TheGreenBow IPSec VPN 客户端

用户指南

WebSite: http://www.thegreenbow.com/zh
Contact: support@thegreenbow.com

Property of TheGreenBow© - Sistech SA 2001-2010

TheGreenBow IPSec VPN 客户端 – 用户指南

目录

1  TheGreenBow IPSec VPN 客户端软件产品介绍 ............................................................4 

1.1  TheGreenBow IPSec VPN 客户端是什么？ ...............................................................4 
1.2  多种 VPN 网关解决方案 .............................................................................................4 
1.3  多样化 USB Token 与智能卡解决方案 .......................................................................4 
1.4  支持 Linux 设备 ..........................................................................................................4 
1.5  TheGreenBow IPSec VPN 客户端特色 ......................................................................5 
1.6  OEM 和软件重塑标牌 .................................................................................................7 
2  TheGreenBow IPSec VPN 客户端软件安装 ....................................................................8 
2.1  软件安装 .....................................................................................................................8 
2.2  软件试用 .....................................................................................................................9 
2.3  临时软件注册............................................................................................................10 
2.4  软件激活 ...................................................................................................................10 
2.5  软件升级 ...................................................................................................................14 
2.6  软件卸载 ...................................................................................................................14 
3  常见问题快速指引 .........................................................................................................15 
3.1  如何打开 VPN 隧道？ ...............................................................................................15 
3.2  隧道故障如何处理？ .................................................................................................15 
3.3  如何双击 VPN 配置图标导入 VPN 配置？ ................................................................15 
3.4  如何使用证书进行用户认证 ......................................................................................16 
3.5  如何在登录 Windows 之前打开 VPN 隧道 ................................................................17 
4  用户界面的使用.............................................................................................................19 
4.1  用户界面的构成 ........................................................................................................19 
4.2  系统任务栏图标 ........................................................................................................19 
4.3  系统图标弹出窗口 ....................................................................................................20 
4.4  键盘快捷键 ...............................................................................................................21 
4.5  连接面板 ...................................................................................................................21 
4.6  配置面板 ...................................................................................................................22 
5  连接面板 .......................................................................................................................28 
5.1  连接面板操作基础 ....................................................................................................28 
5.2  更多连接面板的有关信息..........................................................................................29 
6  VPN 配置 ......................................................................................................................30 
6.1  VPN 配置综述...........................................................................................................30 
6.2  配置向导 ...................................................................................................................31 
6.3  认证或者阶段 1 .........................................................................................................33 
6.4  IPSec 配置阶段 2 .....................................................................................................38 
6.5  常规参数 ...................................................................................................................42 
6.6  查看 VPN 隧道 ..........................................................................................................44 
6.7  USB 模式 ..................................................................................................................45 
6.8  证书管理 ...................................................................................................................49 
6.9  配置管理 ...................................................................................................................58 
7  软件部署 .......................................................................................................................62 
7.1  VPN 配置嵌入...........................................................................................................62 
7.2  安装选项 ...................................................................................................................62 

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 2/72

TheGreenBow IPSec VPN 客户端 – 用户指南

7.3  命令行 ......................................................................................................................66 

7.4  支持新的 ATR 代码（例如，智能卡） ......................................................................67 
8  控制台和日志 ................................................................................................................69 
8.1  控制台窗口 ...............................................................................................................69 
9  软件本地化 ....................................................................................................................69 
10  联系我们 .......................................................................................................................71 

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 3/72

TheGreenBow IPSec VPN 客户端 – 用户指南

1 TheGreenBow IPSec VPN 客户端软件产品介绍

1.1 TheGreenBow IPSec VPN客户端是什么？

TheGreenBow IPSec VPN客户端是一个用于所有Windows系统版本的IPSec VPN软件。该软件通过互联网

而在远程工作人员和企业内部网络之间建立起安全连接。由于提供了强健的用户认证、隧道加密功能并能
够应对现有网络及防火墙设置，因此，IPSec是目前连接企业网络的最为安全可靠的VPN连接方式。

TheGreenBow IPSec VPN客户端是在网络安全与Windows网络驱动程序领域多年的开发经验以及在相关领

域的扩展性研究工作的成果。

IPSec VPN客户端使TheGreenBow网络安全系列产品更完整，并且它和TheGreenBow的其它产品一样极
易安装和使用。

1.2 多种VPN网关解决方案

TheGreenBow策略是尽可能多地支持当前市场上的VPN网管和设备，从而为用户提供一个真正的多厂商解
决方案。我们的实验室不断对新的IPSec VPN网关和设备进行测试。我公司网站上公布有已认证的VPN网
关名单并且每天都在增加，欢迎定期查看已认证的新VPN产品。

