公司简介 | 产品 | 服务 | 新闻 | 合作伙伴 | 技术支持

IPSec VPN Client 客户端 疑难解答


IPSec VPN 客户端

VPN Client 技术支持
VPN 软件使用疑难解答
VPN 网关向导
VPN 文档资料
Supported Tokens
Supported languages
Feature request

相关疑问

VPN 技术概况


TheGreenBow IPSec VPN客户端软件


故障排除

VPN Overview


 VPN 是什么 ?
虚拟专用网络 (VPN)是一个可以实现远程办公室或个人用户只需通过因特网(Internet)就能够安全地对企业内部专用网络进行远程访问的功能。以前,企业只能租用昂贵的专线系统来建立供内部使用的虚拟专用网。现在,VPN却以低廉的价格提供相同的服务。

虚拟专用网络以因特网为媒介,通过有关安全程序和隧道协议,如第二层隧道协议 (L2TP)或IPSec,来维持通信的隐私性。实际上,敏感数据包在传输的过程中由发送端来进行加密,当到达目的地时,再由接收端来对它进行解密。整个过程都是在一条别的数据无法“进入”的隧道中实现的。

 为什么 IPSec 的安全性强 ?
定义:IPSec(因特网安全协议)在IP层通过系统激活提供安全服务,此系统根据使用要求,选择必需的安全协议和计算法则,利用密钥控制访问请求。RFC-2401(www.ietf.org RFC-2401)诠释了IPSec的体系机构。并且IPSec还被选择嵌入到下一版本的互联网协议IPv6。IPSec坚强的体系机构设计决定了它强健的安全性,也因此取代了PPTP等旧模式。

IPSec是目前通过因特网连接企业专网最安全的途径,原因如下:
  • 强健的加密功能:ESP(安全载荷封装),DES, 3DES, AES长型密钥 (i.e. 128, 192, 256)
  • 强健的用户身份认证:X-Auth和长型密钥证书(i.e 1536, 2048)
  • 使用因特网密钥交换(IKE)和因特网安全联盟和密钥管理协议(ISAKMP)来自动交换密钥和相互认证。
  • 针对拒绝服务攻击提供保护。IPSec协议使用滑动窗口。数据包都被编码,只有匹配窗口才会被接受。
  • IPSec客户端软件与USB存储棒的联用,与USB令牌的结合,可以用来保护用户身份/认证信息和VPN配置 (TheGreenBow的特有功能)。

 Nat Traversal 是什么 ? 谁可以支持它 ?
定义: 网络地址转换 (NAT) 是为了解决IT管理员在缺乏公共IP地址时遇到的困难而设计的 。网络地址转换设备在通过因特网发送数据包到目的地之前, 将数据包的原始私人 IP 地址改为公共IP地址。 网络地址转换设备使用内部表格对被更改了的地址作记录。 然而不完美的是,它在处理数据包的原始IP地址标头时会影响到 IPSec 功能的发挥。 因特网工程任务组 (IETF) 设计了内网互联 (NAT-T RFC-3193) 为此问题提供了解决方案。 如今, 内网互联被各种路由器和安全设备广泛地应用。

TheGreenBow IPSec VPN客户端支持NAT-T drafts 1, 2和3 (包括UDP封装)

 隧道模式 VS 传送模式 ?
隧道模式和传送模式的之间的区别可通过以下两种不同的网络配置来说明:
  • 隧道模式中,通常情况下,安全联盟的任意一端或者两端都可以成为安全网关,并且此安全网关充当它后面的主机代理服务器。在隧道模式中,有效数据载荷和整个标头(UDP/TCP和IP)都会被加密。

    Tunnel mode

    Zoom

  • 在传送模式中,安全联盟的一端注定为安全网关,而且此安全网关充当主机(e.g. SNMP命令)。在此模式,只有数据部分会被加密,IP标头维持原状。

    Transport mode

    Zoom

TheGreenBowIPSec VPN客户端均支持这两种模式。

 预设共享密钥VS证书 ?
IPSec的电脑认证是通过预设共享密钥或电脑证书的使用来实现的。预设共享密钥在认证阶段只会对使用者的一方进行认证。“预设共享”的意思是说您必须在建立安全VPN隧道之前就与另一方共享密钥。

