|
 |
|
相关疑问
TheGreenBow IPSec VPN客户端软件
VPN Overview
 |
VPN 是什么 ? |
 |
虚拟专用网络 (VPN)是一个可以实现远程办公室或个人用户只需通过因特网(Internet)就能够安全地对企业内部专用网络进行远程访问的功能。以前,企业只能租用昂贵的专线系统来建立供内部使用的虚拟专用网。现在,VPN却以低廉的价格提供相同的服务。
虚拟专用网络以因特网为媒介,通过有关安全程序和隧道协议,如第二层隧道协议 (L2TP)或IPSec,来维持通信的隐私性。实际上,敏感数据包在传输的过程中由发送端来进行加密,当到达目的地时,再由接收端来对它进行解密。整个过程都是在一条别的数据无法“进入”的隧道中实现的。
|
为什么 IPSec 的安全性强 ? |
|
定义:IPSec(因特网安全协议)在IP层通过系统激活提供安全服务,此系统根据使用要求,选择必需的安全协议和计算法则,利用密钥控制访问请求。RFC-2401(www.ietf.org RFC-2401)诠释了IPSec的体系机构。并且IPSec还被选择嵌入到下一版本的互联网协议IPv6。IPSec坚强的体系机构设计决定了它强健的安全性,也因此取代了PPTP等旧模式。
IPSec是目前通过因特网连接企业专网最安全的途径,原因如下:
- 强健的加密功能:ESP(安全载荷封装),DES, 3DES, AES长型密钥 (i.e. 128, 192, 256)
- 强健的用户身份认证:X-Auth和长型密钥证书(i.e 1536, 2048)
- 使用因特网密钥交换(IKE)和因特网安全联盟和密钥管理协议(ISAKMP)来自动交换密钥和相互认证。
- 针对拒绝服务攻击提供保护。IPSec协议使用滑动窗口。数据包都被编码,只有匹配窗口才会被接受。
- IPSec客户端软件与USB存储棒的联用,与USB令牌的结合,可以用来保护用户身份/认证信息和 VPN 配置 (TheGreenBow的特有功能)。
|
Nat Traversal 是什么 ? 谁可以支持它 ? |
|
定义: 网络地址转换 (NAT) 是为了解决IT管理员在缺乏公共IP地址时遇到的困难而设计的 。网络地址转换设备在通过因特网发送数据包到目的地之前, 将数据包的原始私人 IP 地址改为公共IP地址。 网络地址转换设备使用内部表格对被更改了的地址作记录。 然而不完美的是,它在处理数据包的原始IP地址标头时会影响到 IPSec 功能的发挥。 因特网工程任务组 (IETF) 设计了内网互联 (NAT-T RFC-3193) 为此问题提供了解决方案。 如今, 内网互联被各种路由器和安全设备广泛地应用。
TheGreenBow IPSec VPN客户端支持NAT-T drafts 1, 2和3 (包括UDP封装)
|
隧道模式 VS 传送模式 ? |
|
隧道模式和传送模式的之间的区别可通过以下两种不同的网络配置来说明:
- 在隧道模式中,通常情况下,安全联盟的任意一端或者两端都可以成为安全网关,并且此安全网关充当它后面的主机代理服务器。在隧道模式中,有效数据载荷和整个标头(UDP/TCP和IP)都会被加密。
- 在传送模式中,安全联盟的一端注定为安全网关,而且此安全网关充当主机(e.g. SNMP命令)。在此模式,只有数据部分会被加密,IP标头维持原状。
TheGreenBowIPSec VPN客户端均支持这两种模式。
|
预设共享密钥VS证书 ? |
|
IPSec的电脑认证是通过预设共享密钥或电脑证书的使用来实现的。预设共享密钥在认证阶段只会对使用者的一方进行认证。“预设共享”的意思是说您必须在建立安全VPN隧道之前就与另一方共享密钥。
最强健的认证方法是PKI和证书的使用。小型企业很难负担起PKI系统的管理费用,然而使用一个管理完善的预设共享密钥方案同样有效而且更为便利。
TheGreenBow IPSec VPN客户端均支持这两种方案。
|
IPSec 与 SSL 对比 ? |
|
请查看 IPSec对比SLL 页面。
|
可否利用 IPSec 对 WiFi 内部网络进行安全保障 ? |
|
请查看本网站研究WEP, 802.11i和进行技术比较的 IPSec对比WiFi 页面。
|
什么是 DPD ? |
|
死点侦测(DPD)是因特网密钥交换(IKE)技术的扩展(i.e. RFC3706),专门侦测已断线(已停止运行)的IKE端点。 这个机制的运作由冗余网关功能来实现。
TheGreenBow IPSec VPN客户端软件
|
支持什么版本的 Windows ? |
|
- Windows 2000 (Workstation)
- Windows XP 32-bit. WinXP all service packs, including SP2