1.3 多样化 USB Token 与智能卡解决方案

市场上有很多USB Token和智能卡。我们的使命是支持尽可能多的USB Toke及智能卡，从而给我们的用户

提供真正的多厂商解决方案。我们的实验室不停测试新的USB Token和智能卡设备。

您可以在我们的网站上看到已认证的USB Token名单 并且此名单每天都在增加，因此请定期查询新认证的

USB Token。

若您的USB Token不在列表中，请联系我们的技术支持 ，我们将与您一起验证它。

1.4 支持Linux设备

TheGreenBow支持数种Linux IPSec VPN执行，如StrongS/WAN和FreeS/WAN。因此TheGreenBow

IPSec VPN客户端能够兼容大部分基于Linux执行的IPSec网关/设备。将来，我们会继续支持更多的Linux产
品。欢迎查阅在我公司网站上所列的可兼容Linux VPN设备名单。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 4/72

TheGreenBow IPSec VPN 客户端 – 用户指南

1.5 TheGreenBow IPSec VPN客户端特色

Windows版本 Windows 2000 32-bit,

Windows XP 32-bit,
Windows Server 2003 32-bit,
Windows Server 2008 32/64-bit,
Windows Vista 32/64-bit,
Windows Seven 32/64-bit.

语言 阿拉伯语、汉语（简体）、荷兰语、英语、芬兰语、法语、德语、希腊
语、印地语、意大利语、日语、波兰语、葡萄牙语、俄语、塞尔维亚语、
斯洛文尼亚语、西班牙语、泰语及土耳其语

连接模式 不需要网关或服务器，进行点到点(Peer-to-peer)和点到多点(point-to-
multiple)操作。
支持拨号Dial up，DSL，Cable，GSM/GPRS和WiFi等连接方式。
允许在IP范围建立网络。
可以在RDP远程桌面连接对话中进行。

隧道协议 完全的IKE支持：
我们的IKE实现基于OpenBSD 3.1的执行(ISAKMPD)，因此，能够为现有
IPSec路由器和网关提供最好的兼容。
完全的IPSec支持：
• 主要模式和野蛮模式
• MD5和SHA散列算法
• IKE端口转换

NAT-Traversal NAT Traversal内网互联Draft 1 (加强)，Draft 2 和 3 (完全执行)，包括：

• 包括NAT_OA支持
• 包括NAT keepalive连接保持
• 包括NAT-T穿透野蛮模式
• NAT-Traversal模式加强

加密 提供了集中加密运算法则：
• 3DES, DES和AES 128/192/256bits加密。
• 支持1、2、5和14组（例如，768、1024、1536以及2048）等。

用户认证 所支持的用户认证方法：
• 预设共享密钥与X509证书支持。兼容大多数当前可用的IPSec网
关。
• X-AUTH支持。
• 灵活的证书支持(PEM, PKCS12, ...)。可以从用户界面直接导入
PKCS#12证书。可以分别在每条隧道设置证书。
• 混合认证模式支持。

证书存储能力：
• USB Token与智能卡支持。
• Windows证书存储支持

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 5/72

TheGreenBow IPSec VPN 客户端 – 用户指南

• VPN配置文件

远程登录
• Vista凭证提供器支持（W2K/WXP上的aka GINA），从而能够通过
VPN隧道登录Windows或者选择在本机上登录。

断线侦测 (DPD) DPD是IKE技术延伸，用于侦测IKE 端点的无反应状态。(i.e. RFC3706)

冗余网关 冗余网关让用户可以安全可靠地连接到企业内部网络。
冗余网关所具有的功能使得TheGreenBow VPN客户端在首要网关瘫痪或无
回应的时候，利用一个替换网关建立IPSec隧道。

模式配置 模式配置是IKE的延伸。利用此模式，IPSec VPN网关为远程用户设备(如

IPSec VPN客户端)提供局域网配置，并且终端用户可以用网名(如
//myserver/marketing/budget)代替IP地址来给所有远程网络上的服务器定
位。

USB驱动盘 VPN配置与安全信息（证书、预设共享密钥）能够保存到USB驱动盘中，
从而转移计算机上的安全信息(如：认证)；插入USB驱动盘，隧道自动打
开；拔出USB驱动盘，隧道自动关闭。能够将VPN配置分配给特定计算机
或者特定USB驱动盘。

