Manuel du propriétaire | ZyXEL THEGREENBOW VPN-CLIENT Manuel utilisateur

Ajouter à Mes manuels
72 Des pages
Manuel du propriétaire | ZyXEL THEGREENBOW VPN-CLIENT Manuel utilisateur | Fixfr
Client VPN IPSec TheGreenBow
Guide Utilisateur
Contact: support@thegreenbow.com
Website: www.thegreenbow.com
Propriete de TheGreenBow© - Sistech SA 2000-2007
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
All rights reserved. No parts of this work may be reproduced in any form or by any means - graphic, electronic, or
mechanical, including photocopying, recording, taping, or information storage and retrieval systems - without the
written permission of the publisher.
Products that are referred to in this document may be either trademarks and/or registered trademarks of the
respective owners. The publisher and the author make no claim to these trademarks.
While every precaution has been taken in the preparation of this document, the publisher and the author assume no
responsibility for errors or omissions, or for damages resulting from the use of information contained in this document
or from the use of programs and source code that may accompany it. In no event shall the publisher and the author be
liable for any loss of profit or any other commercial damage caused or alleged to have been caused directly or
indirectly by this document.
Printed: janvier 2007 in San Francisco.
I
Table des Matieres
Part I Présentation du Client VPN TheGreenBow
2
1 Pourquoi le Client
...................................................................................................................................
VPN IPSec TheGreenBow?
2
2 Solution VPN Multi
...................................................................................................................................
Gateway
2
3 Support des Appliances
...................................................................................................................................
Linux
2
4 Les fonctionnalités
...................................................................................................................................
du Client VPN IPSec TheGreenBow
2
5 OEM et Customisation
...................................................................................................................................
du Logiciel
4
Part II Installer le Client VPN TheGreenBow
6
1 Installation du...................................................................................................................................
logiciel
6
2 Evaluation du ...................................................................................................................................
logiciel
7
3 Licence Logiciel
...................................................................................................................................
Temporaire
7
4 Assistant d'Activation
................................................................................................................................... 9
Assistant d'activation
..........................................................................................................................................................
en deux étapes
9
Etape 1 sur 2: Saisir
..........................................................................................................................................................
le numéro de licence
9
Etape 2 sur 2:..........................................................................................................................................................
Activation en ligne
10
Erreurs d'activation
.......................................................................................................................................................... 10
5 Mise a Jour Logiciel
................................................................................................................................... 11
6 Désinstallation
...................................................................................................................................
du logiciel
12
Part III Quelques HowTo
14
1 Comment ouvrir
...................................................................................................................................
un tunnel VPN ?
14
2 Comment tester
...................................................................................................................................
un tunnel VPN ?
14
3 Comment importer
...................................................................................................................................
une Configuration VPN par simple double clic ?
14
Part IV Navigation et Interface Utilisateur
17
1 Interface utilisateur
................................................................................................................................... 17
2 Icône en barre
...................................................................................................................................
des tâches
18
3 Raccourcis ................................................................................................................................... 18
4 Panneau de Configuration
................................................................................................................................... 19
Menus principaux
..........................................................................................................................................................
Barre de status
..........................................................................................................................................................
Fenêtre "A propos"
..........................................................................................................................................................
Contrôle d'accès
..........................................................................................................................................................
à la Configuration (Interface Réduite)
Assistants
..........................................................................................................................................................
Préférences ..........................................................................................................................................................
19
20
20
20
22
22
5 Panneau de Connexion
................................................................................................................................... 23
Part V Panneau de Connexion
26
1 Eléments du ...................................................................................................................................
Panneau de Connexion
26
2 Informations...................................................................................................................................
et Alertes dans le Panneau de Connexion
26
Part VI VPN Configuration
29
I
TheGreenBow Client VPN IPSec - Guide Utilisateur
TheGreenBow Client VPN IPSec - Guide Utilisateur
II
1 Assistant de ...................................................................................................................................
Configuration
29
Assistant de Configuration
..........................................................................................................................................................
en trois étapes
Etape 1 sur 3:..........................................................................................................................................................
Choix de l'équipement distant
Etape 2 sur 3:..........................................................................................................................................................
Paramètres du tunnel VPN
Etape 3 sur 3:..........................................................................................................................................................
Synthèse
29
29
30
31
2 Configuration...................................................................................................................................
Tunnel VPN
31
Comment créer
..........................................................................................................................................................
un tunnel VPN ?
Multiplicité des
..........................................................................................................................................................
Phases 1 et 2 (Authentication et Configuration IPSec)
Fonctionnalités
..........................................................................................................................................................
avancées
31
32
32
3 Authentification
...................................................................................................................................
ou Phase 1
32
Qu'est ce que..........................................................................................................................................................
la Phase 1 ?
Phase 1 Description
..........................................................................................................................................................
des paramètres
Phase 1 Description
..........................................................................................................................................................
des paramètres avancés
32
33
34
4 IPSec Configuration
...................................................................................................................................
ou Phase 2
36
Qu'est ce que..........................................................................................................................................................
la Phase 2 ?
Phase 2 Description
..........................................................................................................................................................
des paramètres
Phase 2 Description
..........................................................................................................................................................
des paramètres Avancés
Configuration..........................................................................................................................................................
des Scripts
36
37
39
39
5 Paramètres Globaux
................................................................................................................................... 40
Description des
..........................................................................................................................................................
paramètres Globaux
40
6 Gestion des Tunnels
...................................................................................................................................
VPN
42
Comment visualiser
..........................................................................................................................................................
les tunnels VPN ouverts ?
7 Mode USB
42
................................................................................................................................... 43
Qu'est ce que..........................................................................................................................................................
le Mode USB ?
Comment activer
..........................................................................................................................................................
le Mode USB ?
Comment activer
..........................................................................................................................................................
un Stick USB ?
Comment ouvrir
..........................................................................................................................................................
automatiquement les tunnels sur insertion du Stick USB ?
43
43
44
45
8 Gestion des Certificats
................................................................................................................................... 45
Introduction ..........................................................................................................................................................
Comment configurer
..........................................................................................................................................................
le Client VPN IPSec avec Certificats PKCS#12 ?
Comment configurer
..........................................................................................................................................................
le Client VPN IPSec avec Certificats PEM ?
Gestion Carte..........................................................................................................................................................
à Puce et Token
Comment.........................................................................................................................................................
configurer un tunnel avec le Certificat d'une SmartCard
Comment.........................................................................................................................................................
utiliser un tunnel avec le Certificat d'une SmartCard
SmartCard
.........................................................................................................................................................
Troubleshooting
45
46
47
48
48
51
51
9 Gestion des Configurations
...................................................................................................................................
VPN
52
Comment Importer
..........................................................................................................................................................
ou Exporter une configuration VPN ?
Embarquer une
..........................................................................................................................................................
Configuration VPN dans le Setup du Client VPN
Configuration..........................................................................................................................................................
VPN par défaut
52
53
53
10 Documents de
...................................................................................................................................
support complémentaires
53
55
Part VII Déploiement
1 Configuration...................................................................................................................................
VPN embarquée
55
2 Options du Setup
................................................................................................................................... 55
Introduction des
..........................................................................................................................................................
Options du Setup
Option Setup ..........................................................................................................................................................
pour l'Interface Utilisateur
Option Setup ..........................................................................................................................................................
pour control d'accès à l'Interface Utilisateur
Option Setup ..........................................................................................................................................................
pour les items du menu en barre de tâches
Autres Options
..........................................................................................................................................................
de Setup
55
55
55
56
56
3 Outils ligne de
...................................................................................................................................
commande
57
Stopper le Client
..........................................................................................................................................................
VPN: option "/stop"
Importer ou exporter
..........................................................................................................................................................
une Configuration VPN
TheGreenBow Client VPN IPSec - Guide Utilisateur
57
57
Propriete de TheGreenBow© - Sistech SA 2000-2007
III
Part VIII Console et Traces
60
1 Description des
...................................................................................................................................
fonctions
60
2 Description des
...................................................................................................................................
filtres
61
Part IX Traduction du logiciel
63
Part X Contacts
65
Index
66
III
TheGreenBow Client VPN IPSec - Guide Utilisateur
Section
I
Présentation du Client VPN TheGreenBow
Présentation du Client VPN TheGreenBow
2
1
Présentation du Client VPN TheGreenBow
1.1
Pourquoi le Client VPN IPSec TheGreenBow?
Le Client VPN IPSec TheGreenBow est un logiciel de sécurisation des communications réseaux.
Disponible pour toutes versions Windows, il est basé sur la technologie VPN IPSec conforme au
standard du marché (Internet Protocol Security). Il permet d'établir des connexions VPN via
Internet entre des utilisateurs distants et le système d'information de l'entreprise. IPSec est le
moyen le plus sûr aujourd'hui pour se connecter à son entreprise puisqu'il permet une
authentification forte de l'utilisateur, un chiffrement fort des tunnels, et la capacité de s'intégrer
dans le SI (Système d'Information) existant.
Le Client VPN IPSec TheGreenBow complète la gamme de produits de sécurité pour Entreprise
TheGreenBow. Comme tous les produits de la gamme, il respecte notre philosophie d'extrême
simplicité d'installation et d'utilisation.
1.2
Solution VPN Multi Gateway
La première priorité de TheGreenBow est le support du plus grand nombre de passerelles/routeurs
VPN IPSec disponibles sur le marché pour offrir une vraie solution multi-vendeurs aux entreprises.
TheGreenBow a ainsi certifié les routeurs BeWan, CISCO, Linksys, Netscreen, Sonicwall,
Symantec, Zyxel et des appliances Linux comme StrongS/WAN et FreeS/WAN. La liste complète
des passerelles/routeurs compatibles est disponible sur notre site web. Cette liste augmente
régulièrement. Pour faciliter le travail des intégrateurs, plusieurs guides de configuration de
passerelles/routeurs sont disponibles sur notre site.
1.3
Support des Appliances Linux
TheGreenBow supporte les différentes implémentations VPN IPSec Linux comme StrongS/WAN
et FreeS/WAN. Ainsi le Client VPN IPSec TheGreenBow est compatible avec tous les routeurs
IPSec basés sur ces implémentations Linux. La liste des appliances Linux est aussi disponible sur
notre site web.