- Windows Server 2003 32-bit
- Windows Server 2008 32-bit
- Windows Server 2008 64-bit
- Windows Vista 32/64-bit
- Windows 7 32-bit
- Windows 7 64-bit
|
 |
|
支持哪些语言 ? |
|
TheGreenBow IPSec VPN已实现英语,法语,德语,葡萄牙语和西班牙语版本。
您可以在IPSec VPN客户端软件的安装过程中根据需要选择特定的语言。
|
如何对 IPSec VPN 客户端进行本地化 ? |
|
您想将 TheGreenBow IPSec VPN 客户端本地化吗?请到 IPSec VPN Client localization 页面,下载和翻译 IPSec VPN 客户端字符串文档到您的本地语言。
此本地化程序非常简单易用,而您的翻译将会在我们的新的发行中采用。
|
能够与哪些网关兼容 ? |
|
TheGreenBow IPSec VPN客户端能够和所有遵循标准规则(IKE & IPsec)的IPSec路由器兼容。请查阅已认证的VPN网关 。此列表每日更新,帮助您选择适合的VPN网关。
如果你需要的设备不在此列,请联系本公司的技术支持部门 。我们会对您提供帮助,为您的设备进行鉴定。 我们将会需要您的配置文档,“控制台” 窗口日志和一个在路由器配置界面的屏幕截图。
|
如何把 IPSec VPN 客户端连接到 Linksys VPN 路由器 ? |
|
在技术支持页面您可以下载到大部分可以与 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中一些为Linksys。 这些VPN配置向导由我们的技术组或合作伙伴完成。
TheGreenBow IPSec VPN 客户端支持 Linksys RV082 和 Linksys BEFVP41。 欢迎查看有关 Linksys WRV54G 的 疑难解答。
|
如何安装 TheGreenBow IPSec VPN 客户端使用 Cisco ? |
|
您可以在我们的技术支持页面下载到大多数 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中包括 Cisco。这些VPN配置向导由本公司的技术组或公司合作伙伴完成。
TheGreenBow IPSec VPN客户端支持 Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871, Cisco 1721 等Cisco 网关。
|
TheGreenBow IPSec VPN 客户端是否支持 NAT-T 内网互联 ? |
|
支持!TheGreenBow IPSec VPN客户端支持内网互联Draft 1 (加强), Draft 2 和 3 (完全实现)
- 包括 NAT_OA 支持
- 包括 NAT keepalive
- 包括 NAT-T 野蛮模式
|
TheGreenBow IPSec VPN 客户端是否支持 DNS/WINS discovering ? |
|
支持!IPSec VPN客户端支持"Mode-Config"(模式配置)。"模式配置"是网络交换密钥技术(IKE)的延伸。 模式配置可以通过激活IPSec VPN网关为远程使用者设备(IPSec VPN客户端)提供如DNS/WINS服务器地址等局域网LAN配置。 如果此远程设备不支持"模式配置",IPSec VPN客户端可以通过辨认远程局域网LAN中DNS和WINS服务器的IP地址,以助用户进行局域网定位。
|
TheGreenBow IPSec VPN 客户端能否与 Linksys WRV54G 兼容 ? |
|
TheGreenBow IPSec VPN客户端软件与Linksys WRV54G固件2.37,以及该产品以后的版本的兼容都成功通过了验证。Linksys WRV54G VPN配置向导下载。
LinKsys WRV54G固件2.25.2不接受任何来自使用动态IP地址的IPSec连接。您需要把IPSec VPN客户端的IP地址设置到Linksys配置里面。Linksys推出了一个新固件。 如果您想对它进行验证:请点击这里
TheGreenBow IPSec VPN客户端软件已经成功通过与 Linksys RV082,Linksys BEFVP41的验证。(请查看已认证的VPN网关名单 或下载VPN 网关配置向导)。
|
TheGreenBow IPSec VPN 需要哪些端口 ? |
|
UDP端口500和UDP端口4500必须被打开和允许ESP协议(协议码50)
查阅其他的疑难解答:
如何为在酒店里和hotspots的用户建立VPN连接和VPN端口 ?