智能卡和Token令牌 TheGreenBow IPSec VPN客户端可以从智能卡中读取证书，充分利用现有

的公司Id卡或员工卡可以携带数字证书的功能。
容易导入智能卡ATR代码，该功能便于快速启用新的、尚未置于软件中的
智能卡和USB Token模型。

日志控制台 所有的阶段信息都会被保存以便进行测试或者升级，进而易于缩小特定方
面的浏览范围。

灵活多样的用户界面 静默安装和隐形界面使IT管理员在进行方案部署的同时，防止用户配置错
误。
终端用户可以选择带有用户访问权限的微型连接面板或VPN配置面板。
将VPN配置拖放至IPSec VPN客户端里。
多种快捷键，简单驾驭IPSec VPN客户端。

脚本 在特定情况下自动启动脚本和应用程序(在隧道打开前后，或在隧道关闭前
后)。

配置管理 用户界面和命令行
VPN配置文档密码保护
在设置里提供专有的VPN配置文档
利用TheGreenBow在线服务器测试和调整内嵌默认VPN配置

实时升级 能够检查在线升级。

许可 可以根据许可情况而选择永久性注册码，临时性注册码或版本注册码。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 6/72

TheGreenBow IPSec VPN 客户端 – 用户指南

1.6 OEM和软件重塑标牌

我们公司旨在为OEM和系统集成商服务。我们提供全面的VPN客户端解决方案来完成当前的服务。而且我
们的IPSec VPN客户端可以被重新标牌。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 7/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2 TheGreenBow IPSec VPN客户端软件安装

2.1 软件安装
TheGreenBowVPN客户端安装是典型的Windows安装，不需要专门信息。
安装完毕后，系统会要求重新启动计算机。

计算机重启之后会出现以下选项窗口：

• 点击“退出”退出此窗口和软件。
• 点击“试用”允许您继续使用软件试用版本。软件试用期限显示在窗口顶部的橘色条框。
• 点击“激活”，您可以用注册码在线激活软件。激活向导器在点击“激活”时弹出。
• 点击“购买”，到TheGreenBow网站在线购买软件注册码。

注意：在Windows 2000、XP、Vista以及Windows7 操作系统中，您必须拥有管理员权限。否则，在语言

选择后会出现错误信息，程序安装终止。

快捷键：安装软件完毕后，可以通过以下方法打开TheGreenBow VPN窗口：
• 双击TheGreenBow VPN桌面快捷方式
• 任务栏图标
• 开始菜单>程序>TheGreenBow>TheGreenBow VPN>TheGreenBow VPN客户端

注释：可以通过命令行里的参数选项个性化软件安装。
欢迎查阅公司网上的“部署指南”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 8/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2.1.1 访问权限

在特定Windows计算机中，用户访问权限可能受到限制。下面给出了用户的权限：

操作 管理员 用户
软件安装 是 否
软件激活 是 是
软件使用 是 是

为了更易于操作，TheGreenBow IPSec VPN客户端在Windows防火墙中创建了新的规则（Vista及以后版

本），从而启用IPSec VPN通信。下面是Windows防火墙规则：

Vista防火墙规则名称 操作
TheGreenBow IPSec VPN Client 阶段1 授权UDP 500
TheGreenBow IPSec VPN Client 阶段2 授权UDP 4500

2.2 软件试用

您可以点击“试用”，在软件试用期内使用TheGreenBow IPSec VPN客户端（有效期30天）。

在此模式中，激活窗口会在每次启动IPSec VPN客户端的时候出现，并在橘色条框显示所剩使用时间。

一旦过期，“试用 Evaluation”按钮不可再用，也不能再试用软件。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 9/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2.3 临时软件注册

可提供一个临时软件注册码以便进行测试。有效期为1到9星期。为了获取临时软件编号，请与我们的销售
团队联系：sales@thegreenbow.com。

临时软件注册码的有效期以及剩余使用时间将显示在IPSec VPN客户端第一个弹出窗口中。
有效期届满时，将无法运行该软件。

在使用临时软件注册码的全部时间内，可从配置面板获取激活窗口。通过激活窗口，用户可激活新的许
可，例如，终身注册码而非临时编号。

在此期间内，通过“关于About”菜单，即可查知剩余时间。

当临时软件许可码有效期届满时，“试用”按钮被禁用。用户可点击“购买”与“激活”按钮从而获得终身软件许
可。

2.4 软件激活
2.4.1 软件激活向导器

软件试用期结束后必须激活TheGreenBow IPSec VPN客户端才能继续使用软件。 为了在新的计算机上使

用注册码，需要从先前安装该软件的计算机上卸载软件，在这一过程中将自动停用该软件。此过程要求输
入注册码和电子邮件地址，并包括以下两个步骤。

通过以下步骤在VPN客户端软件中打开“激活向导器”：

• 启动VPN客户端，在窗口点击“激活”。
• 软件启动后，立即点击菜单“?”，然后点击“激活向导器”……

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 10/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2.4.2 第一步：输入注册码

