Uma rede virtual privada (VPN) é uma maneira de usar uma infraestrutura de telecomunicação pública, tal como a internet, para sustentar escritórios distantes ou utilizadores individuais com acesso seguro para as redes das suas organizações. No passado, as empresas tinham de alugar sistemas caros de linhas dedicadas para construir o VPN que só eles podiam usar. A VPN oferece as mesmas capacidades a custos mais baixos.
O VPN trabalha usando a internet enquanto guarda a privacidade através dos processos de segurança e protocolos de tunneling tais como o Layer Two Tunneling Protocol (L2TP) ou o IPSec. De facto, o dado privado, sendo encriptado no fim de enviar e decriptado no fim do receber, é enviado através de um túnel no qual nenhum outro dado pode entrar.
Porquê o IPSec é Segurança forte?
Definição: IPSec (Internet Protocol Security) oferece serviços de segurança na camada IP permitindo ao sistema de seleccionar os protocolos de segurança requeridos, de determinar os algoritmos precisos para usar os serviços, e colocar qualquer chave de cryptografia requerida para sustentar os serviços procurados. A arquitectura do IPSec é descrita na RFC-2401 ( www.ietf.org RFC- 2401). O IPSec foi seleccionado para ser incluido no IPv6. O IPSec está na categoria da “ segurança forte” porque foi concebido para ser forte e substituir outros antigos métodos como PPTP.
Hoje em dia o IPSec é a maneira mais segura para aceder à rede da empresa através da internet, a seguir estão alguns elementos que o demonstram:
Mecanismos de encriptação forte como Encapsulated Security Payload (ESP) usando DES, 3DES, AES com uma chave comprida (i.e. 128, 192, 256)
Autenticação forte das identidades com o uso do X- Auth e Certificado com uma chave comprida (i.e 1536, 2048)
Uso do IKE (Internet Key Exchance) e ISAKMP para trocar automaticamente as chaves e fazer uma autenticação mutual.
Protecção contra os ataques “ denial of service”. O protocolo IPSec utiliza uma janela deslizante. Os pacotes são numerados e só são aceites se corresponderem com a janela.
O uso de USB Stick, USB Token em conjunto com o software do Cliente IPSec serve para proteger a identificação/autenticação da informação e as configurações do VPN (i.e. funcionalidade especifica do TheGreenBow).
O que é um NAT-Traversal e o produto suporta isso?
Definição: Network Address Translation (NAT) é designado para diminuir a frustração do responsável informático face à raridade dos endereços IP públicos. O sistema NAT toma o endereço IP privado do cabeçalho do pacote, transforma esse endereço em IP address, antes de enviar esse pacote pela internet até ao seu destino. O sistema NAT usa uma tabela interna para guardar os endereços traduzidos, mas infelizmente manipula o cabeçalho IP original do pacote, afectando a capacidade do IPSec funcionar. O grupo IETF (Internet Engineering Taks Force) criou uma solução chamada NAT Traversal (NAT- TRFC- 3193). O NAT Traversal é hoje em dia largamente implementado nos routers e aplicações.
O Cliente VPN IPSec TheGreenBow suporta o NAT- T drafts 1, 2 e 3 (incluindo encapsulação udp).
Modo Túnel vs Modo de transporte ?
As diferenças entre o modo transporte e o modo túnel podem ser definidas (www.ietf.org RFC- 2401) através das configurações de redes seguintes:
Modo Túnel é na maioria o mais usado cada vez que uma das extremidades de uma associação segura (Security Association, SA) é um router VPN ou onde as duas extremidades de uma associação segura são routers VPN, o router agindo enquanto proxy para os servidores atrás dele.O modo túnel encripta o corpo do datagrama e o cabeçalho inteiro (UDP/TCP e IP).
Modo transporte é usado onde o tráfico é destinado para uma gateway de segurança e esta gateway está agindo enquanto computador hospedeiro i.e. comandos SNMP. O modo de transporte só encripta a parte dos dados (corpo do datagrama) e mantém o cabeçalho IP original.
O Cliente VPN IPSec TheGreenBow suporta os dois modos.
Chave pré-partilhada vs Certificados ?
A autenticação do computador pela IPSec é executado usando uma chave pré-partilhada ou certificados de computadores. A chave pré-partilhada identifica uma parte durante a fase de autenticação. Por definição a “ pré-partilhada” significa que tem de se compartilha-la com outra parte antes de estabelecer um túnel VPN seguro.