无法在Vista下打开VPN隧道,是与Vista防火墙有关吗 ?
IKE端口可以被更改吗 ?
|
可以通过 Microsoft ISA Server 服务器 2000 和 2004 使用 TheGreenBow IPSec VPN 客户端吗 ? |
|
微软公司技术支持资料显示,大多数情况下,ISA Server 2000很难接受 IPSec VPN 通道。
更多关于ISA server 2004的资料,请到Microsoft知识库查阅Q838379
|
在阶段2字段中的“VPN客户端地址(VPN client address)”应该填什么 ? |
|
此字段是IPSec VPN客户端在远程子网络内部将会使用的虚拟IP地址。 对于大多数VPN网关来说,这个地址一定不属于远程网络子网。
例如,如果您使用的VPN网关的子网地址为192.168.0.0/255.255.255.0,那么您应在“VPN客户端地址”栏里填为192.168.100.1或是10.10.10.1.
举例来说:如果您选择的IP地址是一个不在子网中使用的IP地址,如192.168.0.200.
当IPSec VPN客户端发送TCP或UDP数据包到目的远程电脑192.168.0.x时,这个目的远程电脑会向它的内部网络发送ARP请求,以取得IPSec VPN客户端MAC地址(配接卡位址),并向其直接回复。但是,这个请求不能接收任何回复,因为客户端并不是完全的存在于子网内部,因此,从客户端发送来的最初的数据包将不能被回复。
如果您的VPN网关能够对IPSecVPN客户端的ARP请求进行回复,您可以在"VPN Client address"字段填上属于子网的IP地址。
您可以下载我们的 IPSec VPN 客户端 用户指南.
|
可否使用静默模式(silent mode),隐藏GUI界面 ? |
|
可以使用静默模式对IPSec VPN客户端软件进行标准式安装。详细的操作情况请下载:VPN部署向导
|
TheGreenBow IPSec VPN客户端能否与Linksys WRVS4400N 或 WRV200兼容 ? | WRVS4400N 或 WRV200
|
兼容!TheGreenBow IPSec VPN客户端支持Linksys WRVS4400N, Linksys WRV200。(详情请查看已认证网关名单或下载VPN配置指南)。
|
TheGreenBow IPSec VPN客户端能够辨认冗余网关吗 ? |
|
可以!TheGreenBow IPSec VPN客户端可以辨认冗余网关。冗余网关帮助远程使用者安全可靠地连接到企业内部网络。它的功能特性表现在,当首要网关瘫痪或无响应的时候,为TheGreenBow IPSec VPN客户端打通IPSec通道提供一个预备网关。断线侦测功能(Dead Peer Detection)可以侦测出远程网关的无反应状态。
|
IKE端口可否被修改 ? |
|
可以!每一条隧道都可以设定一个专门的IKE端口。
查阅其他的疑难解答:
如何为在酒店里和hotspots的用户建立VPN连接和VPN端口 ?
无法在Vista下打开VPN隧道,是与Vista防火墙有关吗 ?
|
什么是TgbStarter.exe和TgbIke.exe ? |
|
TgbStarter.exe和TgbIke.exe都是TheGreenBow IPSec VPN客户端的组成部分。
- TgbStarter.exe是软件后台程序的组成部分。
- TgbIke.exe是软件的IPSec/IKE运行时。
|
软件激活失败。 |
|
我尝试激活软件,但没有成功( 我收到一个错误代码)。
您可以在软件在线激活帮助指南上找到一个完整的激活帮助手册。
您还可以在任何时候通过我们的手动软件激活过程激活您的软件。
|
什么是默认VPN配置 ? |
|
为了连接我们的在线IPSec VPN网关和服务器,TheGreenBow技术支持组专门配置了一个默认VPN配置。 本公司的IPSec VPN网关和服务器24小时运作,您可以随时利用它们来对测试您的网络环境。默认的VPN配置是嵌入IPSec VPN客户端中的,请您察看在线帮助或者下载以下的默认VPN配置文件。
|
我可以获得一个临时序列号码来继续我的测试吗 ? |
|
可以。序列号将持续几个星期。更多信息,请联系我们的业务部门。
|
当通往企业内部网络的IPSec隧道打开时,如何自动启动我的CRM应用 ? |
|
可以!到配置面版>阶段2,点击scripts. 然后在Script窗口,选择您在隧道打开或关闭前后所需要应用的程序。
|
IPSec VPN 客户端软件是否可以支持双向验证码和 Token 令牌 ? |
|
可以。TheGreenBow 可以支持数对双因数和双向验证 Token 令牌,储存用户,个人认证,如密钥,密码和数码证书。请查阅已认证 Token 令牌名单.