1.4
Les fonctionnalités du Client VPN IPSec TheGreenBow
Versions Windows supportées
Mode de Connexion
Tunneling Protocol
TheGreenBow Client VPN IPSec - Guide Utilisateur
Win98 ,Me, NT, Win2000, WinXP (Tous Service
Packs)
Fonctionne en mode VPN peer-to-gateway ou peerto-peer (configuration point à point sans Gateway ou
serveur).
Tous les types de connexions comme Dial up, DSL,
Cable, GSM/GPRS et WiFi sont supportés.
Permet le filtrage d'adresse IP par plage (IP Range).
Support IKE complet: Le module IKE est basé sur
une souche de l'OpenBSD 3.1 (ISAKMPD) qui
garantit l'interopérabilité avec les solutions de
serveurs et de routeurs IPSec leaders du marché.
Support IPSec complet:
· Main mode et Aggressive mode
· Algorithmes Hash MD5 et SHA
· Changement de Port IKE
Propriete de TheGreenBow© - Sistech SA 2000-2007
Présentation du Client VPN TheGreenBow
NAT Traversal
Chiffrement
Authentification Utilisateur
Dead Peer Detection (DPD)
Redundant Gateway
Mode-Config
Stick USB
Token et Cartes à Puces
Console de Log
Interface utilisateur réduite
TheGreenBow Client VPN IPSec - Guide Utilisateur
3
NAT Traversal Draft 1 (enhanced), Draft 2 et 3
(implémentation complète)
· Incluant le support NAT_OA
· Incluant NAT keepalive
· Incluant NAT-T mode agressif
NAT-T en mode Forcé, Désactivé ou Automatique
Chiffrement 3DES, DES et AES 128/192/256 bits.
· Support de X-AUTH
· Pre-shared key et support des Certificats
X509. Compatible avec les Routeurs IPSec les
plus courants.
· Support de Group 1, 2, 5 et 14 (i.e. 768, 1024,
1536 et 2048)
· Formats de Certificats PEM, PKCS12
· Supporte un Certificat par tunnel
· Support de l'authentification Hybrid Mode
· Support de Carte à Puce (SmartCard)
DPD est une extension (i.e. RFC3706) de IKE
(Internet Key Exchange) qui permet la détection
d'extrémités IKE non actives. Ce mécanisme est
utilisé dans la fonction de Redundant Gateway (i.e.
Gateway Secours)
La fonctionnalité de Redundant Gateway (i.e.
Gateway Secours) améliore la disponibilité de l'accès
au réseau d'entreprise. La fonction de Redundant
Gateway permet au Client VPN TheGreenBow
d'ouvrir un tunnel VPN IPSec avec une gateway de
secours dans le cas où la gateway principale est
inaccessible ou non opérationnelle.
Le "Mode-Config" est une extension de IKE (Internet
Key Exchange) qui permet de récupérer certains
paramètres réseau comme les adresses IP du
serveur DNS, du serveur WINS et l'adresse IP
virtuelle du Client VPN depuis la gateway distante et
de les utiliser dans la configuration VPN du Client
VPN. Avec Config-Mode, l'utilisateur est capable de
trouver un serveur sur le réseau distant en utilisant
son nom sur le réseau au lieu de son adresse IP (e.g.
//myserver/marketing/budget).
Les configurations VPN et les éléments de sécurité
(e.g. Certificats, preshared key, …) peuvent être
sauvegardés sur un Stick USB de façon à supprimer
les informations d'authentification de la machine.
L'ouverture et la fermeture d'un tunnel peuvent être
conditionnées à l'insertion et extraction du stick USB.
Le Client VPN IPSec TheGreenBow peut lire les
Certificats depuis les Cartes à Puces. En particulier,
les cartes à puces ou autres badges utilisés en
entreprise peuvent être exploités par le logiciel.
Tous les messages des différentes phases sont
loggés pour faciliter les tests et les phases de
déploiement. Différents filtres (10) permettent de
simplifier l'analyse des messages.
L'installation silencieuse et l'interface graphique
invisible permet au Responsable Informatique de
déployer une solution VPN avec la garantie que les
configurations VPN ne seront pas modifiées par
l'utilisateur. Ainsi, le Panneau de Connexion peut être
masqué, et l'accès au Panneau de Configuration peut
être interdit ou protégé par mot de passe.
Propriete de TheGreenBow© - Sistech SA 2000-2007
Présentation du Client VPN TheGreenBow
Scripts
Gestion des Configuration VPN
Live update
Licence Logiciel
1.5
4
Des scripts et applications peuvent être lancés
automatiquement avant ou après ouverture d'un
tunnel, avant ou après fermeture d'un tunnel.
La configuration VPN du Client VPN peut être
effectuée via le Panneau de Configuration ou via un
jeu de commandes en ligne.
Les éléments de sécurité VPN sont chiffrés et la
totalité de la configuration VPN peut être protégée
par mot de passe.
L'installation du logiciel peut être effectuée en mode
silencieux.
Le Client VPN inclut une Configuration VPN dite
'Configuration par Défaut' pour test avec les serveurs
TheGreenBow.
Le Client VPN est doté d'un mécanisme de mise à
jour incrémentale qui permet de n'effectuer les mises
à jour que pour les modules d'authentification ou de
chiffrement nécessaires.
Licence Logiciel temporaire, définitive ou basée sur
le numéro de version.
OEM et Customisation du Logiciel
L'offre TheGreenBow VPN s'adresse aux constructeurs et intégrateurs de solutions VPN globales
qui proposent les technologies VPN IPSec sur leurs solutions matérielles et dans leurs
architectures. Nos produits sont ainsi customisables sur demande.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
II
Installer le Client VPN TheGreenBow
Installer le Client VPN TheGreenBow
6
2
Installer le Client VPN TheGreenBow
2.1
Installation du logiciel
L'installation du Client VPN TheGreenBow est une installation Windows classique, qui ne
nécessite la saisie d'aucune information. L'installation se termine par un redémarrage de
l'ordinateur.
A l'issue du redémarrage, après l'ouverture de la session Windows, une fenêtre s'ouvre avec les
options suivantes:
· "Quitter" ferme la fenêtre et le logiciel.
· "Evaluer" permet de continuer à évaluer le logiciel. La période d'évaluation est affichée dans
la zone orange.
· "Activer" permet d'activer le logiciel en ligne. Cette étape nécessite un Numéro de Licence.
En cliquant sur le bouton "Activer", un Assistant d'Activation en deux étapes apparait.
· "Acheter" permet d'acheter une licence sur la boutique en ligne TheGreenBow.
Attention : sur station Windows NT, 2000 et XP, l'installation du Client VPN TheGreenBow
nécessite d'être en mode Administrateur. Si ce n'est pas le cas, l'installation s'arrête après le choix
de la langue par un message d'avertissement.
Raccourcis : A l'issue de l'installation, le Client VPN TheGreenBow est accessible :
· depuis le bureau Windows, en double-cliquant sur l'icône TheGreenBow Client VPN
· depuis l'icône Client VPN situé en barre des tâches
· depuis le menu Démarrer > Programmes > TheGreenBow > VPN > TheGreenBow Client
VPN
Note: L'installation peut être customisée via un certain nombre de paramètres passés en ligne de
commande. Pour plus de détails, veuillez vous référer au document "VPN Deployment Guide"
aussi disponible sur notre site web.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
2.2
7
Evaluation du logiciel
Il est possible d'utiliser le Client VPN TheGreenBow en version d'évaluation - limitée à 30 jours
d'utilisation - en cliquant sur le bouton "Evaluer". Tant que le Client VPN est utilisé en mode
"Evaluation", la fenêtre d'activation s'affiche systématiquement à chaque nouveau démarrage du
Client VPN.
Une fois la période d'évaluation expirée, le bouton "Evaluer" n'est plus disponible et le software
n'est plus accessible. Seul le bouton "Activer" est disponible.
2.3
Licence Logiciel Temporaire
Une Licence Logiciel Temporaire peut être fournie par exemple pour des périodes de test
importantes.
La période de validité est de 1 à 35 semaines. Pour recevoir une Licence Logiciel Temporaire vous
pouvez contacter l'équipe de ventes: sales@thegreenbow.fr
La période de validité d'une Licence Logiciel Temporaire et la durée d'usage restante sont
affichées dans la première fenêtre du Client VPN IPSec ou via le menu 'A propos':
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
8
A la fin de la période de validité le Client VPN IPSec ne fonctionne plus, le bouton 'Evaluer' est
désactivé. L'utilisateur peut 'Acheter' ou 'Activer' une Licence Logiciel.
Pendant la période de validité d'une Licence Logiciel Temporaire, la fenêtre d'Activation est
accessible depuis le Panneau de Configuration. Cela permet à l'utilisateur d'activer un Numéro de
Licence différent, typiquement comme une Licence Définitive, après les tests.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
2.4
Assistant d'Activation
2.4.1
Assistant d'activation en deux étapes
9
L'Assistant d'Activation se déroule en deux étapes. Il permet d'activer le logiciel en ligne en
quelques secondes. L'activation nécessite un numéro de licence.
L'Assistant d'Activation peut être lancé :
· Depuis le Panneau de Configuration en cliquant sur le menu "?" puis sur "Assistant
Activation...".
· Depuis la fenêtre d'évaluation (lancement du logiciel) en cliquant sur 'Activer'
2.4.2
Etape 1 sur 2: Saisir le numéro de licence
L'activation nécessite un Numéro de Licence.
Saisir votre Numéro de Licence, votre adresse email et cliquer sur 'Suivant':
Attention: Si votre Numéro de Licence est un numéro de 20 chiffres, vous devez
changer de format de saisie en cliquant sur "Cliquer ici pour entrer une licence de
20 caractères" en dessous du champ Numéro de Licence.
Note: L'adresse email est utilisée pour renvoyer à l'utilisateur une confirmation d'activation une fois
l'activation terminée.
Note: L'adresse email peut ne pas être nécessaire. Le Responsable Informatique peut forcer la
valeur de ce champ dans le 'setup', elle sera alors affichée à l'étape 1 de l'Assistant d'Activation
Logiciel. Ceci est particulièrement adapté pour centraliser sur une seule adresse email toutes les
Confirmations email d'Activation Logiciel.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
2.4.3
10
Etape 2 sur 2: Activation en ligne
L'Assistant d'Activation se connecte automatiquement au serveur d'activation en ligne pour activer
le logiciel Client VPN IPSec. Vous pouvez revenir en arrière à tout moment en utilisant le bouton
'Précédent' pour changer le Numéro de Licence par exemple.