O método mais forte de autenticação é o uso de PKI e certificados. No entanto, pequenas organizações não podem suportar a implementação de um sistema de PKI e uma boa administração do método da chave pré-partilhada pode ser mais fácil e também poderoso.
O Cliente VPN IPSec TheGreenBow suporta os dois modos.
IPSec vs SSL ?
Veja a nossa página
IPSec vs SSL onde comparamos as duas tecnologias.
Podemos usar Ipsec para tornar mais segura a nossa rede WiFi ?
Veja a nossa página
IPSec versus WiFi onde reavaliamos WEP, 802.11i e comparamos tecnologias.
O que é DPD?
DPD ou "Dead Peer Detection" é uma extensão IKE (Internet Key Exchange) i.e. RFC3706 para detectar uma extremidade IKE não activa. Esse mecanismo é usado pela funcionalidade da Redundant Gateway (gateway de secorro).
Cliente VPN IPSec TheGreenBow
Quais as versões do Windows suportadas ?
Windows 98/98SE
Windows Millennium.
Windows 2000. Win2000 todos service packs.
Windows NT4
Windows XP. WinXP todos service packs, incluindo SP2.
Windows Server 2003.
Windows Vista (32bits).
Quais as línguas que são suportadas ?
O Cliente VPN IPSec TheGreenBow está disponível em
inglês,
francês,
alemão, português e
espanhol.
As línguas podem ser seleccionadas durante a instalação do software Cliente VPN IPSec TheGreenBow.
Como traduzir o IPSec Cliente VPN?
Deseja ter o Cliente VPN IPSec TheGreenBow na sua língua? Vá a
tradução do VPN Cliente, faça download e traduza na sua própria língua o ficheiro das frases do VPN Cliente.
O processo de tradução é muito simples e a tradução na sua língua estará disponível na nossa versão seguinte.
Quais são as gateways compatíveis ?
O Cliente VPN IPSec TheGreenBow é compatível com todos os routers IPSec conforme aos standarts existentes (IKE & IPSec). Veja a nossa
lista dos routers certificados com o Cliente VPN, que está aumentando todos os dias, para encontrar a vossa gateway VPN.
Se procura um equipamento que não está na lista, por favor contacte o nosso
suporte técnico e nós trabalharemos com você para o certificar. Iremos precisar do ficheiro de configuração, do logfile da janela da "console" TheGreenBow e de uma cópia (screenshot) da página de configuração VPN do router.
Como conectar o IPSec do Cliente VPN ao Router do Linksys VPN?
Fizemos, para download, guias de configuração VPN para a maioria das gateways que suportamos no nosso site na
secção suporte, e estão alguns sobre os routers Linksys. Os guias de configuração do VPN podem ter sido escrito pelos nossos parceiros ou pela nossa equipa de engenheiros.
TheGreenBow suporta o router Linksys RV082 e o Linksys BEFVP41. Poderá ver a
nossa resposta acerca do Linksys WRV54G.
Como configurar o Cliente VPN IPSec TheGreenBow usando um Cisco?
Fizemos, para download, guias de configuração VPN para a maioria das gateways que suportamos no nosso site na
secção suporte, e estão alguns sobre os routers Cisco. Os guias de configuração do VPN podem ter sido escrito pelos nossos parceiros ou pela nossa equipa de engenheiros.
TheGreenBow suporta Cisco gateways como o Cisco PIX501.
O produto suporta o NAT Traversal?
Sim. O Cliente VPN IPSec TheGreenBow supporta NAT Traversal Draft 1 (optimizado), Draft 2 e 3 (implementação total). IP address emulation.
Incluindo o suporte NAT_OA
Incluindo NAT keepalive
Incluindo NAT-T modo agressivo
O Cliente VPN IPSec TheGreenBow suporta a interpretação DNS/ WINS ?
Sim.O Cliente VPN IPSec suporta o “Mode-Config”. O “Mode Config” é uma extensão IKE que possibilita a recuperação de alguns paramêtros da rede como os endereços IP dos servidores WINS e DNS desde o router VPN IPSec para serem usados na configuração do Cliente VPN do utilizador distante. No caso em que o “mode config” não é suportado numa gateway distante, os endereços IP dos servidores de DNS e WINS da LAN distante podem ser definidos manualmente no Cliente VPN, para ajudar a resolver os endereços intranet.