输入注册码激活软件。

输入您的注册码和电子邮件地址，如下图所示，点击“下一步”：

注意：如果您的注册码是20个字符，请点击链接 “点击此处输入一个为20位数的注册
码”从而切换至20字符“注册码”字段。

注释：请仔细确认电子邮件地址输入正确，因为软件激活成功的信息会被寄到此邮箱。
注释：电子邮件地址不是必须的：IT管理员可以在安装过程中强制要求此选项，并且它不会再出现于软件
激活向导器中。 此功能把软件激活的确认信息集中寄到特定的电子邮箱。

2.4.3 第二步：在线激活软件

“激活向导器”会自动连接到在线软件激活服务器，激活VPN客户端软件。同时您也可以随时返回更改注册
码，但是，您需要首先卸载该软件。

成功激活软件后，“激活向导器”会显示软件被成功激活。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 11/72

TheGreenBow IPSec VPN 客户端 – 用户指南

重要的是要记住，安装完毕后，注册码应随同计算机一同保管。然而，在卸载软件之后，注册码可在另外
一台计算机上再次被激活。

2.4.4 软件激活常见问题

在激活软件的过程中可能会出现错误。在步骤2所述激活窗口中，对每种激活错误进行了简要解释。您也可
以点击进程条下方的链接“更多关于此错误的信息”，选项“解释与建议”可以指导您接下来的进展。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 12/72

TheGreenBow IPSec VPN 客户端 – 用户指南

仔细检查如下要点，从而解决常见错误：

1. 检查注册码是否输入正确 (error 031)。

2. 与本公司激活服务器的通信交流可能被proxy代理服务器过滤了(error 053 或 error 054)。窗口底部链

接，从而在软件激活向导步骤1中对代理进行配置。

3. 与本公司激活服务器的通信可能被防火墙过滤了(error 053 或 error 054)。请检查个人防火墙或企业防火

墙是否在进行通信过滤。

4. 暂时无法连接到激活服务器。请几分钟之后重新激活。

5. 您的注册码已被激活 (error 033)。请联系我们的销售部门：sales@thegreenbow.com

所有的激活错误相关问题在本公司网页上有详尽解
释：www.thegreenbow.com/support_flow.html?page=11

注释：如果以上资料没有帮助您成功地激活该软件，您还可以在本公司网
站：http://www.thegreenbow.com/activation/osa_manual.html 手动激活软件。
此程序可以帮助您即时完整地激活软件。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 13/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2.5 软件升级

注意：每次VPN客户端软件升级后均需要激活。激活过程仅需数秒钟。依据您的软件维护合
约，您的软件升级激活可能会遭到拒绝。请细心阅读以下建议并通过点击菜单“?”到配置面板选
择“检查更新”获得您的软件维护状态和软件版本。

您的软件维护合约决定了软件是否能够成功升级：

1. 在软件维护期中（自首次激活软件）所有软件均可升级。

2. 如果您的软件维护期已经终止（或者您没有软件维护合约），只能升级维护软件。通过版本号最后一位
数确认维护软件升级。

举例：我的软件维护期已过期，而我的软件版本为3.12，我只能在版本3.13到 版本3.19中升级，而不能升
级到到版本 3.20 、3.30或 4.00。

如果需要注册或延长您的软件维护期，请联系本公司的销售部门：sales@thegreenbow.com

注释：在软件升级的过程中，VPN配置会被保存而且会自动在新版本使用。

2.6 软件卸载

可以卸载TheGreenBow IPSec VPN客户端：

• 在Windows控制面板中选择“添加/删除程序”

• 菜单>程序>TheGreenBow> VPN >删除IPSec VPN客户端

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 14/72

TheGreenBow IPSec VPN 客户端 – 用户指南

3 常见问题快速指引
3.1 如何打开VPN隧道？

如何打开隧道（VPN配置已经完成）：

• 连接面板 > 打开

• 系统任务栏 > 点击“打开xxx”

• 自动侦测到路线

• 插入USB驱动盘自动进行连接

• 启动软件时自动连接 （登录之前或之后）

• 双击VPN配置（桌面图标，电子邮件附件）

• 利用命令行来打开或者关闭隧道。

3.2 隧道故障如何处理？

您可以在我们网站上的文档资料里找到相关问题的解决方法：

• 故障排除文档 (pdf)

• 在线帮助 (html)

• 在线软件激活 (html)

• 使用默认VPN配置测试您的网络

• IPSec VPN 客户端疑难解答

3.3 如何双击VPN配置图标导入VPN配置？

这种方法也被称为“拨号模式”：双击VPN 配置打开隧道。（例如，扩展名为“.tgb”文件）。此功能允许在桌
面建立多个VPN配置，然后通过双击VPN配置的桌面快捷方式打开隧道。