L'Assistant d'Activation se termine par une Activation avec succès.
2.4.4
Erreurs d'activation
Dans le cas ou une erreur intervient pendant l'activation, un code d'erreur est affiché
immédiatement. Les explications et recommandations associées permettant de résoudre le
problème sont alors disponibles en ligne en cliquant sur le lien "Plus d'information sur cette erreur"
ou l'icône d'aide i.e. "?".
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
11
La plupart des erreurs peuvent être résolues en vérifiant les quelques points suivants:
1. Vérifier que le Numéro de Licence est correct (erreur 031).
2. La communication avec le serveur en ligne d'Activation Logiciel peut être filtrée par un
proxy (erreur 053 ou erreur 054). Vous pouvez configurer le proxy de votre entreprise
dans l'étape 1 de l'Assistant d'Activation.
3. La communication avec le serveur en ligne d'Activation Logiciel peut être filtrée par un
Firewall (erreur 053 ou erreur 054). Vérifier si un Firewall personnel ou Firewall
d'entreprise ne bloque les messages.
4. Le serveur en ligne d'Activation Logiciel peut être temporairement indisponible. Réessayer l'activation quelques minutes plus tard.
5. Votre Numéro de Licence est déjà activé (erreur 033). Vous pouvez contacter notre
équipe de vente: sales@thegreenbow.fr
Toutes les erreurs d'activation logiciel sont détaillées sur notre site web:
http://www.thegreenbow.fr/help.html?subject=osa&id=001
Note: Si l'Activation Logiciel en ligne ne fonctionne pas malgré les recommandations
précédentes, il est toujours possible d'activer le Client VPN IPSec manuellement sur notre
site web: http://www.thegreenbow.fr/activation/osa_manual.html. Ceci permet aux
utilisateurs d'activer complètement et immédiatement le Logiciel.
2.5
Mise a Jour Logiciel
Attention: Le Client VPN IPSec nécessite une Activation après
chaque mise à jour du logiciel. En fonction du status de votre contrat
de Maintenance, une Activation Logiciel peut être rejetée. Lire les
recommandations suivantes avec attention et vérifier en ligne le
status de votre contrat de maintenance en cliquant sur le menu "?"
puis "Mise à jour" dans le 'Panneau de Configuration'.
Le succès d'une mise à jour logiciel dépend de votre contrat de maintenance:
1. Pendant la période de maintenance (qui commence lors de la première activation
logiciel), toutes mises à jour logiciel est possible.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Installer le Client VPN TheGreenBow
12
2. Une fois la période de maintenance expirée (ou si vous n'avez pas de contrat de
maintenance), seules les mises jour avec des versions mineures sont possibles. Une
version mineure est identifiée par le dernier digit du numéro de version.
Exemple: Ma maintenance a expiré et la version installée actuellement est la 3.12.
Je peux faire une mise à jour et activer cette mise jour avec les versions 3.13 à 3.19 seulement.
Les mises à jour avec les versions 3.20, 3.30 ou 4.0 ne pourront pas être activées.
Pour étendre votre contrat de maintenance, vous pouvez contacter notre équipe de ventes:
sales@thegreenbow.fr
Note: Votre Configuration VPN est sauvée pendant la mise à jour logiciel et automatiquement prise
en compte par la nouvelle version.
2.6
Désinstallation du logiciel
Le logiciel Client VPN TheGreenBow se désinstalle de différentes façons :
· Depuis le panneau de contrôle Windows en sélectionnant "Ajout/Suppression de
programmes"
· Depuis le menu Démarrer > Programmes > TheGreenBow > VPN > Désinstaller Client
VPN
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
III
Quelques HowTo
Quelques HowTo
3
Quelques HowTo
3.1
Comment ouvrir un tunnel VPN ?
14
Comment ouvrir un tunnel VPN (une fois configuré):
· Panneau de Connexion > Open
· Icon en barre de tache > cliquer sur 'Ouvrir xxx'
· 'Automatique sur détection de trafic'
· 'Automatique sur insertion du Stick USB'
· 'Automatique quand MS Windows démarre' (avant ou après le login)
· Double clic sur une Configuration VPN (e.g. icône sur le Bureau Windows, pièce jointe à
un email)
3.2
Comment tester un tunnel VPN ?
Pour résoudre les problèmes rencontrés au cours de la mise au point des configurations VPN vous
pouvez utiliser les outils et documents suivants sur notre site web:
· Document TroubleShooting (pdf).
· Aide en ligne (html).
· Support en ligne incluant l'activation logiciel en ligne.
· Utiliser la Configuration VPN par Défaut pour valider votre réseau.
· Voir aussi les FAQs Client VPN IPSec.
3.3
Comment importer une Configuration VPN par simple double clic
?
Aussi appelé 'Mode Dial up': Un tunnel peut être ouvert par un simple double clic sur une
Configuration VPN (i.e. extension fichier '.tgb'). Ceci permet de créer plusieurs Configurations VPN
sur le Bureau Windows et d'ouvrir chaque tunnel en cliquant sur l'un des icônes raccourcis.
Pour créer un icône raccourci :
Etape1: Configurer une Configuration VPN dans le Panneau de Configuration.
Etape2: Dans la 'Phase 2 Paramètres Avancés', configurer le tunnel avec 'Ouvrir automatiquement
ce tunnel au démarrage du Client VPN'.
Etape3: Exporter la Configuration VPN sur votre Bureau Windows.
Note: Il est possible de protéger la Configuration VPN avec un mot de passe au moment de
l'export. Le mot de passe est demandé à l'utilisateur lors du double clic sur l'icône.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Quelques HowTo
TheGreenBow Client VPN IPSec - Guide Utilisateur
15
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
IV
Navigation et Interface Utilisateur
Navigation et Interface Utilisateur
4
Navigation et Interface Utilisateur
4.1
Interface utilisateur
17
Le Client VPN IPSec TheGreenBow est totalement autonome et ne nécessite pas d'intégration
particulière avec d'autres logiciels. Il peut aussi établir ou fermer des tunnels VPN sans
intervention de l'utilisateur en fonction du trafic vers certaines destinations. Il nécessite simplement
d'être configuré.
L'interface du logiciel permet de créer, modifier, sauver, exporter ou importer les configurations
VPN avec les éléments de sécurité (e.g. Preshared key, Certificats, ...).
La configuration du Client VPN IPSec est définie dans un fichier de configuration.
Les différents éléments de l'interface utilisateur sont les suivants:
· Panneau de Configuration
· Panneau de Connexion
· Menus principaux
· Icône en barre des tâches
· Barre de status
· Assistants
· Préferences
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
4.2
18
Icône en barre des tâches
Le Client VPN TheGreenBow est identifié, en utilisation courante, par un icône situé en barre des
tâches. L'interface graphique du Client VPN peut être ouverte par simple clic sur cet icône.
Cet icône indique l'état des tunnels. Le code des couleurs de l'icône Client VPN est le suivant:
Icône bleu: aucun tunnel VPN n'est ouvert
Icône vert: au moins un tunnel VPN est ouvert
Un clic gauche sur l'icône Client VPN ouvre l'interface du logiciel.
Un clic droit sur l'icône VPN affiche le menu suivant :
· Liste des tunnels configurés avec leur status. Ces tunnels peuvent aussi être ouverts ou
fermés depuis ce menu.
· 'Sauver & Appliquer' permet de sauver les modifications de configuration pour pouvoir
relancer l'ouverture des tunnels VPN avec les nouveaux paramètres de configuration.
· 'Console' lance la fenêtre de traces VPN.
· 'Panneau des Connexions' ouvre le Panneau de Connexions.
· 'Quitter' ferme les connexions (tunnels) en cours, arrête le moteur VPN et ferme l'interface
du logiciel. Pour redémarrer le Client VPN TheGreenBow, il suffit de cliquer sur l'icône
TheGreenBow VPN sur le bureau Windows, ou de cliquer sur le menu "Démarrer >
Programmes > TheGreenBow > VPN > TheGreenBow VPN".
Le 'tooltip' de l'icône VPN indique à tout moment l'état du Client VPN TheGreenBow :
· 'Tunnel [NomDuTunnel]' si un ou plusieurs tunnels sont actifs.
· 'Attente VPN prêt...' pendant le temps de lancement du moteur VPN IKE.
· 'TheGreenBow Client VPN' lorsque le Client VPN est lancé, sans tunnel ouvert.
4.3
Raccourcis
Cette fonctionnalité améliore la facilité d'usage du logiciel.
Raccourcis
Ctrl + P
Ctrl + C
Ctrl + A
Actions
Bascule entre le Panneau de Configuration et le Panneau de Connexion.
Note: Si le Panneau de Configuration est protégé par un mot de passe, ce mot de
passe est demandé à l'utilisateur lorsqu'il bascule du Panneau de Connexion vers le
Panneau de Configuration.
Ouvre la Console de debug.
'Sauver & Appliquer' une Configuration VPN.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
4.4
19
Panneau de Configuration
Le Panneau de Configuration est composé des éléments suivants:
· Trois boutons 'Console', 'Paramètres' et 'Tunnels'
· Une arborescence en colonne de gauche, qui décrit toutes les configurations IKE et IPSec
du Client VPN
· Une fenêtre de configuration contextuelle dépendant du niveau de l'arborescence choisi.
Un fichier de Configuration VPN (i.e. extension '.tgb') peut être glissé/déposé sur le Panneau de
Configuration. Ceci permet d'importer rapidement une Configuration VPN. Si le tunnel est
configuré pour être 'ouvert quand le Client VPN démarre' (voir section 'Phase 2 Paramètres
Avancés'), il s'ouvrira dès que l'utilisateur clique sur 'Sauver & Appliquer'
4.4.1
Menus principaux
Les menus principaux sont les suivants:
· Le menu 'Fichier' contient les fonctions Import ou Export de configuration. En particulier, il
est possible d'importer or exporter des configurations VPN depuis ou vers n'importe quels
emplacements comme un serveur, un disque local ou un Stick USB. Le mode Stick USB et
les Préférences peuvent être activés depuis ce menu.
· Le menu 'Configuration VPN' reprend toutes les actions du menu contextuel de
l'arborescence. Il donne aussi accès à tout moment à l'Assistant de Configuration.