|
如何通过使用“Windows登陆前运行”的功能连接到一个远程Windows域 ? |
|
请完成以下的步骤:
- 请到“P2高级”,选择“Windows登陆前运行”。再点击“OK”和“保存和应用”。
- 下一次,在登陆窗口上,一个小窗口将出现并允许您打开此VPN隧道。数个VPN连接能够在Windows登陆前建立。
现在,请注意,由于这个功能的特性,只能与一个已经被激活的IPSec VPN客户端软件使用。只要 IPSec VPN客户端软件持续在试用模式,它只能在用户点击按钮“测试”后启动,所以,自然是在Windows登陆之后。因此这也是测试版本唯一一个无法被测试的功能。
|
如何为在酒店或hotspots的用户建立VPN连接和VPN端口 ? |
|
更多关于在IKE里NAT-T协商的信息,请看IETF RFC 3948 (UDP IPsec包裹的封装),IETF RFC 3947 (IKE里NAT-T协商) 或文件 "draft-ietf-ipsec-nat-t-ike-08"。也请查看TCP与UDP端口名单。
以下为当TheGreenBow IPSec VPN 客户端软件在任何一台路由器后,VPN连接里的协商阶段以及它们的默认VPN端口。
| 阶段 |
默认端口 |
在哪里更改端口? |
| 阶段1 协商 |
UDP 端口 500 |
到"配置面版">
> "参数"
> "IKE端" |
|
| 阶段2协商 |
UDP 端口 4500 |
到"配置面版"
> "参数"
> "NAT-T 端口" |
| IPSec/IKE协商后的流量 |
逗留在最后定义的端点 |
|
在一些酒店,hotspots或机场,UDP端口500和4500输出访问可能被禁止,防止任何输出VPN连接入您的企业网络。因此有必要配置相应的IKE和NAT-T端口。
此处为一例配置面板的替代VPN端口(例.请记住这只影响UDP协议):
若您决定使用非默认VPN端口(例. UDP500 和UDP4500),目的地路由器(例.您企业网络的边缘端)必须被配置来重新路由与新选VPN端口有关的输入访问流量,新选端口到默认的UDP 500和UDP 4500上,以使他们正确地路由到IPSec服务上。以上图表例,说明某些路由器型号本身不能够提供重新路由端口,并且2个路由器都是必要的。
此处是一个Linux防火墙配置文档,当您的VPN路由器本身不能够提供重新路由端口时,您想加入一个前端防火墙:
|
可以从我们的PKI软件存放用户证书的Windows证书商店里使用证书吗? |
|
可以。当设置一个新的VPN隧道时,
- 请到"阶段一" >"证书管理……"
- 所有Windows证书商店(个人商店)的证书应该在此显示。
- 选择您所需要的证书,点击"K",点击"保存和应用"。
您可能想下载我们的IPSec VPN客户端软的用户指南书.