如何创建VPN配置的桌面快捷方式：

第一步：在配置面板设置隧道
第二步：到“阶段2 高级设置”，将隧道设置为“启动VPN客户端时自动打开此隧道”
第三步：把VPN配置导出到电脑桌面上

注释：您可以通过设置密码来限制隧道的导出。以后每次打开隧道时将会要求此密码。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 15/72

TheGreenBow IPSec VPN 客户端 – 用户指南

3.4 如何使用证书进行用户认证

1. 创建“阶段1”并调整“P1高级设置”。

2. 创建“阶段2”并调整“P2高级设置”。

3. 返回至该隧道的“阶段1”，点击“证书”，随后点击“证书管理”。

4. 在所显示的列表中选择一份证书，或者点击从证书文件中“导入证书”，然后点击“OK”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 16/72

TheGreenBow IPSec VPN 客户端 – 用户指南

3.5 如何在登录Windows之前打开VPN隧道

在登录Windows之前，利用名为Vista证书提供器的Windows登录技术（W2K/WXP系统中的aka GINA），
有可能手动或者自动打开一个或者多个VPN隧道。

下面是设置为触发证书提供器情况下的几种可能的使用情况：

1. 用户希望在登录Windows之前手动打开VPN隧道

设置 IPSec VPN客户端行为
跳转至“阶段2高级设置”： 在登录Windows之前，显示出如下小型窗口，用
·选择“登录Windows”前启用； 户通过该窗口即可打开所需的任何VPN隧道。
·不得选择“在检测到通信时自动打开”

弹出窗口将列出所有利用选项“登录Windows之前
启用”进行配置的VPN隧道。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 17/72

TheGreenBow IPSec VPN 客户端 – 用户指南

2．用户希望在登录Windows之前自动打开VPN隧道

设置 IPSec VPN客户端行为
跳转至“阶段2高级设置”： 在登录Windows之前，显示出如下小型窗口，该
·选择“登录Windows”前启用； 窗口所列示的VPN隧道将自动启动开启功能。
·选择“在检测到通信时自动打开”

弹出窗口将列示出利用选项“登录Windows之前启
用”而配置的所有VPN隧道。

下面给出了利用选项“登录Windows之前启用”而禁用的某些隧道功能：

• 在登录Windows之前，始终能够看到这个微型窗口。该窗口不可能被隐藏起来。
• 在第二种情况下，隧道被配置为“检测到通信时自动打开”并且只有一条隧道能够使用选项“在登录
Windows之前启用”，因此，在IKE服务运行时、在登录Windows之前，不可能自动打开两条隧道。
• 配置‘脚本’，从而能够利用选项“登录Windows之前启用”可禁用隧道。
• 对于带有选项“登录Windows之前启用”的隧道，IPSec VPN客户端并未处于“USB模式”（例如，转
移到USB驱动盘中的配置）。
• 禁用配置模式。必须在此处配置DNS/WINS服务器地址。

关于高级“用户认证”方法的注释：
• 利用X-Auth认证：如果已经将隧道配置为能够使用X-Auth，则在打开隧道时，显示出弹出窗口，要
求用户输入X-Auth登录/密码。
• 利用USB Token或者智能卡：如果已经配置了隧道，可使用USB Token或者智能卡，则在打开隧道
时，显示出一个弹出窗口，要求用户输入PIN代码。相同的弹出窗口中将显示出错误信息（Token
被锁闭、PIN代码错误…）。

注释：在登录Windows之后，为了使得VPN隧道能够“检测到通信时自动打开”，不得选择选项“登录
Windows之前启用”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 18/72

TheGreenBow IPSec VPN 客户端 – 用户指南

4 用户界面的使用
4.1 用户界面的构成

根据与特定目的地之间的通信情况，TheGreenBow IPSec VPN客户端软件无需用户干预，即可完全自主地

打开和关闭特定隧道。然而，为了实现上述目的，需要对VPN进行配置。

IPSec VPN客户端配置在VPN配置文档有详细说明。您可以在软件用户界面进行创建，修改，保存，导入
或导出VPN配置安全因素等操作(比如：预设共享密钥，证书等……)。

用户界面包括以下部分：

• 配置面板
• 连接面板
• 主菜单
• 系统托盘图标与弹出菜单
• 状态栏
• 向导器
• 自定义

4.2 系统任务栏图标

您可以双击应用程序图标（桌面或Windows开始菜单）或单击任务栏图标打开VPN客户端用户界面。进入
用户界面后，VPN客户端软件会用系统任务栏上的颜色图标来显示隧道的运作状态。

