TheGreenBow Certified 2013 Mode d'emploi

TheGreenBow VPN Certified 2013
Guide Utilisateur
Site Web : http://www.thegreenbow.com
Contact : support@thegreenbow.com
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
1/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Table des matières
1
Présentation.................................................................................................................................................... 4
1.1
Le Client VPN TheGreenBow VPN Certified 2013 ................................................................................. 4
1.2
Le Client VPN universel ......................................................................................................................... 4
1.3
Compatibilité totale avec les IGC (PKI) .................................................................................................. 4
1.4
Sécurité des politiques VPN................................................................................................................... 5
1.5
Fonctions du Client VPN TheGreenBow ................................................................................................ 5
1.6
Conditions de mise en œuvre du Client TheGreenBow VPN Certified 2013 ......................................... 5
2
Installation....................................................................................................................................................... 6
2.1
Installation .............................................................................................................................................. 6
2.2
Période d'évaluation............................................................................................................................... 6
3
Activation ........................................................................................................................................................ 8
3.1
Etape 1................................................................................................................................................... 8
3.2
Etape 2................................................................................................................................................... 9
3.3
Erreur d'activation .................................................................................................................................. 9
3.4
Activation manuelle .............................................................................................................................. 10
3.5
Licence temporaire .............................................................................................................................. 11
3.6
Licence et logiciel activé ...................................................................................................................... 12
4
Mise à jour .................................................................................................................................................... 13
4.1
Comment obtenir une mise à jour ........................................................................................................ 13
4.2
Mise à jour de la politique de sécurité VPN ......................................................................................... 13
4.3
Automatisation ..................................................................................................................................... 14
5
Désinstallation .............................................................................................................................................. 15
6
Utilisation rapide ........................................................................................................................................... 16
6.1
Ouvrir un tunnel VPN ........................................................................................................................... 16
6.2
Configurer un tunnel VPN .................................................................................................................... 16
6.3
Configurer l'ouverture automatique du tunnel ...................................................................................... 16
7
Assistant de configuration............................................................................................................................. 18
8
Interface utilisateur ....................................................................................................................................... 20
8.1
Interface utilisateur............................................................................................................................... 20
8.2
Bureau Windows .................................................................................................................................. 20
8.3
Icône en barre des tâches.................................................................................................................... 21
8.4
Panneau des Connexions .................................................................................................................... 22
9
Panneau de Configuration ............................................................................................................................ 24
9.1
Menus .................................................................................................................................................. 24
9.2
Barre d'état........................................................................................................................................... 25
9.3
Raccourcis ........................................................................................................................................... 25
9.4
Arborescence des tunnels VPN ........................................................................................................... 25
9.5
Fenêtre "A propos…" ........................................................................................................................... 28
10 Importer, exporter la politique de sécurité VPN ............................................................................................ 29
10.1 Importer une politique de sécurité VPN ............................................................................................... 29
10.2 Exporter une politique de sécurité VPN ............................................................................................... 30
10.3 Fusionner des politiques de sécurité VPN ........................................................................................... 31
10.4 Diviser une politique de sécurité VPN .................................................................................................. 31
11 Mode USB .................................................................................................................................................... 32
11.1 Qu'est-ce que le Mode USB ?.............................................................................................................. 32
11.2 Configurer le Mode USB ...................................................................................................................... 32
11.3 Utiliser le Mode USB ............................................................................................................................ 34
12 Configurer un tunnel VPN ............................................................................................................................. 36
12.1 Créer un tunnel VPN ............................................................................................................................ 36
12.2 Configurer la Phase 1 : Authentification ............................................................................................... 36
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
2/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
12.3 Configurer la Phase 2 : IPsec .............................................................................................................. 40
12.4 Configurer les paramètres généraux.................................................................................................... 44
12.5 Enregistrer les modifications ................................................................................................................ 46
13 Gestion des certificats (Options PKI) ............................................................................................................ 47
13.1 Configuration........................................................................................................................................ 47
13.2 Importer un certificat ............................................................................................................................ 51
13.3 Magasin de Certificats Windows .......................................................................................................... 52
13.4 Configurer une Carte à puce ou un Token ........................................................................................... 52
13.5 Utiliser un tunnel VPN avec un Certificat sur Carte à puce .................................................................. 52
14 Partage de bureau distant (Remote Desktop Sharing) ................................................................................. 53
14.1 Configurer le partage de bureau distant............................................................................................... 53
14.2 Utiliser le partage de bureau distant .................................................................................................... 53
15 Mode GINA (Tunnel VPN avant logon Windows) ......................................................................................... 54
15.1 Configurer le Mode GINA..................................................................................................................... 54
15.2 Utiliser le Mode GINA .......................................................................................................................... 55
16 Options ......................................................................................................................................................... 56
16.1 Protection et affichage (interface masquée) ........................................................................................ 56
16.2 Général ................................................................................................................................................ 56
16.3 Options IGC / PKI ................................................................................................................................ 57
16.4 Gestion des langues ............................................................................................................................ 57
17 Contrôle d'accès à la politique de sécurité VPN ........................................................................................... 60
18 Console et Mode Traçant ............................................................................................................................. 61
18.1 Console ................................................................................................................................................ 61
18.2 Mode traçant ........................................................................................................................................ 61
19 Recommandations de sécurité ..................................................................................................................... 63
19.1 Certification .......................................................................................................................................... 63
19.2 Recommandations ............................................................................................................................... 63
20 FAQ .............................................................................................................................................................. 66
20.1 Questions ............................................................................................................................................. 66
20.2 Résolution des problèmes.................................................................................................................... 71
21 Contacts ....................................................................................................................................................... 77
22 Annexe ......................................................................................................................................................... 78
22.1 Référence documentaire ...................................................................................................................... 78
22.2 Raccourcis ........................................................................................................................................... 78
22.3 Liste des langues disponibles .............................................................................................................. 78
22.4 Caractéristiques techniques du Client VPN TheGreenBow ................................................................. 79
22.5 Crédits et Licences .............................................................................................................................. 82
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
3/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
1 Présentation
1.1 Le Client VPN TheGreenBow VPN Certified 2013
Le Client VPN TheGreenBow VPN Certified 2013 est le Client VPN IPsec TheGreenBow certifié selon les
Critères Communs au niveau EAL3+.
La Certification de cette version du Client VPN TheGreenBow apporte à l'utilisateur la garantie d'un produit
hautement sécurisé, à la fiabilité éprouvée et à la qualité de production validée.
Le Client VPN Certified 2013 apporte un haut niveau de sécurité dans l'établissement des tunnels VPN, dans la
gestion des politiques de sécurité VPN, dans leur utilisation et leur exploitation : importation, exportation et
déploiement.
1.2 Le Client VPN universel
Le Client VPN TheGreenBow est un logiciel Client VPN IPsec conçu pour tout poste de travail sous Windows,
nomade ou fixe. Il permet d'établir une connexion et d'assurer une communication sécurisée avec le système
d'information de l'entreprise.
Le Client VPN TheGreenBow est interopérable et compatible avec toutes les passerelles VPN IPsec du marché
(voir la liste des passerelles VPN qualifiées). Il permet aussi d'établir des tunnels VPN en mode point-à-point
entre deux machines équipées du logiciel. Le Client VPN TheGreenBow implémente les protocoles IPsec et IKE
standards.
Pour la plupart des passerelles VPN du marché, TheGreenBow fournit un guide de configuration. Pour configurer
votre passerelle VPN, consultez cette liste des guides de configurations des passerelles VPN.
1.3 Compatibilité totale avec les IGC (PKI)
Le Client VPN TheGreenBow s'intègre totalement dans toutes les IGC (Infrastructure de Gestion de Clés) (alias
PKI). Il apporte une souplesse inégalée dans la prise en compte des certificats et des cartes à puces :
- Compatibilité avec un grand nombre de Token et de carte à puces (voir la liste des Tokens qualifiés),
- Détection automatique des cartes à puce et des Tokens (en PKCS11 comme en CSP) ou du support de
stockage (fichier, magasin de certificat Windows),
- Configuration des Tokens "à la volée",
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
4/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
- Prise en compte de certificats multi-formats (X509, PKCS12, PEM),
- Configuration multi-critères des certificats à utiliser (subject, key usage, etc…).
Le Client VPN TheGreenBow apporte de plus des fonctions de sécurité supplémentaires autour de la gestion des
PKI, comme par exemple l'ouverture et la fermeture automatique du tunnel sur insertion et extraction de la carte
à puce, ou encore la possibilité de configurer l'interface PKI et Carte à Puce dans l'installeur du logiciel, de façon
à automatiser le déploiement.
1.4 Sécurité des politiques VPN
Le Client VPN TheGreenBow apporte un haut niveau de sécurité dans la gestion et dans la prise en compte des
politiques de sécurité VPN.
Le logiciel peut être configuré, dès son installation, pour restreindre totalement l'accès aux politiques de sécurité
VPN à l'administrateur seul.
Le logiciel permet aussi de sécuriser au maximum l'utilisation des politiques de sécurité VPN, en conditionnant
l'ouverture d'un tunnel aux divers mécanismes d'authentification disponibles : X-Auth, certificats, etc…
1.5 Fonctions du Client VPN TheGreenBow
Le Client VPN TheGreenBow offre les fonctions suivantes :
- Etablissement de tunnel VPN IPsec en mode point à point ou en mode poste à passerelle
- Tunnel VPN sur tous types de media : Ethernet, WiFi, 3G, liaison satellite
- Prise en compte des IGC/PKI et gestion des certificats utilisateur et passerelle
- Prise en compte des cartes à puce ou Tokens, et du magasin de certificat Windows
- Mode utilisateur (restreint), administrateur (gestion de la politique de sécurité VPN) et USB (nomade)
- Mode d'ouverture automatique de tunnel et mode GINA
- Authentification X-Auth statique ou dynamique
- Fonction "DPD" (Dead Peer Detection) et bascule automatique du tunnel vers une passerelle VPN redondante
('Redundant gateway')
- Mécanismes de maintien du tunnel VPN sur réseau instable
- Filtrage IP (fonction firewall) des flux non autorisés
Voir en annexe le détail des caractéristiques techniques du Client VPN TheGreenBow.
1.6 Conditions de mise en œuvre du Client TheGreenBow VPN Certified 2013
Le Client TheGreenBow VPN Certified 2013 est certifié sur les plates-formes Windows XP 32bit et Windows 7
32/64bit.
Le logiciel installeur (ainsi que tous les binaires constitutifs) du Client TheGreenBow VPN Certified 2013 est signé
par le certificat TheGreenBow. Ceci permet à l'installateur ou à l'utilisateur de vérifier à tout moment l'intégrité du
programme d'installation.
Si le logiciel est corrompu, un message Windows d'alerte est affiché.
A tout moment, la conformité du logiciel peut être vérifiée en visualisant les propriétés du programme (clic droit
sur le fichier exécutable), et en sélectionnant l'onglet "Signatures numériques".
Par ailleurs, un utilisateur du Client TheGreenBow VPN Certified 2013 peut être averti des vulnérabilités
identifiées dans le logiciel dès lors qu'il s'inscrit à la newsletter TheGreenBow (sur le site web TheGreenBow).
Cette inscription est automatique pour les clients du logiciel (personne ayant fourni son adresse email lors de
l'achat du logiciel).
Important : Voir aussi les recommandations de mise en œuvre du Client VPN TheGreenBow.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
5/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
2 Installation
2.1 Installation
L'installation du Client VPN TheGreenBow s'effectue en exécutant le programme :
TheGreenBow_VPN_Client.exe
L'installation est une procédure standard qui ne requiert aucune saisie de l'utilisateur.
Note : L'exécution de l'installation est configurable, en utilisant une liste d'options de ligne de commande, ou en
utilisant un fichier d'initialisation. Ces options sont décrites dans le document "Guide de Déploiement"
(tgbvpn_ug_deployment_fr.pdf).
2.1.1 Conditions d'installation
L'installation sur Windows XP, Windows Vista et Windows 7 nécessite d'être en mode Administrateur du poste.
Lorsque ce n'est pas le cas, un message d'avertissement prévient l'utilisateur, et l'installation s'arrête.
Le Client TheGreenBow VPN Certified 2013 implémente une vérification de son intégrité. Si le programme est
corrompu, le logiciel ne s'exécute pas et l'utilisateur est averti par la fenêtre suivante :
2.2 Période d'évaluation
A sa première installation sur un poste, le Client VPN est en période d'évaluation de 30 jours. Pendant cette
période d'évaluation, le Client VPN est complètement opérationnel : toutes les fonctions sont disponibles.
A chaque lancement, la fenêtre d'activation est affichée et indique le nombre de jours d'évaluation restants.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
6/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Pour poursuivre l'évaluation du logiciel, sélectionner "Je veux évaluer le logiciel" et cliquer sur "Suivant >".
En période d'évaluation, la fenêtre "A propos…" affiche le nombre de jours d'évaluation restants :
En période d'évaluation, il est toujours possible d'accéder directement à l'activation du logiciel par le menu :
" ? > Assistant d'Activation…" de l'interface principale (panneau de configuration) :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
7/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
3 Activation
Le Client VPN doit être activé pour fonctionner en dehors de la période d'évaluation.
La procédure d'activation est accessible soit à chaque lancement du logiciel, soit via le menu " ? > Assistant
d'activation…" de l'interface principale.
La procédure d'activation est une procédure en deux étapes.
3.1 Etape 1
Entrer dans le champ "Copier ici votre numéro de licence :" le numéro de licence reçu par email.
Pour recevoir le numéro de licence, cliquer sur "Acheter une licence".
Le numéro de licence peut être copié-collé depuis l'email directement dans le champ.
Le numéro de licence est uniquement composé de caractères [0…9] et [A..F], éventuellement regroupés par 6 et
séparés par des tirets.
Entrer dans le champ "Entrer ici votre adresse email :" l'adresse email permettant d'identifier votre activation.
Cette information permet de retrouver, en cas de perte, les informations sur votre activation.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
8/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
3.2 Etape 2
Cliquer sur "Suivant >", le processus d'activation en ligne s'exécute automatiquement.
Lorsque l'activation aboutit, cliquer sur "Démarrer" pour lancer le logiciel.
A noter : L'activation du logiciel est liée au poste sur lequel le logiciel est installé. Ainsi, un numéro de licence qui
ne permet qu'une seule activation ne peut, une fois activé, être réutilisé sur un autre poste.
Réciproquement, l'activation de ce numéro de licence peut-être annulée en désinstallant le logiciel.
3.3 Erreur d'activation
L'activation du logiciel peut ne pas aboutir pour différentes raisons. Chaque erreur est indiquée sur la fenêtre
d'activation. Elle est accompagnée le cas échéant par un lien qui permet d'obtenir des informations
complémentaires, ou qui propose une opération permettant de résoudre le problème.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
9/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Toutes les erreurs d'activation, ainsi que les procédures de résolution du problème d'activation sont décrites sur
le site web TheGreenBow à l'adresse : http://www.thegreenbow.com/support_flow.html?product=vpn&lang=fr
Les erreurs d'activation les plus courantes sont les suivantes :
N°
31
33
53
54
Signification
Le numéro de licence n'est pas correct
Le numéro de licence est déjà activé sur un
autre poste
La communication avec le serveur d'activation
est impossible
Résolution
Vérifier le numéro de licence
Désinstaller le poste sur lequel a été activé la licence,
ou contacter l'équipe commerciale TheGreenBow
Vérifier que le poste est bien connecté à Internet
Vérifier que la communication n'est pas filtrée par un
firewall pour par un proxy. Le cas échéant, configurer
le firewall pour laisser passer la communication, ou le
proxy pour la rediriger correctement.
3.4 Activation manuelle
Quelle que soit l'erreur indiquée pour l'activation en ligne du logiciel, il est toujours possible d'activer le logiciel
"manuellement" sur le site web TheGreenBow :
1
prodact.dat
Poste à
activer
2
Serveur
d’activation
tgbcode.dat
3
Fichier "prodact.dat"
Sur le poste à activer, récupérer le fichier "prodact.dat" situé dans le répertoire
Windows "Mes Documents". (1)
Activation
Sur un poste connecté au serveur d'activation (2), ouvrir la page d'activation
manuelle (3), y poster le fichier prodact.dat et récupérer le fichier tgbcode créé
automatiquement par le serveur.
Fichier "tgbcode"
Copier ce fichier "tgbcode" dans le répertoire Windows "Mes documents" du
poste à activer. Lancer le logiciel : il est activé.
(1) Le fichier "prodact.dat" est un fichier texte qui contient les éléments du poste utilisés pour l'activation. Si ce fichier
n'existe pas dans le répertoire "Mes documents", effectuer sur le poste une activation : même si elle échoue, elle a pour
effet de créer ce fichier.
(2) Le serveur d'activation est le serveur TheGreenBow, accessible sur Internet.
(3) Cf. procédure détaillée ci-dessous
3.4.1 Activation manuelle sur le serveur d'activation TheGreenBow
Sur un poste ayant une connexion au site web TheGreenBow ouvrir la page web suivante :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
10/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
http://www.thegreenbow.com/activation/osa_manual.html?lang=fr
Cliquer sur le bouton "Parcourir" et ouvrir le fichier "prodact.dat" récupéré sur le poste à activer.
Cliquer sur "Envoyer". Le serveur d'activation vérifie la validité des informations du fichier prodact.dat.
Cliquer sur "Effectuer".
Le serveur d'activation présente en téléchargement le fichier contenant le code d'activation destiné au poste à
activer.
Ce fichier a un nom de la forme : tgbcode_[date]_[code].dat (par exemple : tgbcod__20120625_1029.dat)
3.5 Licence temporaire
Il est possible d'acquérir auprès de TheGreenBow des licences d'évaluation, dites licences temporaires, par
exemple pour poursuivre des sessions de tests au-delà de la période d'évaluation standard.
