sistema de PKI e uma boa administração do método da chave pré-partilhada pode ser mais fácil e também poderoso.
O Cliente VPN IPSec TheGreenBow suporta os dois modos.
|
|
IPSec vs SSL? |
|
|
Veja a nossa página
IPSec vs SSL onde comparamos as duas tecnologias.
|
|
Podemos usar Ipsec para tornar mais segura a nossa rede WiFi? |
|
|
Veja a nossa página
IPSec versus WiFi onde reavaliamos WEP, 802.11i e comparamos tecnologias.
|
|
O que é DPD? |
|
|
DPD ou "Dead Peer Detection" é uma extensão IKE (Internet Key Exchange) i.e. RFC3706 para detectar uma extremidade IKE não activa. Esse mecanismo é usado pela funcionalidade da Redundant Gateway (gateway de secorro).
Cliente VPN IPSec TheGreenBow
 |
Para instalar o Cliente VPN IPSec TheGreenBow no Windows 7:
- Clique direito no ficheiro 'TheGreenBow_VPN_Client.exe' antes de instalar e selecionar 'Propriedades'
- Na janela de Propriedades, ir para 'Compatibilidade'
- Selecionar 'Executar este programa em mode de compatibilidade para:' e escolhe 'Windows Vista'
- Clique em 'Ok'
|
|
Quais as versões do Windows suportadas? |
|
- Windows 2000 (Workstation)
- Windows XP 32-bit. WinXP all service packs, including SP2
- Windows Server 2003 32-bit
- Windows Server 2008 32-bit
- Windows Server 2008 64-bit
- Windows Vista 32/64-bit
- Windows 7 32-bit
- Windows 7 64-bit
|
 |
 Versões compativeis com as antigas versões do Windows:
|
|
Quais as línguas que são suportadas? |
|
|
O Cliente VPN IPSec TheGreenBow está disponível em
inglês,
francês,
alemão, português e
espanhol.
As línguas podem ser seleccionadas durante a instalação do software Cliente VPN IPSec TheGreenBow.
|
|
Como traduzir o IPSec Cliente VPN? |
|
|
Deseja ter o Cliente VPN IPSec TheGreenBow na sua língua? Vá a
tradução do VPN Cliente, faça download e traduza na sua própria língua o ficheiro das frases do VPN Cliente.
O processo de tradução é muito simples e a tradução na sua língua estará disponível na nossa versão seguinte.
|
|
Quais são as gateways compatíveis? |
|
|
O Cliente VPN IPSec TheGreenBow é compatível com todos os routers IPSec conforme aos standarts existentes (IKE & IPSec). Veja a nossa
lista dos routers certificados com o Cliente VPN, que está aumentando todos os dias, para encontrar a vossa gateway VPN.
Se procura um equipamento que não está na lista, por favor contacte o nosso
suporte técnico e nós trabalharemos com você para o certificar. Iremos precisar do ficheiro de configuração, do logfile da janela da "console" TheGreenBow e de uma cópia (screenshot) da página de configuração VPN do router.
|
|
Como conectar o IPSec do Cliente VPN ao Router do Linksys VPN? |
|
|
Fizemos, para download, guias de configuração VPN para a maioria das gateways que suportamos no nosso site na
secção suporte, e estão alguns sobre os routers Linksys. Os guias de configuração do VPN podem ter sido escrito pelos nossos parceiros ou pela nossa equipa de engenheiros.
TheGreenBow suporta o router Linksys RV082 e o Linksys BEFVP41. Poderá ver a
nossa resposta acerca do Linksys WRV54G.
|
|
Como configurar o Cliente VPN IPSec TheGreenBow usando um Cisco? |
|
|
Fizemos, para download, Guias de Configuração VPN para a maioria das gateways que suportamos no nosso site
, e estão alguns sobre os routers Cisco. Os guias de configuração do VPN podem ter sido escrito pelos nossos parceiros ou pela nossa equipa de engenheiros.
TheGreenBow suporta Cisco gateways como o Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871, Cisco 1721.
|
|
O produto suporta o NAT Traversal? |
|
|
Sim. O Cliente VPN IPSec TheGreenBow supporta NAT Traversal Draft 1 (optimizado), Draft 2 e 3 (implementação total). IP address emulation.