下列为VPN客户端应用程序颜色代码：

图标为蓝色：没有打开VPN隧道

图标为绿色：至少有一条VPN隧道被打开了

左键单击VPN图标打开配置用户界面。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 19/72

TheGreenBow IPSec VPN 客户端 – 用户指南

右键单击显示以下菜单：
• “退出”将关闭已建立的VPN隧道，随后，退出IPSec VPN客户端软件。
• “保存&应用”关闭已建立的VPN隧道，应用最新的VPN配置更改和重新打开已被配置为能够自动启
动的VPN隧道。
• “控制台”显示IPSec-IKE日志窗口。
• “连接面板”打开已连接面板，通过该面板能够打开、关闭隧道以及获取隧道信息。
• 配置面板 选项可打开配置面板，该配置面板能够创建和配置隧道。
• 已配置好的隧道当前状态列表。并且也可以通过此菜单关闭或打开隧道。

系统图标VPN客户端图标上的工具提示表明VPN隧道的连接状态：
• “隧道 <隧道名称>”：有一条或一条以上的隧道被建立。
• “等待VPN的准备……”：IKE服务重新初始化。
• “TheGreenBow VPN客户端”：VPN客户端正在运作但没有打开隧道。

4.3 系统图标弹出窗口

系统图标中的微型弹出窗口显示出每次打开或者关闭隧道的时间。
该微型弹出窗口具有非常简单的行为：

1. 该弹出窗口显示出隧道打开的不同阶段，并在6秒钟后消失，除非鼠标在其上移动。

2. 该弹出窗口也显示隧道正在关闭中。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 20/72

TheGreenBow IPSec VPN 客户端 – 用户指南

3. 如果隧道无法打开，则显示出警告信息以及一条链接，通过该链接可在我们的网站上获得更多信息。

4.4 键盘快捷键

此功能可以提高日常使用效率。

快捷键 作用

Ctrl + Enter “配置面板”和“连接面板”之间来回切换。

注释：如果需要转换到的配置面板带有密码保护，那么，用户会被请求输入密码方可进入配置面板。

Ctrl + D 打开VPN控制台进行网络“调试”

Ctrl + S 保存和应用VPN配置

4.5 连接面板

通过连接面板，用户能够打开、关闭和清除每条已经配置的隧道的信息。所有终端用户均需利用连接面板
来打开和关闭隧道。

很显然，本功能有助于IT管理人员（配置VPN连接）和用户（仅负责打开或者关闭VPN连接）按照自己的
习惯进行操作。

连接面板包括如下几个构件：
• 显示出当前隧道信息的动态网络图（顶部）；
• 带有“打开/关闭”按钮的所有已配置隧道列表（图表下）；
• 回转至“配置面板”的链接（底部左侧）。

利用快捷键“Ctrl + Enter”，可以在“连接面板”和“配置面板”之间来回切换（请参见“快捷键”一节）。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 21/72

TheGreenBow IPSec VPN 客户端 – 用户指南

4.6 配置面板

利用配置面板，能够创建VPN配置，并由以下部分组成：

• 三个按钮控制台，参数，连接（左栏）
• 含所有IKE和IPSec配置的目录树列表窗口（左栏）
• 显示每个树状结构层次相关参数的配置窗口（右栏）

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 22/72

TheGreenBow IPSec VPN 客户端 – 用户指南

您可以把VPN配置文件（如 扩展名 “.tgb”）直接拖放到配置面板，更加方便地应用新VPN配置。如果您设

置了“启动VPN客户端时自动打开”（查看阶段2高级设置），隧道会在应用新VPN配置时打开（保存与应
用）。

4.6.1 主菜单

主要有以下几种菜单：
• 在“文件”菜单可以导出或导入配置，还可以选择VPN配置的位置：计算机上本地存储或者USB驱动
盘存储。最终可用来配置各种不同的自定义选项，例如，VPN客户端启动方式。
• 您也可以通过“配置”菜单访问“配置向导器”。“VPN配置”菜单包括树形结构控制右键点击菜单的所
有动作。通过“配置”菜单也可访问“配置向导”。
• “查看”菜单包含用户拥有访问权限的“配置”选项。
• “工具”菜单包含“控制台”和“连接”以及“复位IKE”选项。
• “？”菜单包含“检查更新”，“在线帮助”和 “关于”窗口。在软件尚未激活时，通过“？”菜单也可访问“激
活向导器”。