Pour obtenir une licence temporaire, contacter le service commercial par mail : sales@thegreenbow.com
Pendant l'utilisation d'une licence temporaire, la fenêtre d'activation est toujours affichée au démarrage du
logiciel. Un icône identifie que la licence est temporaire, et le nombre de jours restants est affiché.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
11/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Pour lancer le logiciel, cliquer sur "Suivant >"
A la fin de la période de validité de la licence temporaire, le logiciel doit être activé par une licence définitive pour
fonctionner.
3.6 Licence et logiciel activé
Lorsque le logiciel est activé, la licence et l'email utilisés pour l'activation sont consultables dans la fenêtre "A
propos…" du logiciel.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
12/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
4 Mise à jour
Le logiciel permet de vérifier à tout moment si une mise à jour est disponible, via le menu de l'interface principale
: " ? > Mise à jour "
Ce menu ouvre la page web de vérification de mise à jour, qui indique si une mise à jour est disponible et
activable, suivant le type de licence achetée, et suivant le type de maintenance souscrite.
Exemple :
4.1 Comment obtenir une mise à jour
L'obtention d'une mise à jour du logiciel suit les règles suivantes :
En cours de période de maintenance (1)
Hors période de maintenance, ou sans maintenance
Je peux installer toute mise à jour
Je peux installer les mises à jour mineures (2)
(1) La période de maintenance démarre à la première activation du logiciel.
(2) Les versions mineures (ou mises à jour de maintenance) sont identifiées par le dernier chiffre de la version :
par exemple le "2" de "5.12".
Exemple :
J'ai activé le logiciel en version 5.12. Ma période de maintenance a expiré.
Sont autorisées toutes les mises à jour des versions 5.13 à 5.19.
Sont refusées les mises à jour des versions 5.20 et supérieures.
4.2 Mise à jour de la politique de sécurité VPN
Au cours d'une mise à jour, la politique de sécurité VPN (configuration VPN) est automatiquement sauvegardée
et restaurée.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
13/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
A noter : Si l'accès à la politique de sécurité VPN est verrouillé par mot de passe, ce mot de passe est demandé
au cours de la mise à jour, pour autoriser la restauration de la configuration.
4.3 Automatisation
L'exécution d'une mise à jour est configurable, en utilisant une liste d'options de ligne de commande, ou en
utilisant un fichier d'initialisation. Ces options sont décrites dans le document "Guide de Déploiement"
(tgbvpn_ug_deployment_fr.pdf).
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
14/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
5 Désinstallation
Pour désinstaller le Client VPN TheGreenBow :
1/ ouvrir le panneau de contrôle Windows
2/ sélectionner "Ajout/Suppression de programmes"
Ou
1/ Ouvrir le menu Windows "Démarrer"
2/ Sélectionner "Programmes > TheGreenBow > TheGreenBow VPN > Désinstaller le Client VPN"
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
15/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
6 Utilisation rapide
6.1 Ouvrir un tunnel VPN
Le Client VPN TheGreenBow est fourni en standard avec une politique de sécurité VPN de test : tgbtest
Lancer le Client VPN, et dans l'interface principale, double-cliquer sur le tunnel "tgbtest" dans l'arborescence,
comme indiqué ci-dessous :
Le tunnel s'ouvre et le site web de test TheGreenBow est affiché automatiquement.
6.2 Configurer un tunnel VPN
Dans l'interface principale, ouvrir l'assistant de configuration VPN : "Configuration > Assistant de Configuration"
Utiliser l'assistant comme décrit au chapitre Assistant de Configuration.
Pour parfaire ou affiner la configuration VPN, vous trouverez sur le site web TheGreenBow un grand nombre de
guides de configuration disponibles pour la plupart des passerelles VPN.
http://www.thegreenbow.com/vpn/vpn_gateway.html
6.3 Configurer l'ouverture automatique du tunnel
Le Client VPN TheGreenBow permet de configurer un tunnel VPN pour qu'il s'ouvre automatiquement.
1/ Un tunnel VPN peut s'ouvrir automatiquement sur détection de trafic à destination du réseau distant.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
16/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Cf. chapitre "IPsec Avancé"
2/ Un tunnel peut s'ouvrir automatiquement sur ouverture (double-clic) d'une politique de sécurité VPN (fichier
.tgb). Cf. chapitre "IPsec Avancé"
3/ Un tunnel VPN peut s'ouvrir automatiquement sur insertion d'une clé USB contenant la politique de sécurité
VPN adéquate. Cf. chapitre "Mode USB"
4/ Un tunnel VPN peut s'ouvrir automatiquement sur insertion de la Carte à Puce (ou du Token) contenant le
certificat utilisé pour ce tunnel. Cf. chapitre "Utiliser un tunnel VPN avec un Certificat sur Carte à puce"
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
17/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
7 Assistant de configuration
L'assistant de configuration du Client VPN TheGreenBow permet de configurer un tunnel VPN en 3 étapes
simples.
L'utilisation de l'assistant de configuration est illustrée par l'exemple suivant :
- Le tunnel est ouvert entre un poste et une passerelle VPN dont l'adresse DNS est "myrouter.dyndns.org"
- Le réseau local de l'entreprise est 192.168.1.0 (il contient par exemple des machines dont l'adresse IP est
192.168.1.3, 192.168.1.4, etc…)@
- Une fois le tunnel ouvert, le poste distant aura comme adresse IP dans le réseau de l'entreprise : 192.168.1.50
Dans l'interface principale, ouvrir l'assistant de configuration VPN : "Configuration > Assistant de Configuration"
Etape 1 : Choisir l'équipement à l'autre extrémité du tunnel : un autre ordinateur, ou (dans notre exemple) une
passerelle VPN
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
18/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Etape 2 : Entrer successivement :
- l'adresse IP ou DNS de la passerelle VPN, côté réseau Internet (dans notre exemple : myrouter.dyndns.org)
- une valeur de clé partagée (presharedkey) qui devra être identique dans la passerelle VPN
- l'adresse IP du réseau (LAN) de l'entreprise accédée (dans notre exemple 192.168.1.0)
Cliquer sur "Suivant >"
Etape 3 : Vérifier que les paramètres sont corrects, cliquer sur "Terminer"
Le tunnel qui vient d'être configuré apparaît dans l'arborescence des tunnels de l'interface principale.
Double-cliquer sur le tunnel pour l'ouvrir, ou affiner la configuration via les onglets de l'interface principale.
Pour toute configuration plus complexe, ou pour tout complément d'information concernant la configuration des
passerelles VPN, consulter notre site : http://www.thegreenbow.com/vpn
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
19/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
8 Interface utilisateur
8.1 Interface utilisateur
L'interface utilisateur du Client VPN permet :
1/ de configurer le logiciel lui-même (mode de démarrage, langue, contrôle d'accès, etc…),
2/ de gérer les politiques de sécurité VPN (configuration des tunnels VPN, gestion des certificats, importation,
exportation, etc…)
3/ d'utiliser les tunnels VPN (ouverture, fermeture, identification des incidents, etc…)
L'interface utilisateur se répartit en :
- Les éléments du logiciel disponibles sur le bureau Windows (icônes sur le bureau, menu démarrer)
- Un icône en barre des tâches et son menu associé
- Le Panneau des Connexions (liste des tunnels VPN à ouvrir)
- Le Panneau de Configuration (interface principale)
Le Panneau de Configuration est composé des éléments suivants :
- Un ensemble de menus de gestion du logiciel et des politiques de sécurité VPN
- L'arborescence des tunnels VPN
- Des onglets de configuration des tunnels VPN
- Une barre d'état
8.2 Bureau Windows
8.2.1 Menu Démarrer
A l'issue de l'installation, le Client VPN peut être lancé depuis le menu démarrer Windows.
Deux liens sont créés dans le répertoire TheGreenBow / TheGreenBow VPN du menu démarrer :
1/ Lancement du Client VPN TheGreenBow
2/ Désinstallation du Client VPN TheGreenBow
8.2.2 Bureau
Au cours de l'installation du logiciel, l'icône de l'application est créé sur le bureau Windows.
Le Client VPN peut être lancé directement en double-cliquant sur cet icône.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
20/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
8.3 Icône en barre des tâches
8.3.1 Icône
En utilisation courante, le Client VPN TheGreenBow est identifié par un icône situé en barre des tâches.
L'icône change de couleur si un tunnel VPN est ouvert :
Icône bleu : aucun tunnel VPN n'est ouvert
Icône vert : au moins un tunnel VPN est ouvert
Le "tooltip" de l'icône du Client VPN indique à tout moment l'état du logiciel :
- "Tunnel <NomDuTunnel>" si un ou plusieurs tunnels sont ouverts.
- "Attente VPN prêt..." pendant le temps de lancement du moteur VPN IKE.
- "TheGreenBow VPN Certfied 2013" lorsque le Client VPN est lancé, sans tunnel ouvert.
Un clic gauche sur l'icône ouvre l'interface du logiciel (Panneau de Configuration ou Panneau de Connexion)
Un clic droit sur l'icône affiche le menu contextuel associé à l'icône :
8.3.2 Menu
Un clic droit sur l'icône du Client VPN en barre des tâches affiche le menu contextuel associé à l'icône :
Les items du menu contextuel sont les suivants :
1/ Liste des tunnels VPN configurés : Cliquer sur le tunnel VPN pour l'ouvrir ou le fermer
2/ Liste des sessions de partage de bureau à distance : Cliquer sur une session pour l'ouvrir ou la fermer
3/ Console : ouvre la fenêtre des traces VPN
4/ Panneau des Connexions : ouvre le Panneau des Connexions
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
21/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
5/ Panneau de Configuration : ouvre le Panneau de Configuration
6/ Quitter : Ferme les tunnels VPN ouverts et quitte le logiciel.
8.3.3 Popup glissante
Au moment de l'ouverture ou de la fermeture d'un tunnel VPN, une fenêtre glissante apparaît au dessus de
l'icône du Client VPN en barre des tâches. Cette fenêtre identifie l'état du tunnel au cours de son ouverture ou de
sa fermeture, et disparaît automatiquement, à moins que la souris ne soit dessus :
Tunnel en cours d'ouverture
Tunnel ouvert
Tunnel fermé
Incident d'ouverture du tunnel : la fenêtre affiche
l'explication succincte de l'incident, et un lien cliquable
vers plus d'informations sur cet incident.
Note : L'affichage de la fenêtre glissante peut être désactivé, dans le menu "Outils > Options", onglet "Affichage",
option "Ne pas afficher la popup de barre des tâches".
8.4 Panneau des Connexions
Le Panneau des Connexions liste les tunnels VPN configurés et permet de les ouvrir ou de les fermer :
Pour ouvrir un tunnel VPN dans le Panneau des Connexions : double-cliquer sur le tunnel VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
22/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
L'icône à gauche du tunnel indique son état :
Tunnel fermé
Tunnel en cours d'ouverture
Tunnel ouvert
Incident d'ouverture ou de fermeture du tunnel
Chaque tunnel ouvert est précédé d'une jauge
tunnel.
qui indique en temps réel le volume du trafic échangé dans le
Les boutons [?], [+] et [x] permettent les opérations suivantes :
- [?] : affiche la fenêtre "A propos…"
- [+] : ouvre le Panneau de Configuration (interface principale)
- [x] : ferme la fenêtre
Sur le Panneau des Connexions, les raccourcis suivants sont disponibles :
- ESC ferme la fenêtre
- CTRL+ENTER ouvre le Panneau de Configuration (interface principale)
Note : L'accès au Panneau de Configuration peut être protégé par un mot de passe. Voir le chapitre "Contrôle
d'accès à la politique de sécurité VPN".
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
23/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
9 Panneau de Configuration
Le Panneau de Configuration est l'interface principale du Client VPN TheGreenBow.
Le Panneau de Configuration est composé des éléments suivants :
- Un ensemble de menus permettant la gestion du logiciel et des politiques de sécurité VPN
- L'arborescence des tunnels VPN
- Des onglets de configuration des tunnels VPN
- Une barre d'état
9.1 Menus
Les menus du Panneau de Configuration sont :
- Configuration
- Importer : Importation d'une politique de sécurité VPN (Configuration VPN)
- Exporter : Exportation d'une politique de sécurité VPN (Configuration VPN)
- Déplacer sur une Clé USB : Déplacer la politique de sécurité VPN sur une clé USB et initier le Mode USB
- Assistant de Configuration
- Quitter : Fermer les tunnels VPN ouverts et quitter le logiciel
- Outils
- Panneau des Connexions
- Console : Fenêtre de traces des connexions IKE
- Reset IKE : Redémarrage du service IKE
- Options : Options de protection, d'affichage, de démarrage, gestion de la langue, gestion des options IGC/PKI
-?
- Support Online : Accès au support en ligne
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
24/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
- Mise à jour : Vérification de la disponibilité d'une mise à jour
- Acheter une licence en ligne : Accès à la boutique en ligne
- Assistant d'activation
- A propos…
9.2 Barre d'état
La barre d'état en bas de l'interface principale fournit plusieurs informations :
- La "led" à l'extrémité gauche est verte lorsque tous les services du logiciel sont opérationnels (service IKE)
- Le texte à gauche indique l'état du logiciel ("VPN prêt", "Sauve configuration", "Applique Configuration", etc…)
- Lorsqu'il est activé, le mode traçant est identifié au milieu de la barre d'état. L'icône "dossier" bleu à sa gauche
est un icône cliquable qui ouvre le dossier contenant les fichiers de logs générés par le mode traçant.
- La barre de progression à droite de la barre d'état identifie la progression de la sauvegarde d'une Configuration.
9.3 Raccourcis
CTRL+ENTER
CTRL+D
CTRL+ALT+R
CTRL+ALT+D
Permet de basculer au Panneau des Connexions
Ouvre la fenêtre "Console" de traces VPN
Redémarrage du service IKE
Activation du mode traçant (génération de logs)
9.4 Arborescence des tunnels VPN
9.4.1 Utilisation
La partie gauche du Panneau de Configuration est la représentation sous forme d'arborescence de la politique
de sécurité VPN.
Chaque tunnel VPN est caractérisé par une Phase 1 et une Phase 2, et par des paramètres généraux,
configurables en cliquant sur le premier élément de l'arborescence "Paramètres généraux".
L'arborescence peut contenir un nombre illimité de Phases 1 et de Phases 2.
Chaque Phase 1 peut contenir plusieurs Phases 2.
Un clic sur une Phase 1 ouvre dans la partie droite les onglets de configuration de la Phase 1.
Un clic sur une Phase 2 ouvre dans la partie droite les onglets de configuration de la Phase 2.
Un double-clic sur une Phase 2 ouvre le tunnel VPN associé.
L'icône associé à une Phase 2 identifie le statut du tunnel VPN qui lui est associé :
Tunnel fermé
Tunnel configuré pour s'ouvrir automatiquement sur détection de trafic
Tunnel en cours d'ouverture
Tunnel ouvert
Incident d'ouverture ou de fermeture du tunnel
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
25/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
En cliquant successivement deux fois sur une Phase 1 ou une Phase 2, il est possible d'éditer et de modifier le
nom de la Phase.
A noter : Deux Phases 2 ou deux Phases 1 ne peuvent avoir le même nom. Si l'utilisateur saisit un nom déjà
attribué, le logiciel l'en avertit :
Toute modification non sauvegardée de la Configuration VPN est identifiée par le passage en caractères gras de
la Phase modifiée. L'arborescence repasse en caractères normaux dès qu'elle est sauvegardée.
9.4.2 Menus contextuels
Un clic droit sur la Configuration VPN (racine de l'arborescence) affiche le menu contextuel suivant :
- Export
- Déplacer sur clé USB…
- Sauver
- Assistant de Configuration
- Recharger la configuration par défaut
- Reset
- Fermer tous les tunnels
- Nouvelle Phase1
- Coller la Phase1
Permet d'exporter la politique de sécurité VPN complète.
Permet de configurer une clé USB pour passer en "mode USB".
Permet de sauvegarder la politique de sécurité VPN.
Ouvre l'Assistant de Configuration VPN
Le Client VPN TheGreenBow est installé avec une Configuration par
défaut qui permet de tester l'ouverture d'un tunnel VPN. Ce menu
permet de la recharger à tout moment.
Remise à zéro, moyennant confirmation de l'utilisateur, de la politique
de sécurité VPN.
Fermeture de tous les tunnels ouverts.
Ajoute une nouvelle Phase1 à la Configuration VPN.
Colle la Phase1 précédemment copiée dans le "clipboard".
Un clic droit sur une Phase 1 affiche le menu contextuel suivant :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
26/84
Doc.Ref
Doc.version
Version VPN
- Export
- Copier
- Renommer (1)
- Supprimer (1)
- Nouvelle Phase 2
- Coller la Phase 2
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Permet d'exporter la Phase1 sélectionnée.
Copie la Phase 1 sélectionnée dans le "clipboard".
Permet de renommer la Phase 1 sélectionnée.
Permet de supprimer, moyennant confirmation de l'utilisateur, toute la Phase 1, incluant
toutes les éventuelles Phases 2 qui lui sont associées.
Ajoute une nouvelle Phase 2 à la Phase 1 sélectionnée.
Colle dans la Phase 1 sélectionnée, la Phase 2 précédemment copiée dans le
"clipboard".
(1) Ce menu est désactivé tant qu'un des tunnels (Phase 2) de la Phase 1 sélectionnée est ouvert.
Un clic droit sur une Phase 2 affiche le menu contextuel suivant :
Menu tunnel fermé
- Ouvre Tunnel
- Fermer le tunnel
- Export
- Copier
- Renommer (2)
- Supprimer (2)
Menu tunnel ouvert
Affiché si le tunnel VPN est fermé, permet d'ouvrir le tunnel de la Phase 2 sélectionnée.
Affiché si le tunnel VPN est ouvert , permet de fermer le tunnel de la Phase 2
sélectionnée.
Permet d'exporter la Phase 2 sélectionnée.
Permet de copier la Phase 2 sélectionnée.
Permet de renommer la Phase 2 sélectionnée.
Permet de supprimer, moyennant confirmation de l'utilisateur, la Phase 2 sélectionnée.
(1) Cette fonction permet d'exporter le tunnel complet, c'est-à-dire, la Phase 2 et sa Phase 1 associée, et de
créer ainsi une politique de sécurité VPN mono-tunnel complètement opérationnelle (qui peut par exemple
être importée en étant immédiatement fonctionnelle).