- Incluindo o suporte NAT_OA
- Incluindo NAT keepalive
- Incluindo NAT-T modo agressivo
|
|
O Cliente VPN IPSec TheGreenBow suporta a interpretação DNS/ WINS? |
|
|
Sim.O Cliente VPN IPSec suporta o “Mode-Config”. O “Mode Config” é uma extensão IKE que possibilita a recuperação de alguns paramêtros da rede como os endereços IP dos servidores WINS e DNS desde o router VPN IPSec para serem usados na configuração do Cliente VPN do utilizador distante. No caso em que o “mode config” não é suportado numa gateway distante, os endereços IP dos servidores de DNS e WINS da LAN distante podem ser definidos manualmente no Cliente VPN, para ajudar a resolver os endereços intranet.
|
|
O Cliente VPN IPSec TheGreenBow é compatível com Linksys WRV54G? |
|
|
O Cliente VPN IPSec TheGreenBow é totalmente certificado com o Linksys WRV54G firmware 2.37 e seguintes. Pode fazer o download do
guia de configuração do Linksys WRV54G com o nosso Cliente VPN.
O firmware 2.25.2 do Linksys WRV54G firmware não aceita conexões IPSec de um Cliente VPN IPSec com endereço IP dinâmico. No entanto, há uma solução. Precisa de configurar o endereço IP do Cliente VPN na configuração VPN do Linksys. Linksys criou um firmware mais recente desde aí. Pode testá-lo:
clique aqui
O Cliente VPN IPSec TheGreenBow é completamente certificado com os Linksys RV082 e os Linksys BEFVP41 ( Veja também a
lista dos produtos certificados VPN ou carregue
os guias de configuração VPN )
|
|
Quais são as portas usadas por o Cliente VPN IPSec TheGreenBow? |
|
|
A porta UDP 500 e a porta UDP 4500 devem ser abertas e o protocolo ESP (protocolo número 50) deve ser autorizado.
Veja as outras FAQs:
Como configurar a Conexão VPN e as Portas VPN para utilizadores trabalhando desde um hotel ou hotspots?
Túnel VPN não se abre no Windows Vista, problema com o Firewall Vista?
As Portas IKE podem ser modificadas?
|
|
É possível usar o Cliente VPN IPSec TheGreenBow através do Microsoft ISA Server 2000 e 2004? |
|
|
Segundo o suporte da Microsoft, na maioria dos casos, o tráfico VPN IPSec não passa através do ISA Server 2000.
Para mais detalhes sobre ISA Server 2004, leia
Q838379
na Microsoft Knowledge Base
|
|
O que deve ser entrado no campo da fase 2 “Endereço do VPN Client”? |
|
|
Este campo é o endereço virtual IP que o cliente VPN IPSec terá dentro da rede distante. Com a maioria das VPN gateways, este endereço não deve pertencer à subnet da rede distante. Por exemplo, se utilizar uma VPN gateway com a subnet 192.168.0.0/255.255.255.0, deverá usar um valor como 192.168.100.1 ou 10.10.10.1 para o campo “Endereço do VPN Client”.
Imagine o caso que escolhe um endereço IP não usado na subnet como 192.168.0.200. Quando o Cliente VPN envia um pacote TCP ou UDP para um computador alvo distante 192.168.0.x, este alvo envia dentro da sua subnet um pedido ARP para obter o endereço MAC do Cliente VPN e responde directamente a isso. Mas, esse pedido não pode receber qualquer resposta porque o cliente não esta fisícamente presente dentro da subnet. Então, o pacote inicial do cliente não terá resposta.
Se a vossa gateway consegue responder a esse pedido ARP para o Cliente VPN, pode preencher o campo “Endereço do VPN client” com um endereço IP que pertence à subnet distante.