· Le menu ''Affichage' permet de configurer les éléments auxquels l'utilisateur final a accès.
· Le menu 'Outils' reprend les fonctions des boutons 'Console' et 'Connexions'.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
20
· Le menu '?' donne accès à l'aide en ligne, à l'Assistant d'Activation et à la fenêtre 'A propos'.
4.4.2
Barre de status
La barre de status (bas de la fenêtre de l'application) peut indiquer plusieurs types d'information :
· La zone gauche indique la localisation du fichier de configuration VPN et le cas échéant
l'état actif ou inactif du mode stick USB.
· La zone centrale donne des informations sur l'état général du logiciel Client VPN IPSec (e.g.
"VPN prêt", "VPN Tunnel ouvert", "Sauvegarde configuration en cours", …).
· La zone droite indique l'état des tunnels :
signifie qu'au moins un tunnel est ouvert
signifie qu'aucun tunnel n'est ouvert
4.4.3
Fenêtre "A propos"
La fenêtre 'A propos' précise les versions de l'interface et du moteur IKE du Client VPN ainsi que le
nombre de jours d'évaluation restant. Elle offre aussi un lien direct sur notre site web.
4.4.4
Contrôle d'accès à la Configuration (Interface Réduite)
Cette fonctionnalité est spécifiquement conçue pour les Responsables Informatiques. Il est
possible de bloquer l'accès à l'interface de configuration du Client VPN et de le rendre invisible à
l'utilisateur final par utilisation d'un mot de passe.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
21
Lorsque cette option est configurée, l'interface graphique ne peut pas être ouverte (ni par doubleclic sur l'icône du bureau, ni par sélection du menu Démarrer), et le menu déroulant dans la barre
des tâches se réduit à l'accès à la console, à l'ouverture/fermeture des tunnels configurés et au
menu 'quitter' :
Une fois mise en place, l'utilisateur final se verra demander son mot de passe:
· quand il clique (ou double-clique) sur l'icône en barre des tâches
· quand il bascule du Panneau de Connexion vers le Panneau de Configuration
Ce mot de passe peut être configuré dans les Options du Setup.
La fenêtre de Contrôle d'Accès, disponible dans le Menu 'Affichage > Configuration...' dans le
Panneau de Configuration, permet aussi de configurer les items du menu associé à l'icône en
barre des tâches.
Le Responsable Informatique peut restreindre partiellement ou complètement l'accès au Panneau
de Configuration jusqu'à le rendre invisible à l'utilisateur final. L'accès au Panneau de Connexion
n'est pas restreint.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
22
Pour configurer la restriction d'accès, renseigner les champs 'mot de passe' et 'Confirmer' puis
cliquer 'OK'.
Note: L'item 'Quitter' pour le menu en barre des tâches ne peut être supprimé depuis le logiciel.
Toutefois il peut être supprimé en utilisant les Options du Setup.
4.4.5
Assistants
Le logiciel propose deux Assitants:
· Assistant de Configuration VPN accessible via le Menu "VPN configuration > Assistant de
Configuration"
· Assistant d'Activation accessible soit depuis la fenêtre d'évaluation affichée au lancement
du logiciel, soit via le Menu "? > Assistant d'Activation"
4.4.6
Préférences
La fenêtre des Préférences permet :
· De définir le mode de démarrage du logiciel.
· D'activer/désactiver la détection de déconnexion de l'interface réseau.
Les Préférences sont disponibles via le Menu 'Fichier' puis 'Préférences'.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
23
Mode de démarrage du logiciel
Le Client VPN IPSec TheGreenBow peut démarrer suivant différents modes :
· 'Démarrer le Client VPN IPSec avant le logon Windows': Ce mode peut être utilisé pour
sécuriser un login distant.
· 'Démarrer le Client VPN IPSec aprés le logon Windows'.
· 'Ne pas démarrer le Client VPN IPSec quand Windows démarre': le Client VPN est démarré
manuellement par l'utilisateur.
Divers
Désactiver la détection de déconnexion de l'interface réseau permet au Client VPN de ne pas
fermer les tunnels ouverts sur déconnexions momentanées mais fréquentes. Ce type de
comportement est observé sur des connexions de type GPRS/3G ou WiFi.
4.5
Panneau de Connexion
Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir
et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il
permet d'identifier de façon particulièrement claire les erreurs de connexion.
Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement
via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de
Configuration par un mot de passe.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Navigation et Interface Utilisateur
TheGreenBow Client VPN IPSec - Guide Utilisateur
24
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
V
Panneau de Connexion
Panneau de Connexion
5
Panneau de Connexion
5.1
Eléments du Panneau de Connexion
26
Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir
et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il
permet d'identifier de façon particulièrement claire les erreurs de connexion.
Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement
via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de
Configuration par un mot de passe.
Pour ouvrir un tunnel, il suffit de cliquer sur le bouton 'Ouvrir' associé à ce tunnel. Ce bouton
bascule automatiquement à 'Fermer' dès que le tunnel est ouvert. Un clic sur le nom du tunnel
ouvre automatiquement le Panneau de Configuration, permettant de changer la configuration de
ce tunnel. Ce dispositif est désactivé quand le Panneau de Connexion est protégé par un mot de
passe.
Il est également possible d'appliquer automatiquement une nouvelle Configuration VPN en glissant
une configuration VPN sur le Panneau de Connexion. Si un tunnel est configuré pour être
automatiquement ouvert quand le <%%PRODUCT2> démarre (voir section 'Phase 2 Paramètres
Avancés'), il sera immédiatement ouvert dès que la nouvelle Configuration VPN sera appliquée (i.
e. 'Sauver & Appliquer')
5.2
Informations et Alertes dans le Panneau de Connexion
Lorsqu'un problème se produit pendant l'ouverture du tunnel, il est identifié par un segment orange
sur la barre de progression, et par un lien 'warning' dans la colonne de status du tunnel concerné :
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Panneau de Connexion
27
En cliquant sur le lien 'warning', une fenêtre d'explication du problème est affichée. Cette fenêtre
aide l'utilisateur ou le responsable informatique à identifier le problème. Elle contient de plus un
lien vers nos pages web d'aide en ligne qui détaillent les symptômes d'erreurs et donnent des
informations sur les possibilités de résolution du problème rencontré.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
VI
VPN Configuration
VPN Configuration
6
VPN Configuration
6.1
Assistant de Configuration
6.1.1
Assistant de Configuration en trois étapes
29
Le Client VPN IPSec TheGreenBow intègre un "Assistant de Configuration" qui permet de créer
une configuration complète en trois étapes. Cet Assistant est optimisé pour la connexion d'un
poste nomade sur l'Internet ayant besoin de se connecter à un réseau local d'entreprise en
passant par un routeur VPN.
Voici ci-dessous le schéma représentant les différents éléments de notre exemple de connexion
VPN :
· Le poste nomade dispose d'une adresse IP publique 195.100.205.101.
· Il souhaite accéder au réseau local situé derrière le routeur qui a pour adresse DNS
publique routeur.mydomain.com.
· Dans le réseau local de l'entreprise, le nomade aura pour adresse IP privée 192.168.1.50
· Il pourra accéder aux ressources du réseau local, notamment un serveur ayant l'adresse IP
privée 192.168.1.101.
Note : Les configurations plus complexes du Client VPN ou spécifiques à certains routeurs
compatibles sont disponibles sur notre site web.
Pour accéder à l'Assistant de Configuration, sélectionner le menu 'Configuration > Assistant'.
6.1.2
Etape 1 sur 3: Choix de l'équipement distant
La première étape permet de choisir le type d'équipement utilisé à l'extrêmité du tunnel :
· Un routeur pour une connexion à l'entreprise
· Un autre ordinateur pour une connexion peer-2-peer.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.1.3
30
Etape 2 sur 3: Paramètres du tunnel VPN
La deuxième étape permet de déterminer les caractéristiques du tunnel VPN:
· L'adresse IP publique ou DNS (coté réseau Internet) du routeur VPN (e.g. routeur.
mydomain.com)
· La preshared key qui sera utilisée pour authentifier l'utilisateur (doit être identique dans le
routeur)
· L'adresse IP du réseau LAN de l'entreprise (e.g. préciser 192.168.1.0)
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.1.4
31
Etape 3 sur 3: Synthèse
La troisième étape résume tous les paramètres de configuration VPN choisis. Les autres
paramètres peuvent être configurés directement depuis le Panneau de Configuration (e.g.
Certificats, adresse IP virtuelle, …).
A la fermeture de cette troisième étape, la configuration VPN complète apparaît dans
l'arborescence du Panneau de Configuration.
6.2
Configuration Tunnel VPN
6.2.1
Comment créer un tunnel VPN ?
Pour créer un tunnel VPN directement depuis le Panneau de Configuration (sans utiliser l'Assistant
de Configuration), suivre les étapes suivantes:
1. Clic droit sur 'Configuration' dans l'arborescence et sélectionner 'Nouvelle Phase 1'
2. Configurer la Phase d'Authentification (Phase 1)
3. Clic droit sur la 'Phase 1' dans l'arborescence et sélectionner 'Ajouter Phase 2'
4. Configurer la Phase IPSec (Phase 2)
5. Cliquer sur le bouton 'Sauver & Appliquer' pour que la nouvelle configuration soit prise en
compte.
6. Ouvrir le tunnel directement en cliquant sur le bouton 'Ouvrir le tunnel' (fenêtre 'Phase2')
Pour la description des paramêtres voir aussi Phase 1 ou Phase 2.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.2.2
32
Multiplicité des Phases 1 et 2 (Authentication et Configuration IPSec)
Plusieurs Phases d'Authentification (Phase 1) peuvent être configurées. Ceci permet de créer
depuis un même poste plusieurs tunnels vers plusieurs routeurs VPN différents.
De même, plusieurs Configurations IPSec (Phase 2) peuvent être créées pour une même Phase
d'Authentification (Phase 1).
6.2.3
Fonctionnalités avancées
Les fonctionnalités avancées et autres paramètres peuvent être définis pour les Phase1 et
Phase2.