(2) Ce menu est désactivé tant que le tunnel est ouvert
9.4.3 Raccourcis
Pour la gestion de l'arborescence, les raccourcis suivants sont disponibles :
- F2 :
Permet d'éditer le nom de la Phase sélectionnée
- DEL :
Si une phase est sélectionnée, la supprime après confirmation de l'utilisateur.
Si la Configuration est sélectionnée (racine de l'arborescence), propose l'effacement (reset) de la
configuration complète.
- CTRL+O : Si une phase 2 est sélectionnée, ouvre le tunnel VPN correspondant.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
27/84
Doc.Ref
Doc.version
Version VPN
- CTRL+W :
- CTRL+C :
- CTRL+V :
- CTRL+N :
- CTRL+S :
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Si une phase 2 est sélectionnée, ferme le tunnel VPN correspondant.
Copie la phase sélectionnée dans le "clipboard".
Colle (ajoute) la phase copiée dans le "clipboard".
Crée une nouvelle Phase 1, si la Configuration VPN est sélectionnée, ou crée une nouvelle Phase
2 pour la phase 1 sélectionnée.
Sauvegarde la politique de sécurité VPN.
9.5 Fenêtre "A propos…"
La fenêtre "A propos…" est accessible
- par le menu " ? > A propos… " du Panneau de Configuration,
- par le menu système du Panneau de Configuration,
- ou par le bouton [?] du Panneau des Connexions.
La fenêtre "A propos…" donne les informations suivantes :
- Le nom et la version du logiciel.
- Lien internet sur le site web TheGreenBow.
- Lorsque le logiciel est activé, le numéro de licence et l'email utilisés pour l'activation.
- Lorsque le logiciel est en période d'évaluation, le nombre de jours restants pour l'évaluation.
- Les versions de tous les composants du logiciel (1).
(1) Il est possible de sélectionner tout le contenu de la liste des versions (clic droit dans la liste et choisir "Tout
sélectionner"), puis de le copier, par exemple pour transmettre l'information à des fins d'analyse.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
28/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
10 Importer, exporter la politique de sécurité VPN
10.1 Importer une politique de sécurité VPN
Le Client VPN TheGreenBow permet d'importer une politique de sécurité VPN de différentes façons :
- Par le menu "Configuration > Importer" du Panneau de Configuration (interface principale)
- Par "Glisser-déposer" d'un fichier de Configuration VPN (fichier ".tgb") sur le Panneau de Configuration
(interface principale)
- Par double-clic sur un fichier de Configuration VPN (fichier ".tgb") (1)
- Par ligne de commande en utilisant l'option " /import " (2)
(1) Dans le cadre du renforcement de la sécurité du produit, cette fonction n'est pas disponible dans la version
TheGreenBow VPN Certified 2013.
(2) L'utilisation des options de ligne de commande du logiciel est détaillée dans le document "Guide de
Déploiement". Y sont en particulier détaillées toutes les options disponibles pour l'importation d'une politique de
sécurité VPN : " /import ", " /add", " /replace " ou " /importonce ".
A noter : Les fichiers de configurations VPN importées portent par défaut l'extension ".tgb".
A l'importation d'une Configuration VPN, il est demandé à l'utilisateur s'il veut ajouter la nouvelle Configuration
VPN à la Configuration courante, ou s'il veut remplacer (écraser) la Configuration courante par la nouvelle
Configuration VPN :
Si la politique de sécurité VPN importée a été exportée protégée par un mot de passe (Cf. "Exportation d'une
politique de sécurité VPN" ci-dessous), le mot de passe est demandé à l'utilisateur
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
29/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Si la politique de sécurité VPN a été exportée avec contrôle d'intégrité (Cf. "Exportation d'une politique de
sécurité VPN" ci-dessous) et qu'elle a été corrompue, un message alerte l'utilisateur, et le logiciel n'importe pas la
Configuration.
Note : Si des tunnels VPN ajoutés ont le même nom que des tunnels VPN de la configuration courante, ils sont
automatiquement renommés au cours de l'importation (ajout d'un incrément entre parenthèse).
Importation des Paramètres Généraux
Si à l'importation, l'utilisateur choisit "Remplacer", ou si la Configuration courante est vide, les Paramètres
Généraux de la configuration VPN importée remplacent les Paramètres Généraux de la configuration courante.
Si à l'importation, l'utilisateur choisit "Ajouter", les Paramètres Généraux de la configuration VPN courante sont
conservés.
Choix utilisateur à l'importation
Ajouter
Remplacer
Configuration courante vide
Configuration courante non vide
Paramètres Généraux remplacés Paramètres Généraux conservés
par les nouveaux
Paramètres Généraux remplacés Paramètres Généraux remplacés
par les nouveaux
par les nouveaux
10.2 Exporter une politique de sécurité VPN
Le Client VPN TheGreenBow permet d'exporter une politique de sécurité VPN de différentes façons :
- Par le menu "Configuration > Exporter" du Panneau de Configuration (interface principale) : La politique de
sécurité VPN entière est exportée.
- Par clic droit sur la racine de l'arborescence du Panneau de Configuration (choisir le menu "Export") : La
politique de sécurité VPN entière est exportée.
- Par clic droit sur une Phase 1 (choisir le menu "Export") : La Phase 1 ainsi que toutes ses Phases 2 associées
est exportée
- Par clic droit sur une Phase 2 (choisir le menu "Export") : Le tunnel unique est exporté, c'est-à-dire la Phase 2
sélectionnée et sa Phase 1 associée.
- Par ligne de commande en utilisant l'option " /export " (1)
(1) L'utilisation des options de ligne de commande du logiciel est détaillée dans le document "Guide de
Déploiement " (tgbvpn_ug_deployment_fr.pdf). Y sont en particulier détaillées toutes les options disponibles pour
l'exportation d'une politique de sécurité VPN : " /export " ou " /exportonce ".
A noter : Les fichiers de configurations VPN exportées portent par défaut l'extension ".tgb".
Quelle que soit la méthode employée, l'opération d'exportation débute par le choix de la protection pour la
politique de sécurité VPN exportée : Elle peut-être exportée protégée (chiffrée) par un mot de passe, ou exportée
"en clair". Quand il est configuré, le mot de passe est demandé à l'utilisateur au moment de l'importation.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
30/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
A noter : qu'elle soit exportée chiffrée ou "en clair", la Configuration exportée peut être protégée en intégrité.
La protection en intégrité de la politique de sécurité VPN exportée est une fonction activable via une clé en Base
de Registre. Cette fonction est détaillée dans le "Guide de Déploiement" (tgbvpn_ug_deployment_fr.pdf)
Lorsqu'une politique de sécurité VPN exportée est protégée en intégrité, et par la suite corrompue, un message
d'alerte prévient l'utilisateur au moment de l'importation, et le logiciel n'importe pas cette configuration (Cf.
chapitre "Importer une politique de sécurité VPN" ci-dessus).
10.3 Fusionner des politiques de sécurité VPN
Il est possible de fusionner plusieurs politiques de sécurité VPN en une seule, en important successivement les
Configurations VPN, et en choisissant "Ajouter" à chaque importation (Cf. chapitre "Importer une politique de
sécurité VPN" ci-dessus).
10.4 Diviser une politique de sécurité VPN
En utilisant les différentes options d'exportation (exportation d'une phase 1 avec toutes les Phases 2 associées,
ou exportation d'un tunnel simple), il est possible de diviser une politique de sécurité VPN en autant de "sousConfigurations" que désiré. (Cf. chapitre "Exporter une politique de sécurité VPN" ci-dessus).
Cette technique peut être utilisée pour déployer les politiques de sécurité VPN d'un parc informatique : dériver
d'une politique VPN commune les politiques VPN associées chacune à un poste, avant de les diffuser à chaque
utilisateur pour importation.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
31/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
11 Mode USB
11.1 Qu'est-ce que le Mode USB ?
Le Client VPN TheGreenBow offre la possibilité de protéger la politique de sécurité VPN (Configuration VPN, preshared key, certificat) sur une clé USB.
Les avantages de ce mode sont les suivants :
1/ La politique de sécurité n'est plus mémorisée sur le poste mais sur un support amovible (la Configuration
VPN qui y est mémorisée est chiffrée et protégée par mot de passe)
2/ Le Client VPN détecte automatiquement l'insertion d'une clé USB contenant une Configuration VPN. Il charge
alors automatiquement cette configuration, et ouvre automatiquement le tunnel configuré.
3/ Lorsque cette clé USB est extraite, le tunnel est automatiquement fermé (et l'éventuelle Configuration VPN du
poste restaurée)
Dans la suite du document, la clé USB contenant la politique de sécurité VPN est appelée "Clé USB VPN".
11.2 Configurer le Mode USB
Le mode USB se configure très simplement via l'assistant de configuration accessible par le menu :
"Configuration > Déplacer sur une clé USB " du Panneau de Configuration.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
32/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
11.2.1 Etape 1 : Choix de la clé USB
Choisir à cette étape la clé USB sur laquelle protéger la politique de sécurité VPN.
Si une clé est déjà insérée, elle est automatiquement présentée dans la liste des clés USB disponibles.
Sinon, il suffit d'insérer à cette étape la clé USB choisie, qui sera détectée automatiquement à l'insertion.
Pas de clé USB insérée
Clé USB déjà insérée
A noter : Le mode USB n'autorise la protection que d'une seule Configuration VPN sur une clé USB. Si une
Configuration VPN est déjà présente sur la clé USB insérée, le message d'alerte suivant est affiché :
A noter : Lorsqu'une clé USB vierge est insérée et qu'elle est la seule à être insérée sur le poste, l'assistant
passe automatiquement à l'étape 2.
11.2.2 Etape 2 : Protection de la politique de sécurité VPN USB
Deux protections sont proposées :
1/ Affiliation au poste de l'utilisateur :
La politique VPN USB peut être associée de façon unique au poste duquel elle est issue. Dans ce cas, la clé
USB VPN ne pourra être utilisée que sur ce poste. Dans le cas contraire (la clé USB n'est pas associée à un
poste en particulier), la clé USB VPN pourra être utilisée sur n'importe quel poste (équipé du Client VPN).
2/ Protection par mot de passe :
La politique de sécurité VPN USB peut être protégée par mot de passe. Dans ce cas, le mot de passe est
demandé à chaque insertion de la clé USB VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
33/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
11.2.3 Etape 3 : Ouverture automatique du tunnel
L'assistant permet de configurer les tunnels qui seront automatiquement ouverts à chaque insertion de la clé
USB VPN.
11.2.4 Etape 4 : Résumé
Le résumé permet de valider le bon paramétrage de la Clé USB VPN.
Sur validation de cette dernière étape, la politique de sécurité VPN du poste est transférée sur la Clé USB.
Elle reste active tant que la Clé USB reste insérée. Sur extraction de la Clé USB VPN, le Client VPN revient à
une Configuration VPN vide.
11.3 Utiliser le Mode USB
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
34/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Lorsque le Client VPN TheGreenBow est lancé, avec une politique de sécurité VPN chargée ou pas, insérer la
Clé USB VPN. La fenêtre d'information suivante est automatiquement affichée :
Sur validation, la politique VPN USB est automatiquement chargée, et, le cas échéant, le(s) tunnel(s)
automatiquement ouvert(s). Le mode USB est identifié dans le Panneau de Configuration, par un icône "Mode
USB" en haut à droite de l'arborescence
Panneau des Connexions
Panneau de Configuration
Sur extraction de la Clé USB VPN, le(s) tunnel(s) VPN USB est (sont) fermé(s), et l'éventuelle politique VPN du
poste est restaurée.
Remarque : Le Client VPN ne prend en compte qu'une seule clé USB VPN à la fois. Tant qu'une clé USB VPN
est insérée, l'insertion d'autres clés USB VPN n'est pas prise en compte.
A noter : La fonction d'importation est désactivée en Mode USB.
En Mode USB, la politique de sécurité VPN USB peut être modifiée. Les modifications apportées à la politique
VPN sont sauvegardées sur la Clé USB VPN.
A noter : Le Client VPN ne propose pas d'option directe pour modifier le mot de passe et l'affiliation ou non à un
poste. Pour les modifier, suivre la procédure suivante :
1/ Insérer la clé USB VPN
2/ Exporter la Configuration VPN
3/ Extraire la clé USB VPN
4/ Importer la configuration VPN exportée à l'étape 2
5/ Relancer l'assistant mode USB avec cette configuration et les nouveaux paramètres souhaités.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
35/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
12 Configurer un tunnel VPN
12.1 Créer un tunnel VPN
Pour créer un nouveau tunnel VPN, utiliser l'Assistant de Configuration ou, dans l'arborescence du Panneau de
Configuration, ajouter une nouvelle Phase 1 puis une nouvelle Phase 2 comme indiqué au chapitre
"Arborescence des tunnels VPN".
Rappel : Dans le Client VPN TheGreenBow, la politique de sécurité VPN peut contenir un nombre illimité de
Phases 1, et chaque Phase 1 peut contenir un nombre illimité de Phases 2.
12.2 Configurer la Phase 1 : Authentification
La Phase 1 d'un tunnel VPN est la phase d'Authentification.
Cette Phase sert à l'identification et à l'authentification mutuelle des extrémités du tunnel VPN (poste et
passerelle), et sert à la négociation des règles de sécurité IKE.
Pour configurer les paramètres de Phase 1, sélectionner cette Phase 1 dans l'arborescence du Panneau de
Configuration. Les paramètres se configurent dans les onglets de la partie droite du Panneau de Configuration.
Une fois la configuration terminée, cliquer sur "Sauver" puis sur "Appliquer" pour que cette configuration soit prise
en compte par le Client VPN.
12.2.1 Authentification
Interface
Adresse IP de l'interface réseau sur laquelle la connexion VPN est ouverte.
Il est possible de laisser au logiciel le soin de déterminer cette interface, en
sélectionnant "Automatique".
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
36/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Privilégier ce choix lorsque le tunnel en cours de configuration est destiné à
être déployé sur un autre poste par exemple.
Adresse routeur distant
Adresse IP ou adresse DNS de la Passerelle VPN distante.
Ce champ doit être obligatoirement renseigné.
Clé partagée
Mot de passe ou clé partagée par la Passerelle distante.
A noter : La clé partagée (preshared key) est un moyen simple de configurer
un tunnel VPN. Il apporte toutefois moins de souplesse dans la gestion de la
sécurité que l'utilisation de certificats. Cf. "Recommandations de sécurité"
Certificat
Utilisation de Certificat pour l'authentification de la connexion VPN.
A noter : L'utilisation de Certificat apporte une plus grande sécurité dans la
gestion des connexions VPN (authentification mutuelle, vérification des durées
de vie, révocation, etc…). Cf. "Recommandations de sécurité"
Se reporter au chapitre dédié : "Gestion des Certificats (Options PKI)"
IKE - Chiffrement
Algorithme de chiffrement négocié au cours de la Phase d'Authentification
DES, 3DES, AES128, AES192, AES256. Cf. "Recommandations de sécurité"
IKE - Authentification
Algorithme d'authentification négocié au cours de la Phase d'Authentification
MD5, SHA-1 et SHA-256 (i-e: SHA-2). Cf. "Recommandations de sécurité"
IKE – Groupe de clé
Longueur de la clé Diffie-Hellman
DH1 (768), DH2 (1024), DH5 (1536), DH14 (2048)
Cf. "Recommandations de sécurité"
12.2.2 Avancé
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
37/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Mode Config
Le Mode Config, une fois activé, permet au Client VPN de récupérer depuis la
Passerelle VPN des éléments de configuration nécessaires à l'ouverture du tunnel
VPN. Voir le paragraphe ci-dessous : Gestion du Mode Config.
Redun. GW
Redundant Gateway (ou Gateway redondante)
Définit l'adresse d'une Passerelle VPN de secours sur laquelle le Client VPN
bascule lorsque la Passerelle VPN initiale est indisponible ou inaccessible.
L'adresse de la Passerelle VPN redondante peut être une adresse IP ou DNS.
Voir le paragraphe ci-dessous : Gestion de la "Redundant Gateway"
Aggressive Mode
Le Client VPN utilise le mode agressif pour se connecter à la Passerelle VPN.
Voir le chapitre "Recommandations de sécurité" concernant l'usage du mode
agressif versus l'usage du Main Mode.
NAT-T
Mode "NAT-Traversal".
Le Client VPN permet de gérer 3types de modes NAT-T :
1/ Désactivé :
Empêche le Client VPN et la Passerelle VPN de passer en
mode NAT-Traversal
2/ Automatique : Laisse le Client VPN et la Passerelle VPN négocier le mode
NAT-Traversal
3/ Forcé :
Le Client VPN force le mode NAT-T par l'encapsulation
systématique des paquets IPsec dans des trames UDP. Ceci
permet de résoudre les problèmes de NAT-Traversal au travers
de certains routeurs intermédiaires.
X-Auth
Voir le paragraphe ci-dessous : Gestion X-Auth
Hybrid Mode
Le Mode Hybride est un mode qui "mélange" deux types d'authentification :
Authentification de la Passerelle VPN classique et authentification X-Auth pour le
Client VPN.
Ainsi, pour activer le Mode Hybride, il est nécessaire que le tunnel soit associé à
un certificat (Cf. Gestion des Certificats), et que la fonction X-Auth soit configurée
(Cf. ci-dessous : Gestion X-Auth).
Local ID
Le"Local ID" est l'identifiant de la Phase d'Authentification (Phase1) que le Client
VPN envoie à la Passerelle VPN distante.
Suivant le type sélectionné, cet identifiant peut être :
- une adresse IP (type = Adresse IP), p.ex. 195.100.205.101
- un nom de domaine (type = FQDN), p.ex. gw.mydomain.net
- une adresse email (type = USER FQDN), p.ex. support@thegreenbow.com
- une chaîne de caractères (type = KEY ID), p.ex. 123456
- le sujet d'un certificat (type = Sujet X509 (alias DER ASN1 DN)), c'est le cas
lorsque le tunnel est associé à un certificat utilisateur (Cf. Gestion des Certificats
(Options PKI))
Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du Client VPN qui est
utilisée par défaut.