Pode carregar o
Guia do Utilizador do Cliente VPN IPSec.
|
|
É possível esconder a interface gráfica do utilizador i.e. modo "silencioso"? |
|
|
É possível instalar o Cliente VPN IPSec em modo silêncio com o setup standard. Precisa de carregar o processo completo descrito neste documento
VPN Deployment Guide.
|
|
O Cliente VPN TheGreenBow é compatível com os Linksys WRVS4400N ou WRV200? |
|
|
O Cliente VPN IPSec TheGreenBow é completamente certificado com os Cisco Linksys WRVS4400N e os Cisco Linksys WRV200 (Veja também a
lista dos produtos certificados VPN ou carregue
os guias de configuração VPN)
|
|
Pode uma Redundant Gateway ser definida? |
|
|
Sim. É possível definir uma Redundant Gateway no Cliente VPN. Uma Redundant Gateway pode oferecer aos utilizadores distantes uma conexão mais disponível e mais simples à rede corporativa. A funcionalidade da Redundant Gateway permite ao Cliente VPN TheGreenBow abrir um túnel IPSec com uma gateway alternativa no caso da primeira gateway não estiver disponível ou não responder. A falha da gateway distante é detectada pela função “Dead peer Detection”.
|
|
A porta IKE pode ser modificada? |
|
|
Sim. É possível modificar a porta IKE usada. Para fazer isso, vá para 'Configuração de VPN' > 'Parâmetros' e entre a porta que pretende para IKE Port.
Veja as outras FAQs:
Como configurar a Conexão VPN e as Portas VPN para utilizadores trabalhando desde um hotel ou hotspots?
Túnel VPN não se abre no Windows Vista, problema com o Firewall Vista?
|
|
O que são TgbStarter.exe e TgbIKE.exe? |
|
|
TgbStarter.exe e TgbIKE.exe são componentes do Cliente VPN IPSec TheGreenBow.
- TgbStarter.exe é o componente daemon do software (trabalhando como service)
- TgbIke.exe é o IPSec/IKE run-time do software.
 |
Não consigo activar o Software. |
 |
Quando tento activar o software Cliente VPN TheGreenBow, não funciona (Tenho uma mensagem de erro).
Pode encontrar um guia completo sobre a activação na nossa Ajuda Online sobre a Activação do software.
Tambem pode activar o software quando desejar, seguindo o procedimento descrito na nossa página de Activação do software Manual.
|
Qual é a configuração VPN para testes? |
|
A Configuração VPN padrão é uma configuração VPN feita pela equipa de Techsupport TheGreenBow afim de conectar-se aos nossos Routers e Servidores VPN.
Estes estão sempre online e pode usa-los para testar que nenhum firewall do seu lado bloqueia as conexões VPN. A Configuração VPN de teste está incluida no software Cliente VPN IPSec.
De qualquer forma pode sempre fazer o download da Configuração VPN aqui:
|
Posso ter uma licença temporaria para usar nos meus testes? |
|
Sim. Pode ter licenças validas por algumas semanas do software Cliente VPN. Para mais detalhes, entre en contacto com o nosso departamento comercial.
|
|
Posso executar automaticamente a mimha aplicação de CRM quando o túnel IPSec para a intranet da empresa abra-se? |
|
Sim é possivel. Vai para o 'Painel de Configuração' -> 'Fase2' e clique em scripts. Na janela de Scripts,
pode selecionar a aplicação que deseja executar antes ou depois que um tunel se abre ou se feche.
|
|
O Cliente VPN IPSec TheGreenBow é compatível com Tokens e autenticação por dois factores? |
|
Sim. TheGreenBow suporte a autenticação por dois factores com Tokens para guardar password, private key ou certificados digitais. Veja a lista dos tokens compatíveis.
|
Como conectar-se a um Windows Domain remoto, usando a funcionalidade “Ativar antes do Logon Windows”? |
|
Para isso, proceder pelos seguintes passos:
- Vá a a 'F2 avançadas', seleccionar 'Ativar antes do Logon Windows'. Então clique 'Ok' e 'Salvar & Aplicar'.
- Na próxima vez, na janela da logon, uma janela minúscula aparecera e permite abrir abrir o túnel VPN. Várias Conexões VPN podem ser estabelecidas antes do Windows Logon.
Agora, toma atenção que, devido à especificidade desta funcionalidade, só pode trabalhar com um sofware Cliente VPN IPSec TheGreenBow que foi já activado.
Enquanto o programa Cliente VPN IPSec se mantenha em modo experimental começará só após o utente clicar em 'Avaliar',
e assim, após as janelas de Windows Logon naturalmente. Como consequência, este é o único serviço que não pode ser testado na versão de avaliação.
|
|
Como configurar as conexões VPN e portas VPN para utentes em hotéis ou Hotspots? |
|
Para mais informações sobre as negociações da NAT Traversal no IKE veja IETF RFC 3948 (UDP Encapsulation of IPSec Packets),
IETF RFC 3947 (Negotiation of NAT – Traversal in the IKE) ou o draft
"draft-ietf-ipsec-nat-t-ike-08". Também pode consultar a lista de Portas UDP e TCP.