Ceux définis dans la Phase1 s'appliquent à toutes les Phases 2 de la configuration VPN courante :
· Activer/Désactiver Config Mode
· Activer/Désactiver NAT-T Mode Agressif
· Activer/Désactiver Gateway Secours
· Sélectionner le mode NAT-T (Forcé, Désactivé ou Automatique)
· Saisir Login/mot de passe pour X-Auth avec option "Se souvenir du login/mot de passe"
Ceux définis dans la Phase2 s'appliquent seulement aux Phases 2 :
· Mode d'ouverture automatique de tunnel
· Choisir un script/application à lancer sur ouverture d'un tunnel
· Configuration manuelle des adresses serveur DNS/WINS
6.3
Authentification ou Phase 1
6.3.1
Qu'est ce que la Phase 1 ?
La page 'Authentification' permet de configurer les différents éléments d'une Phase
d'Authentification (alias Phase 1 ou Phase de négociation IKE).
Le but de la phase 1 est de négocier les règles de sécurité IKE, d'authentifier les correspondants,
et de démarrer un tunnel sécurisé entre ces correspondants. Dans la Phase 1, chaque extrémité
doit identifier et s'authentifier auprès des autres.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.3.2
33
Phase 1 Description des paramètres
Nom
Identifiant de la Phase d'Authentification utilisé uniquement par le
logiciel. Ce paramètre n'est, par exemple, pas transmis dans la
négociation IKE.
Il est possible de modifier le nom d'une Phase à tout moment. Une
modification de nom sera reflété dans l'arborescence. Deux phases ne
peuvent pas avoir le même nom.
Interface
Adresse IP de l'interface réseau sur laquelle la connexion VPN s'établit
(dans notre exemple : 195.100.205.101).
Lorsque cette adresse IP n'est pas prédéfinie (c'est le cas par exemple
lorsqu'elle est allouée dynamiquement par un FAI), sélectionner l'option
" Automatique ".
Adresse Router Distant Adresse IP ou adresse DNS du routeur VPN distant (dans notre
exemple : routeur.mydomain.com). Ce champ doit être
obligatoirement renseigné.
Clé partagée
Certificats
Mot de passe ou clé partagée par le routeur ou le destinataire.
Certificat X509 utilisé par le Client VPN (voir Configuration Client VPN
avec Certificats)
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
34
IKE Chiffrement
Algorithme de chiffrement négocié au cours de la Phase
d'Authentification (3DES, AES, ...)
IKE authentification
Algorithme d'authentification négocié au cours de la Phase
d'Authentification (MD5, SHA, ...)
IKE Groupe de clé
Longueur de clé Diffie-Hellman.
Une fois configurés, cliquer sur 'Sauver & Appliquer' pour que les paramètres soient pris en
compte.
6.3.3
Phase 1 Description des paramètres avancés
Config-Mode
Si sélectionné, le Client VPN active le Config-Mode. Le Config-Mode
permet de recupérer certains éléments de configuration VPN depuis
la gateway/routeur. Si le Config-Mode est selectionné et disponible
sur la gateway, les paramètres suivants sont négociés entre le
Client VPN IPSec et la gateway distante durant la Phase 1 IKE:
· Adresse IP Virtuelle du Client VPN
· Adresse du serveur DNS (optionnel)
· Adresse du serveur WINS (optionnel)
Dans le cas où la gateway ne supporte pas le Config-Mode, il est
possible de configurer ces adresses IP de serveurs DNS/WINS pour
chaque tunnel dans le Client VPN (voir 'P2 avancé').
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
35
Aggressive Mode
Le Client VPN utilisera le mode agressif pour se connecter au
routeur VPN distant.
Redund. GW
La fonctionnalité de Redundant Gateway (ou gateway de secours)
permet au Client VPN TheGreenBow d'ouvrir un tunnel IPSec avec
une gateway de secours dans le cas où la gateway primaire est
indisponible ou inaccessible.
Pour activer la fonction de Gateway de Secours, saisir une adresse
IP ou l'url de cette gateway (e.g. router.dyndns.com).
· Le Client VPN TheGreenBow va essayer de contacter la
gateway primaire pour établir un tunnel. Si le tunnel ne peut
être établi après plusieurs tentatives (5 par défaut, configurable
dans la fenêtre "Paramètres" puis le champ "Retransmissions"),
la gateway de secours est utilisée comme nouvelle destination.
Le délai entre chaque essais est de 10 sec environ.
· Dans le cas où la gateway primaire est accessible mais que
l'ouverture du tunnel est impossible (e.g. problème de
configuration VPN), le Client VPN n'essaye pas d'ouvrir les
tunnels avec la gateway de secours. La configuration VPN
nécessite des modifications.
· Dans le cas où le tunnel a été ouvert avec la gateway primaire
et que celle-ci supporte le "Dead Peer Detection", le Client VPN
essaye immédiatement d'ouvrir le tunnel avec la gateway de
secours s'il détecte que la gateway primaire ne répond plus.
· Le même comportement s'applique pour la gateway de
secours. Le Client VPN essayera d'ouvrir le tunnel avec la
gateway de secours et primaire jusqu'à ce que l'utilisateur quitte
le logiciel ou clique sur "Sauver & Appliquer".
Mode NAT-T
Le mode NAT-T peut être Forcé, Désactivé ou Automatique.
NAT-T "Désactivé" interdit au Client VPN IPSec et à la gateway
VPN de passer en mode NAT-Traversal.
NAT-T "Automatique" laisse la gateway VPN et le Client VPN IPSec
négocier le mode NAT-Traversal.
Dans le mode NAT-T "Forcé" le Client VPN IPSec TheGreenBow
force NAT-T par l'encapsulation systématique des packets IPSec
dans des trames UDP pour résoudre les problèmes de NATTraversal dans certains routeurs intermédiaires.
Local ID
Le 'Local ID' est l'identifiant de la Phase d'Authentification (Phase 1)
que le Client VPN envoie au routeur VPN distant. Suivant le Type
sélectionné, cet identifiant peut être :
· une adresse IP (type = Adresse IP), e.g. 195.100.205.101
· un nom de domaine (type = FQDN), e.g. gw.mydomain.net
· une adresse email (type = USER FQDN), e.g.
support@TheGreenBow.fr
· une chaîne de caractères (type = KEY ID), e.g. 123456
· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP
du Client VPN qui est utilisée par défaut.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
36
Remote ID
Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir
du routeur VPN distant. Suivant le type sélectionné, cet identifiant
peut être :
· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4
· un nom de domaine (type = FQDN), par exemple : routeur.
mondomaine.com
· une adresse email (type = USER FQDN), par exemple :
admin@mydomain.com
· une chaîne de caractères (type = KEY ID), par exemple :
123456
· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP
du routeur VPN qui est utilisée par défaut.
X-Auth
Saisir le Login et mot de passe choisis pour la négociation X-AUTH
IPSec.
Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/
mot de passe X-Auth apparaîtra à chaque tentative d'ouverture de
tunnel. L'utilisateur à 20 secondes pour saisir les paramètres avant
que l'authentification X-Auth n'expire. Si l'authentification X-Auth
n'est pas effectuée, le tunnel ne peut pas être ouvert.
Hybrid Authentication
Mode
Le Mode Hybrid est un mode d'authentification simplifié utilisé dans
la Phase 1 IKE.
L'authentification X-Auth classique s'effectue par identification/
authentification mutuelles entre le Client et la Gateway VPN, basées
sur les techniques standard d'échanges de clés publiques. Le Mode
Hybrid permet une authentification "asymétrique" qui autorise le
Client à utiliser une technique d'authentification plus simple, comme
un 'challenge response', aboutissant à une authentification
"unidirectionnelle".
Hybrid Mode est implémenté dans le Client VPN IPSec
TheGreenBow conformément à la RFC 'draft-ietf-ipsec-isakmphybrid-auth-05.txt'.
6.4
IPSec Configuration ou Phase 2
6.4.1
Qu'est ce que la Phase 2 ?
La page de 'Configuration IPSec' permet de configurer les différents paramètres de la Phase
IPSec (alias Phase 2).
Le but de la phase 2 est de négocier les paramètres de sécurité qui seront appliqués à tout trafic
passant par les tunnels VPN négociés pendant la Phase 1.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.4.2
37
Phase 2 Description des paramètres
Nom
Identifiant de la Configuration IPSec utilisé uniquement par le
logiciel.
Ce paramètre n'est pas transmis dans la négociation IPSec.
Il est possible de modifier le nom d'une Phase à tout moment.
Une modification de nom sera reflétée dans l'arborescence.
Deux phases ne peuvent avoir le même nom.
Adresse du Client VPN
Adresse IP source affectée aux trames IPSec avant le tunneling.
Cette adresse est utilisée pour définir l'adresse IP "virtuelle" du
poste sur le réseau distant, c'est-à-dire, l'adresse avec laquelle
le poste sera "vu" sur le réseau distant par les autres machines.
Dans notre exemple, cette adresse vaut 192.168.1.50.
Type d'adresse
L'extrémité du tunnel peut être un réseau ou un poste distant.
· Choisir 'Adresse réseau' pour un réseau. Dans ce cas,
les deux paramètres 'Adresse Réseau Distant' et 'Masque
Réseau' sont disponibles.
· Choisir 'Plage d'adresses' pour un réseau avec possibilité
de restreindre la plage d'adresses IP sur lesquelles le
trafic déclenche l'ouverture du tunnel automatiquement.
· Choisir 'Adresse Poste' pour un poste distant. Dans ce
cas, seul le paramètre 'Poste distant' est disponible.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
38
Adresse Réseau Distant /
Adresse Poste Distant
Adresse IP distante, ou adresse IP du routeur, qui déclenche
l'ouverture du tunnel.
Masque réseau
Masque de réseau (subnet mask)
Certificat
Certificat X509 utilisé par le Client VPN (voir Mise en œuvre des
Certificats)
ESP Chiffrement
Algorithme de chiffrement négocié au cours de la Phase IPSec
(3DES, AES, ...)
ESP Authentification
Algorithme d'authentification négocié au cours de la Phase
IPSec (MD5, SHA, ...)
ESP mode
Mode d'encapsulation IPSec : Tunnel ou Transport
PFS Groupe
Longueur de clé Diffie-Hellman.
Ouvrir le tunnel
Ce bouton permet d'ouvrir manuellement le tunnel. Ce bouton se
transforme en 'Fermer le tunnel' dès que le tunnel est ouvert.
Scripts
Des scripts ou applications (e.g. script security admin , Outlook,
CRM apps, ..) peuvent être configurés, voir 'Configuration des
Scripts'.