Remote ID
Le "Remote ID" est l'identifiant que le Client VPN s'attend à recevoir de la
Passerelle VPN distante.
Suivant le type sélectionné, cet identifiant peut être :
- une adresse IP (type = Adresse IP), par exemple : 80.2.3.4
- un nom de domaine (type = FQDN), par exemple : routeur.mondomaine.com
- une adresse email (type = USER FQDN), par exemple : admin@mydomain.com
- une chaîne de caractères (type = KEY ID), par exemple : 123456
- le sujet d'un certificat (type = DER ASN1 DN)
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
38/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Quand ce paramètre n'est pas renseigné, c'est l'adresse IP de la Passerelle VPN
qui est utilisée par défaut.
Gestion du Mode Config
Le Mode Config, une fois activé, permet au Client VPN de récupérer depuis la Passerelle VPN des éléments de
configuration nécessaires à l'ouverture du tunnel VPN :
- Adresse IP virtuelle du Client VPN
- Adresse d'un serveur DNS (optionnel)
- Adresse d'un serveur WINS (optionnel)
Important : Pour que le Mode Config soit opérationnel, il est nécessaire que la Passerelle VPN le supporte aussi.
Lorsque le Mode Config n'est pas activé, les 3 informations "Adresse du Client VPN", "Serveur DNS" et "Serveur
WINS" sont configurables manuellement dans le Client VPN (Cf. "Phase 2, avancé")
Réciproquement, lorsque le Mode Config est activé, les champs de Phase 2 : "Adresse du Client VPN", "Serveur
DNS" et "Serveur WINS" sont renseignés automatiquement au cours de l'ouverture du tunnel VPN. Ils sont donc
interdits à la saisie (grisés).
Gestion de la "Redundant Gateway"
L'algorithme de prise en compte de la Passerelle redondante est le suivant :
Le Client VPN contacte la Passerelle initiale pour ouvrir le tunnel VPN.
Si le tunnel ne peut être ouvert au bout de N tentatives (N : voir "Configurer les paramètres généraux")
Le Client VPN contacte la Passerelle redondante.
Le même algorithme s'applique à la Passerelle redondante : Si la Passerelle redondante est indisponible, le
Client VPN tente d'ouvrir le tunnel VPN avec la Passerelle initiale.
A noter : Le Client VPN n'essaye pas de contacter la Passerelle redondante si la Passerelle initiale est accessible
mais qu'il y a des incidents d'ouverture du tunnel.
A noter : L'utilisation de la Passerelle redondante peut être couplée à la mise en œuvre du DPD (Dead Peer
Detection, voir "Configurer les paramètres généraux"). Ainsi, quand le Client VPN détecte, grâce au DPD, que la
Passerelle initiale est indisponible, il bascule automatiquement sur la Passerelle redondante.
Gestion X-Auth
X-Auth est une extension du protocole IKE (Internet Key Exchange).
La fonction X-Auth est utilisée pour conditionner l'ouverture du tunnel VPN à la présentation, par l'utilisateur, d'un
login et d'un mot de passe.
A noter : Cette fonction nécessite une configuration équivalente sur la Passerelle VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
39/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Lorsque la case "X-Auth Popup" est cochée, une fenêtre demande à chaque ouverture de tunnel VPN, le login et
le mot de passe d'authentification de l'utilisateur (la fenêtre de demande de login et de mot de passe a pour titre
le nom du tunnel, pour éviter les confusions).
Sur expiration du temps d'attente de cette fenêtre (configurable dans les paramètres généraux), un message
d'alerte avertit l'utilisateur qu'il doit ré-ouvrir le tunnel.
Sur login / mot de passe erroné, un message d'alerte avertit l'utilisateur qu'il doit ré-ouvrir le tunnel.
Le Client VPN permet de mémoriser les login et mot de passe X-Auth dans la politique de sécurité VPN. Ces
login et mot de passe sont alors automatiquement présentés à la Passerelle VPN au cours de l'ouverture du
tunnel.
Cette possibilité facilite l'utilisation et le déploiement du logiciel. Elle reste néanmoins moins sécurisée que la
présentation dynamique de la fenêtre de saisie du login / mot de passe X-Auth.
Il est recommandé de consulter le chapitre "Recommandations de sécurité" pour évaluer la pertinence de la mise
en œuvre de cette fonction.
12.2.3 Certificat
Consulter le chapitre dédié : "Gestion des Certificats (Option PKI)".
12.3 Configurer la Phase 2 : IPsec
La Phase 2 d'un tunnel VPN est la phase IPsec.
Cette Phase sert à la négociation des paramètres de sécurité qui seront appliqués aux données transmises dans
le tunnel VPN..
Pour configurer les paramètres de Phase 2, sélectionner cette Phase 2 dans l'arborescence du Panneau de
Configuration. Les paramètres se configurent dans les onglets de la partie droite du Panneau de Configuration.
Après une modification, cliquer sur "Sauver" puis sur "Appliquer" pour que la configuration soit prise en compte
par le Client VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
40/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
12.3.1 IPsec
Adresse du Client VPN
Adresse IP "virtuelle" du poste, tel qu'il sera "vu" sur le réseau distant.
Techniquement, c'est l'adresse IP source des paquets IP transportés dans le
tunnel IPsec.
A noter : Si le Mode Config est activé, ce champ est grisé (non disponible à la
saisie). Il est en effet automatiquement renseigné au cours de l'ouverture du
tunnel, avec la valeur envoyée par la Passerelle VPN dans l'échange Mode
Config.
Type d'adresse
L'extrémité du tunnel peut être un réseau ou un poste distant.
Voir le paragraphe ci-dessous pour la configuration du Type d'adresse.
ESP - Chiffrement
Algorithme de chiffrement négocié au cours de la Phase IPsec
DES, 3DES, AES128, AES192, AES256 Cf. "Recommandations de sécurité"
ESP - Authentification
Algorithme d'authentification négocié au cours de la Phase IPsec
MD5, SHA-1 et SHA-256 (i-e : SHA-2) Cf. "Recommandations de sécurité"
ESP - Mode
Mode d'encapsulation IPsec : Tunnel ou Transport
Cf. "Recommandations de sécurité"
PFS - Groupe
Activable ou pas : Longueur de la clé Diffie-Hellman
DH1 (768), DH2 (1024), DH5 (1536), DH14 (2048)
Cf. "Recommandations de sécurité"
Configuration du Type d'adresse
Si l'extrémité du tunnel est un réseau, choisir le type
"Adresse réseau" puis définir l'adresse et le masque du
réseau distant :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
41/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Ou choisir "Plage d'adresses" et définir l'adresse de
début et l'adresse de fin :
Si l'extrémité du tunnel est un poste, choisir "Adresse
Poste" et définir l'adresse du Poste distant :
A noter : La fonction "Plage d'adresses" combinée à la fonction "Ouverture automatiquement sur détection de
trafic" permet d'ouvrir automatiquement un tunnel sur détection de trafic vers l'une des adresses de la plage
d'adresses spécifiée (moyennant le fait que cette plage d'adresses soit aussi autorisée dans la configuration de la
Passerelle VPN).
A noter : Si l'adresse IP du poste Client VPN fait partie du plan d'adressage du réseau distant (p.ex. @IP poste =
192.168.10.2 et @réseau distant = 192.168.10.x), l'ouverture du tunnel empêche le poste de communiquer avec
son réseau local. En effet, toutes les communications sont orientées dans le tunnel VPN.
Configuration "tout le trafic dans le tunnel VPN"
Il est possible de configurer le Client VPN pour que l'intégralité du trafic sortant du poste passe dans le tunnel
VPN. Pour réaliser cette fonction, sélectionner le type d'adresse "Adresse réseau" et indiquer comme masque
réseau "0.0.0.0".
Rappel : De nombreux guides de configuration du Client VPN avec différentes Passerelles VPN sont disponibles
sur le site web TheGreenBow : http://www.thegreenbow.com/vpn/vpn_gateway.html
12.3.2 Avancé
Mode d'ouverture
automatique
3 modes d'ouverture automatique du tunnel sont proposés :
1/ Le tunnel s'ouvre automatiquement au démarrage du Client VPN (1)
2/ Le tunnel fait partie d'une configuration sur clé USB (voir Mode USB), et il
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
42/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
est ouvert automatiquement sur insertion de cette clé USB
3/ Le tunnel s'ouvre automatiquement sur détection de trafic à destination
d'une adresse IP faisant partie du réseau distant (voir comment configurer
l'adressage du réseau distant)
Mode Gina (2)
La Gina permet d'ouvrir un tunnel avant le logon Windows.
En cochant cette option, le tunnel apparaît dans la fenêtre Gina VPN et peut
être ouvert avant le logon Windows.
Serveur alternatifs
Champ de saisie des adresses IP des serveurs DNS et WINS du réseau
distant.
A noter : Si le Mode Config est activé, ces champs sont grisés (non disponibles
à la saisie). Ils sont en effet automatiquement renseignés au cours de
l'ouverture du tunnel, avec les valeurs envoyées par la Passerelle VPN dans
l'échange Mode Config.
(1) Cette option permet de configurer l'ouverture automatique d'un tunnel sur double-clic sur le fichier ".tgb" qui le
contient : Sélectionner l'option "Ouvrir automatiquement ce tunnel lorsque le Client VPN démarre", sauvegarder
puis exporter la configuration dans un fichier "tunnel_auto.tgb", quitter le Client VPN.
En double-cliquant sur le fichier "tunnel_auto.tgb", le Client VPN démarre et le tunnel s'ouvre automatiquement.
(2) Par extension, cette option est aussi utilisée pour caractériser un tunnel à ouvrir automatiquement sur
insertion d'une Carte à puce ou d'un Token contenant le certificat utilisé par le Tunnel VPN.
Cf. chapitre "Utiliser un tunnel VPN avec un Certificat sur Carte à puce"
(3) Le mode Gina correspond aux Credential Providers sous Windows Vista et Windows 7.
12.3.3 Scripts
Scripts
Des lignes de commandes peuvent être configurées pour être exécutées :
- Avant l'ouverture du tunnel
- Après l'ouverture du tunnel
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
43/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
- Avant la fermeture du tunnel
- Après la fermeture du tunnel
Les lignes de commande peuvent être :
- l'appel à un fichier "batch", par exemple : " C:\vpn\batch\script.bat "
- l'exécution d'un programme, par exemple " C:\Windows\notepad.exe "
- L'ouverture d'une page web, par exemple : " http://192.168.175.50 "
- etc…
Les applications sont nombreuses :
- Création d'un fichier sémaphore lorsque le tunnel est ouvert, de façon à ce qu'une application tierce puisse
détecter le moment où le tunnel est ouvert,
- Ouverture automatique d'un serveur intranet de l'entreprise, une fois le tunnel ouvert,
- Nettoyage ou vérification d'une configuration avant l'ouverture du tunnel,
- Vérification du poste (anti-virus mis à jour, versionning des applicatifs corrects, etc…) avant l'ouverture du
tunnel,
- Nettoyage automatique (suppression des fichiers) d'une zone de travail sur le poste avant fermeture du tunnel,
- Application de comptabilisation des ouvertures, fermetures et durées des tunnels VPN,
- Modification de la configuration réseau, une fois le tunnel ouvert, puis restauration de la configuration réseau
initiale après fermeture du tunnel,
- etc…
12.3.4 Remote Sharing
Consulter le chapitre dédié : "Partage de bureau distant".
12.4 Configurer les paramètres généraux
Les paramètres généraux sont les paramètres communs à l'ensemble de la politique de sécurité VPN (toutes les
Phases 1 et toutes les Phases 2).
Après une modification, cliquer sur "Sauver" puis sur "Appliquer" pour que la politique soit prise en compte par le
Client VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
44/84
Doc.Ref
Doc.version
Version VPN
Durée de vie (sec.)
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Les durées de vie sont négociées lors de la montée du tunnel.
Chaque extrémité transmet la durée de vie par défaut, et vérifie que la durée
de vie de l'autre extrémité se trouve dans la plage attendue (entre la valeur
minimale et la valeur maximale).
A échéance de la durée de vie, la phase concernée (phase 1 pour
Authentification ou phase 2 pour Chiffrement) est renégociée.
Les durées de vie sont exprimées en secondes.
Les valeurs par défaut sont :
Authentification (IKE)
Chiffrement (IKE)
DPD
Défaut
3600 (1h)
3600 (1h)
Minimale
360 (6min)
300 (5min)
Maximale
28800 (8h)
28800 (8h)
La fonction de DPD (Dead Peer Detection) permet au Client VPN de détecter
que la Passerelle VPN devient inaccessible ou inactive. (1)
- Période de vérification : Période entre deux messages de vérification DPD
envoyés.
- Nombre d'essais : Nombre d'essais infructueux successifs avant de déclarer
que la Passerelle distante est inaccessible
- Durée entre essais : Intervalle entre les messages DPD quand aucune
réponse n'est reçue de la Passerelle VPN.
Retransmissions
Nombre de retransmissions de messages protocolaires IKE avant échec.
X-Auth timeout
Temps pour saisir le login / mot de passe X-Auth
Port IKE
Les échanges IKE Phase 1 (Authentification) s'effectuent sur le protocole UDP,
en utilisant par défaut le port 500. Certains équipements réseau (firewall,
routeurs) filtrent le port 500.
Le paramétrage du port IKE permet de passer ces équipements filtrants.
A noter : La Passerelle VPN distante doit aussi être capable d'effectuer les
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
45/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
échanges IKE Phase 1 sur un port différent de 500.
Port NAT
Les échanges IKE Phase 2 (IPsec) s'effectuent sur le protocole UDP, en
utilisant par défaut le port 4500. Certains équipements réseau (firewall,
routeurs) filtrent le port 4500.
Le paramétrage du port NAT permet de passer ces équipements filtrants.
A noter : La Passerelle VPN distante doit aussi être capable d'effectuer les
échanges IKE Phase 2 sur un port différent de 4500.
Bloquer les flux
Non chiffrés
Lorsque cette option est cochée, seul le trafic passant dans le tunnel est
autorisé. (2)
(1) La fonction de DPD est active une fois le tunnel ouvert (phase 1 monntée).
Associé à une "Redundant Gateway" (Passerelle redondante), le DPD permet au Client VPN de basculer
automatiquement d'une Passerelle à l'autre sur indisponibilité de l'une ou l'autre.
(2) L'option de configuration "Bloquer les flux non chiffrés" accroît "l'étanchéité" du poste, dès lors que le tunnel
VPN est ouvert. En particulier, cette fonction permet d'éviter les risques de flux entrants qui pourraient transiter
dans le tunnel VPN.
Associée à la configuration "Passer tout le trafic dans le tunnel" (voir le chapitre IPsec), cette option permet de
garantir une étanchéité totale du poste, dès lors que le tunnel VPN est ouvert.
12.5 Enregistrer les modifications
- CTRL+S
- ou cliquer sur "Sauver" puis "Appliquer"
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
46/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
13 Gestion des certificats (Options PKI)
Le Client VPN TheGreenBow s'intègre totalement avec la plupart des PKI / IGC du marché.
Le logiciel implémente un ensemble de fonctions d'interfaçage avec les différents supports de stockage des
certificats (fichiers, Windows Certificate Store, Carte à puce et Token) ainsi qu'un ensemble de critères
permettant de caractériser les certificats à utiliser (CRL, sujet, key usage, etc...)
Le Client VPN TheGreenBow gère les certificats X509.
Le Client VPN TheGreenBow exploite les fichiers de certificats aux formats , PKCS12, PEM.
Le Client VPN TheGreenBow accède aux supports de stockage suivants : Windows Certificate Store (CSP),
Carte à puce ou Token (PKCS11 ou CSP).
Le Client VPN gère les certificats utilisateur (côté Client VPN) comme les certificats de la Passerelle VPN.
Remarque : Le Client VPN TheGreenBow ne permet pas de créer de certificats. En revanche, le Client VPN sait
gérer des certificats créés par des logiciels tiers, et stockés sur carte à puce, Token ou dans le Magasin de
Certificat Windows. Le Client VPN permet aussi d'importer des certificats dans la politique de sécurité VPN.
La configuration des certificats se répartit en trois étapes :
1/ L'onglet "Certificat" de la Phase 1 concernée
2/ L'onglet "Options PKI" de la fenêtre " Outils > Options " du Panneau de Configuration
3/ Un fichier de configuration initiale optionnel : vpnconf.ini
13.1 Configuration
13.1.1 Sélectionner un certificat (onglet "Certificat")
Le Client VPN permet d'affecter un certificat utilisateur à un tunnel VPN.
Il ne peut y avoir qu'un seul certificat par tunnel, mais chaque tunnel peut avoir son propre certificat.
Le Client VPN permet de choisir un certificat stocké :
- Dans le fichier de Configuration VPN (voir ci-dessous "Importer un Certificat")
- Dans le magasin de certificats Windows (voir ci-dessous "Magasin de Certificat Windows")
- Sur une Carte à puce ou dans un Token (voir ci-dessous "Configurer une carte à puce ou un Token")
L'onglet " Certificat " de la Phase 2 concernée énumère tous les supports accessibles sur le poste, qui
contiennent des certificats. Si un support ne contient pas de certificat, il n'est pas affiché dans la liste (p.ex. si le
fichier de Configuration VPN ne contient pas de certificat, il n'apparaît pas dans la liste).
En cliquant sur le support désiré, la liste des certificats qu'il contient est affichée.
Cliquer sur le certificat souhaité pour l'affecter au tunnel VPN.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
47/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Une fois le certificat sélectionné, le bouton "Voir le certificat" permet d'afficher le détail du certificat.
Remarque : Une fois le certificat sélectionné, le type de Local ID de la Phase 1 passe automatiquement à "Sujet
X509" (alias DER ASN1 DN), et le sujet du certificat est utilisé par défaut comme valeur de ce "Local ID".