Aqui são as fase de negociações das conexões VPN e as portas VPN por defeito usados por o software Cliente VPN IPSec TheGreenBow quando está atrás de algum router:
| Fase |
Porta por defeito |
Onde modificar a porta? |
| Negociação Fase1 |
UDP Port 500 |
Ir para 'Painel de Configuração'
> 'Parâmetros'
> 'IKE Port' |
|
| Negociação Fase2 |
UDP Port 4500 |
Ir para 'Painel de Configuração'
> 'Parâmetros'
> 'NAT-T Port' |
| Tráfico após as negociações IPSec/IKE |
Ficam na ultima porta definida |
|
Em alguns hotéis, hotspots ou aeroportos, as portas UDP 500 e a 4500 podem ser bloqueadas ou proibidas. Assim será necessário a configuração das portas IKE e NAT-T adequadamente.
Aqui temos um exemplo alternativo de portas VPN no painel de configuração (i.e. lembre-se que este procedimento só afecta o protocolo da UDP):
| IKE Port |
NAT-T Port |
| 80 |
443 |
Se você decidir não usar as portas VPN por defeito (i.e. UDP 500 & UDP 4500), o router do destino (i.e. na entrada da sua rede corporativa)
deve ser configurado para redirecionar o tráfego recebido associado as novas portas VPN seleccionando para as portas padrão UDP 500 & UDP 4500
para que seja devidamente encaminhado para o serviço IPSec. Aqui a baixo temos um diagrama de exemplo, sabendo que alguns modelos de router não
têm a capacidade de redireccionar para as portas no interior e assim talvez seja necessário o uso de dois:
Aqui tem um ficheiro de configuração da firewall da Linux, quando o seu router VPN ainda não tem a capacidade redireccionar a informação para ele e você deseja adicionar um firewall front-end:
|
|
É possível utilizar certificados a partir do Windows Certificate Store onde o nosso software PKI guarda os certificados do usuário? |
|
Sim. Quando configura um novo túnel VPN,
- Vá a 'Fase1' > 'Importar Certificados...'
- Todos os certificados do Windows Certificate Store (Pasta Pessoal) devem aparecer aqui.
- Escolha o certificado que necessita, clique no 'Ok' e depois clique 'Salvar e Aplicar'.
Pode desejar fazer o download do nosso Manual de Utilizador do Software Cliente VPN IPSec.
|
|
O SHA-2 é suportado? Quais são os algoritmos de Hash suportados? |
|
Sim. SHA-1 e SHA-2 254-bits são suportados. MD5 também é suportada. Veja lista completa na datasheet.
|
|
Como ver as minhas ligações VPN? |
|
Existem várias maneiras de ver as suas ligações VPN abertas:
- Clique direito no ícone de systray do Software Cliente VPN. A Luz verde significa que os túneis VPN estão abertos.
- Clique sobre o ícone systray Software Cliente VPN para abrir o painel de configurações. Prima Ctrl + Enter para ir para o painel de conexões e outra vez par voltar ao painel de configuração.
- Uma vez que surja o painel de configuração, clique no botão 'Ligações'.
|
|
Como forçar todo o tráfego da Internet no túnel VPN? |
|
É possível forçar todo o tráfego da Internet no túnel VPN. Fazendo isso, todo o tráfego Internet é encaminhado a partir do router distante em vez da rede do utilizador remoto. O enredeço IP do utilizador é assim escondido aos sites visitados pois é substituido pelo endereço IP da gateway distante. As redes corporativas podem adicionar mais scan de tráfego para aumentar a segurança.
A configuração VPN é simples e requer 3 etapas:
- Ir para 'Painel de Configuração' > 'Parâmetros' > selecionar 'Bloquear ligação não encriptada' para prohibir o tráfego não encriptado que pode ser encaminhado directamente para Internet.