最强健的认证方法是PKI和证书的使用。小型企业很难负担起PKI系统的管理费用,然而使用一个管理完善的预设共享密钥方案同样有效而且更为便利。

TheGreenBow IPSec VPN客户端均支持这两种方案。

 IPSec 与 SSL 对比 ?
请查看 IPSec versus SSL 页面。

 可否利用 IPSec 对 WiFi 内部网络进行安全保障 ?
请查看本网站研究WEP, 802.11i和进行技术比较的 IPSec vs. WiFi 页面。

 什么是 DPD ?
死点侦测(DPD)是因特网密钥交换(IKE)技术的扩展(i.e. RFC3706),专门侦测已断线(已停止运行)的IKE端点。 这个机制的运作由冗余网关功能来实现。

TheGreenBow IPSec VPN客户端软件


 支持什么版本的 Windows ?
  • Windows 98/98SE.
  • Windows Millennium.
  • Windows 2000. Win2000 所有服务包.
  • Windows NT4.
  • Windows XP. WinXP 所有服务包, 包括 SP2.
  • Windows Server 2003.

 支持什么语言 ?
TheGreenBow IPSec VPN已实现英语,法语,德语,葡萄牙语和西班牙语版本。
您可以在IPSec VPN客户端软件的安装过程中根据需要选择特定的语言。

 如何对 IPSec VPN 客户端进行本地化 ?
您想将 TheGreenBow IPSec VPN 客户端本地化吗?请到 IPSec VPN Client localization 页面,下载和翻译 IPSec VPN 客户端字符串文档到您的本地语言。
此本地化程序非常简单易用,而您的翻译将会在我们的新的发行中采用。

 能够与哪些网关兼容 ?
TheGreenBow IPSec VPN客户端能够和所有遵循标准规则(IKE & IPsec)的IPSec路由器兼容。请查阅已认证的 VPN 产品名单 。此列表每日更新,帮助您选择适合的VPN网关。

如果你需要的设备不在此列,请联系本公司的技术支持部门 。我们会对您提供帮助,为您的设备进行鉴定。 我们将会需要您的配置文档,“Console” 窗口日志和一个在路由器配置界面的屏幕截图。

 如何把 IPSec VPN 客户端连接到 Linksys VPN 路由器 ?
技术支持页面您可以下载到大部分可以与 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中一些为Linksys。 这些VPN配置向导由我们的技术组或合作伙伴完成。

TheGreenBow IPSec VPN 客户端支持 Linksys RV082 和 Linksys BEFVP41。 欢迎查看有关 Linksys WRV54G 的 疑难解答

 如何安装 TheGreenBow IPSec VPN 客户端使用 Cisco ?
您可以在我们的技术支持页面下载到大多数 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中包括 Cisco。这些VPN配置向导由本公司的技术组或公司合作伙伴完成。

TheGreenBow IPSec VPN客户端支持 Cisco PIX501 等 Cisco 网关。

 TheGreenBow IPSec VPN 客户端是否支持 NAT-T 内网互联 ?
支持!TheGreenBow IPSec VPN客户端支持内网互联Draft 1 (加强), Draft 2 and 3 (完全实现)
  • 包括 NAT_OA 支持
  • 包括 NAT keepalive
  • 包括 NAT-T 野蛮模式

 TheGreenBow IPSec VPN 客户端是否支持 DNS/WINS discovering ?
支持!IPSec VPN客户端支持"Mode-Config"(模式配置)。"Mode-Config"是网络交换密钥技术(IKE)的延伸。 Mode-Config可以通过激活IPSec VPN网关为远程使用者设备(IPSec VPN客户端)提供如DNS/WINS服务器地址等局域网LAN配置。 如果此远程设备不支持"Mode-Config",IPSec VPN客户端可以通过辨认远程局域网LAN中DNS和WINS服务器的IP地址,以助用户进行局域网定位。

 TheGreenBow IPSec VPN 客户端能否与 Linksys WRV54G 兼容 ?
TheGreenBow IPSec VPN客户端软件与Linksys WRV54G固件2.37,以及该产品以后的版本的兼容都成功通过了验证。Linksys WRV54G VPN配置向导下载。

LinKsys WRV54G固件2.25.2不接受任何来自使用动态IP地址的IPSec连接。您需要把IPSec VPN客户端的IP地址设置到Linksys配置里面。Linksys推出了一个新固件。 如果您想对它进行验证:请点击这里

TheGreenBow IPSec VPN客户端软件已经成功通过与 Linksys RV082,Linksys BEFVP41的验证。(请查看已认证的VPN网关名单 或下载VPN 网关配置向导)。


 TheGreenBow IPSec VPN 需要哪些端口 ?
UDP端口500和UDP端口4500必须被打开和允许ESP协议(协议码50)