O Cliente VPN IPSec TheGreenBow é compatível com Linksys WRV54G?
O Cliente VPN IPSec TheGreenBow é totalmente certificado com o Linksys WRV54G firmware 2.37 e seguintes. Pode fazer o download do
guia de configuração do Linksys WRV54G com o nosso Cliente VPN.
O firmware 2.25.2 do Linksys WRV54G firmware não aceita conexões IPSec de um Cliente VPN IPSec com endereço IP dinâmico. No entanto, há uma solução. Precisa de configurar o endereço IP do Cliente VPN na configuração VPN do Linksys. Linksys criou um firmware mais recente desde aí. Pode testá-lo:
clique aqui
Quais são as portas usadas por o Cliente VPN IPSec TheGreenBow?
A porta UDP 500 e a porta UDP 4500 devem ser abertas e o protocolo ESP (protocolo número 50) deve ser autorizado.
+ possível usar o Cliente VPN IPSec TheGreenBow através do Microsoft ISA Server 2000 e 2004?
Segundo o suporte da Microsoft, na maioria dos casos, o tráfico VPN IPSec não passa através do ISA Server 2000.
Para mais detalhes sobre ISA Server 2004, leia
Q838379
na Microsoft Knowledge Base
O que deve ser entrado no campo da fase 2 “Endereço do VPN Client”?
Este campo é o endereço virtual IP que o cliente VPN IPSec terá dentro da rede distante. Com a maioria das VPN gateways, este endereço não deve pertencer à subnet da rede distante. Por exemplo, se utilizar uma VPN gateway com a subnet 192.168.0.0/255.255.255.0, deverá usar um valor como 192.168.100.1 ou 10.10.10.1 para o campo “Endereço do VPN Client”.
Imagine o caso que escolhe um endereço IP não usado na subnet como 192.168.0.200. Quando o Cliente VPN envia um pacote TCP ou UDP para um computador alvo distante 192.168.0.x, este alvo envia dentro da sua subnet um pedido ARP para obter o endereço MAC do Cliente VPN e responde directamente a isso. Mas, esse pedido não pode receber qualquer resposta porque o cliente não esta fisícamente presente dentro da subnet. Então, o pacote inicial do cliente não terá resposta.
Se a vossa gateway consegue responder a esse pedido ARP para o Cliente VPN, pode preencher o campo “Endereço do VPN client” com um endereço IP que pertence à subnet distante.
Windows NT não é capaz de encontrar/começar o serviço TGBSTARTER?
O Windows NT pode não ser capaz de iniciar o serviço “TgbIKE Starter”. A mensagem de erro diz ao utilizador que o Windows não é capaz de encontrar TgbStarter, apesar do facto de estar actualmente no system directory.
Isso é dado a uma configuração de registo errada. Para resolver o problema, verifique a seguinte chave:
+ possível esconder a interface gráfica do utilizador i.e. modo "silencioso"?
+ possível instalar o Cliente VPN IPSec em modo silêncio com o setup standard. Precisa de carregar o processo completo descrito neste documento
VPN Deployment Guide.
O Cliente VPN TheGreenBow é compatível com os Linksys RV082 ou os BEFVP41?
Sim. + possível definir uma Redundant Gateway no Cliente VPN. Uma Redundant Gateway pode oferecer aos utilizadores distantes uma conexão mais disponível e mais simples à rede corporativa. A funcionalidade da Redundant Gateway permite ao Cliente VPN TheGreenBow abrir um túnel IPSec com uma gateway alternativa no caso da primeira gateway não estiver disponível ou não responder. A falha da gateway distante é detectada pela função “Dead peer Detection”.
A porta IKE pode ser modificada?
Sim. + possível modificar a porta IKE usada. Para fazer isso, vá para Configuração de VPN -> Parâmetros e entre a porta que pretende para IKE Port.
O que são TgbStarter.exe e TgbIKE.exe?
TgbStarter.exe e TgbIKE.exe são componentes do Cliente VPN IPSec TheGreenBow.
TgbStarter.exe é o componente daemon do software (trabalhando como service)
TgbIke.exe é o IPSec/IKE run-time do software.
The Software Activation doesn't succeed.
When I try to activate the software, it doesn't succeed (I got an error message)
You can also get your software activated at anytime, by following the procedure described on our Manual Software activation.