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
48/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
13.1.2 Caractériser le certificat (Onglet "Options PKI")
Le Client VPN TheGreenBow offre plusieurs possibilités pour caractériser le Certificat à utiliser, ainsi que les
cartes à puces ou Tokens.
Cliquer sur le lien "Options PKI" en bas de l'onglet "Certificats" ou
Ouvrir le menu du Panneau de Configuration " Outils > Options " puis sélectionner l'onglet "Options PKI"
Vérifier le certificat de
la passerelle VPN
Cette option indique au Client VPN qu'il doit vérifier le certificat de la Passerelle
VPN au cours le montée du tunnel.
La date de validité du certificat est vérifiée, de même que la signature des
certificats de la chaîne de certification et la CRL associée (certificat non
révoqué).
Voir les Contraintes de configuration ci-dessous (1)
Certificat Passerelle et Client Si le Client VPN et la Passerelle utilisent des certificats issus d'une autorité de
VPN issus de CA différentes
certification différente, cette case doit être cochée (elle permet au Client VPN
d'adapter le protocole d'ouverture du tunnel VPN)
Certificat de type
"Authentification"
Lorsque cette option est cochée, seuls les Certificats de type "Authentification"
(c'est-à-dire dont le "Key Usage" est à "Digital signature") sont pris en compte
par le Client VPN. (2)
Forcer PKCS#11
Le Client VPN sait gérer les lecteurs PKCS11 et CSP.
Lorsque cette option est cochée, le Client VPN ne prend en compte que les
lecteurs et Token PKCS11.
Premier certificat trouvé
Lorsque cette option est cochée, le Client VPN utilise le premier certificat
trouvé sur la Carte à puce ou le Token spécifié, sans tenir compte du sujet du
certificat éventuellement configuré dans le champ Local ID de l'onglet "Avancé"
de la phase 1 concernée.
Utiliser la Configuration VPN
Les lecteurs de carte à puce ou les Tokens utilisés sont mémorisés dans la
Configuration VPN. Le Client VPN privilégie les lecteurs ou Token spécifiés
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
49/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
dans le fichier de Configuration VPN.
Utiliser VpnConf.ini
Le Client VPN privilégie le fichier configuration vpnconf.ini pour identifier les
lecteurs de carte à puce ou les Tokens à utiliser.
Se reporter au document "Guide de Déploiement Options PKI"
(tgbvpn_ug_deployment_pki_fr.pdf)
Utiliser le premier lecteur
trouvé sur ce poste
Le Client VPN utilise le premier lecteur de Carte à puce ou le premier Token
trouvé sur le poste pour y chercher un certificat.
(1) Contrainte de configuration pour l'option "Vérification du certificat de la Passerelle VPN"
La chaîne de certification du certificat de la Passerelle VPN est vérifiée. Il est donc nécessaire d'importer le
certificat racine et les certificats intermédiaires dans le Magasin de Certificats Windows.
De même, les CRL concernant le certificat de la Passerelle sont vérifiées. Elles doivent donc être accessibles
(soit dans le Magasin de Certificat Windows, soit téléchargeables)
(2) Cette fonction permet en particulier de caractériser un Certificat parmi N, lorsque plusieurs certificats ayant
par exemple le même sujet, sont stockés sur la même Carte à puce ou le même Token.
13.1.3 Caractériser une carte à puce ou un Token (fichier vpnconf.ini)
La liste des lecteurs de Cartes à puces et des Tokens compatibles avec le Client VPN TheGreenBow est
disponible sur le site TheGreenBow à l'adresse : http://www.thegreenbow.com/vpn/vpn_Token.html
Pour installer, configurer et exploiter une Carte à puce ou un Token avec le Client VPN TheGreenBow, consulter
le "Guide de Déploiement Options PKI" (tgbvpn_ug_deployment_pki_fr.pdf)
Dès qu'un lecteur est correctement installé, avec la carte à puce insérée, ou dès qu'un Token est accessible, il
est identifié dans la liste des supports de certificats de l'onglet "Certificats" de la Phase 2 sélectionnée.
Pour choisir un certificat, cliquer sur la Carte à puce ou le Token qui le contient, et choisir le certificat désiré.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
50/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
13.2 Importer un certificat
Le Client VPN TheGreenBow permet d'importer dans la politique de sécurité VPN des certificats au format PEM
ou PKCS12. L'intérêt de cette solution, moins sécurisée que l'utilisation du magasin de certificat Windows ou
d'une Carte à puce, est de permettre le "transport" facile des certificats.
13.2.1 Importer un certificat au format PEM
1/ Dans l'onglet Certificat d'une Phase 2, cliquer sur "Importer un Certificat..."
2/ Choisir "Format PEM"
3/ Sélectionner ("Parcourir") les certificats Racine, Utilisateur et clé privée à importer
Note : Le fichier avec la clé privée ne doit pas être chiffré.
4/ Valider
Le certificat apparaît et est sélectionné dans la liste des certificats de l'onglet "Certificat".
Sauvegarder la politique VPN : Le certificat est sauvegardé dans la politique de sécurité VPN.
13.2.2 Importer un certificat au format PKCS12
1/ Dans l'onglet Certificat d'une Phase 2, cliquer sur "Importer un Certificat..."
2/ Choisir "Format P12"
3/ Sélectionner ("Parcourir") le certificat PKCS12 à importer
4/ S'il est protégé par mot de passe, saisir le mot de passe et valider
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
51/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Le certificat apparaît et est sélectionné dans la liste des certificats de l'onglet "Certificat".
Sauvegarder la politique VPN : Le certificat est sauvegardé dans la politique de sécurité VPN.
13.3 Magasin de Certificats Windows
Pour qu'un certificat du Magasin de Certificats Windows soit identifié par le Client VPN, il doit respecter les
caractéristiques suivantes :
- Le Certificat doit être certifié par une autorité de certification (ce qui exclut les certificats auto-signés)
- Le Certificat doit être situé dans le magasin de Certificats "Personnel" (Il représente l'identité personnelle de
l'utilisateur qui veut ouvrir un tunnel VPN vers son réseau d'entreprise).
A noter : Pour gérer les certificats dans le Magasin de Certificats Windows, Microsoft propose en standard l'outil
de gestion "certmgr.msc". Pour exécuter cet outil, aller dans le menu Windows "Démarrer", puis dans le champ
"Rechercher les programmes et fichiers", entrer "certmgr.msc".
13.4 Configurer une Carte à puce ou un Token
Pour configurer et exploiter une Carte à puce ou un Token avec le Client VPN TheGreenBow, consulter le
document dédié "Guide de Déploiement Options PKI" (tgbvpn_ug_deployment_pki_fr.pdf).
13.5 Utiliser un tunnel VPN avec un Certificat sur Carte à puce
Lorsqu'un tunnel VPN est configuré pour exploiter un certificat stocké sur Carte à puce ou sur Token, le PIN code
d'accès à cette Carte à puce est demandé à l'utilisateur à chaque ouverture du tunnel
Si la Carte à puce n'est pas insérée, ou si le Token n'est pas accessible, le tunnel ne s'ouvre pas.
Si le certificat trouvé ne remplit pas les conditions configurées (Cf. "'Options PKI" ci-dessus), le tunnel ne s'ouvre
pas.
Si le PIN code présenté est erroné, le Client VPN avertit l'utilisateur qui a 3 essais consécutifs avant blocage de
la Carte à puce.
Le Client VPN implémente un mécanisme de détection automatique de l'insertion d'une Carte à puce.
Ainsi, les tunnels associés au certificat contenu sur la Carte à puce sont montés automatiquement à l'insertion de
cette Carte à puce. Réciproquement, l'extraction de la Carte à puce ferme automatiquement tous les tunnels
associés.
Cette fonctionnalité est obtenue en cochant l'option "Ouvrir ce tunnel automatiquement lorsqu'une clé USB est
insérée" (Cf. chapitre "IPsec Avancé")
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
52/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
14 Partage de bureau distant (Remote Desktop Sharing)
Le Client VPN TheGreenBow permet de configurer l'ouverture d'une session "Remote Desktop" dans le tunnel
VPN en un seul clic : En un seul clic, le tunnel VPN est ouvert vers le poste distant, et la session RDP (Windows
Remote Desktop Protocol) est automatiquement ouverte sur le poste distant.
14.1 Configurer le partage de bureau distant
1/ Sélectionner le tunnel VPN (la Phase 2) dans lequel sera ouverte la session "Remote Desktop".
2/ Sélectionner l'onglet " Remote Sharing ".
3/ Entrer un alias pour la connexion (ce nom est utilisé pour identifier la connexion dans les différents menus du
logiciel), et entrer l'adresse IP du poste distant.
4/ Cliquer sur "Ajouter" : La session de partage Remote Desktop est ajoutée à la liste des sessions.
14.2 Utiliser le partage de bureau distant
1/ Clic droit sur l'icône en barre des tâches : le menu s'affiche
2/ Cliquer sur la connexion "Remote Desktop" dans le menu en barre des tâches : la connexion s'ouvre.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
53/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
15 Mode GINA (Tunnel VPN avant logon Windows)
Le mode GINA permet d'ouvrir des tunnels avant le logon Windows.
Lorsqu'un tunnel est configuré "en mode GINA", une fenêtre d'ouverture de tunnel similaire au Panneau des
Connexions est affichée sur l'écran de logon Windows. Elle permet d'ouvrir manuellement le tunnel VPN.
Il est aussi possible de configurer le tunnel VPN pour qu'il s'ouvre automatiquement avant le logon Windows
15.1 Configurer le Mode GINA
15.1.1 Ouverture manuelle du tunnel VPN
1/ Sélectionner le tunnel VPN (Phase 2) dans l'arborescence du Panneau de Configuration
2/ Sélectionner l'onglet "Avancé"
3/ Sélectionner (cocher) l'option "Mode Gina : Peut être ouvert avant le logon Windows"
Note : Une alerte rappelle que la fonction de script n'est pas disponible pour un tunnel en mode Gina.
15.1.2 Ouverture automatique du tunnel VPN
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
54/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
1/ Sélectionner le tunnel VPN (Phase 2) dans l'arborescence du Panneau de Configuration
2/ Sélectionner l'onglet "Avancé"
3/ Sélectionner (cocher) l'option "Mode Gina : Peut être ouvert avant le logon Windows"
Note : Une alerte rappelle que la fonction de script n'est pas disponible pour un tunnel en mode Gina.
4/ Sélectionner (cocher) l'option "Ouvrir automatiquement sur détection de trafic"
15.2 Utiliser le Mode GINA
Lorsque le tunnel VPN est configuré en mode GINA, la fenêtre d'ouverture des tunnels GINA est affichée sur
l'écran de logon Windows. Le tunnel VPN s'ouvre automatiquement s'il est configuré dans ce sens.
Note : Sur Windows XP, il faut redémarrer le poste pour activer le mode GINA.
Un tunnel VPN en mode GINA peut parfaitement mettre en œuvre une authentification X-Auth (l'utilisateur doit
alors entrer son login / mot de passe), ou une authentification par certificat (L'utilisateur doit alors entrer le PIN
code d'accès à la carte à puce).
Avertissement : Si deux tunnels sont configurés en mode GINA, et l'un d'eux en ouverture automatique, il se peut
que les deux tunnels s'ouvrent automatiquement.
Remarque : Pour que l'option "Ouvrir automatiquement sur détection de trafic" soit opérationnelle après ouverture
de la session Windows, l'option "Peut-être ouvert avant le logon Windows" ne doit pas être cochée.
Limitation : Les scripts, le Mode Config ainsi que le mode USB ne sont pas disponibles pour les tunnels VPN en
mode GINA.
Considération de sécurité :
Un tunnel configuré en mode Gina peut être ouvert avant le logon Windows, donc par n'importe quel utilisateur
du poste. Il est donc fortement recommandé de configurer une authentification, si possible forte, pour un tunnel
en mode Gina, par exemple une authentification X-Auth, ou de préférence une authentification par Certificat, si
possible sur support amovible. Voir le chapitre Configurer la Phase 1 : Authentification.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
55/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
16 Options
16.1 Protection et affichage (interface masquée)
Le logiciel Client VPN TheGreenBow permet de protéger l'accès à la politique de sécurité VPN par un mot de
passe. Dans la suite de ce document, ce mot de passe est appelé "mot de passe Administrateur".
La protection apportée s'applique d'une part à l'accès au Panneau de Configuration (quel que soit la façon
d'ouvrir le Panneau de Configuration, le mot de passe est demandé), d'autre part à toutes les opérations
possibles sur la politique de sécurité VPN : Modification, enregistrement, importation, exportation.
Ainsi, toute opération d'importation d'une politique de sécurité VPN sera conditionnée à la transmission du mot de
passe Administrateur. Ces options de sécurité sont détaillées dans le document "Guide de Déploiement"
(tgbvpn_ug_deployment_fr.pdf).
Les options de l'onglet "Affichage" dela fenêtre "Options" permettent aussi de masquer toutes les interfaces du
logiciel, en enlevant du menu en barre des tâches les items "Console", "Panneau de Configuration" et "Panneau
des Connexions". Le menu en barre des tâches se réduit ainsi à la seule liste des tunnels VPN disponibles.
Note à destination de l'administrateur : Dans le cadre du déploiement du logiciel, toutes ces options peuvent être
préconfigurées au cours de l'installation du logiciel Client VPN TheGreenBow. Ces options sont décrites dans le
document "Guide de Déploiement" (tgbvpn_ug_deployment_fr.pdf)
L'item "Quitter" du menu en barre des tâches ne peut être supprimé via le logiciel. Il peut toutefois être supprimé
en utilisant les options d'installation (Cf. Guide de Déploiement)
16.2 Général
16.2.1 Mode de démarrage du Client VPN
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
56/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Lorsque l'option "Démarrer le Client VPN après le logon Windows" est cochée, le Client VPN se lance
automatiquement en même temps que Windows, après le logon Windows.
Si l'option est décochée, l'utilisateur doit lancer manuellement le Client VPN, soit par double-clic sur l'icône du
bureau, soit en sélectionnant le menu de lancement du logiciel dans le menu "Démarrer" Windows.
Cf. chapitre "Bureau Windows".
16.2.2 Désactiver la détection de déconnexion
Dans son comportement standard, le Client VPN ferme le tunnel VPN (de son côté), dès lors qu'il constate un
problème de communication avec la passerelle VPN distante.
Pour des réseaux physiques peu fiables, sujets à des micro-déconnexions fréquentes, cette fonction peut
présenter des inconvénients (qui peuvent aller jusqu'à l'impossibilité d'ouvrir un tunnel VPN).
En cochant la case "Désactiver la détection de déconnexion", le Client VPN évite de fermer les tunnels dès
qu'une déconnexion est constatée. Cela permet de garantir une excellente stabilité du tunnel VPN, y compris sur
des réseaux physiques peu fiables, typiquement les réseaux wireless de type WiFi, 3G, 4G, ou satellite.
16.3 Options IGC / PKI
Consulter le chapitre dédié : "Gestion des Certificats (Option PKI)".
16.4 Gestion des langues
16.4.1 Choix d'une langue
Le Client VPN TheGreenBow peut être exécuté en plusieurs langues.
Il est possible de changer de langue en cours d'exécution du logiciel.
Pour choisir une autre langue, ouvrir le menu " Outils > Options " et sélectionner l'onglet "Langue".
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
57/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Choisir la langue souhaitée dans la liste déroulante proposée :
La liste des langues disponibles en standard dans le logiciel est donnée en annexe au chapitre "Liste des
langues disponibles"
16.4.2 Modification ou création d'une langue
Le Client VPN TheGreenBow permet aussi de créer une nouvelle traduction ou d'effectuer des modifications sur
la langue utilisée, puis de tester ces modifications dynamiquement, via un outil de traduction intégré.
Dans l'onglet "Langue", cliquer sur le lien "Editer la langue…", la fenêtre de traduction est affichée :
La fenêtre de traduction est partagée en 4 colonnes qui indiquent respectivement le numéro de la chaîne de
caractère, son identifiant, sa traduction dans la langue d'origine, et sa traduction dans la langue choisie.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
58/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
La fenêtre de traduction permet :
1/ De traduire chaque chaîne de caractère en cliquant sur la ligne correspondante
2/ De rechercher une chaîne de caractère donnée dans n'importe quelle colonne du tableau (champ de saisie
"Chercher", puis utiliser la touche "F3" pour parcourir toutes les occurrences de la chaîne de caractères
recherchée)
2/ De sauvegarder les modifications (bouton "Sauver").
Toute langue modifiée ou créée est sauvegardée dans un fichier ".lng".
3/ D'appliquer immédiatement une modification au logiciel : cette fonction permet de valider en temps réel la
pertinence d'une chaîne de caractère ainsi que son bon affichage (bouton "Appliquer").
4/ D'envoyer à TheGreenBow une nouvelle traduction (bouton "Envoyer").
Le nom du fichier de langue en cours d'édition est rappelé dans l'entête de la fenêtre de traduction.
A noter : Toute traduction envoyée à TheGreenBow est publiée, après vérification, sur le site TheGreenBow, puis
intégrée dans le logiciel, en général dans la version officielle publiée, suivant la réception de la traduction.
Remarque :
Les caractères ou suites de caractères suivantes ne doivent pas être modifiées au cours de la traduction :
"%s"
sera remplacé par le logiciel par une chaîne de caractères
"%d"
sera remplacé par le logiciel par un nombre
"\n"
indique un retour chariot
"&"
indique que le caractère suivant doit être souligné
"%m-%d-%Y" indique un format de date (ici le format américain : mois-jour-année).
Ne modifier ce champ qu'en connaissance du format dans la langue traduite.
La chaîne "IDS_SC_P11_3" doit être reprise sans modification.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
59/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
17 Contrôle d'accès à la politique de sécurité VPN
Tout accès à la politique de sécurité VPN (lecture, modification, application, importation, exportation) peut être
protégé par un mot de passe. Cette protection vaut aussi pour les opérations réalisées via la ligne de commande.
Afin de garantir l'intégrité et la confidentialité de la politique de sécurité VPN, il est recommandé de mettre en
œuvre cette protection.