- Ir para 'Painel de Configuração' > 'Fase2' > selecionar 'Endereço IP de Rede' como 'Tipo de Endereço' e definir 'Endereço da Lan Remota' e 'Mascara de Rede' to '0.0.0.0', assim todo o tráfego (para qualquer endereço IP) sera encaminhada para o túnel VPN. Repare que '0.0.0.0' significa que todo o tráfego, incluindo o tráfego de sua rede local será encaminhado através do túnel VPN.
- No gateway remoto, defina o túnel VPN, da mesma forma como ambas as configurações devem ser simétricas com sub-rede local de 0.0.0.0/0
Nota: Alguns VPN Gateway / Routers poderão não suportar este recurso (i.e. hub&spoke: '0.0.0.0/0'). Se for suportado, você precisa criar uma regra para autorizar WAN para tráfego de WAN.
Resuloção de Problemas
|
|
“Eu tenho uma mensagem XXXXX na console”. O que significa? |
|
|
Permitimos para o download um
guia completo das mensagens da console do Cliente VPN IPSec TheGreenBow com explicações e dicas para resolver. Se esse documento não ajudar, envie-nos todas as mensagens que contem RECV e SEND. Põem os níveis de log no “0” e clique em “Salvar”. O ficheiro de log pode ser encontrado em Program Files\Sistech\ TheGreenBow\LogFiles.
|
|
O servidor VPN não responde? |
|
|
Se tiver os logs seguintes isso significa que o servidor VPN distante não responde aos pedidos IKE do Cliente VPN.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
|
Veja os logs do servidor VPN distante e verifique se os pedidos do cliente foram recebidos, se não houver nenhum sinal deles, os pedidos IKE devem ter sido perdidos algures. Verifique qualquer firewall (incluindo a firewall pessoal do computador) que pode ser encontrado entre o VPN Client e o servidor VPN.
|
|
O túnel VPN está aberto mas não consigo fazer um ping? |
|
|
Quando os logs são parecidos com os dados em baixo, o túnel IPSec VPN está estabilizado. Agora deve ser capaz de fazer um ping com qualquer dispositivo da rede distante. A configuração do Cliente VPN IPSec TheGreenBow é correcta neste caso :
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
|
Se mesmo assim continua a não conseguir fazer um ping à LAN distante seguem-se algumas ajudas:
- Verifique a configuração Fase 2 : o endereço do VPN Client e o endereço da LAN remota. Usualmente o endereço do Cliente VPN não deveria pertencer à subnet da rede distante(leia também
O que deve ser entrado na fase 2 campo “Endereço do VPN Client”? )
- Uma vez que o túnel está aberto, os pacotes são enviados com o protocolo ESP. Este protocolo pode estar bloqueado por uma firewall. Verifique que cada elemento entre o Cliente VPN e o servidor VPN aceita ESP.
- Verifique os logs no servidor VPN. Os pacotes podem ter sido destruídos por uma das regras da firewall.
- Verifique que o vosso ISP suporta ESP
- Se mesmo assim não conseguir fazer um ping, siga o tráfico ICMP sobre a interface LAN do servidor VPN e sobre interface LAN do computador (usando Ethereal, por exemplo). Obterá uma indicação que a encriptação funciona.
- Verifique o valor “default gateway” na configuração LAN do servidor VPN. Um alvo na sua rede distante pode receber pings mas não pode responder porque não há nenhum “default gateway” configurado.
- Não pode aceder aos computadores no LAN através do seus nomes. Tem de usar os endereços IP dentro da LAN.
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro “PAYLOAD MALFORMED” ([SA] fase 1 errada)? |
|
|
Se tiver um erro “PAYLOAD MALFORMED” como esta sequência seguinte, verifique se os algoritmos IKE são os mesmos de cada lado do túnel VPN.
114920 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
114920 Default (SA Cnx-P1) RECV phase 1 Main Mode [NOTIFY]
114920 Default exchange_run: exchange_validate failed
114920 Default dropped message from 195.100.205.114 port 500 due to notification type PAYLOAD_MALFORMED
114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro "INVALID COOKIE" |
|
|
Se tiver um erro “INVALID COOKIE”, isso significa que uma das extremidades está usando uma SA que já não é usada. Reset a conexão VPN em cada lado.
