相关疑问
TheGreenBow IPSec VPN客户端软件
VPN Overview
VPN 是什么 ?
虚拟专用网络 (VPN)是一个可以实现远程办公室或个人用户只需通过因特网(Internet)就能够安全地对企业内部专用网络进行远程访问的功能。以前,企业只能租用昂贵的专线系统来建立供内部使用的虚拟专用网。现在,VPN却以低廉的价格提供相同的服务。
为什么 IPSec 的安全性强 ?
定义:IPSec(因特网安全协议)在IP层通过系统激活提供安全服务,此系统根据使用要求,选择必需的安全协议和计算法则,利用密钥控制访问请求。RFC-2401(www.ietf.org RFC-2401)诠释了IPSec的体系机构。并且IPSec还被选择嵌入到下一版本的互联网协议IPv6。IPSec坚强的体系机构设计决定了它强健的安全性,也因此取代了PPTP等旧模式。
强健的加密功能:ESP(安全载荷封装),DES, 3DES, AES长型密钥 (i.e. 128, 192, 256)
强健的用户身份认证:X-Auth和长型密钥证书(i.e 1536, 2048)
使用因特网密钥交换(IKE)和因特网安全联盟和密钥管理协议(ISAKMP)来自动交换密钥和相互认证。
针对拒绝服务攻击提供保护。IPSec协议使用滑动窗口。数据包都被编码,只有匹配窗口才会被接受。
IPSec客户端软件与USB存储棒的联用,与USB令牌的结合,可以用来保护用户身份/认证信息和VPN配置 (TheGreenBow的特有功能)。
Nat Traversal 是什么 ? 谁可以支持它 ?
定义: 网络地址转换 (NAT) 是为了解决IT管理员在缺乏公共IP地址时遇到的困难而设计的 。网络地址转换设备在通过因特网发送数据包到目的地之前, 将数据包的原始私人 IP 地址改为公共IP地址。 网络地址转换设备使用内部表格对被更改了的地址作记录。 然而不完美的是,它在处理数据包的原始IP地址标头时会影响到 IPSec 功能的发挥。 因特网工程任务组 (IETF) 设计了内网互联 (NAT-T RFC-3193) 为此问题提供了解决方案。 如今, 内网互联被各种路由器和安全设备广泛地应用。
隧道模式 VS 传送模式 ?
隧道模式和传送模式的之间的区别可通过以下两种不同的网络配置来说明:
在隧道模式 中,通常情况下,安全联盟的任意一端或者两端都可以成为安全网关,并且此安全网关充当它后面的主机代理服务器。在隧道模式中,有效数据载荷和整个标头(UDP/TCP和IP)都会被加密。
在传送模式中,安全联盟的一端注定为安全网关,而且此安全网关充当主机(e.g. SNMP命令)。在此模式,只有数据部分会被加密,IP标头维持原状。
TheGreenBowIPSec VPN客户端均支持这两种模式。
预设共享密钥VS证书 ?
IPSec的电脑认证是通过预设共享密钥或电脑证书的使用来实现的。预设共享密钥在认证阶段只会对使用者的一方进行认证。“预设共享”的意思是说您必须在建立安全VPN隧道之前就与另一方共享密钥。
IPSec 与 SSL 对比 ?
请查看 IPSec versus SSL 页面。
可否利用 IPSec 对 WiFi 内部网络进行安全保障 ?
请查看本网站研究WEP, 802.11i和进行技术比较的 IPSec vs. WiFi 页面。
什么是 DPD ?
死点侦测(DPD)是因特网密钥交换(IKE)技术的扩展(i.e. RFC3706),专门侦测已断线(已停止运行)的IKE端点。 这个机制的运作由冗余网关功能来实现。TheGreenBow IPSec VPN客户端软件
支持什么版本的 Windows ?
Windows 98/98SE.
Windows Millennium.
Windows 2000. Win2000 所有服务包.
Windows NT4.