La protection de la politique de sécurité VPN est configurée via le menu " Outils > Options ", onglet "Affichage".
Dès qu'un mot de passe est configuré, l'ouverture du Panneau de Configuration ou l'accès à la politique de
sécurité VPN (importation, remplacement, ajout) est toujours conditionnée par la saisie de ce mot de passe :
- quand l'utilisateur clique sur l'icône en barre des tâches
- quand l'utilisateur sélectionne le menu "Panneau de Configuration" du menu de l'icône en barre des tâches
- quand l'utilisateur clique sur le bouton [+] du Panneau des Connexions
- lors de l'importation via la ligne de commande d'une nouvelle politique de sécurité VPN
- au cours d'une mise à jour du logiciel
En associant cette option aux autres options de limitation de l'affichage du logiciel, l'administrateur peut
configurer le logiciel en mode quasi-invisible et non-modifiable. Voir le chapitre sur les options d'affichage.
Pour supprimer la protection par mot de passe, vider les deux champs "Mot de passe" et "Confirmer" puis valider.
Note à destination de l'administrateur : La protection de la politique de sécurité VPN peut aussi être configurée en
ligne de commande de l'installation. Cette option est décrite dans le document "Guide de Déploiement"
(tgbvpn_ug_deployment_fr.pdf).
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
60/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
18 Console et Mode Traçant
Le Client VPN TheGreenBow propose deux outils de génération de traces :
1/ La "Console" détaille les informations et les étapes des ouvertures et fermeture des tunnels (messages IKE
pour la plupart)
2/ Le mode "traçant" fait produire par chaque composant du logiciel le log de son activité.
Ces deux outils ont pour but d'aider l'administrateur réseau à diagnostiquer un incident dans l'ouverture des
tunnels, ou le support TheGreenBow dans l'identification d'incidents du logiciel.
18.1 Console
La Console peut être affichée par les moyens suivants :
- Menu "Outils > Console" du Panneau de Configuration (interface principale)
- Raccourci CTRL+D lorsque le Panneau de Configuration est ouvert
- Dans le menu du logiciel en barre des tâches, sélectionner "Console"
Les fonctions de la Console sont les suivantes :
- Sauver : Sauvegarde dans un fichier la totalité des traces affichées dans la fenêtre
- Start / Stop : Démarre / arrête la capture des traces
- Effacer : Efface le contenu de la fenêtre
- Reset IKE : Redémarre le service IKE
18.2 Mode traçant
Le mode traçant est activé par le raccourci : CTRL+ALT+D
Le passage en mode traçant ne nécessite pas de redémarrer le logiciel.
Lorsque le mode traçant est activé, chaque composant du Client VPN TheGreenBow génère les logs de son
activité. Les logs générés sont mémorisés dans un dossier accessible en cliquant sur l'icône "Dossier" bleu dans
la barre d'état du Panneau de Configuration (interface principale).
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
61/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Note à destination de l'administrateur : L'activation des logs ne peut se faire que depuis le panneau de
configuration, dont l'accès peut être strictement réservé à l'administrateur.
Même si les logs ne contiennent pas d'information sensible, il est recommandé que, lorsqu'ils sont activés par
l'administrateur, celui-ci veille à ce qu'ils soient désactivés, et si possible supprimés, lorsqu'il quitte le logiciel.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
62/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
19 Recommandations de sécurité
19.1 Certification
Le Client VPN TheGreenBow VPN Certified 2013 est le Client VPN IPsec TheGreenBow certifié selon les
Critères Communs au niveau EAL3+.
Le Client VPN est certifié sur les plates-formes Windows XP 32bit et Windows 7 32/64bit.
19.2 Recommandations
19.2.1 Recommandations générales
Afin de garantir un niveau de sécurité approprié, les conditions de mise en œuvre et d'utilisation suivantes
doivent être respectées :
- L'administrateur système et l'administrateur sécurité chargés respectivement de l'installation du logiciel et de la
définition des politiques de sécurité VPN sont considérés de confiance.
- L'utilisateur du logiciel est une personne formée à son utilisation. En particulier, elle ne doit pas divulguer les
informations utilisées pour son authentification auprès du système de chiffrement.
- La passerelle VPN à laquelle se connecte le Client VPN permet de tracer l'activité VPN et permet de remonter
le cas échéant les dysfonctionnements ou les violations des politiques de sécurité.
- Le poste de l'utilisateur est sain et correctement administré. Il dispose d'un anti-virus à jour et est protégé par
un pare-feu.
- Les bi-clés et les certificats utilisés pour ouvrir le tunnel VPN, sont générés par une autorité de certification de
confiance.
19.2.2 Précaution de mise en œuvre
La machine sur laquelle est installé et exécuté le logiciel Client VPN IPsec TheGreenBow doit être saine et
correctement administrée. En particulier :
1/ Elle dispose d'un anti-virus dont la base de données est régulièrement mise à jour,
2/ Elle est protégée par un pare-feu qui permet de maîtriser (cloisonner ou filtrer) les communications entrantes
et sortantes du poste qui ne passent pas par le Client VPN,
3/ Son système d'exploitation est à jour des différents correctifs
4/ Sa configuration permet d'éviter les attaques menées localement (analyse de la mémoire, patch ou corruption
de binaire).
Des recommandations de configuration pour durcir le poste de travail sont disponibles sur le site de l'ANSSI, par
exemple (sans que cette liste ne soit exhaustive) :
• Guide d'hygiène informatique
• Guide de configuration
• Mises à jour de sécurité
• Mot de passe
Pour une installation sur poste Windows 7, le guide Microsoft suivant peut aussi être consulté :
Common Criteria Security Target, Windows 7 and Windows Server 2008 R2
19.2.3 Administration du Client VPN
Il est vivement recommandé de protéger l'accès à la politique de sécurité VPN par un mot de passe, et de limiter
la visibilité du logiciel à l'utilisateur final, comme détaillé au chapitre 17 "Contrôle d'accès à la politique de sécurité
VPN"
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
63/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Il est aussi recommandé de définir cette protection au moment de l'installation, via les options d'installation
décrites dans le document "Guide de Déploiement" (tgbvpn_ug_deployment_fr.pdf)
Il est recommandé de veiller à ce que les utilisateurs utilisent le Client VPN dans un environnement "utilisateur",
et d'essayer autant que possible, de limiter l'utilisation du système d'exploitation avec des droits administrateur.
Il est recommandé de conserver le mode "Démarrage du Client VPN avec la session Windows" (après le logon
Windows), qui est le mode d'installation par défaut.
Enfin, il est à noter que le Client VPN TheGreenBow présente la même configuration VPN (politique de sécurité)
à tous les utilisateurs d'un poste multi-utilisateurs. Il est donc recommandé de mettre en œuvre le logiciel sur un
poste dédié (en conservant par exemple un compte administrateur et un compte utilisateur, comme indiqué
précédemment).
19.2.4 Configuration de la politique de sécurité VPN
Données sensibles dans la politique de sécurité VPN
Il est recommandé de ne mémoriser aucune donnée sensible dans le fichier de configuration VPN.
A ce titre, il est recommandé de ne pas utiliser les facilités suivantes offertes par le logiciel :
1/ Ne pas mémoriser le login / mot de passe X-Auth dans la configuration (fonction décrite au chapitre 12.2.2
"Configuration de la Phase1 / Avancé", section "Gestion X-Auth")
2/ Ne pas importer de certificat dans la configuration (fonction décrite au chapitre 13.2 "Importer un Certificat"), et
privilégier l'utilisation de certificats stockés sur support amovible (token) ou dans le magasin de certificat
Windows.
3/ Ne pas utiliser le mode "Pre-Shared Key" (fonction décrite au chapitre 12.2.1 "Phase 1 / Authentification") et
privilégier le mode "Certificat" avec des certificats stockés sur support amovible (token) ou dans le magasin de
certificat Windows.
Authentification de l'Utilisateur
Les fonctions d'authentification de l'utilisateur proposées par le Client VPN sont décrites ci-dessous, de la plus
faible à la plus forte.
En particulier, il est à noter qu'une authentification par clé partagée (pre-shared key), si elle est facile à mettre en
œuvre, permet néanmoins à tout utilisateur ayant accès au poste, de monter un tunnel, sans vérification
d'authentification.
Type d'authentification de l'utilisateur
Clé partagée
X-auth statique
X-Auth dynamique
Certificat mémorisé dans la politique de sécurité VPN
Certificat dans le Magasin de Certificat Windows
Certificat sur Carte à puce ou sur Token
Force
faible
forte
Authentification de la Passerelle VPN
Il est recommandé de mettre en œuvre la vérification du certificat de la Passerelle VPN, tel que décrit au chapitre
13.1.2 "Caractériser le certificat (Onglet "Options PKI")"
Protocole IKE
Il est recommandé de configurer le "Main Mode" plutôt que le Mode Agressif ("Aggressive Mode").
Cf. chapitre 12.3.2 "Configurer la Phase 2 : IPsec / Avancé" (Comment configurer le mode aggressif / main)
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
64/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Mode Tunnel
Il est recommandé de configurer le "Mode Tunnel" plutôt que le Mode Transport.
Cf. chapitre 12.3.1 "Configurer la Phase 2 / IPsec"
Mode Gina
Il est recommandé d'associer une authentification forte à tout tunnel en mode Gina.
Algorithmes cryptographiques et longueur de clés
Dans le cadre de l'utilisation du Client VPN Certified 2013, et pour utiliser le logiciel conformément à l'annexe B-1
du RGS 1.0, il est recommandé :
1/ De choisir AES128 ou AES192 ou AES256 pour les algorithmes IKE – Chiffrement et ESP-Chiffrement
2/ De choisir SHA-2 (SHA-256) pour les algortithmes IKE – Authentification et ESP – Authentification
3/ De choisir DH14 (2048) comme Groupe de clé IKE et comme Groupe PFS.
Recommandations de configuration IPsec de l'ANSSI
Les recommandations décrites ci-dessus peuvent être complétées par le document de configuration IPsec rédigé
par l'ANSSI : Recommandations de sécurité relatives à IPsec pour la protection des flux réseau.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
65/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
20 FAQ
Ce chapitre présente la liste des problèmes fréquemment rencontrés, ainsi que leur résolution.
Consulter le site : http://www.thegreenbow.com/vpn/support.html (onglet FAQ) pour avoir la dernière version de
cette liste.
20.1 Questions
20.1.1 Quelles versions de Windows sont supportées par le Client IPSec TheGreenBow ?
•
•
•
•
•
•
•
Windows XP 32-bit. WinXP all service packs
Windows Server 2003 32-bit
Windows Server 2008 32/64-bit
Windows Vista 32/64-bit
Windows 7 32/64-bit
Windows 8 32/64-bit
Windows 8.1 32/64-bit
20.1.2 Versions compatibles avec d'anciens systèmes d'exploitation Windows
Windows 2000 Server
Windows 98
IPSec VPN Client 4.51
IPSec VPN Client 3.11
20.1.3 Langues disponibles sur le Client VPN IPSec TheGreenBow ?
Le Client VPN IPSec TheGreenBow est disponible en plusieurs langues (Allemand, Anglais, Espagnol, Français,
Portugais, ...).
La langue est choisie durant l'installation du Client VPN IPsec TheGreenBow.
Vous pouvez aussi contribuer aux traductions du logiciel via la page de traduction du logiciel VPN.
20.1.4 Quels sont les passerelles/routeurs VPN compatibles ?
Le client de TheGreenBow IPSec VPN est compatible avec tous les routeurs IPSec conformes aux normes IKE
et IPsec. Visitez la liste des routeurs VPN certifiés, qui augmente chaque jour, pour trouver votre routeur VPN.
Si l'équipement que vous recherchez n'est pas contenu dans cette liste, contactez notre support technique et
nous travaillerons avec vous pour le certifier.
20.1.5 Comment connecter le Client VPN IPsec à un Routeur VPN Linksys ?
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons
certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.
Les routeurs Linksys en font partie: les modèles Linksys RV082, BEFVP41 et Linksys WRV54G sont supportés.
Vous pouvez aussi consulter notre faq Linksys WRV54G.
20.1.6 Comment configurer le Client VPN IPSec pour un Routeur VPN Cisco ?
Nous fournissons des Guides de Configuration VPN pour la plupart des passerelles et routeurs que nous avons
certifiés. Ces guides de configuration VPN sont rédigés par notre équipe de qualification ou par nos partenaires.
Les routeurs Cisco en font partie: Les routeurs Cisco PIX501, Cisco ASA 5510, Cisco PIX 506-E, Cisco 871 et
Cisco 1721 sont supportés.
20.1.7 Le NAT Traversal est il supporté par le Client VPN ?
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
66/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Oui. Le Client VPN IPSec TheGreenBow supporte NAT Traversal Draft 1 (enhanced), Draft 2 and 3 (full
implementation). IP address emulation.
• Incluant le support NAT_OA
• Incluant NAT keepalive
• Incluant NAT-T mode agressif
20.1.8 Le Client VPN IPSec TheGreenBow supporte-t il DNS/WINS discovering ?
Le Client VPN IPSec TheGreenBow supporte le Mode-Config. Le "Mode Config" est une extension de Internet
Key Exchange (IKE) qui permet de récupérer certains paramètres réseau comme les adresses IP des serveurs
DNS/WINS depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Si le "Mode
Config" n'est pas supporté par la gateway distante, le Client VPN IPSec permet aussi la configuration manuelle
des serveurs DNS/WINS de l'entreprise.
20.1.9 le Client VPN est-il compatible avec le routeur WiFi Linksys WRV54G ?
Le Client VPN IPSec TheGreenBow est certifié avec le routeur Linksys WRV54G firmware 2.37 et suivants.
N'hésitez à télécharger le Guide de Configuration VPN du routeur Linksys WRV54G.
Le Firmware 2.25.2 du routeur Linksys WRV54G n'accepte pas les connexions IPSec d'un Client VPN IPSec
avec des adresses IP dynamiques. Cependant, il y a un contournement possible. Vous devez configurer
l'adresse IP du client VPN dans la configuration du Linksys WRV54G. Linksys a produit un firmware plus récent
depuis, que vous pourrez télécharger ici.
Le client VPN IPSec TheGreenBow est aussi certifié avec les routeurs Linksys RV082 et Linksys BEFVP41 (voir
aussi la Liste de Routeurs VPN Certifiés ou télécharger les Guides de Configuration VPN).
20.1.10 Quel port est utilisé par le Client VPN IPSec TheGreenBow ?
Les ports UDP 500 et UDP 4500 doivent être ouverts et le protocole ESP (protocol number 50) doit être autorisé.
Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi
?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
Peut on modifer le port IKE ?
20.1.11 Le Client VPN IPSec TheGreenBow et Microsoft ISA Server 2000 & 2004 ?
D'aprés le support technique de Microsoft, dans la plupart des cas, le trafic VPN IPSec ne traverse pas le serveur
ISA 2000.
Pour plus de détails au sujet du serveur 2004 d'ISA, vous pouvez consulter la page suivante: Q838379 dans la
base de connaissance Microsoft.
20.1.12 Que doit on remplir dans le champ "Adresse Client VPN" en Phase 2 ?
Ce champ est l'adresse IP virtuelle que le Client VPN IPSec aura à l'intérieur du réseau distant. Paradoxalement,
avec la plupart des routeurs VPN, cette adresse ne doit pas appartenir au réseau distant.
Par exemple, si vous utilisez un routeur VPN avec un réseau 192.168.0.0/255.255.255.0, vous devrez la plupart
du temps, spécifier une adresse virtuelle du type 192.168.100.1 ou 10.10.10.1 dans le champ "Adresse Client
VPN".
En effet, si vous choisissez une adresse IP appartenant au réseau distant, par exemple 192.168.0.200, le Client
VPN essaiera de communiquer avec une machine cible du "même" réseau, par exemple 192.168.0.53. Cette
machine cible, en tentant de lui répondre, enverra avant tout une requête ARP afin d'obtenir l'adresse MAC
(physique) du Client VPN. Or, le Client VPN n'étant pas physiquement connecté au réseau, il n'a pas d'adresse
MAC déclarée sur le réseau. Donc la machine cible ne pourra pas répondre au Client VPN. A l'inverse, si le
Client VPN a une adresse IP virtuelle n'appartenant pas au réseau distant, la machine cible cherchera (et
trouvera) l'adresse MAC d'un routeur capable de sortir du réseau (vraisemblablement le routeur VPN concerné).
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
67/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Ainsi, il n'est possible de spécifier une adresse IP virtuelle appartenant au réseau distant que si le routeur VPN
utilisé sait gérer les requêtes ARP émises dans le contexte décrit ci-dessus.
Pour plus d'information, télécharger le Guide Utilisateur du Client VPN IPSec TheGreenBow.
20.1.13 Peut on rendre l'interface utilisateur invisible ?
Il est possible de rendre invisible le Client VPN IPSec. Vous devez télécharger la procédure décrite dans le
document : VPN Deployment Guide
20.1.14 Le Client VPN TheGreenBow est-il compatible avec Linksys WRVS4400N ou
WRV200 ?
Oui, le Client VPN IPSec TheGreenBow est certifié avec les routeurs Linksys WRVS4400N ou WRV200 (voir
aussi Liste Routeurs VPN Certifiés ou télécharger les Guides de Configuration).
20.1.15 Est il possible de définir une gateway de secours ?
Oui. Il est possible de définir une gateway de secours ou Redundant Gateway. La fonctionnalité de Redundant
Gateway permet d'offrir aux utilisateurs mobiles un access au réseau d'entreprise plus disponible et plus simple
utilisation. Le Client VPN TheGreenBow peut ouvrir un tunnel VPN IPSec avec la gateway de secours dans le
cas ou la gateway principale est inaccessible ou non opérationnelle. L'indisponibilité est détectée par la fonction
"Dead Peer Detection" ou DPD.
20.1.16 Peut on modifer le port IKE ?
Oui. Un port IKE spécifique peut être défini. Pour ce faire, allez dans le menu 'Paramètres' globaux dans le
panneau de configuration et entrer le port dans le champ 'Port IKE'.