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
115933 Default dropped message from 195.100.205.114 port 500 due to notification type INVALID_COOKIE
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro "NO KEYSTATE" |
|
|
Se tiver um erro “NO KEYSTATE, verifique se a chave de segredo está correcta ou se o ID local está correcto ( veja a opção “F1 Avançada”). Pode ter mais informações nos logs da extremidade distante.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) RECV phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro "received remote ID other than expected" |
|
|
Se tiver um erro “ received remote ID other than expected”, o valor do "ID Remoto" ( veja a opção “F1 Avançada”) não corresponde ao que a extremidade do túnel VPN estava à espera.
120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default (SA Cnx-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default ike_phase_1_recv_ID: received remote ID other than expected
support_fr@thegreenbow.fr
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro "NO PROPOSAL CHOSEN" |
|
|
Se tiver um erro “ NO PROPOSAL CHOSEN” (como seguinte), verifique que os algoritmos da fase 2 são os mesmos de cada lado do túnel IPSec VPN.
115915 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
115915 Default RECV Informational [HASH][NOTIFY] with NO_PROPOSAL_CHOSEN error
115915 Default RECV Informational [HASH][DEL]
115915 Default Cnx-P1 deleted
|
Se tiver um erro “ NO PROPOSAL CHOSEN” verifique que os algoritmos da fase 1 são os mesmos de cada lado do túnel IPSec VPN.
115905 Default sysdep_app_open: Init Connection for : Cnx-Cnx-P2 Cnx-remote-addr
115905 Default sysdep_app_open: IPV4_SUBNET Network 192.168.1.1
115905 Default sysdep_app_open: IPV4_SUBNET Netmask 255.255.255.0
115911 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115911 Default RECV Informational [NOTIFY] with NO_PROPOSAL_CHOSEN error
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
Erro "INVALID ID INFORMATION" |
|
|
Se tiver um erro “ INVALID ID INFORMATION”, verifique se os ID da fase 2 (endereço do VPN Client e endereço da LAN Remota) estão correctos e correspondem ao que a extremidade do túnel VPN está à espera. Verifique também o tipo de ID. Se a máscara da rede não é seleccionada, é porque você está usando um tipo IPV4 _ADDR (e não um IPV4_ SUBNET).
122626 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error
122626 Default RECV Informational [HASH][DEL]
122626 Default Cnx-P1 deleted
|
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
|
|
DELL ou HP laptops com Broadcom Chipset? |
|
|
TheGreenBow recomenda aos clientes usando um chipset Broadcom integrado com alguns portáteis DELL ou HP portátil que actualizem o driver bcmwl5.sys para uma versão mais recente. Esse driver pode provocar erros sistemas (Blues screen) mesmo sem estar o nosso software instalado.
|
|
Intel Adapter Switching Utility |
|
|
Intel Adapter Switching Utility provoca erros sistemas (blue screen) quando o Cliente VPN TheGreenBow está instalado.
Se tem uma placa Intel Pro/ Wireless 2100 ou 2200, siga estas etapas na ordem dada.
- Vá para Iniciar/Painel de Controlo/Addicionar e Remover Programas.Remova Intel PROset
- Vá para Iniciar/Painel de Controlo/Sistema.
Seleccione a janela hardware e vá para o gestor de dispositivos.
No gestor de dispositivos, clique no sinal "+" para expandir Placas de Rede.
Selecione o adaptador Intel PRO/Wireless LAN 2200 (ou 2100) e faça um clique direito.
Selecione Uninstall da menu pop- up.
- Reinicie o computador.
Depois de reinício, o portátil vai detectar de novo a placa sem fio e vai instalar os drivers para ela. Não vai instalar os drivers Intel PROset. A placa sem fio pode mesmo assim funcionar, mas a funcionalidade adicional da mudança de adaptores não será disponível. O Windows gerirá então os perfis sem fio no lugar do utilitário Intel PROset.
Para mais detalhes, veja
Intel technical advisory
|
|
"Default UDP create:[...] must exist as a listener too" |
|
|
Problema: a mensagem seguinte aparece na console:
205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
205618 Default exchange_establish: transport "udp" for peer "CnxVpn1-P1" could not be created
|
Solução: Este erro acontece quando o cliente não pode criar um socket para comunicações exteriores. Isso pode ser dado ao facto que esse endereço IP é inválido ou já não usado. Verifique se esse endereço ainda existe. Usualmente este erro acontece quando foi seleccionado um endereço de IP específico na lista das Interface (Fase 1) e guardada no lugar de “Automático”.
|
Não consigo desinstalar o Cliente VPN |
|
Problema: Não consigo desinstalar o Cliente VPN, pede sempre para desinstalar primeiro a versão anterior.