Note: La fonctionnalité "Plage d'adresses" combinée avec la fonctionnalité "Ouverture du tunnel
sur trafic" permet d'ouvrir automatiquement un tunnel sur détection de trafic vers l'une des
adresses dans la plage d'adresses specifiée.
Une fois la configuration terminée, cliquer sur "Sauver et Appliquer" pour que cette configuration
soit prise en compte par le Client VPN.
Note: De nombreux exemples et guides de configuration, suivant les passerelles/routeurs utilisés,
sont disponibles sur notre site web.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.4.3
6.4.4
39
Phase 2 Description des paramètres Avancés
Mode d'ouverture
automatique
Le Client VPN peut ouvrir un tunnel (Phase2) automatiquement sur
événements particuliers:
· Ouvrir automatiquement le tunnel au démarrage du Client VPN.
Comme le Client VPN peut être configuré pour démarrer
pendant le boot de la machine (avant le login Windows, voir "
Préférences"), cette configuration peut être utilisée pour ouvrir
un tunnel vers un serveur sur lequel se connecte le poste avant
l'ouverture de Windows, par exemple pour des opérations de
maintenance.
· Ouvrir automatiquement le tunnel sur insertion d'un Stick USB et
à condition que ce dernier contienne les éléments de sécurité
nécessaires (PreShared Key, Certificats, ..). La détection du
Stick USB est automatique. Voir Mode USB.
· Ouvrir automatiquement le tunnel quand le Client VPN détecte
du trafic à destination du réseau privé distant spécifié pour ce
tunnel.
Config Mode manuel
Les adresses IP des serveurs DNS et WINS du réseau LAN distant
peuvent être saisies manuellement dans cette fenêtre. Cette option
permet de faciliter la résolution d'adresse des serveurs d'entreprise.
Les adresses sont prises en compte dès que le tunnel est ouvert et
aussi longtemps qu'il le reste.
Configuration des Scripts
Des scripts ou applications peuvent être configurés dans la fenêtre de 'Configuration de Scripts'.
Cette fenêtre est accessible par le bouton 'Scripts' dans la Phase 2.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
40
Des scripts ou applications peuvent être activés pour chaque étape d'un processus d'ouverture et
de fermeture d'un tunnel VPN:
· avant l'ouverture d'un tunnel
· après l'ouverture d'un tunnel
· avant la fermeture d'un tunnel
· après la fermeture d'un tunnel
Cette fonctionnalité permet d'exécuter des scripts (batch, scripts, applications,…) à chaque étape,
par exemple, pour se connecter directement sur le serveur intranet de l'entreprise, pour vérifier
l'installation d'une mise à jour, pour vérifier la disponibilité d'une base de données avant le
lancement d'une application de backup, pour vérifier qu'un logiciel est démarré, ... Elle permet
également de modifier la configuration réseau avant ou après l'ouverture du tunnel, et de la
restaurer à la fermeture.
6.5
Paramètres Globaux
6.5.1
Description des paramètres Globaux
La fenêtre 'Paramètres' permet de configurer différents paramètres partagés par toutes les phases
1 et 2 définies dans la configuration.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
Lifetime (sec.)
41
IKE durée par défaut
Temps maximum autorisé pour l'authentification
IKE.
IKE durée minimale
Temps maximum autorisé pour l'authentification
IKE: valeur minimale négociée.
IKE durée maximale
Temps maximum autorisé pour l'authentification
IKE : valeur maximale négociée.
IPSec durée par
défaut
Temps maximum autorisé pour la négociation
IPSec.
IPSec durée minimale Temps maximum autorisé pour la négociation
IPSec : valeur minimale négociée.
IPSec durée maximale Temps maximum autorisé pour la négociation
IPSec : valeur maximale négociée.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
42
Dead Peer Detection
(DPD)
Le Dead Peer Detection (DPD) est une extension
IKE (RFC3706) utilisée pour la détection
d'inactivité d'une extrêmité du tunnel. Le
Client VPN IPSec TheGreenBow utilise le DPD
pour :
Fermer les tunnels ouverts lorsque la gateway
distante est détectée comme inactive
Redémarrer les négociations IKE avec la gateway
de secours si cette fonction est activée dans les
paramètres avancés de Phase 1.
Période de vérification Interval entre messages DPD.
(sec.)
Nombre d'essais
Nombre de messages DPD envoyés.
Autres
Durée entre essais
(sec.)
Intervalle entre les messages DPD quand aucune
réponse n'est reçue de la gateway distante.
Retransmission
Temps de retransmission des échanges en cas
de non-réponse.
Echange temps max. Temps maximum d'attente d'un échange avant
l'abandon de la négociation
Bloquer flux non
chiffrés
Lorsque cette option est cochée, seul le trafic
chiffré à partir du poste client sera autorisé.
IKE Port
L'utilisateur peut changer le numéro de port pour
la négociation IKE. Les échanges s'effectuent
toujours sur UDP mais le cas échéant sur un
autre port que le port 500. Ceci permet d'autoriser
le passage du trafic VPN au travers de Firewalls
n'autorisant pas le port 500.
Note : La gateway du réseau distant doit
supporter ce dispositif.
Une fois que les paramètres sont modifiés, cliquer sur 'Sauver et Appliquer' pour sauver et prendre
en compte la nouvelle Configuration VPN.
6.6
Gestion des Tunnels VPN
6.6.1
Comment visualiser les tunnels VPN ouverts ?
La fenêtre 'Tunnels' permet de gérer les tunnels en cours : visualisation et fermeture.
Pour fermer un tunnel, le sélectionner dans la liste des tunnels en cours et cliquer sur le bouton
"Fermer le tunnel".
Le bouton "Panneau des Connexions" donne un accès immédiat à ce Panneau.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.7
Mode USB
6.7.1
Qu'est ce que le Mode USB ?
43
Le Client VPN TheGreenBow offre la possibilité de protéger les configurations VPN et les éléments
de sécurité VPN (e.g. clé partagée, Certificats, …) sur une clé USB .
Si le "Mode USB" est sélectionné, les configurations VPN et les éléments de sécurité VPN
contenus dans le fichier de configuration sont stockés sur la clé USB la première fois qu'elle est
insérée. Une fois la clé USB configurée, il suffit de l'insérer/extraire pour ouvrir/fermer
automatiquement les tunnels configurés.
6.7.2
Comment activer le Mode USB ?
Pour activer le Mode USB, il suffit de modifier la localisation du fichier de configuration
· Sélectionner menu Fichier > Mode de Configuration VPN
· Sélectionner le mode "Clé USB"
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
44
Note: Si la clé USB est déjà insérée, le disque associé (e.g. "F:") sera reconnu automatiquement
s'il contient la configuration VPN. Il n'est pas nécessaire d'insérer la clé USB pendant cette étape.
Si la clé USB n'est pas insérée, une fenêtre popup avertit l'utilisateur.
Une fois le mode "USB" activé, la zone "Clé USB" (barre de status) indique :
· Un icône bleu quand la clé USB est insérée:
· Un icône grisé quand aucune clé USB n'est pas insérée :
6.7.3
Comment activer un Stick USB ?
Une clé USB est activée lorsqu'elle contient une Configuration VPN.
En insérant une nouvelle clé USB, le Client VPN IPSec propose d'activer automatiquement la
nouvelle clé USB avec les options suivantes:
· Copier la configurations VPN sur la clé USB: Le Client VPN copie les informations VPN sur
la clé USB et laisse une copie sur l'ordinateur. Cette fonction est utilisée par les
Responsables Informatiques pour activer rapidement de multiples clés USB pour de
multiples utilisateurs.
· Déplacer la configuration VPN sur la clé USB: Le Client VPN copie les informations VPN
sur la clé USB et supprime toute trace de configuration VPN sur la machine.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.7.4
45
Comment ouvrir automatiquement les tunnels sur insertion du Stick USB ?
Chaque tunnel peut être configuré individuellement:
· Sélectionner 'IPSec Configuration' (Phase 2) de l'un des tunnels par un clic dans la fenêtre
d'arborescence
· Sélectionner 'P2 Avancé...'
· Sélectionner le mode "Ouvrir automatiquement ce tunnel lorsqu'une clé USB est insérée"
6.8
Gestion des Certificats
6.8.1
Introduction
Le Client VPN TheGreenBow utilise des Certificats X509 à partir de fichiers au format PEM,
PKCS#12 ou à partir de SmartCard.
Note : Le client Client VPN IPSec TheGreenBow ne permet pas de créer des Certificats.
Les Certificats doivent être créés (et stockés sur carte à puce) par un logiciel tiers. Des
documents complémentaires de support sont disponibles sur notre site web : 'How to
generate Certificates' ou 'How to convert Certificate formats'.
Pour utiliser un Certificat avec le Client VPN IPSec, vous devez disposer des éléments suivants:
· le Certificat racine
· le Certificat utilisateur
· la clé privée du Certificat utilisateur
Les Certificats X509 sont utilisés pendant la Phase 1.
Note: Les Certificats peuvent être embarqués dans le fichier de configuration VPN à importer.
Lorsqu'il est importé, ils sont automatiquement copiés sur le support de configuration (local, USB).
Inversement, ils sont automatiquement intégrés au fichier exporté.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.8.2
46
Comment configurer le Client VPN IPSec avec Certificats PKCS#12 ?
Les Certificats PKCS#12 sont supportés par de nombreuses gateways. Le Client VPN IPSec
TheGreenBow peut importer les Certificats PKCS#12 dans la configuration VPN, directement
depuis le Panneau de Configuration.
Un Certificat PKCS#12 peut être défini par tunnel. Par conséquent, il est possible de se connecter
à plusieurs gateways qui n'utilisent pas la même PKI.
Les étapes pour configurer le Client VPN IPSec avec les Certificats PKCS#12 sont les suivantes :
Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton
'Import des Certificats'.
Etape 2: Sélectionner 'Certificat d'un fichier PKCS12' dans la liste et cliquer sur 'Importer..'.