|
是否支持SHA-2? 支持哪种散列算法? |
|
支持。支持SHA-1 和SHA-2 254-bit。也支持MD5。请见软件技术手册。
|
如何查看VPN连接? |
|
以下为几种查看已开启的VPN连接的方法:
- 右击VPN客户端软件系统托盘图表。绿色标示说明VPN隧道已开启。
- 右击VPN客户端软件系统托盘图表打开配置面板。按键Ctrl+Enter进入或退出连接面板。
- 一旦配置面板弹出,点击“连接”按钮。
|
如何强制 VPN 隧道里的所有互联网流量? |
|
可以强制VPN隧道里的所有互联网流量。如此,远程网关取代远程用户的网络路由出所有互联网流量,远程用户网络IP地址被远程网关IP地址取代而隐身藏于被访网站。企业网络可以应用某些额外的流量扫描来提高安全性。
VPN配置简单的只需3步骤:
- 在“配置面板” >“参数”> 选择“封锁未加密连接”禁止未加密流量被直接路由到互联网。
- 在“配置面板” >“第2阶段”>选择“子网地址”为“地址类型”并设置“远程局域网”和“子网掩码”都为“0.0.0.0”,如此所有流量(通往任何IP地址)将被路由至VPN隧道。 注意:“0.0.0.0”意味着包括通往您本地网络的流量的所有的流量都将被路由通过VPN隧道。
- 远程网关上,同样方式设置VPN隧道,两个配置必与本地子网0.0.0.0/0对称。
注意:某些VPN网关或路由器可能不支持此功能(例:hub&spoke: '0.0.0.0/0'),若支持,您将需要建立规则来授权wan to wan流量。
故障排除
|
“我在控制台收到XXXXX信息”。这是什么意思 ? |
|
您可以下载带有问题说明和有关问题解决提示的TheGreenBow IPSec VPN 客户端控制台信息使用手册文档。如果这个文件无法帮到您,请您把所有关于RECV和SEND交换记录发给我们。 保持log level为0,点击文件保存。Log文件可以在Program Files \Sistech \TheGreenBow \LogFiles找到。
|
没有来自VPN服务器的回复 |
|
如果你收到如下指令,说明远程VPN服务器没有对客户端的IKE请求进行回复。
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
查看远程VPN服务器的日志文件,检查是否已收到来自客户端的请求。如果没有,IKE请求肯定是在发送过程中受到阻扰。请您检查所有在IPSec VPN客户端和VPN服务器之间存在的防火墙(包括个人电脑防火墙)。
|
VPN打开了但无法ping,怎么办 ? |
|
当日志文件(logs)如下所示,说明IPSec VPN隧道已经建立。现在,您可以ping通任何局域网VPN服务器上的设备。TheGreenBow VPN客户端配置正确。
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
如果你仍无法 ping 通远程局域网 LAN,以下有几种解决方法:
- 检查阶段2的设置:VPN 客户端地址和远程局域网 LAN 地址。通常,客户端的 IP 地址不在远程局域网 LAN 的子网中(请查看:在阶段2中的 “VPN 客户端地址” 应该填写什么?)
- 当隧道打开时,数据包将会随着 ESP 协议发送出去。但这个协议可能会被防火墙挡住。请确认所有在客户端与 VPN 服务器之间的设备都接受ESP。
- 检查您VPN服务器的日志文件。数据包可能会被它的某一条防火墙规则挡住。
- 确定您的ISP支持 ESP 协议。
- 如果您还是不能 Ping 通,请跟随VPN服务器局域网 LAN 界面和局域网 LAN 计算机界面上的 ICMP 信息(如Ethereal)。您会看到加密运作正常的指示。
- 确认在VPN服务器局域网中的“默认网关”值。由于缺乏“默认网关”配置,位于远程局域网中的目标可以接受ping但是无法回复。
- 如果您无法通过计算机名来访问局域网中的计算机,您肯定是已经在局域网中确定了它们的IP地址。
详细说明和解决方法,请查阅故障排除。
|
“错误ID信息”(INVALID ID INFORMATION)错误 |
|
如果您发现"错误ID信息"错误,请确定“阶段2”中的ID (本地地址和网络地址)是否正确并符合远程VPN端点的要求。此外还需要检查此ID的类型。 如果网络掩码未被检验,您正使用的是IPV4_ADDR型 (而不是IPV4_SUBNET型)。
122626 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error
122626 Default RECV Informational [HASH][DEL]
122626 Default Cnx-P1 deleted
详细说明和解决方法,请查阅 故障排除。
|
Dell, HP 微型电脑与 Broadcom 芯片 |
|
TheGreenBow推荐客户将Broadcom芯片组和一些Dell或HP的笔记本电脑结合起来把bcmwl5.sys驱动器升级到最新版本。然而,即使没有安装IPSec VPN客户端,这个驱动也会间歇性地导致蓝屏。(升级前或升级后?)