Windows XP. WinXP 所有服务包, 包括 SP2.
Windows Server 2003.
支持什么语言 ?
TheGreenBow IPSec VPN已实现英语,法语,德语,葡萄牙语和西班牙语版本。
如何对 IPSec VPN 客户端进行本地化 ?
您想将 TheGreenBow IPSec VPN 客户端本地化吗?请到 IPSec VPN Client localization 页面,下载和翻译 IPSec VPN 客户端字符串文档到您的本地语言。
能够与哪些网关兼容 ?
TheGreenBow IPSec VPN客户端能够和所有遵循标准规则(IKE & IPsec)的IPSec路由器兼容。请查阅已认证的 VPN 产品名单 。此列表每日更新,帮助您选择适合的VPN网关。技术支持部门 。我们会对您提供帮助,为您的设备进行鉴定。 我们将会需要您的配置文档,“Console” 窗口日志和一个在路由器配置界面的屏幕截图。
如何把 IPSec VPN 客户端连接到 Linksys VPN 路由器 ?
在技术支持 页面您可以下载到大部分可以与 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中一些为Linksys。 这些VPN配置向导由我们的技术组或合作伙伴完成。疑难解答 。
如何安装 TheGreenBow IPSec VPN 客户端使用 Cisco ?
您可以在我们的技术支持 页面下载到大多数 TheGreenBow IPSec VPN 客户端兼容的网关VPN配置向导,其中包括 Cisco。这些VPN配置向导由本公司的技术组或公司合作伙伴完成。
TheGreenBow IPSec VPN 客户端是否支持 NAT-T 内网互联 ?
支持!TheGreenBow IPSec VPN客户端支持内网互联Draft 1 (加强), Draft 2 and 3 (完全实现)
包括 NAT_OA 支持
包括 NAT keepalive
包括 NAT-T 野蛮模式
TheGreenBow IPSec VPN 客户端是否支持 DNS/WINS discovering ?
支持!IPSec VPN客户端支持"Mode-Config"(模式配置)。"Mode-Config"是网络交换密钥技术(IKE)的延伸。 Mode-Config可以通过激活IPSec VPN网关为远程使用者设备(IPSec VPN客户端)提供如DNS/WINS服务器地址等局域网LAN配置。 如果此远程设备不支持"Mode-Config",IPSec VPN客户端可以通过辨认远程局域网LAN中DNS和WINS服务器的IP地址,以助用户进行局域网定位。
TheGreenBow IPSec VPN 客户端能否与 Linksys WRV54G 兼容 ?
TheGreenBow IPSec VPN客户端软件与Linksys WRV54G固件2.37,以及该产品以后的版本的兼容都成功通过了验证。Linksys WRV54G VPN配置向导 下载。这里 已认证的VPN网关名单 或下载VPN 网关配置向导 )。
TheGreenBow IPSec VPN 需要哪些端口 ?
UDP端口500和UDP端口4500必须被打开和允许ESP协议(协议码50)
可以通过 Microsoft ISA Server 服务器 2000 和 2004 使用 TheGreenBow IPSec VPN 客户端吗 ?
微软公司技术支持资料显示,大多数情况下,ISA Server 2000很难接受 IPSec VPN 通道。Q838379
在阶段2字段中的“VPN客户端地址(VPN client address)”应该填什么 ?
此字段是IPSec VPN客户端在远程子网络内部将会使用的虚拟IP地址。 对于大多数VPN网关来说,这个地址一定不属于远程网络子网。用户指南 .
Windows(NT)无法找到/开始TGBSTARTER服务
Windows NT可能无法启动“TgbIKE Starter”。错误信息会告诉使用者:Windows无法找到TgbStarter(即使它确实在系统目录中)。
<[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIKE Starter]
可否使用静默模式(silent mode),隐藏GUI界面 ?
可以使用静默模式对IPSec VPN客户端软件进行标准式安装。详细的操作情况请下载:VPN部署向导
TheGreenBow IPSec VPN客户端能否与Linksys RV082 or BEFVP41兼容 ?