Etape 3: Sélectionner le Certificat PKCS#12 que vous voulez importer. Si le Certificat PKCS#12
est protégé, entrer le mot de passe dans la fenêtre affichée automatiquement. Une fois
que le Certificat est correctement importé, son sujet est automatiquement renseigné
dans les champs Certificats dans le haut de la fenêtre 'Import des Certificats'. De plus,
Les icônes clé identifient la présence d'un Certificat déjà configuré (Certificat racine,
Certificat d'utilisateur, clef privée) comme montré ci-dessous.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
47
Etape 4: Pour sauver le Certificat PKCS12' dans la configuration VPN cliquer sur 'Sauver et
Appliquer' .
Note : Une fois que le Certificat est importé, son sujet est automatiquement utilisé comme
paramètre Local ID dans la Phase1 associée, comme indiqué dans la fenêtre P1 Paramètres
Avancés :
6.8.3
Comment configurer le Client VPN IPSec avec Certificats PEM ?
Le Client VPN IPSec TheGreenBow peut importer les Certificats PEM dans la configuration VPN,
directement depuis le Panneau de Configuration.
Un Certificat PEM peut être défini par tunnel. Par conséquent, il est possible de se connecter à
plusieurs gateways qui n'utilisent pas la même PKI.
Les étapes pour configurer le Client VPN IPSec avec les Certificats PEM sont les suivantes :
Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton
'Import des Certificats'.
Etape 2: Sélectionner 'Certificat d'un fichier PEM' dans la liste et cliquer sur 'Importer..'.
Etape 3: Importer le Certificat de racine, le User Certificat et la clef privée en cliquant sur le
bouton associé. Lorsque que le Certificat est correctement importé, le sujet est
automatiquement renseigné dans les champs Certificats dans le haut de la fenêtre
'Import des Certificats..'.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
48
Etape 4: Pour sauver le Certificat PEM' dans la configuration VPN cliquer sur 'Sauver et
Appliquer' .
Note : Une fois que le Certificat est importé, son sujet est automatiquement utilisé comme
paramètre Local ID dans la Phase1 associée, comme indiqué dans la fenêtre P1 Paramètres
Avancés :
Note : Le fichier PEM contenant la clé privée ne doit pas être chiffré ou protégé par un mot de
passe.
6.8.4
Gestion Carte à Puce et Token
6.8.4.1
Comment configurer un tunnel avec le Certificat d'une SmartCard
Le Client VPN IPSec TheGreenBow peut lire des Certificats sur Carte à Puce (SmartCard). Ces
Cartes à Puce peuvent être employées pour embarquer les Certificats X509 avec protection par
PIN Code.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
49
Les étapes pour configurer un tunnel avec un Certificat sur Carte à Puce sont les suivantes :
Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton
'Import des Certificats'.
Etape 2: Sélectionner 'Certificat sur Carte à Puce' dans la liste et cliquer sur 'Importer..'. La partie
basse de la fenêtre montre une liste de Lecteur de Carte à Puce (i.e. Card Reader).
Etape 3: Choisir le lecteur de Carte à Puce que vous voulez utiliser. Le processus d'identification
du lecteur de Carte à Puce commence et un 'PIN' code peut être exigé. Le cas échéant,
entrer votre 'PIN' code de Carte à Puce et cliquer 'OK'.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
50
Les informations concernant le lecteur et la Carte à Puce sont automatiquement affichées dans la
zone située en dessous de la liste des lecteurs, les sujets des certificats lus sont automatiquement
renseignés dans les champs Certificats en haut de la fenêtre 'Import des Certificats..' :
Etape 4: Pour sauver les informations concernant le Lecteur de Carte à Puce dans la
configuration VPN cliquer sur 'Sauver et Appliquer'.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.8.4.2
51
Comment utiliser un tunnel avec le Certificat d'une SmartCard
Quand un tunnel est configuré pour utiliser les certificats d'une Carte à Puce, le 'PIN' code de la
Carte à Puce est demandé à l'utilisateur chaque fois que le tunnel doit être ouvert (excepté sur les
re-négociations VPN automatiques).
Ainsi, pour ouvrir un tunnel avec des certificats d'une Carte à Puce, il est obligatoire d'avoir :
1. Le lecteur de Carte à Puce correctement installé et configuré dans le Client VPN IPSec
2. Une Carte a Puce lisible insérée dans le lecteur de Carte à Puce
3. Le 'PIN' code de la Carte à Puce.
6.8.4.3
Chaque problème d'utilisation de la Carte à Puce est identifié dans la console du Client VPN
IPSec.
Voir le chapitre 'SmartCard Troubleshooting' ci-dessous.
SmartCard Troubleshooting
L'utilisation de Carte à Puce nécessite la configuration du lecteur de Carte à Puce. Les problèmes
de configuration éventuels sont les suivants :
Problème de Configuration Carte à Puce Message affiché dans la fenêtre "Import des
Certificats"
Aucune carte à puce trouvée.
Aucun lecteur de Carte à Puce n'a été
trouvé.
L'absence de lecteur de Carte à Puce vient No ATR
probablement de l'absence du middleware ATR inconnu : cette carte à puce n'est pas
supportée.
associé. La procédure pour ajouter le
Le middleware PKCS#11 pour cette carte à
middleware du lecteur à la configuration est puce n'est pas trouvé.
indiquée de la façon suivante :
Vous pouvez spécifier un middleware PKCS#11
via la commande en ligne :
Vpnconf.exe /addmiddleware:path_to_the_dll
ATR =
La Carte à Puce ne peut être lue
3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90
:00
Utilise IDOne Lite
PKCS#11 middleware trouvé.
Erreur 0x00000015
ATR =
Le PIN Code est erroné
3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90
:00
Utilise IDOne Lite
PKCS#11 middleware trouvé.
PIN code erroné.
Aucun certificat n'a été trouvé sur la Carte à ATR =
3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90
Puce
:00
Utilise IDOne Lite
PKCS#11 middleware trouvé.
Aucune configuration ni certificat n'ont été
trouvés sur la carte à puce.
Les utilisateurs peuvent rencontrer des problèmes en utilisant un tunnel qui nécessite un Certificat
sur une Carte à Puce. Dans ce cas, les messages d'erreur sont affichés dans la Console.
Problème d'Utilisation Carte à Puce
Aucun lecteur de Carte à Puce n'a été
trouvé.
Le PIN Code est erroné
TheGreenBow Client VPN IPSec - Guide Utilisateur
Message affiché dans la Console.
Missing SmartCard Reader
Wrong PIN code
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
52
Aucun certificat n'a été trouvé sur la Carte à Empty or unreadable SmartCard
Puce ou la Carte à Puce est illisible
6.9
Gestion des Configurations VPN
6.9.1
Comment Importer ou Exporter une configuration VPN ?
Le Client VPN permet d'importer ou d'exporter une configuration VPN.
Cette fonctionnalité permet de pré-configurer un fichier de configuration, par exemple avant de le
diffuser dans le cadre d'un déploiement du logiciel, ou dans le cadre d'une mise à jour des
configurations d'un parc installé.
· Pour importer un fichier de configuration, sélectionner le menu "Fichier > Importer".
· Pour exporter un fichier de configuration, sélectionner le menu "Fichier > Exporter".
Les fichiers de Configuration importés / exportés portent par défaut l'extension ".tgb".
Une Configuration VPN incluant les Certificats peut être protégée par mot de passe lors d'une
importation ou une exportation. Quand l'utilisateur veut exporter une configuration, une fenêtre
s'ouvre automatiquement pour demander si la Configuration VPN exportée doit être protégée par
mot de passe ou pas.
Lorsqu'une configuration VPN protégée par un mot de passe est importée, le mot de passe est
demandé automatiquement à l'utilisateur. (l'importation d'une Configuration VPN non protégée se
fait directement).
Note: Import/Export en 'Mode USB'
Lorsque le Client VPN est configuré en mode USB et qu'une clé USB VPN est insérée,
l'importation d'une configuration est faite directement sur la clé USB. Les fonctions d'import/export
ne sont pas valides lorsque le Client VPN est en mode USB, sans clé USB insérée (icône USB en
bas à gauche grisé).
Note: Le Client VPN TheGreenBow peut aussi importer un fichier de configuration spécifique via
une ligne de commande
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
VPN Configuration
6.9.2
53
Embarquer une Configuration VPN dans le Setup du Client VPN
Une configuration VPN (préparée à l'avance) peut être incluse dans le Setup du Client VPN IPSec.
L'inclusion de la configuration VPN dans le Setup permet au Responsable Informatique de
déployer un Client VPN pré-configuré dans un package simple.
6.9.3
Configuration VPN par défaut
L'installation du Client VPN IPSec inclut une configuration VPN dite par défaut. Cette configuration
VPN par défaut permet d'ouvrir un tunnel vers le serveur TheGreenBow de démonstration dès que
le logiciel Client VPN IPSec est installé. Cette fonctionnalité est particulièrement utile pour vérifier
si un tunnel peut être ouvert à partir d'un ordinateur vers un réseau distant.
6.10
Documents de support complémentaires
Plusieurs Guides de Configuration, correspondant à tous les Routeurs VPN que nous supportons,
sont disponibles sur notre site web.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
VII
Déploiement
Déploiement
55
7
Déploiement
7.1
Configuration VPN embarquée
Une configuration VPN (extension '.tgb') embarquée dans le Setup du Client VPN IPSec (voir la
description 'Deployment Guide' sur notre site web) est automatiquement importée et appliquée par
le Client VPN IPSec pendant l'installation du logiciel.
Le processus pour créer une installation avec une configuration de VPN embarquée est le suivant :
1. Créer la configuration VPN qui doit être embarquée dans le Setup. Cette étape doit être
exécutée avec un Client VPN précédemment installé, duquel la configuration VPN est
exportée et nommée par exemple 'myconfig.tgb'.
2. Créer une installation silencieuse, ou décompresser le setup du Client VPN IPSec.
3. Ajouter la configuration VPN 'myconfig.tgb' dans le répertoire du Setup.
4. Déployer le package aux utilisateurs (la configuration VPN 'myconfig.tgb' sera
automatiquement importée et appliquée pendant l'installation)
Note importante : Le Setup ne peut pas importer et appliquer une configuration VPN protégée par
mot de passe.
7.2
Options du Setup
7.2.1
Introduction des Options du Setup
Plusieurs options sont disponibles avec le Setup du Client VPN IPSec.
1. Configuration de l'Interface Utilisateur : 'full', 'user' ou 'hidden'.
2. Contrôle d'accès à l'Interface Utilisateur par mot de passe.
3. Configuration des items du menu en barre des tâches.
4. Configuration de l'email d'activation, du numéro de licence, du mode de démarrage du
logiciel.