|
英特尔适配器转换效用 |
|
安装TheGreenBow IPSec VPN客户端后,Intel Adapter Switching Utility 英特尔适配器切换工具会导致蓝屏。
如果您使用的是 Intel Pro/Wireless 2100或2200,请按以下步骤操作:
- 点击 开始/ 控制面板 / 添加\删除程序。 删除Intel PROset程序
- 点击 开始/ 控制面板 /系统
选择“硬件”,按下“设备管理器”。
在设备管理器里,点击“添加”键增加“网络适配器”配件。
选定Intel PRO/Wireless LAN 2200 (或 2100) 适配器,点击右键。
在弹出的菜单里选择“卸载”。
- 重新启动电脑。
重启之后计算机会再次侦测无线设备卡并对其进行驱动安装。但不再安装 Intel PROset 驱动器。无线设备卡仍可运行,但附加的适配器交换功能将不能启用。 Windows 设定的无线操作会取代 Intel PROset 。
更多信息,请查看英特尔技术咨询
|
PDA 与 Microsoft ActiveSync 4.1 的同步运作导致死机 |
|
TheGreenBow IPSec VPN 客户端与 ActiveSync 4.x 之间的同步问题可以通过在以下网页下载 USB Killer 软件来解决: http://www.smartphonefrance.info/download/USBKiller.cab
请按以下步骤来操作:
- 复制 USBKiller cab 到您的手动设备中
- 拔出 usb cable
- 安装 USB Killer
- 启动 USB killer
- 选择 "Serial"
- 点击 "Yes"
- 重新插入 cable,利用 ActiveSync 同步操作您的设备
|
我无法卸载 IPSec VPN 客户端软件 |
|
问题: 我无法卸载 IPSec VPN 客户端软件,它总要求我先卸载先前的版本。
解决方法: 您可以使用卸载工具 清洁余下的 IPSec VPN 客户端软件组成部分。
|
当 IKE Daemon 死机该如何发送错误报告? |
|
您可以跟随本页面上所提供的 错误报告 过程。
|
Windows Vista 上的 TheGreenBow 驱动问题 |
|
我们强烈推荐 Windows Vista 用户把网络适配器驱动与 Windows 的更新一起升级。如此可以避免驱动在某些网络配置中的死机。 同时也需要安装 Windows Vista 错误更正包 KB938194。 更多的细节和下载请看此链接: http://support.microsoft.com/?kbid=938194 。
|
无法在Vista下打开VPN隧道,与Vista自带防火墙有关? |
|
一旦TheGreenBow VPN客户端在Vista下安装,它将有可能无法打开VPN隧道。开启中的VPN隧道被封锁,以下是相关IPSec信息(见IPSec VPN客户端控制台):
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
由于Vista防火墙能够禁止IPSec通信,此情况在Windows Vista下会常发生
TheGreenBow VPN IPSec 4.2 (以及之后的版本):此软件在软件安装时在Windows Vista 防火墙下自动建立新规则以允许IPSec VPN 流量。(见 用户手册中的“Windows 防火墙”)。
TheGreenBow VPN IPSec 4.1: 允许IPSec通信(或者检查是否被授权或限制),请按以下步骤:
|
|
打开“Windows防火墙 高级安全设置”。
|
- 在左菜单选择“流入规则”,接着选择右栏“新规则……”。
|
|
在左菜单选择“流入规则”,接着选择右栏“新规则……”。
|
|
|
选择“端口”接着点击“接下来”。
|
- 选择“UDP”接着“确定的本地端口”,填写500和4500两个数值(“500,4500”)并用逗号分隔。
点击“接下来”。
|
|
选择“UDP”接着“确定的本地端口”,填写500和4500两个数值(“500,4500”)并用逗号分隔。
点击“接下来”。
|
|
|
检查“允许连接” 是否被选,点击“接下来”。
|
|
|
确认此规则应用于所有情况。点击“接下来”。
|
|
|
给新规则指定个新名称。点击“完成”。
|
|
|
|
- 在左栏选择“流出规则”并在右栏选“新规则……”,配置完全一样的新规则(例:UDP端口500 和 4500,VPN 流出)。
|
|
在左栏选择“流出规则”并在右栏选“新规则……”,配置完全一样的新规则(例:UDP端口500 和 4500,VPN 流出)。
|
|
以下为几种查看已开启的VPN连接的方法:
)
)