 可以通过 Microsoft ISA Server 服务器 2000 和 2004 使用 TheGreenBow IPSec VPN 客户端吗 ?
微软公司技术支持资料显示,大多数情况下,ISA Server 2000很难接受 IPSec VPN 通道。

更多关于ISA server 2004的资料,请到Microsoft知识库查阅Q838379

 在阶段2字段中的“VPN客户端地址(VPN client address)”应该填什么 ?
此字段是IPSec VPN客户端在远程子网络内部将会使用的虚拟IP地址。 对于大多数VPN网关来说,这个地址一定不属于远程网络子网。
例如,如果您使用的VPN网关的子网地址为192.168.0.0/255.255.255.0,那么您应在“VPN客户端地址”栏里填为192.168.100.1或是10.10.10.1.
举例来说:如果您选择的IP地址是一个不在子网中使用的IP地址,如192.168.0.200. 当IPSec VPN客户端发送TCP或UDP数据包到目的远程电脑192.168.0.x时,这个目的远程电脑会向它的内部网络发送ARP请求,以取得IPSec VPN客户端MAC地址(配接卡位址),并向其直接回复。但是,这个请求不能接收任何回复,因为客户端并不是完全的存在于子网内部,因此,从客户端发送来的最初的数据包将不能被回复。

如果您的VPN网关能够对IPSecVPN客户端的ARP请求进行回复,您可以在"VPN Client address"字段填上属于子网的IP地址。 您可以下载我们的 IPSec VPN 客户端 用户指南.

 Windows(NT)无法找到/开始TGBSTARTER服务
Windows NT可能无法启动“TgbIKE Starter”。错误信息会告诉使用者:Windows无法找到TgbStarter(即使它确实在系统目录中)。
这是由注册配置错误造成的。为了解决这个问题,请检查密钥:

<[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIKE Starter]
"DisplayName"="TgbIKE Starter"
"ErrorControl"=dword:00000001
"ImagePath"="C:\\Winnt\\System32\\TgbStarter.exe"
"Start"=dword:00000002
"Type"=dword:00000110
"ObjectName"="LocalSystem"


 可否使用静默模式(silent mode),隐藏GUI界面 ?
可以使用静默模式对IPSec VPN客户端软件进行标准式安装。详细的操作情况请下载:VPN部署向导

 TheGreenBow IPSec VPN客户端能否与Linksys RV082 or BEFVP41兼容 ?
兼容!TheGreenBow IPSec VPN客户端支持Linksys RV082, Linksys BEFVP41。(详情请查看已认证网关名单或下载VPN配置指南)。

 TheGreenBow IPSec VPN客户端能够辨认冗余网关吗 ?
可以!TheGreenBow IPSec VPN客户端可以辨认冗余网关。冗余网关帮助远程使用者安全可靠地连接到企业内部网络。它的功能特性表现在,当首要网关瘫痪或无响应的时候,为TheGreenBow IPSec VPN客户端打通IPSec通道提供一个预备网关。断线侦测功能(Dead Peer Detection)可以侦测出远程网关的无反应状态。

 IKE端口可否被修改 ?
可以!每一条隧道都可以设定一个专门的IKE端口。

 什么是TgbStarter.exe和TgbIke.exe ?
TgbStarter.exe和TgbIke.exe都是TheGreenBow IPSec VPN客户端的组成部分。
  • TgbStarter.exe是软件后台程序的组成部分。(service操作)
  • TgbIke.exe是软件的IPSec/IKE运行时。

 软件激活失败,怎么办。
当我尝试激活软件时,系统信息显示操作失败。

如果出现这种情况,您可以在软件激活在线帮助页面找到完整的帮助向导。

您可以按照手动软件激活中的程序说明随时激活您的软件。

 什么是默认VPN配置 ?
为了连接我们的在线IPSec VPN网关和服务器,TheGreenBow技术支持组专门配置了一个默认VPN配置。 本公司的IPSec VPN网关和服务器24小时运作,您可以随时利用它们来对测试您的网络环境。默认的VPN配置是嵌入IPSec VPN客户端中的,请您察看在线帮助或者下载以下的默认VPN配置文件。
  tgbvpn_demo.tgb

 我可以利用临时注册号进行测试吗 ?
可以!临时注册号可以使用数周时间。详情请联系我们的销售部门。


  当通往企业内部网络的IPSec隧道打开时,如何自动启动我的CRM应用 ?
可以!到配置面版>阶段2,点击scripts. 然后在Script窗口,选择您在隧道打开或关闭前后所需要应用的程序。


  IPSec VPN 客户端软件是否可以支持双向验证码和 Token 令牌 ?
可以。TheGreenBow 可以支持数对双因数和双向验证 Token 令牌,储存用户,个人认证,如密钥,密码和数码证书。请查阅已认证 Token 令牌名单.