兼容!TheGreenBow IPSec VPN客户端支持Linksys RV082, Linksys BEFVP41。(详情请查看已认证网关名单 或下载VPN配置指南 )。
TheGreenBow IPSec VPN客户端能够辨认冗余网关吗 ?
可以!TheGreenBow IPSec VPN客户端可以辨认冗余网关。冗余网关帮助远程使用者安全可靠地连接到企业内部网络。它的功能特性表现在,当首要网关瘫痪或无响应的时候,为TheGreenBow IPSec VPN客户端打通IPSec通道提供一个预备网关。断线侦测功能(Dead Peer Detection)可以侦测出远程网关的无反应状态。
IKE端口可否被修改 ?
可以!每一条隧道都可以设定一个专门的IKE端口。
什么是TgbStarter.exe和TgbIke.exe ?
TgbStarter.exe和TgbIke.exe都是TheGreenBow IPSec VPN客户端的组成部分。
TgbStarter.exe是软件后台程序的组成部分。(service操作)
TgbIke.exe是软件的IPSec/IKE运行时。
软件激活失败,怎么办。
当我尝试激活软件时,系统信息显示操作失败。软件激活在线帮助 页面找到完整的帮助向导。 手动软件激活 中的程序说明随时激活您的软件。
什么是默认VPN配置 ?
为了连接我们的在线IPSec VPN网关和服务器,TheGreenBow技术支持组专门配置了一个默认VPN配置。 本公司的IPSec VPN网关和服务器24小时运作,您可以随时利用它们来对测试您的网络环境。默认的VPN配置是嵌入IPSec VPN客户端中的,请您察看在线帮助或者下载以下的默认VPN配置文件。
我可以利用临时注册号进行测试吗 ?
可以!临时注册号可以使用数周时间。详情请联系我们的销售部门。
当通往企业内部网络的IPSec隧道打开时,如何自动启动我的CRM应用 ?
可以!到配置面版>阶段2,点击scripts. 然后在Script窗口,选择您在隧道打开或关闭前后所需要应用的程序。
IPSec VPN 客户端软件是否可以支持双向验证码和 Token 令牌 ?
可以。TheGreenBow 可以支持数对双因数和双向验证 Token 令牌,储存用户,个人认证,如密钥,密码和数码证书。请查阅已认证 Token 令牌名单 .故障排除
“我在控制台收到XXXXX信息”。这是什么意思 ?
您可以下载带有问题说明和有关问题解决提示的complete guide of messages from TheGreenBow IPSec VPN Client console 文档。如果这个文件无法帮到您,请您把所有关于RECV和SEND交换记录发给我们。 保持log level为0,点击文件保存。Log文件可以在Program Files \Sistech \TheGreenBow \LogFiles找到。
没有来自VPN服务器的回复
如果你收到如下指令,说明远程VPN服务器没有对客户端的IKE请求进行回复。
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
VPN打开了但无法ping,怎么办 ?
当日志文件(logs)如下所示,说明IPSec VPN隧道已经建立。现在,您可以ping通任何局域网VPN服务器上的设备。TheGreenBow VPN客户端配置正确。
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
检查阶段2的设置:VPN客户端地址和远程局域网LAN地址。通常,客户端的IP地址不在远程局域网LAN的子网中(请查看:在阶段2中的“VPN客户端地址”应该填写什么?)
当隧道打开时,数据包将会随着ESP协议发送出去。但这个协议可能会被防火墙挡住。请确认所有在客户端与VPN服务器之间的设备都接受ESP。
检查您VPN服务器的日志文件。数据包可能会被它的某一条防火墙规则挡住。
确定您的ISP支持ESP协议。
如果您还是不能Ping通,请跟随VPN服务器局域网LAN界面和局域网LAN计算机界面上的ICMP信息(如Ethereal)。您会看到加密运作正常的指示。
确认在VPN服务器局域网中的“默认网关”值。由于缺乏“默认网关”配置,位于远程局域网中的目标可以接受ping但是无法回复。
如果您无法通过计算机名来访问局域网中的计算机,您肯定是已经在局域网中确定了它们的IP地址。
详细说明和解决方法,请查阅故障排除 。
"PAYLOAD MALFORMED" 畸形载荷"错误 (错误阶段一[SA安全联盟]) ?