Solução: Pode usar a nossa ferramenta para limpar os componentes residuais do Cliente VPN.
|
Como relatar um bug quando há um crash do IKE Daemon? |
|
Pode seguir o procedimento descrito nesta página : Reporting Bugs.
|
Problemas com os drivers TheGreenBow no Windows Vista |
|
Aconselhamos vivamente os utilizadores de Windows Vista a actualizar os drivers do seus adaptadores de rede com o Windows Update. Essa acção pode impedir crashes do driver em algumas configurações de rede. Além disso, o pack de correcção de bug Windows Vista KB938194 deve ser instalado. Mais informações e download estão disponíveis em http://support.microsoft.com/?kbid=938194.
|
Não consigo abrir um túnel VPN com Vista, problemas com Firewall do Vista? |
|
Após a instalação do Cliente VPN TheGreenBow no Windows Vista, pode ser impossível a abertura de um túnel VPN. A abertura do túnel VPN permanece
bloqueada com as seguintes mensagens IPSec (ver na consola/terminal do Cliente VPN IPSec):
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
|
Isso pode acontecer com o Windows Vista, porque o Firewall do Vista pode bloquear as comunicações IPSec.
Cliente VPN IPSec TheGreenBow 4.2 (e superiores): Durante a instalação do cliente vpn, o software cria automaticamente novas regras no firewall do Windows Vista para permitir o tráfico VPN IPSec (ver a secção Windows Firewall no Guía do usuário).
Nota: No Windows Seven (Win 7), o seu perfil 'Private' e 'Domain' nas regras existentes do Windows Firewall para o Cliente VPN TheGreenBow podem não estar bem configuradas. Verifique as regras Windows Firewall e confirme que o perfil 'Private' e 'Domain' estão selecionados (ver etapa 6 embaixo).
Cliente VPN IPSec TheGreenBow 4.1 (e anteriores): Para permitir comunicações IPSec (ou verificar se já estão autorizadas ou proibidas), por favor siga as seguintes instruções:
- Etapa 1: Ir ao Iniciar e Abrir "Windows Firewall with Advanced Security" ou executa "cmd" e depois "wf" en linha de comando.
|
|
Abrir "Windows Firewall with Advanced Security".
|
- Etapa 2: Seleccione no menu esquerdo "Inbound Rules", e depois na coluna direita "New Rule...".
|
|
Seleccione no menu esquerdo "Inbound Rules", e depois na coluna direita "New Rule...".
|
- Etapa 3: Seleccione "Port" e depois clique em "Next".
|
|
Seleccione "Port" e depois clique em "Next".
|
- Etapa 4: Seleccione "UDP" e o "Specific local ports," depois e digite os dois valores 500 e 4500 separados por vírgula ("500,4500").
Clique em "Next".
|
|
Seleccione "UDP" e o "Specific local ports," depois e digite os dois valores 500 e 4500 separados por vírgula ("500,4500").
Clique em "Next".
|
- Etapa 5: Verifique se a opção "Allow the connection" está seleccionada. Clique em "Next".
|
|
Verifique se a opção "Allow the connection" está seleccionada. Clique em "Next".
|
- Etapa 6: Certifique-se que a regra está aplicada a todos os perfis. Clique em "Next".
|
|
Certifique-se que a regra está aplicada a todos os perfis. Clique em "Next".
|
- Etapa 7: Escolha um nome para a nova regra. Clique em "Finish".
|
|
Escolha um nome para a nova regra. Clique em "Finish".
|
- Etapa 8: A nova regra foi criada.
|
|
|
- Etapa 9: Seleccione na coluna da esquerda "Outbound Rules" e na coluna da direita "New Rule...", e faça de novo as instruções anteriores (Portas UDP 500 e 4500, VPN Outbound).
|
|
Seleccione na coluna da esquerda "Outbound Rules" e na coluna da direita "New Rule...", e faça de novo as instruções anteriores (Portas UDP 500 e 4500, VPN Outbound).
|
|
Existem várias maneiras de ver as suas ligações VPN abertas:
)
){kind=spacer}