Voir aussi nos autres FAQs :
Comment configurer les connexions VPN et les ports VPN pour les utilisateurs dans des hôtels ou de bornes wifi
?
Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
20.1.17 L'activation du logiciel n'a pas fonctionné
Quand j'essaie d'activer le logiciel, ça ne fonctionne pas (j'ai un message d'erreur).
Vous pouvez trouver un guide complet concernant l'activation sur notre guide d'activation en ligne.
Vous pouvez aussi activer votre logiciel à tout moment, en suivant la procédure décrite dans notre manuel
d'activation.
20.1.18 Quelle est la configuration VPN à utiliser en cas de test ?
Cette configuration VPN a été conçue par l'équipe technique de TheGreenBow pour se connecter à nos
passerelles VPN IPSec en ligne et aux serveurs. Accessible en permanence, vous pouvez l'utiliser pour tester
votre environnement réseaux à tout moment. Cette configuration de test est intégré dans le Client VPN IPSec
TheGreenBow. Consultez l'aide en ligne ou télécharger le fichier de configuration ci-dessous.
tgbvpn_demo.tgb
20.1.19 Est-ce que je peux avoir des numéros de licence temporaires que je peux utiliser
pendant mes tests ?
Oui, les licences sont valables plusieurs semaines. Pour plus de détails, contacter notre équipe commerciale.
20.1.20 Comment lancer automatiquement l'application CRM, lorsque le tunnel IPsec de
l'intranet entreprise s'ouvre ?
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
68/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Aller à la Phase 2 de votre config tunnel et sélectionner l'onglet "Scripts". Dans cette onglet, vous pourrez choisir
l'application que vous voulez lancer avant ou après l'ouverture ou la fermeture du tunnel.
20.1.21 Est-ce que le Client VPN est compatible avec les tokens et les clés
d'authentification bidirectionnelles ?
Oui. TheGreenBow est compatible avec les fonctions d'authentification à deux facteurs et bidirectionnelle pour
stocker les utilisateurs, les qualifications personnelles telles que des clefs privées, des mots de passe et des
certificats numériques. Veuillez vous référer à la liste des Tokens certifiés.
20.1.22 Comment se connecter à un domaine Windows distant en utilisant la
fonctionnalité "Démarrer le Client VPN avant le Logon Windows" ?
Pour ce faire, suivez ces étapes :
• Cliquer sur 'Phase 2' > onglet 'Avancé', sélectionner 'Peut être ouvert avant le logon Windows'. Puis
cliquer sur 'Ok' et 'Sauver'.
• La prochaine fois que vous ouvrirez une session Windows, une petite fenêtre apparaitra et vous
permettra d'ouvrir ce tunnel VPN. Plusieurs connexions VPN peuvent être ouvertes avant l'ouverture de
la session Windows.
Voir le User Guide pour plus info, utiliser le 'Search' en cherchant 'Gina'.
20.1.23 Comment configurer les connexions VPN et les ports VPN pour les utilisateurs
dans des hôtels ou de bornes wifi ?
Pour plus d'informations sur la négociation de NAT Transversal dans IKE, voir IETF RFC 3948 (UDP
Encapsulation of IPsec Packets), IETF RFC 3947 (Negotiation of NAT-Traversal in the IKE) ou le mémo "draftietf-ipsec-nat-t-ike-08". Regarder aussi la liste des ports TCP et UDP.
Vous trouverez ici les phases de négociation dans la connexion VPN et les ports VPN par défaut quand le client
VPN est derrière un routeur :
Phase
Port par défaut
Où modifier les ports ?
Négociation Phase1
UDP Port 500
Aller dans le 'Panneau de configuration >
'Paramètres' > 'IKE Port'
Négociation Phase2
UDP Port 4500
Aller dans le 'Panneau de configuration' >
'Paramètres' > 'NAT-T Port'
Trafic
après
une Reste sur le dernier port défini
négociation IPSec/IKE
Dans certains hotels, points wifi ou aéroports, les ports UDP 500 et 4500 pour le trafic sortant peuvent être
bloqués, pour empêcher toute connexion étrangère à votre réseau. Il est donc nécessaire de configuer les ports
IKE ET NAT-T en conséquence.
Voici un exemple de port VPN alternatif dans le panneau de configuration (Rappelez vous que cela affecte
uniquement le protocole UDP):
IKE Port
NAT-T Port
80
443
Si vous décidez d'utiliser d'autres ports VPN que ceux par défaut (UDP 500 et UDP 4500), le routeur de
destination (celui en entrée de votre réseau d'entreprise) doit être configuré pour rediriger le trafic entrant
associés aux nouveaux ports VPN sélectionnés sur les ports par défaut UDP 500 et UDP 4500 pour qu'ils
acheminent correctement jusqu'au service IPSec. Voir le diagramme ci-dessus, par exemple, sachant que
certains modèles de routeur ne fournissent pas la capacité de rediriger les ports vers eux-même et deux routeurs
peuvent être nécessaires :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
69/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Voici un fichier de configuration de Parefeu Linux lorsque votre routeur ne permet pas de rediriger les ports vers
lui-même et que vous voulez ajouter un front-end firewall:
firewall-reroute-port.sh
20.1.24 Est-il possible d'utiliser les certificats du Windows Certificate Store là où notre
logiciel PKI place les certificats des utilisateurs ?
Oui. En paramétrant un nouveau tunnel VPN
• Aller sur 'Phase1' > onglet 'Certificat'.
• Tous les certificats du Windows Certificate Store (Personal Store) apparaissent ici.
• Sélectionner le Certificat dont vous avez besoin, cliquer sur 'Ok', cliquer sur 'Sauver'.
Vous pouvez télécharger notre Guide d'utilisateur du Client VPN IPSec.
20.1.25 Est-ce que SHA-2 est supporté ? Quels algorithmes de hachage sont pris en
charge ?
Oui. SHA-1 et SHA-2 256-bit sont supportés. MD5 est aussi supporté. Voir les spécifications du produit.
20.1.26 Comment voir les connexions VPN ?
Il y a plusieurs façon de voir les connexions VPN ouvertes :
• Clic droit sur l'icone systray du Client VPN. La lumière verte signifie que le tunnel VPN est ouvert.
• Clic sur l'icone systray du Client VPN pour ouvrir le Panneau de configuration. Appuyer sur Ctrl+Entrée
pour aller sur le Panneau de connexion, idem pour revenir sur le Panneau de configuration.
• Une fois le Panneau de configuration apparut, cliquer sur le bouton 'Connexions'.
20.1.27 Comment forcer tout le trafic Internet dans le tunnel VPN ?
Il est possible de forcer tout le trafic Internet dans le tunnel VPN. Ce faisant, tout le trafic Internet sera acheminé
à partir de la passerelle distante au lieu du réseau local des utilisateurs distants, et l'adresse IP du réseau de
l'utilisateur distant sera virtuellement cachée sur les sites visités car elle est remplacée par l'adresse IP de la
passerelle distante. De plus, le réseau d'entreprise peut appliquer un niveau d'analyse supplémentaire sur une
partie du trafic pour accroître la sécurité puisque tout le trafic passe par l'entreprise.
La configuration VPN est simple et nécessite 3 étapes:
• Allez sur 'Panneau de Configuration' > 'Paramètres généraux' > sélectionnez 'Block connexion non
chiffrée' afin d'interdire le trafic non chiffré d'être routé directement vers Internet.
• Allez sur 'Panneau de Configuration' > 'Phase2' > selectionnez 'Subnet Address' comme 'Type
d'adresse' et définissez 'Remote LAN' et 'Subet Mask' à '0.0.0.0', de sorte que tout le trafic (vers
n'importe quelle adresse IP) soit routé dans le tunnel VPN. Notez que '0.0.0.0' signifie que tout le trafic y
compris le trafic de votre réseau local sera routé dans le tunnel VPN.
• Sur la passerelle distante, configurez le tunnel VPN de la même manière car les deux configurations
doivent être symétriques avec un sous-réseau local de 0.0.0.0/0.
Remarque: Certains passerelles/Routeurs VPN ne supportent pas cette fonctionnalité (i.e. hub&spoke:
'0.0.0.0/0'). Si supportée, vous aurez besoin pour créer une règle pour autoriser le trafic WAN vers WAN.
20.1.28 Le Client VPN IPSec TheGreenBow est-il compatible avec WWAN ?
Oui. WWAN signifie Wireless Wide Area Network. WWAN est maintenant compatible avec plusieurs
modem/adaptateurs 3G/4G de différents fabricants. WWAN utilise des technologies de télécommunication de
réseau mobile telles que WiMAX, UMTS, GPRS, CDMA2000, GSM, HSDPA ou 3G/4G pour transférer des
données. La connectivité WWAN permet à un utilisateur d'un ordinateur portable muni d'une carte WWAN de
surfer sur internet, de vérifier les emails ou de se connecter à un réseau privé virtuel (VPN) à partir de n'importe
où dans les limites régionales du réseau mobile.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
70/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Microsoft a introduit le pilote miniport WWAN pour supporter cette spécification. L'adaptateur miniport WWAN est
utilisé pour gérer l'installation, la configuration, la transmission des paquets, la réception de paquets et la
déconnexion des données NDIS.
Tous les fabricants doivent prendre en compte les pilotes "Mobile Broadband Driver Model Specification" pour
Windows 7 basées sur le modèle du pilote miniport NDIS6.20.
Consulter la liste des modems/adaptateurs 3G/4G.
20.1.29 Comment améliorer les performances du trafic VPN en changeant le MTU ?
La taille de MTU a un impact sur la performance du trafic VPN. Il est possible de changer la taille MTU pour tout
le trafic passant par un tunnel VPN. Le Maximum Transmission Unit (MTU) est la taille du plus gros paquet
envoyés sur TCP/IP. Les messages plus grand que le MTU doivent être divisés en petits paquets qui diminue la
performance.
Voici comment modifier le MTU pour le trafic VPN par l'ajout d'une entrée dans la registry: (Ne fonctionne pas sur
Vista et Seven avec les versions 5.x du logiciel.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TgbIpSec\Parameters] "MTUSize"=dword:000004b0
Value limits: #4b0 < MTUSize < #ffff (or 1200 < MTUSize < 65535)
Remarque : pour la version 5.1 du logiciel (sur Windows Vista et Seven): La possibilité de modifier la taille du
MTU n'est plus nécéssaire. La taille du MTU du client VPN est réglée automatiquement sur celle de l'interface
réseau Windows lors de l'ouverture d'un tunnel.
20.1.30 Comment partager son bureau à distance dans un tunnel VPN en un seul click ?
Nous avons mis en œuvre le partage de bureau à distance (Remote desktop Sharing) dans le Client VPN IPSec:
• Cette fonctionnalité permet à un utilisateur de partager sa machine sur le réseau d'entreprise à partir
d'un emplacement à distance comme à la maison.
• Lorsque l'utilisateur clique sur un alias de la session de partage de bureau, le tunnel VPN associés
s'ouvre automatiquement, et une session Remote Desktop Protocol est lancé pour atteindre la machine
distante.
• Voir cette fonctionnalité ici
Voici les quelques logiciels tiers qui permettent ceci et qui ont utilisé les options en lignes de commande:
• Devolutions.net: Remote Desktop Manager est une application qui permet de gérer toutes ses
connexions remote et machines virtualles. Ajouter, éditer, remplacer et trouver rapidement vos
connexions distantes. Devolution a developé un plugin pour ouvrir et fermer les tunnels avant d'ouvrir
automatiquement une session RDP et import un fichier de configuration VPN. Tres bien fait, voir le
tutorial video
20.1.31 Comment désactiver la Gina ?
Le mode Gina est disponible sur Windows Vista et Seven. Toutefois, lorsque Windows revient du mode de veille
ou hibernation, il est parfois impossible d'ouvrir un tunnel. Pour corriger cela, il est possible de désactiver le mode
de Gina.
Téléchargez ces fichiers pour désactiver Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows Vista/Seven
64-bit Téléchargez ces fichiers pour activer Gina sur Windows Vista/Seven 32-bit ou Gina sur Windows
Vista/Seven 64-bit Une fois téléchargé, double-cliquez pour exécuter, cliquez sur 'OK' pour confirmer.
20.2 Résolution des problèmes
20.2.1 J'ai le message XXXXX dans la console". Qu'est ce que cela veut dire ?
Nous rendons disponible pour téléchargement le guide plus complet des messages Console du Client VPN
TheGreenBow avec explications et astuces pour résolutions. Si le document ne suffit pas, envoyez nous tous les
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
71/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
échanges avec les lignes RECV et SEND . Réglez les filtres de Log à "0" et cliquez sur "Save File" (i.e. "sauver
fichier").
Vous trouverez le fichier de Log dans C:\Program Files\TheGreenBow\TheGreenBow VPN.
20.2.2 No response from the VPN server
Les traces suivantes indiquent que le routeur VPN distant ne répond pas aux requêtes IKE du Client VPN.
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115321 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115323 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Regardez les traces du routeur VPN distant et vérifiez si des requêtes du Client sont reçues. Si vous ne trouvez
aucune trace, des requêtes IKE doivent avoir été perdues quelque part, ou filtrées par un logiciel ou un
équipement de type firewall.Vérifiez les règles des Firewalls (incluant le Firewall éventuellement installé sur la
machine) qui peuvent être situés entre le Client VPN et le routeur VPN. En particulier, sur Vista, se reporter à la
faq suivante.
20.2.3 Tunnel VPN ouvert mais le ping ne fonctionne pas ?
Si vous avez les traces suivantes, le tunnel VPN IPSec est établi. Vous devriez pouvoir faire un ping sur
n'importe quel adresse du réseau LAN. La configuration du Client VPN IPSec TheGreenBow est correct dans ce
cas.
121902 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) RECV phase 2 Quick Mode [SA][KEY][ID][HASH][NONCE]
121905 Default (SA Cnx-Cnx-P2) SEND phase 2 Quick Mode [HASH]
Si vous ne pouvez toujours pas "pinger" le réseau LAN distant, voici quelques directives :
• Vérifiez la configuration Phase 2 : Adresse Client VPN et adresse réseau distant. Normalement,
l'Adresse Client VPN ne devrait pas appartenir au subnet du LAN distant (Lire également comment
remplir le champ "Adresse Client VPN" ?)
• Une fois le tunnel ouvert, des paquets sont envoyés avec le protocole ESP. Ce protocole peut être
bloqué par un Firewall. Vérifiez que chaque élément entre le client et le serveur VPN accepte ESP
• Vérifiez vos traces de serveur VPN. Des paquets peuvent être éliminés par une des règles du Firewall.
• Verifiez que votre FAI support ESP. Les principaux le supporte.
• Si vous ne pouvez toujours pas faire de ping, suivez le trafic ICMP sur l'interface LAN du serveur VPN et
sur l'interface LAN de l'ordinateur (avec Ethereal par exemple). Vous aurez une indication que le
chiffrement fonctionne.
• Vérifiez le routeur "par défaut" dans la configuration LAN du serveur VPN. Une cible sur votre LAN
distant peut recevoir des ping mais ne répond pas parce qu'il n'y a pas de routeur "par défaut" configuré.
• Vous ne pouvez pas accéder aux ordinateurs par leur nom dans le LAN. Vous devez indiqué leur
adresses IP à l'intérieur du LAN.
Pour des traces plus complètes et des conseils de résolution, veuillez aussi consulter notre document
Troubleshooting
20.2.4 Ordinateurs portables DELL ou HP avec des chipsets Broadcom
TheGreenBow recommande aux clients utilisant un chipset Broadcom intégré avec certains ordinateurs portables
DELL ou HP de mettre à jour le pilote bcmwl5.sys avec la version la plus récente. Ce pilote provoque des écrans
bleus de temps en temps, même si notre Client VPN IPSec n'est pas installé.
20.2.5 Adaptateur Intel Switching Utility
L'adaptateur Intel Switching Utility provoque des écrans bleus lorsque le Client VPN IPSec est installé.
Si vous possédez un processeur Intel Pro/Wireless 2100 or 2200, suivez ces étapes dans l'ordre :
Allez sur Démarrer/Panneau de configuration/Ajout\Suppression de programmes. Retirez la section Intel
PROSet.
Allez sur Démarrer/Panneau de configuration Systeme :
- Sélectionnez l'onglet Matériel, puis appuyez sur le bouton Gestionnaire de périphériques.
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
72/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
- Dans le Gestionnaire de périphériques, cliquez sur le signe plus pour afficher la section Adaptateurs réseaux.
- Sélectionnez adaptateur Intel PRO/Wireless LAN 2200 (ou 2100) et faites un clic droit.
- Sélectionnez Désinstaller dans le menu pop-up.
Redémarrez l'ordinateur.
Apres le redémarrage, l'ordinateur portable détectera de nouveau la carte sans-fil et installera les pilotes
correspondants. Il n'installera pas les pilotes Intel PROset. La carte sans-fil devrait encore fonctionner, mais les
fonctionnalités ajoutées à l'adaptateur Switching ne seront pas disponibles. Windows va alors gérer les profils
sans-fil au lieu de l'utilitaire Intel PROSet .
Pour plus de détails, consultez Intel technical advisory
20.2.6 Je n'arrive pas à désinstaller le Client VPN
Problème : Je n'arrive pas à désinstaller le Client VPN, il demande toujours de désinstaller la version précédente
d'abord.
Solution : Vous pouvez utiliser our tool pour nettoyer les composants restants du Client VPN.
20.2.7 Problèmes avec les pilotes TheGreenBow sur Windows Vista
Nous recommandons vivement aux utilisateurs de Windows Vista de mettre à jour leurs pilotes de carte réseau
avec Windows Update. Cette action peut empêcher qu'un pilote se plante dans certaines configurations de
réseau. Aussi, le pack Windows Vista correction de bug KB938194 doit être installé. Plus de détails et
téléchargement sont disponibles sur http://support.microsoft.com/?kbid=938194
20.2.8 Impossible d'ouvrir le tunnel sous Vista, problème avec le Firewall Vista ?
A la suite de l'installation du Client VPN TheGreenBow sur Vista, il peut être impossible d'ouvrir un tunnel.