故障排除


 “我在控制台收到XXXXX信息”。这是什么意思 ?
您可以下载带有问题说明和有关问题解决提示的complete guide of messages from TheGreenBow IPSec VPN Client console文档。如果这个文件无法帮到您,请您把所有关于RECV和SEND交换记录发给我们。 保持log level为0,点击文件保存。Log文件可以在Program Files \Sistech \TheGreenBow \LogFiles找到。

 没有来自VPN服务器的回复
如果你收到如下指令,说明远程VPN服务器没有对客户端的IKE请求进行回复。

115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]

查看远程VPN服务器的日志文件,检查是否已收到来自客户端的请求。如果没有,IKE请求肯定是在发送过程中受到阻扰。请您检查所有在IPSec VPN客户端和VPN服务器之间存在的防火墙(包括个人电脑防火墙)。

 VPN打开了但无法ping,怎么办 ?
当日志文件(logs)如下所示,说明IPSec VPN隧道已经建立。现在,您可以ping通任何局域网VPN服务器上的设备。TheGreenBow VPN客户端配置正确。

121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]

如果你仍无法ping通远程局域网LAN,以下有几种解决方法:
  • 检查阶段2的设置:VPN客户端地址和远程局域网LAN地址。通常,客户端的IP地址不在远程局域网LAN的子网中(请查看:在阶段2中的“VPN客户端地址”应该填写什么?)
  • 当隧道打开时,数据包将会随着ESP协议发送出去。但这个协议可能会被防火墙挡住。请确认所有在客户端与VPN服务器之间的设备都接受ESP。
  • 检查您VPN服务器的日志文件。数据包可能会被它的某一条防火墙规则挡住。
  • 确定您的ISP支持ESP协议。
  • 如果您还是不能Ping通,请跟随VPN服务器局域网LAN界面和局域网LAN计算机界面上的ICMP信息(如Ethereal)。您会看到加密运作正常的指示。
  • 确认在VPN服务器局域网中的“默认网关”值。由于缺乏“默认网关”配置,位于远程局域网中的目标可以接受ping但是无法回复。
  • 如果您无法通过计算机名来访问局域网中的计算机,您肯定是已经在局域网中确定了它们的IP地址。
详细说明和解决方法,请查阅故障排除

 "PAYLOAD MALFORMED" 畸形载荷"错误 (错误阶段一[SA安全联盟]) ?
如果您发现有“畸形载荷”错误,或类似此系列的错误,请检查VPN隧道两边的IKE运算法则是否一致。

114920 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
114920 Default (SA Cnx-P1) RECV phase 1 Main Mode [NOTIFY]
114920 Default exchange_run: exchange_validate failed
114920 Default dropped message from 195.100.205.114 port 500 due to notification type PAYLOAD_MALFORMED
114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error

详细说明和解决方法,请查阅 故障排除

 "无效的 COOKIE" 错误 ?
如果您发现有"INVALID COOKIE"错误,说明其中一端正在使用一个废弃的安全联盟(SA)。请在两边重新连接VPN。

115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
115933 Default dropped message from 195.100.205.114 port 500 due to notification type INVALID_COOKIE
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error

详细说明和解决方法,请查阅 故障排除

 "NO KEYSTATE" 错误
如果您发现有“no keystate”错误,请确认预设共享密钥或本地ID是否正确(查看“高级”(Advanced)按钮)。您可以在远程端点的日志文件中可以找到更多资料。

115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) RECV phase 1 Main Mode [KEY][NONCE]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50

详细说明和解决方法,请查阅 故障排除

 “所接收的远程ID与所期不符……”错误
如果您发现“所接收的远程ID与所期不符……”错误,“远程 ID ” 值(请看 “高级”按钮) 不符合远程VPN端口的要求。

120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default (SA Cnx-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]
120351 Default ike_phase_1_recv_ID: received remote ID other than expected
support_fr@thegreenbow.fr

详细说明和解决方法,请查阅 故障排除

 "NO PROPOSAL CHOSEN" 错误
如果您发现有"没有已选提议" 错误(此后),请确定“阶段2”中IPSec VPN隧道两端的运算法则是否一致。

115915 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
115915 Default RECV Informational [HASH][NOTIFY] with NO_PROPOSAL_CHOSEN error
115915 Default RECV Informational [HASH][DEL]
115915 Default Cnx-P1 deleted