What is a Default VPN Configuration?
A Default VPN Configuration is VPN configuration designed by TheGreenBow Techsupport team to connect
to our online IPSec VPN gateways and servers. Those are always live and you can use it to test your
network environement at any time. The Default VPN Configuration is embedded into the IPSec VPN Client.
Check out online help or download the default VPN Configuration file below.
Can I get temporary license numbers that I can use during my tests?
Yes, license can last several weeks. For further details, contact our sales department.
How to launch my CRM app automatically when IPSec tunnel to my corporate intranet opens ?
It is possible. Go to Configuration Panel>Phase2 and click on scripts. In the Script window,
you can select the application you want to start before or after a tunnel opens or closes.
O Cliente VPN IPSec TheGreenBow é compatível com Tokens e autenticação por dois factores?
Sim. TheGreenBow suporte a autenticação por dois factores com Tokens para guardar password, private key ou certificados digitais. Veja a lista dos tokens compatíveis.
Resuloção de Problemas
“Eu tenho uma mensagem XXXXX na console”. O que significa?
Permitimos para o download um
guia completo das mensagens da console do Cliente VPN IPSec TheGreenBow com explicações e dicas para resolver. Se esse documento não ajudar, envie-nos todas as mensagens que contem RECV e SEND. Põem os níveis de log no “0” e clique em “Salvar”. O ficheiro de log pode ser encontrado em Program Files\Sistech\ TheGreenBow\LogFiles.
O servidor VPN não responde?
Se tiver os logs seguintes isso significa que o servidor VPN distante não responde aos pedidos IKE do Cliente VPN.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Veja os logs do servidor VPN distante e verifique se os pedidos do cliente foram recebidos, se não houver nenhum sinal deles, os pedidos IKE devem ter sido perdidos algures. Verifique qualquer firewall (incluindo a firewall pessoal do computador) que pode ser encontrado entre o VPN Client e o servidor VPN.
O túnel VPN está aberto mas não consigo fazer um ping?
Quando os logs são parecidos com os dados em baixo, o túnel IPSec VPN está estabilizado. Agora deve ser capaz de fazer um ping com qualquer dispositivo da rede distante. A configuração do Cliente VPN IPSec TheGreenBow é correcta neste caso :
Uma vez que o túnel está aberto, os pacotes são enviados com o protocolo ESP. Este protocolo pode estar bloqueado por uma firewall. Verifique que cada elemento entre o Cliente VPN e o servidor VPN aceita ESP.
Verifique os logs no servidor VPN. Os pacotes podem ter sido destruídos por uma das regras da firewall.
Verifique que o vosso ISP suporta ESP
Se mesmo assim não conseguir fazer um ping, siga o tráfico ICMP sobre a interface LAN do servidor VPN e sobre interface LAN do computador (usando Ethereal, por exemplo). Obterá uma indicação que a encriptação funciona.
Verifique o valor “default gateway” na configuração LAN do servidor VPN. Um alvo na sua rede distante pode receber pings mas não pode responder porque não há nenhum “default gateway” configurado.
Não pode aceder aos computadores no LAN através do seus nomes. Tem de usar os endereços IP dentro da LAN.
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro “PAYLOAD MALFORMED” ([SA] fase 1 errada)?
Se tiver um erro “PAYLOAD MALFORMED” como esta sequência seguinte, verifique se os algoritmos IKE são os mesmos de cada lado do túnel VPN.
114920 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
114920 Default (SA Cnx-P1) RECV phase 1 Main Mode [NOTIFY]
114920 Default exchange_run: exchange_validate failed
114920 Default dropped message from 195.100.205.114 port 500 due to notification type PAYLOAD_MALFORMED
114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro "INVALID COOKIE"
Se tiver um erro “INVALID COOKIE”, isso significa que uma das extremidades está usando uma SA que já não é usada. Reset a conexão VPN em cada lado.
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
115933 Default dropped message from 195.100.205.114 port 500 due to notification type INVALID_COOKIE
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro "NO KEYSTATE"
Se tiver um erro “NO KEYSTATE, verifique se a chave de segredo está correcta ou se o ID local está correcto ( veja a opção “F1 Avançada”). Pode ter mais informações nos logs da extremidade distante.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) RECV phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro "received remote ID other than expected"
Se tiver um erro “ received remote ID other than expected”, o valor do "ID Remoto" ( veja a opção “F1 Avançada”) não corresponde ao que a extremidade do túnel VPN estava à espera.