L'ouverture du tunnel reste bloquée sur le message :
115317 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
115319 Default (SA Cnx-P1) SEND phase 1 Main Mode [SA][VID]
Ce cas de figure peut arriver sur Windows Vista parce que le Firewall Vista interdit les communi-cations IPSec.
TheGreenBow VPN IPSec 4.2 (et supérieures): Le logiciel crée automatiquement des nouvelles règles dans le
pare-feu Windows Vista au cours de l'installation autorisant ainsi tout trafic VPN IPSec (voir la section "Pare-feu
Windows" dans le Guide de l'utilisateur).
Note: Dans windows Seven (Wind 7), votre profil 'Privé' et 'Domaine' dans les règles existantes du pare-feu
Windows pour le Client VPN TheGreenBow peut ne pas être paramétré en conséquence. S'il vous plait vérifiez
les règles de pare-feu Windows et vérifiez que votre profil 'Privée' et 'Domaine' est sélectionné (voir l'étape 6 cidessous).
TheGreenBow VPN IPSec 4.1(et antérieures) : Afin de permettre les communications IPSec (ou de vérifier qu'ils
sont autorisés ou restreinte), procéder comme suit :
•
Etape 1 : Aller au bouton "Démarrer" de Windows et entrer
"Pare-feu Windows avec sécurité avancée" dans le champs
"Rechercher". Sinon, taper "cmd" et dans la fenêtre de ligne
de commande entrer "wf".
•
Etape 2 : Sélectionner dans la colonne de gauche "Règles de
trafic entrant", puis dans la colonne de droite "Nouvelle
règle...".
•
Etape 3 : Sélectionner "Port" puis cliquer sur "Suivant".
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
73/84
Doc.Ref
Doc.version
Version VPN
•
Etape 4 : Sélectionner "UDP" et dans le champ "Ports locaux",
puis entrer les deux valeurs 500 et 4500 séparées par une
virgule ("500,4500").
Cliquer sur "Suivant".
•
Etape 5 : Vérifier que le champ "Autoriser la connexion" est
sélectionné.
Cliquer sur "Suivant".
•
Etape 6 : Vérifier que les champs Domaine, Privées et
Publiques sont tous cochés.
Cliquer sur "Suivant".
•
Etape 7 : Affecter un nom à cette nouvelle règle. Cliquer sur
"Terminer".
•
Etape 8 : La nouvelle règle est créée.
•
Etape 9 : Sélectionner dans la colonne de gauche "Règles de
trafic sortant" et dans la colonne de droite "Nouvelle règle...",
et configurer exactement la même règle (UDP, ports 500 et
4500, VPN sortant).
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
20.2.9 Purge du pilote sous Windows Visa et Windows Seven
(IPSec VPN Client 4.* et 5.0)
Dans certains cas, le driver TheGreenBow NDIS peut pas être mis à jour avec une installation de nouveaux
logiciels. Pour y parvenir, suivez les étapes suivantes:
Exécuter 'cmd.exe' en tant qu'administrateur
Type 'pnputil.exe-e' et cliquez sur 'Entrée'
La réponse devrait ressembler à ceci:
Published name : oem68.inf
Driver package provider : Atheros Communications Inc.
Class : Network adapters
Driver version and date : 01/13/2009 7.6.1.204
Signer name : microsoft windows hardware compatibility publisher
Published name : oem86.inf
Driver package provider : TheGreenBow
Class : Network Service
Driver version and date : 05/19/2009 1.0.1.20
Signer name : thegreenbow
Published name : oem95.inf
Driver package provider : Microsoft
Class : Mobile devices
Driver version and date : 10/06/2004 4.0.4232.0
Signer name : microsoft windows hardware compatibility publisher
Published name : oem69.inf
Driver package provider : Acer
Class : Monitors
Driver version and date : 12/11/2006 1.00
Signer name : microsoft windows hardware compatibility publisher
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
74/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Published name : oem78.inf
Driver package provider : Microsoft
Class : Network Service
Driver version and date : 01/24/2007 2.6.553.0
Signer name : microsoft windows hardware compatibility publisher
•
•
find a "Driver package provider" line with "TheGreenBow" and note the INF file associated with. In our
example, it is oem86.inf.
type "pnputil.exe -d oem86.inf"
Le driver devrait être entièrement supprimé.
20.2.10 Comment installer manuellement les pilotes du Client VPN IPSec ?
(IPSec VPN Client 4.* et 5.0)
Microsoft Windows module d'installation du pilote peut ne pas installer les pilotes troisième partie régulièrement
(par exemple IPSec TheGreenBow VPN pilotes ndistgb.inf Client), surtout quand Windows est chargé avec des
tâches multiples. Parfois, les paramètres de Registre ne sont pas effectuées correctement, parfois, pas du tout.
Il ya une procédure manuelle simple pour vous permettre de démarrer. Les pilotes nécessaires sont encore dans
le système, donc aucun téléchargement supplémentaire ne devrait être nécessaire. Voici les étapes:
•
Ouvrir Windows 'Configuation Panel' > 'Network and Sharing
Center' > 'Manage Network Connections' > clique droit sur
une 'Network connection' > cliquez sur 'Properties'.
•
Cliquez sur 'Installer...'
•
Selectionnez 'Service' et cliquez sur 'Ajouter...'.
•
Cliquez sur 'Have Disk ...' pour trouver les pilotes.
•
Cliquez sur "Parcourir..." pour trouver les pilotes.
•
Allez dans C:\Program Files\Common Files\temp\{389b11ebc24e-4a3d-8032-f44daa4cde4d} et selectionnez le fichier
'ndistgb.inf' (i.e. setup information), et cliquez sur 'Ouvrir'.
•
Recommencer à nouveau avec tous les autres "Connexions
réseau" avec lequel que vous souhaitez utiliser le Client VPN
IPSec.
20.2.11 Le tunnel VPN peut ne pas s'ouvrir après une mise à jour Windows 8.1
Le tunnel VPN peut ne pas s'ouvrir après une mise à jour Windows 8.1. Vérifiez si le message suivant s'affiche
dans la console log du Client VPN :
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
75/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Default exchange_establish: transport "udp" for peer 'P1-P2' could not be created.
Si c'est le cas, le service Windows IKEEXT doit être désactivé.
Solution#1: Effectuez les étapes suivantes :
• Allez sur 'Panneau de configuration' > 'Outils d'administration' > 'Services'.
• Initialisez 'Type de démarrage' du service IKEEXT à 'Désactivé'.
• Redémarrez le Client VPN.
Solution#2: Re-installez le Client VPN (même numéro de version si vous n'avez pas 'd'option de mise à jour').
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
76/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
21 Contacts
Informations et mises à jour sur le site web TheGreenBow : http://www.thegreenbow.com
Support technique par email à : support@thegreenbow.com
ou sur le site web TheGreenBow : http://www.thegreenbow.com/support.html
Contact commercial par email à : sales@thegreenbow.com
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
77/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
22 Annexe
22.1 Référence documentaire
Les documents cités en référence dans ce guide sont téléchargeables sur le site web TheGreenBow :
Intitulé
Guide de Déploiement du Client VPN TheGreenBow
Guide de Déploiement Options PKI
Référence
tgbvpn_ug_deployment_fr.pdf
tgbvpn_ug_deployment_pki_fr.pdf
22.2 Raccourcis
Panneau des Connexions
- ESC
ferme la fenêtre
- CTRL+ENTER
ouvre le Panneau de Configuration (interface principale)
Arborescence du Panneau de Configuration :
- F2
Permet d'éditer le nom de la Phase sélectionnée
- DEL
Si une phase est sélectionnée, la supprime après confirmation de l'utilisateur.
Si la Configuration est sélectionnée (racine de l'arborescence), propose l'effacement (reset)
de la configuration complète.
- CTRL+O
Si une phase 2 est sélectionnée, ouvre le tunnel VPN correspondant.
- CTRL+W
Si une phase 2 est sélectionnée, ferme le tunnel VPN correspondant.
- CTRL+C
Copie la phase sélectionnée dans le "clipboard".
- CTRL+V
Colle (ajoute) la phase copiée dans le "clipboard".
- CTRL+N
Crée une nouvelle phase 1, si la Configuration VPN est sélectionnée, ou crée une nouvelle
phase 2 pour la phase 1 sélectionnée.
- CTRL+S
Sauvegarde la politique de sécurité VPN.
Panneau de Configuration
- CTRL+ENTER
Permet de basculer au Panneau des Connexions
- CTRL+D
Ouvre la fenêtre "Console" de traces VPN
- CTRL+ALT+R
Redémarrage du service IKE
- CTRL+ALT+D
Activation du mode traçant (génération de logs)
- CTRL+S
Sauvegarde la politique de sécurité VPN.
22.3 Liste des langues disponibles
Code
1033 (default)
1036
1034
2070
1031
1043
1040
Langue
English
Français
Español
Português
Deutsch
Nederlands
Italiano
2052
简化字
1060
Slovenscina
Nom français
Anglais
Français
Espagnol
Portugais
Allemand
Hollandais
Italien
Code ISO 639-2
EN
FR
ES
PT
DE
NL
IT
Chinois simplifié
ZH
Slovène
SL
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
78/84
Doc.Ref
Doc.version
Version VPN
1055
1045
1032
1049
Turc
Polonais
Grec
Russe
TR
PL
EL
RU
Japonais
JA
Finois
Serbe
FI
SR
1054
Suomi
српски језик
ภาษาไทย
Thai
TH
1025
‫عربي‬
Arabe
AR
1081
हद
Hindi
HI
1030
1029
1038
1044
1065
Danske
Český
Magyar nyelv
Bokmål
‫یفارس‬
Danois
Tchèque
Hongrois
Norvégien
Persan
DK
CZ
HU
NO
FA
Coréen
KO
1041
1035
2074
1042
Türkçe
Polski
ελληνικά
Руccкий
日本語
한국어
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
22.4 Caractéristiques techniques du Client VPN TheGreenBow
Général
Version Windows
Windows 2000 32bit
Windows XP 32bit SP3 (Client VPN Certified 2013)
Windows Server 2003 32bit
Windows Server 2008 32/64bit
Windows Vista 32/64bit
Windows 7 32/64bit (Client VPN Certified 2013)
Langues
Allemand, Anglais, Arabe, Chinois (simplifie), Coréen, Espagnol, Danois,
Persan, Finnois, Français, Grec, Hindi, Hongrois, Italien, Japonais, Néerlandais,
Norvégien, Polonais, Portugais, Russe, Serbe, Slovène, Tchèque, Thaï, Turc
Mode d'utilisation
Mode invisible
Ouverture automatique du tunnel sur détection de trafic
Contrôle d'accès aux politiques de sécurité VPN
Masquage possible des interfaces
Mode USB
Plus aucune politique de sécurité VPN sur le poste
Ouverture du tunnel sur insertion d'une clé USB configurée VPN
Fermeture automatique du tunnel sur extraction de la clé USB configurée VPN
Gina
Ouverture d'un tunnel avant le logon Windows par :
Gina / XP
Credential providers sur Windows Vista et Windows 7
Scripts
Exécution de scripts configurable sur ouverture et fermeture du tunnel VPN
Remote Desktop Sharing
Ouverture en un seul clic d'un ordinateur distant (remote desktop) via le tunnel
VPN
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
79/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Connexion / Tunnel
Mode de connexion
Peer-to-peer (point à point entre deux postes équipés du Client VPN)
Peer-to-Gateway (voir la liste des gateways qualifiées et leurs guides de
configuration)
Media
Ethernet, Dial up, DSL, Cable, GSM/GPRS, WiFi
Wireless LAN : 3G, 4G
Tunneling Protocol
IKE basé sur OpenBSD 3.1 (ISAKMPD)
Diffie-Hellmann DH groupe 1 à 14
Support IPsec complet
Tunnel mode
Main mode et Aggressive mode
Mode-Config
Récupération automatique des paramètres réseaux depuis la passerelle VPN
Cryptographie
Chiffrement
Symétrique : DES, 3DES, AES 128/192/256bit
Asymétrique : RSA
Diffie-Hellmann : DH group 1, 2, 5 et 14 (i-e : 768, 1024, 1536 et 2048bit)
Hash : MD5, SHA-1, SHA-2 (SHA-256)
Authentification
Administrateur : Protection de l'accès aux politiques de sécurité VPN
Utilisateur :
- X-Auth statique ou dynamique (demande à chaque ouverture du tunnel)
- Hybrid Authentication
- Pre-shared key
IGC / PKI
- Support des certificats au format X509, PKCS12, PEM
- Multi-support : Magasin de certificats Windows, carte à puce, Token
- Critères certificats : expiration, révocation, CRL, sujet, key usage
- Possibilité de caractériser l'interface Token / carte à puce
(voir la liste des Token / carte à puce qualifiés)
- Détection automatique du Token / carte à puce
- Accès aux Token / carte à puce en PKCS11 ou CSP
- Vérification des certificats "Client" et "Passerelle"
Divers
NAT / NAT-Traversal
NAT-Traversal Draft 1 (enhanced), Draft 2, Draft 3 et RFC 3947, IP address
emulation, inclut le support de : NAT_OA, NAT keepalive, NAT-T mode agressif,
NAT-T en mode forcé, automatique ou désactivé
DPD
RFC3706. Détection des extrémités IKE non actives.
Redundant Gateway
Gestion d'un passerelle de secours, automatiquement sélectionnée sur
déclenchement du DPD (passerelle inactive)
Firewall
Filtrage entrant/sortant d'adresse IP et de ports TCP/UDP
Administration
Déploiement
Options pour le déploiement des politiques VPN (options de ligne de commande
de l'installeur, fichiers d'initialisation configurables, etc…)
Installation silencieuse
Gestion des politiques VPN
Options d'importation et d'exportation des politiques VPN
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
80/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
Sécurisation des importations / exportations par mot de passe, chiffrement et
contrôle d'intégrité
Automatisation
Ouvrir, fermer et superviser un tunnel en ligne de commande (batch et scripts),
démarrage et arrêt du logiciel par batch
Log et traces
Console de logs IKE/IPsec et mode traçant activable
Live update
Vérification des mises à jour depuis le logiciel
Licence et activation
Modularité des licences (standard, temporaires, à durée limitée), de l'activation
du logiciel (WAN, LAN), et des options de déploiement (déploiement des
logiciels activés, activation silencieuse, etc…)
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
81/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
22.5 Crédits et Licences
Crédits et references de licence.
/*
* Copyright (c) 1998, 1999 Niels Provos. All rights reserved.
* Copyright (c) 1998 Todd C. Miller <Todd.Miller@courtesan.com>. All rights reserved.
* Copyright (c) 1998, 1999, 2000, 2001 Niklas Hallqvist. All rights reserved.
* Copyright (c) 1999, 2000, 2001, 2002, 2004 Håkan Olsson. All rights reserved.
* Copyright (c) 1999, 2000, 2001 Angelos D. Keromytis. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
*
notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
*
notice, this list of conditions and the following disclaimer in the
*
documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
* IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
* OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
* IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
* INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
* DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
* THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
* (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
* THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
/*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
====================================================================
Copyright (c) 1998-2008 The OpenSSL Project. All rights reserved.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the above copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in
the documentation and/or other materials provided with the
distribution.
3. All advertising materials mentioning features or use of this
software must display the following acknowledgment:
"This product includes software developed by the OpenSSL Project
for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
endorse or promote products derived from this software without
prior written permission. For written permission, please contact
openssl-core@openssl.org.
5. Products derived from this software may not be called "OpenSSL"
nor may "OpenSSL" appear in their names without prior written
permission of the OpenSSL Project.
6. Redistributions of any form whatsoever must retain the following
acknowledgment:
"This product includes software developed by the OpenSSL Project
for use in the OpenSSL Toolkit (http://www.openssl.org/)"
THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR
ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
82/84
Doc.Ref
Doc.version
Version VPN
tgbvpn_ug_fr
1.6 – Mar 2014
TheGreenBow VPN Certified 2013
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
* STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
* OF THE POSSIBILITY OF SUCH DAMAGE.
* ====================================================================
*
* This product includes cryptographic software written by Eric Young
* (eay@cryptsoft.com). This product includes software written by Tim
* Hudson (tjh@cryptsoft.com).
*
*/
Original SSLeay License
----------------------/* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
* All rights reserved.
*
* This package is an SSL implementation written
* by Eric Young (eay@cryptsoft.com).
* The implementation was written so as to conform with Netscapes SSL.
*
* This library is free for commercial and non-commercial use as long as
* the following conditions are aheared to. The following conditions
* apply to all code found in this distribution, be it the RC4, RSA,
* lhash, DES, etc., code; not just the SSL code. The SSL documentation
* included with this distribution is covered by the same copyright terms
* except that the holder is Tim Hudson (tjh@cryptsoft.com).
*
* Copyright remains Eric Young's, and as such any Copyright notices in
* the code are not to be removed.
* If this package is used in a product, Eric Young should be given attribution
* as the author of the parts of the library used.
* This can be in the form of a textual message at program startup or
* in documentation (online or textual) provided with the package.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the copyright
*
notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
*
notice, this list of conditions and the following disclaimer in the
*
documentation and/or other materials provided with the distribution.
* 3. All advertising materials mentioning features or use of this software
*
must display the following acknowledgement:
*
"This product includes cryptographic software written by
*
Eric Young (eay@cryptsoft.com)"
*
The word 'cryptographic' can be left out if the rouines from the library
*
being used are not cryptographic related :-).
* 4. If you include any Windows specific code (or a derivative thereof) from
*
the apps directory (application code) you must include an acknowledgement:
*
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
*
* THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*
* The licence and distribution terms for any publically available version or
* derivative of this code cannot be changed. i.e. this code cannot simply be
* copied and put under another distribution licence
* [including the GNU Public Licence.]
*/
Guide Utilisateur TheGreenBow VPN Certified 2013
Propriété de TheGreenBow © 2013
83/84
Secure, Strong, Simple.
TheGreenBow Security Software
">