4.6.2 状态栏

状态栏能够显示以下信息：

• 在状态栏中部会显示VPN客户端的运作状况：
（比如：正在打开隧道，正在保存配置，正在打开VPN客户端等……）。

• 指示灯箱（右边）给出了隧道相关信息（例如，绿色指示灯 指的是至少

有一条隧道被打开，灰色指示灯 表明并无隧道被打开）。

4.6.3 “关于”窗口

在“关于”窗口会显示VPN客户端软件的版本信息和软件激活信息，并带有我公司的网络链接。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 23/72

TheGreenBow IPSec VPN 客户端 – 用户指南

4.6.4 访问权限控制和隐藏界面

该项功能是专门为IT管理员而设计的。利用该功能，可锁闭对“配置面板”的访问，并通过密码来限制通过
“连接面板”和/或“系统托盘菜单”来使用IPSec VPN客户端。因此，用户将无法再修改VPN配置并可避免错误
配置VPN。

通过密码的方式进行访问权限控制仅涉及到“配置面板”。绝不能通过密码的方式来控制对“连接面板”的控
制。

配置完毕后，用户会被请求输入密码：

1. 单击（或双击）系统托盘上IPSec VPN客户端图标时
2. 从连接面板转换到配置面板时
3. 启动“软件更新”时

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 24/72

TheGreenBow IPSec VPN 客户端 – 用户指南

可以在安装过程中选择设置密码（查看“安装选项”）

配置权限控制窗口位于：

配置面板 > 菜单> “查看” > “配置”

而且，系统托盘菜单条目也可以通过它来配置。这样，IT管理员就能够通过隐藏的界面来控制软件访问权
限。

如果您要取消访问权限控制这个功能，只需要空出“密码”和“确认”这两栏，随后点击“OK”即可。

注释：系统托盘菜单上“退出”不能在软件标准版本中使用。您可以通过安装过程中的“-menuitem”选项把它

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 25/72

TheGreenBow IPSec VPN 客户端 – 用户指南

删除 (查看“安装选项”)

如果设置了访问权限控制，您就不能再通过双击桌面图标或开始菜单进入“配置面板”。而且在任务栏只有“
控制台”可用，您可以退出软件，打开/关闭已配置的隧道。

下面是一个示例：

4.6.5 向导器

有几种向导器可供使用：

• 通过“VPN配置” > “配置向导器”启动VPN 配置向导器

• 通过“?” > “激活向导器”启动软件激活向导器

• 通过菜单“文件> 移动VPN配置至USB驱动盘”启动USB驱动盘模式向导器。

4.6.6 自定义

通过“自定义”窗口，可以定义：

• 选择软件启动模式。这些模式可以在软件安装过程进行配置（请查看“安装选项”）

• 启用/停用侦测界面断开功能

在“文档”菜单点击“自定义”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 26/72

TheGreenBow IPSec VPN 客户端 – 用户指南

VPN客户端启动模式

TheGreenBow IPSec VPN客户端软件有几种启动模式，例如：

• 在登陆MS Windows系统前启动

• 在我启动MS Windows时不要启动IPSec VPN客户端：由用户或脚本启动IPSec VPN客户端（手动

模式）。

其它功能：

网络连接会经常出现短暂断线的问题，特别是用WiFi、GPRS和3G上网时候。针对这种情况，可以使用
IPSec VPN客户端的界面断线侦测功能来保持隧道连接。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 27/72

TheGreenBow IPSec VPN 客户端 – 用户指南

5 连接面板
5.1 连接面板操作基础

在连接面板，用户可以打开或关闭任何一条隧道并了解隧道的配置情况。而且终端用户只需要在此面板就
可以打开或关闭隧道。

连接面板的构成：

• 现运行隧道信息的网络图示（上方）

• “打开/关闭”隧道按钮列表（网络图下方）

用户只需要点击“打开”打开隧道。隧道打开后，“打开”按钮会自动转换成“关闭”。单击隧道名称能够打开配
置面板，更改隧道配置。
如果连接面板设置了密码保护，此功能则不可用（请看访问权限控制）。

使用系统菜单（配置面板菜单）或快捷键“Ctrl + Enter”实现连接面板与配置面板之间的转换（请看快捷
键）。

还可以通过拖拉式把VPN配置拉到连接面板。如果隧道被设定了自动连接，当启动VPN客户端时，它会马
上应用新的VPN配置。（请参见“阶段2——高级设置”一节）。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 28/72

TheGreenBow IPSec VPN 客户端 – 用户指南

5.2 更多连接面板的有关信息

如果在开隧道的过程中出现问题，您会在隧道列表看到警告提示。

与该警告信息相关的链接自动打开“警告”弹出窗口，并显示出有关该问题的详细信息。明晰的警告信息将帮
助用户和IT管理员找出VPN问题根源。点击窗口上的“问题详细解答”连接到我公司的在线帮助网页，找到相
对问题的详细描述和解决办法。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 29/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6 VPN 配置
6.1 VPN配置综述
6.1.1 如何创建VPN隧道？