7.2.2
Option Setup pour l'Interface Utilisateur
Syntaxe : --vpngui=full|user|hidden
permet de définir l'aspect de l'Interface Utilisateur quand le Client VPN IPSec demarre.
'full' : [Défaut] le Panneau de Configuration est affiché.
'user' : Le Panneau de connexion est affiché.
'hidden' : Le Panneau de Configuration VPN et le Panneau de Connexion ne sont pas affichés.
Seul le menu en barre des tâches est accessible. Les tunnels peuvent être ouverts depuis ce
menu.
Remarque : --vpngui=hidden est équivalent à l'option --hide=yes. Cette option peut
encore être utilisée (maintenue pour des raisons de compatibilité).
7.2.3
Option Setup pour control d'accès à l'Interface Utilisateur
Syntaxe : --password=mypwd
Permet de protéger l'accès à l'Interface Utilisateur par un mot de passe.
Le mot de passe sera demandé à l'utilisateur :
· Quand il clique ou double-clique sur l'icône Client VPN en barre des tâches.
· Quand il veut passer du Panneau de Connexion au Panneau de Configuration.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Déploiement
56
Exemple : --vpngui=user --password=admin01
Ces 2 options permettent de restreindre l'usage du Client VPN au Panneau de Connexion. L'accès
au Panneau de Configuration est quant à lui protégé par le mot de passe.
7.2.4
Option Setup pour les items du menu en barre de tâches
Syntaxe : --menuitem=[0… 15]
Permet d'indiquer les items du menu en barre des tâches que le Responsable Informatique veut
conserver.
La valeur est un champ de bits :
1
2
4
8
=
=
=
=
'Quitter',
'Panneau de Connexion',
'Console',
'Sauver et Appliquer'.
Exemple : --menuitem=5 configurera un menu en barre des tâches avec les items : '
Quitter' + 'Console'.
Note 1 : Les tunnels configurés sont toujours affichés dans le menu en barre des tâches, et
peuvent toujours être ouverts et fermés depuis ce menu.
Note 2 : 'menuitem' et 'vpngui=hidden'.
Par défaut, 'vpngui=hidden' (ou 'hide=yes') limite le menu en barre des tâches à
Quitter + Console. Les items 'Sauver et Appliquer' et le 'Panneau de
Connexion' ne sont pas visibles. Cependant, l'utilisation du 'menuitem' est prioritaire sur
'vpngui'.
Ce qui signifie que : --vpngui=hidden --menuitem=1 configure un menu en barre des
tâches avec le seul item 'Quitter'.
7.2.5
Autres Options de Setup
Les autres lignes de commande pour le Setup sont :
Syntaxe : -s
Permet d'installer en mode silencieux.
Syntaxe : --licence=[licence_number]
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Déploiement
57
Permet de configurer le Numéro de Licence. Le Numéro de Licence est un ensemble de 24
caractères hexadécimaux.
Syntaxe : --start=[logon|boot|manual]
Permet de configurer le mode de démarrage du Client VPN IPSec : après le Logon Windows,
pendant le boot, ou manuel. [Logon] est configuré par défaut.
Syntaxe : --activmail=[activation_email]
Permet de forcer l'email utilisé pour la confirmation d'activation. Pendant le processus d'activation,
la boîte de dialogue utilisée pour saisir cet email sera grisée.
Attention : Toutes les options ci-dessus ne peuvent être utilisées qu'avec l'option '-s' (mode
silencieux).
Exemple :
Setup –s --licence=0123456789ABCDEF0123 --start=boot
--activmail=smith@smith.com
7.3
Outils ligne de commande
Plusieurs outils de configuration sont disponibles sur notre site web. Ces outils sont de type ligne
de commande, et sont utilisés par les Responsables Informatiques pour adapter le comportement
du Client VPN IPSec à leurs besoins.
· Arrêter le Client VPN
· Importer ou exporter une Configuration VPN
7.3.1
Stopper le Client VPN: option "/stop"
Le Client VPN TheGreenBow peut être arrêté à tout moment par la ligne de commande :
" [path]\vpnconf.exe /stop " où [path] est le répertoire d'installation du Client VPN.
Les tunnels éventuellement ouverts sont automatiquement fermés. Cette fonctionnalité permet de
mettre en oeuvre le Client VPN dans un script, qui ouvre le Client VPN au moment de la connexion
au réseau, et le ferme au moment de la déconnexion.
7.3.2
Importer ou exporter une Configuration VPN
Le Client VPN TheGreenBow peut importer un fichier de configuration spécifique par la ligne de
commande:
'[path]\vpnconf.exe /import:[file.tgb]' où [path] est le répertoire
d'installation du Client VPN IPSec, et [file.tgb] est le fichier de Configuration VPN.
'/import:' peut être utilisé alors que le Client VPN IPSec est lancé ou pas. Quand le Client
VPN IPSec est lancé, il importe la nouvelle configuration VPN et l'applique automatiquement (i.e.
redémarre le service IKE). Si le Client VPN n'est pas lancé, il l'est alors avec la nouvelle
configuration.
'/importonce:' permet d'importer un fichier de configuration VPN sans démarrer le Client
VPN. Cette commande est particulièrement utile avec des scripts d'installation. Elle permet de
démarrer une installation silencieuse et d'importer une configuration VPN automatiquement.
'/export:' exporte la configuration VPN courante (incluant les Certificats) dans le fichier
spécifié. Cette commande démarre le Client VPN s'il ne l'est pas déjà. Cette commande ne gère
pas les chemins relatifs (e.g. '..\..\file.tgb').
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Déploiement
58
'/exportonce:' exporte la configuration VPN courante (incluant les Certificats) dans le fichier
spécifié. Cette commande ne démarre pas le Client VPN.
Les 4 arguments 'import', 'importonce', 'export' et 'exportonce' sont exclusifs
et ne peuvent être utilisés ensembles.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
VIII
Console et Traces
Console et Traces
8
Console et Traces
8.1
Description des fonctions
60
La 'Console' est l'outil d'analyse des connexions VPN du Client VPN. Elle est accessible soit
depuis le menu en barre des tâches, soit depuis le bouton 'Console' du Panneau de Configuration.
Cet outil s'adresse plus particulièrement à des experts réseau.
Fonctions
Start / Stop
Effacer
Sauver
Options
TheGreenBow Client VPN IPSec - Guide Utilisateur
Description
Démarrage / Arrêt de la trace
Effacer le contenu de la fenêtre de trace
Sauvegarde des traces courantes dans un fichier
Liste de filtres de traces
Propriete de TheGreenBow© - Sistech SA 2000-2007
Console et Traces
8.2
61
Description des filtres
Filtres
Misc
Nom
Misc
Trpt
Transport
Mesg
Cryp
Message
Crypto
Timr
SDep
Timer
Sysdep
SA
SA
Exch
Exchange
Negt
Negotiation
Plcy
All
Policy
All
Description
Traces liées à la lecture de la
configuration et au dump de
certains messages de bas
niveau
Traces liées au mode de
transport UDP de IKE (peu
utiles)
Traces liées au décodage IKE
Traces et dump des éléments
cryptographiques IKE échangés
Traces liées aux timers
Traces liées à l'interface IKE
vers/de IPSec
Traces liées à la gestion des S.
A. par IKE
Traces liées directement au
protocole IKE (très utiles)
Traces liées à la négociation
Phase 1 et Phase 2
Non utilisée dans cette version
Applique le niveau de trace à
tous les sous-systèmes
Pour résoudre des problèmes de configuration, le niveau de filtre 0 est très suffisant.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
IX
Traduction du logiciel
Traduction du logiciel
9
63
Traduction du logiciel
La traduction du Client VPN IPSec TheGreenBow est maintenant entièrement réalisable par nos
partenaires.
Tous les messages du Client VPN IPSec sont rassemblés dans un outil de traduction, prêts à être
traduits.
Etape1: Télécharger l'outil de traduction du Client VPN IPSec depuis notre site web.
Etape2: Traduire les messages dans votre propre langue.
Etape3: Envoyer la traduction (bouton "Submit" du logiciel)
Etape4: Votre langue sera disponible dans la prochaine version du Client VPN IPSec.
Le processus de traduction est disponible sur le site web: www.thegreenbow.com/vpn_local.html.
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Section
X
Contacts
Contacts
10
65
Contacts
Informations et mises à jour sur notre site web : www.thegreenbow.fr
Support technique par email à support@thegreenbow.fr
Contact commercial par email à sales@thegreenbow.fr
TheGreenBow Client VPN IPSec - Guide Utilisateur
Propriete de TheGreenBow© - Sistech SA 2000-2007
Index
Index
- M 2, 34, 39
2, 34
Mode Config
Mode Hybrid
- A 2
9
A quoi sert un Client VPN IPSec ??
Assistant d'activation
- B 20
Barre de status
- C 48, 51
57
31
6
2
2
34, 39
65
Carte à Puce
Command line
Comment créer un tunnel VPN ?
Comment installer le logiciel ?
Compatibilité Appliance Linux
Compatibilité Multi Routeurs
Configuration X-Auth
Contact Support
- P Panneau de Configuration
Panneau de Connexion
Paramètres Phase 1
Paramètres Phase 2
Partenaires OEM
Période d'évaluation
- D 12
Désinstallation
Qu'est ce que la Phase 1 ?
Qu'est ce que la Phase 2 ?
Qu'est ce que le Mode USB ?
10
52, 57
Erreur d'activation
Exporter
18
- S 39
55, 56
- T Trace IPSec
Traduction
Troubleshooting
- F -
32
36
43
- R -
Script
Setup
- E -
19
26
33
37
4
7
- Q -
Raccourcis clavier
60
63
14, 51
2
Fonctionnalité
- U -
- I Icône en barre des tâches
Importer
Interface utilisateur invisible
66
18
14, 52, 57
20
Utiliser le Wizard pour créer des
configurations VPN
29
- L Langue
Licence Logiciel Temporaire
TheGreenBow Client VPN IPSec - Guide Utilisateur
63
7
Propriete de TheGreenBow© - Sistech SA 2000-2007
Secure, Strong, Simple.
TheGreenBow Security Software
Propriete de TheGreenBow© - Sistech SA 2000-2007

Manuels associés