如果您发现一个"没有已选提议"错误(此后),确认“阶段1” IPSec VPN隧道两端的运算法则是否一致。

115905 Default sysdep_app_open: Init Connection for : Cnx-Cnx-P2 Cnx-remote-addr
115905 Default sysdep_app_open: IPV4_SUBNET Network 192.168.1.1
115905 Default sysdep_app_open: IPV4_SUBNET Netmask 255.255.255.0
115911 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115911 Default RECV Informational [NOTIFY] with NO_PROPOSAL_CHOSEN error

详细说明和解决方法,请查阅 故障排除

  “错误ID信息”(INVALID ID INFORMATION)错误
如果您发现"错误ID信息"错误,请确定“阶段2”中的ID (本地地址和网络地址)是否正确并符合远程VPN端点的要求。此外还需要检查此ID的类型。 如果网络掩码未被检验,您正使用的是IPV4_ADDR型 (而不是IPV4_SUBNET型)。

122626 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error
122626 Default RECV Informational [HASH][DEL]
122626 Default Cnx-P1 deleted

详细说明和解决方法,请查阅 故障排除

 Dell, HP 微型电脑与 Broadcom 芯片
TheGreenBow推荐客户将Broadcom芯片组和一些Dell或HP的笔记本电脑结合起来把bcmwl5.sys驱动器升级到最新版本。然而,即使没有安装IPSec VPN客户端,这个驱动也会间歇性地导致蓝屏。(升级前或升级后?)

 英特尔适配器转换效用
安装TheGreenBow IPSec VPN客户端后,Intel Adapter Switching Utility会导致蓝屏。
如果您使用的是Intel Pro/Wireless 2100或2200,请按以下步骤操作:

- 点击 开始/ 控制面板 / 添加\删除程序。 删除Intel PROset程序
- 点击 开始/ 控制面板 /系统
  选择“硬件”,按下“设备管理器”。
  在设备管理器里,点击“添加”键增加“网络适配器”配件。
  选定Intel PRO/Wireless LAN 2200 (或 2100) 适配器,点击右键。
  在弹出的菜单里选择“卸载”。
- 重新启动电脑。

重启之后计算机会再次侦测无线设备卡并对其进行驱动安装。但不再安装Intel PROset驱动器。无线设备卡仍可运行,但附加的适配器交换功能将不能启用。Windows设定的无线操作会取代Intel PROset 。

For more details, see the Intel technical advisory

 "Default UDP create:[...] must exist as a listener too"
问题:以下信息出现在控制台:

205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
205618 Default exchange_establish: transport "udp" for peer "CnxVpn1-P1" could not be created

解决方法:当客户端无法建立套接字(socket)与外界交流时,就会出现这样的错误。这可能是因为此IP地址错误或已废弃。请检查它是否存在。通常,在“界面”下拉列表(dropdown list)中选定一个专门的IP地址并将它保存为"*",会导致此错误的产生。

 PDA 与 Microsoft ActiveSync 4.1 的同步运作导致死机
TheGreenBow VPN Client Release 4.0 升级版 (Feb. 07) 已经解决了此问题。

TheGreenBow IPSec VPN 客户端与 ActiveSync 4.x 之间的同步问题可以通过在以下网页下载 USB Killer 软件来解决: http://www.smartphonefrance.info/download/USBKiller.cab

请按以下步骤来操作:
  • 复制 USBKiller cab 到您的手动设备中
  • 拔出 usb cable
  • 安装 USB Killer
  • 启动 USB killer
  • 选择 "Serial"
  • 点击 "Yes"
  • 重新插入 cable,利用 ActiveSync 同步操作您的设备

 我无法卸载 IPSec VPN 客户端软件
问题: 我无法卸载 IPSec VPN 客户端软件,它总要求我先卸载先前的版本。
解决方法: 您可以使用our tool 清洁余下的 IPSec VPN 客户端软件组成部分。


 当 IKE Daemon 死机该如何发送错误报告?
您可以跟随本页面上所提供的 错误报告 过程。


 Windows Vista 上的 TheGreenBow 驱动问题
我们强烈推荐 Windows Vista 用户把网络适配器驱动与 Windows 的更新一起升级。如此可以避免驱动在某些网络配置中的死机。 同时也需要安装 Windows Vista bug fix pack KB938194。 更多的细节和下载请看此链接: http://support.microsoft.com/?kbid=938194