如果您发现有“畸形载荷”错误,或类似此系列的错误,请检查VPN隧道两边的IKE运算法则是否一致。
114920 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
故障排除 。
"无效的 COOKIE" 错误 ?
如果您发现有"INVALID COOKIE"错误,说明其中一端正在使用一个废弃的安全联盟(SA)。请在两边重新连接VPN。
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105
故障排除 。
"NO KEYSTATE" 错误
如果您发现有“no keystate”错误,请确认预设共享密钥或本地ID是否正确(查看“高级”(Advanced)按钮)。您可以在远程端点的日志文件中可以找到更多资料。
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [KEY][NONCE]
故障排除 。
“所接收的远程ID与所期不符……”错误
如果您发现“所接收的远程ID与所期不符……”错误,“远程 ID ” 值(请看 “高级”按钮) 不符合远程VPN端口的要求。
120351 Default (SA Cnx-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]
故障排除 。
"NO PROPOSAL CHOSEN" 错误
如果您发现有"没有已选提议" 错误(此后),请确定“阶段2”中IPSec VPN隧道两端的运算法则是否一致。
115915 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
115905 Default sysdep_app_open: Init Connection for : Cnx-Cnx-P2 Cnx-remote-addr
故障排除 。
“错误ID信息”(INVALID ID INFORMATION)错误
如果您发现"错误ID信息"错误,请确定“阶段2”中的ID (本地地址和网络地址)是否正确并符合远程VPN端点的要求。此外还需要检查此ID的类型。 如果网络掩码未被检验,您正使用的是IPV4_ADDR型 (而不是IPV4_SUBNET型)。
122626 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
故障排除 。
Dell, HP 微型电脑与 Broadcom 芯片
TheGreenBow推荐客户将Broadcom芯片组和一些Dell或HP的笔记本电脑结合起来把bcmwl5.sys驱动器升级到最新版本。然而,即使没有安装IPSec VPN客户端,这个驱动也会间歇性地导致蓝屏。(升级前或升级后?)
英特尔适配器转换效用
安装TheGreenBow IPSec VPN客户端后,Intel Adapter Switching Utility会导致蓝屏。Intel technical advisory
"Default UDP create:[...] must exist as a listener too"
问题:以下信息出现在控制台:
205618 Default udp_create: xxx.xxx.xxx.xxx: 500 must exist as a listener too
PDA 与 Microsoft ActiveSync 4.1 的同步运作导致死机
http://www.smartphonefrance.info/download/USBKiller.cab
复制 USBKiller cab 到您的手动设备中
拔出 usb cable
安装 USB Killer
启动 USB killer
选择 "Serial"
点击 "Yes"
重新插入 cable,利用 ActiveSync 同步操作您的设备
我无法卸载 IPSec VPN 客户端软件
问题: 我无法卸载 IPSec VPN 客户端软件,它总要求我先卸载先前的版本。our tool 清洁余下的 IPSec VPN 客户端软件组成部分。
当 IKE Daemon 死机该如何发送错误报告?
您可以跟随本页面上所提供的 错误报告 过程。
Windows Vista 上的 TheGreenBow 驱动问题
我们强烈推荐 Windows Vista 用户把网络适配器驱动与 Windows 的更新一起升级。如此可以避免驱动在某些网络配置中的死机。 同时也需要安装 Windows Vista bug fix pack KB938194。 更多的细节和下载请看此链接: http://support.microsoft.com/?kbid=938194 。
)
)