120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default (SA Cnx-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default ike_phase_1_recv_ID: received remote ID other than expected
support_fr@thegreenbow.fr
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro "NO PROPOSAL CHOSEN"
Se tiver um erro “ NO PROPOSAL CHOSEN” (como seguinte), verifique que os algoritmos da fase 2 são os mesmos de cada lado do túnel IPSec VPN.
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
Erro "INVALID ID INFORMATION"
Se tiver um erro “ INVALID ID INFORMATION”, verifique se os ID da fase 2 (endereço do VPN Client e endereço da LAN Remota) estão correctos e correspondem ao que a extremidade do túnel VPN está à espera. Verifique também o tipo de ID. Se a máscara da rede não é seleccionada, é porque você está usando um tipo IPV4 _ADDR (e não um IPV4_ SUBNET).
Para mais informações e dicas de resolução, por favor veja o nosso documento de
resolução de problemas.
DELL ou HP laptops com Broadcom Chipset?
TheGreenBow recomenda aos clientes usando um chipset Broadcom integrado com alguns portáteis DELL ou HP portátil que actualizem o driver bcmwl5.sys para uma versão mais recente. Esse driver pode provocar erros sistemas (Blues screen) mesmo sem estar o nosso software instalado.
Intel Adapter Switching Utility
Intel Adapter Switching Utility provoca erros sistemas (blue screen) quando o Cliente VPN TheGreenBow está instalado.
Se tem uma placa Intel Pro/ Wireless 2100 ou 2200, siga estas etapas na ordem dada.
- Vá para Iniciar/Painel de Controlo/Addicionar e Remover Programas.Remova Intel PROset
- Vá para Iniciar/Painel de Controlo/Sistema.
Seleccione a janela hardware e vá para o gestor de dispositivos.
No gestor de dispositivos, clique no sinal "+" para expandir Placas de Rede.
Selecione o adaptador Intel PRO/Wireless LAN 2200 (ou 2100) e faça um clique direito.
Selecione Uninstall da menu pop- up.
- Reinicie o computador.
Depois de reinício, o portátil vai detectar de novo a placa sem fio e vai instalar os drivers para ela. Não vai instalar os drivers Intel PROset. A placa sem fio pode mesmo assim funcionar, mas a funcionalidade adicional da mudança de adaptores não será disponível. O Windows gerirá então os perfis sem fio no lugar do utilitário Intel PROset.
"Default UDP create:[...] must exist as a listener too"
Problema: a mensagem seguinte aparece na console:
205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
205618 Default exchange_establish: transport "udp" for peer "CnxVpn1-P1" could not be created
Solução: Este erro acontece quando o cliente não pode criar um socket para comunicações exteriores. Isso pode ser dado ao facto que esse endereço IP é inválido ou já não usado. Verifique se esse endereço ainda existe. Usualmente este erro acontece quando foi seleccionado um endereço de IP específico na lista das Interface (Fase 1) e guardada no lugar de “Automático”.
Sincronizar o PDA com Microsoft ActiveSync 4.1 causa erro sistema
copia USBKiller.cab no seu Pocket Pc ou Smartphone
desligue o cabo usb
instale USB Killer
executa USB Killer
seleccione "Serial"
clique no "Yes"
liga o cabo e sincroniza o seu aparelho com ActiveSync
Não consigo desinstalar o Cliente VPN
Problema: Não consigo desinstalar o Cliente VPN, pede sempre para desinstalar primeiro a versão anterior.
Solução: Pode usar a nossa ferramenta para limpar os componentes residuais do Cliente VPN.
Como relatar um bug quando há um crash do IKE Daemon ?
Pode seguir o procedimento descrito nesta página : Reporting Bugs.
Problemas com os drivers TheGreenBow no Windows Vista
Aconselhamos vivamente os utilizadores de Windows Vista a actualizar os drivers do seus adaptadores de rede com o Windows Update. Essa acção pode impedir crashes do driver em algumas configurações de rede. Além disso, o pack de correcção de bug Windows Vista KB938194 deve ser instalado. Mais informações e download estão disponíveis em http://support.microsoft.com/?kbid=938194.
)
){kind=spacer}
Windows Vista (32bits).