为了通过“配置面板”创建VPN隧道（无需使用配置向导器），您必须按照如下步骤操作：

复位配置面板，从而清除先前配置。

右键点击树形列表窗口中的“根”并选择“新的阶段1”。

配置认证阶段（阶段1）。

右键点击属性控制面板中的“新的阶段1”并选择“添加阶段2”。

配置IPSec 阶段（阶段2）。

一旦设置参数完毕，点击“保存与应用”从而应用新的配置。从而使得IKE能够按照新参数运行。

为了建立IPSec VPN隧道，请点击“打开隧道”（仅在“IPSec 配置”窗口中）。

关于更多的设置说明，请参阅阶段1和阶段2。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 30/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6.1.2 多个认证和 IPSec 配置阶段

您可以配置多个认证阶段(阶段1)。因此，一台计算机能够和多个网关或多台计算机建立IPSec VPN隧道
（peer to peer点到点）。

同样地，相同的认证阶段(阶段1)可以创建数个IPSec配置(阶段2)。

6.1.3 高级功能

为阶段1和阶段2设置高级功能和参数。

在阶段1中定义的可以在所有于当前VPN配置中创造的阶段2中运用：

• 启用/禁用 配置模式

• 启用/禁用 NAT-T 野蛮模式

• 启用/禁用 冗余网关

• 选择 NAT-T 模式 (强制，禁用或自动)

• 使用自动弹出功能设定 X-Auth 登录/密码

• 启用/禁用混合模式（指的是一种混合认证方法）只能在阶段2应用阶段2设置：

• 自动启动模式

• 当隧道打开时，选择脚本/应用

• 手动设定DNS/WINS服务器地址

• 利用证书提供器并通过VPN隧道启用Windows登录（WWK/WXP上的aka GINA）

6.2 配置向导
6.2.1 三步骤配置向导

TheGreenBow IPSec VPN客户端提供了配置向导器，能够通过三个简单的步骤创建VPN配置。该配置向导

器可用于需要通过VPN网关或者点对点模式连接到公司LAN的远程计算机。

下面举例说明：
• 为远程计算机动态提供一个公用IP地质；
• 在配备了一个DNS地址“gateway.mydomain.com”的VPN网关后尝试连接到公司LAN上。
• 公司LAN地质为192.168.1.xxx，例如，远程计算机通过IP地址(192.168.1.100)连接服务器。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 31/72

TheGreenBow IPSec VPN 客户端 – 用户指南

为了配置该连接，请选择菜单“VPN配置>配置向导”从而打开配置向导面板。

6.2.2 步骤 1：选择远程设备
必须在隧道末端指定设备类型：VPN网关。

6.2.3 步骤 2： VPN隧道参数

您必须指定如下信息：
• 远程网关公共地址（WAN一侧）
• 用于该隧道的共享密钥（该共享密钥必须与网关中的密钥相同）
• 贵公司LAN的IP地址（例如，指定为192.168.1.0）

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 32/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6.2.4 步骤 3： 摘要

第三步总结了新的VPN配置。也可直接通过“配置面板”配置其他参数（例如，证书、虚拟IP地址等）。
隧道已经创建完毕，您可以打开该隧道。

6.3 认证或者阶段 1
6.3.1 什么是阶段 1?

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 33/72

TheGreenBow IPSec VPN 客户端 – 用户指南

“认证”和“阶段1”窗口涉及认证阶段和阶段1中的设定。这也被称为IKE协议阶段。

在阶段1您可以设定IKE方案，认证端口，并在端口之间设置安全性隧道。另外，在阶段1中，系统的每一端
都必须向它的另一端进行自我身份认证。

6.3.2 阶段 1 设置描述

名称 认证阶段中的名称只适用于配置用户界面。这个值不会在IKE协议阶段中使用。
您可以随时对此名称进行更改，但不能在两个阶段1中共用同一个名称。

界面 建立VPN连接计算机的网络IP地址。如果这个IP地址会改变（由ISP或者路由器
动态接收该IP地址），选择“任何”。如果在VPN配置文档中配置了IP地址，请参
阅计算机上尚不存在的IP地址，随后，在本参数上强制采取默认设置“任何”。

远程网关 远程网关的IP地址或DNS地址（比如：gateway.mydomain.com）。这个区域是
强制的。

预设共享密钥 与远程网关共享密码或密钥。

证书 VPN客户端使用X509证书。点击“导入证书”。选择证书源：PEM文档，
PKCS#21文档或智能卡（查看如何配置证书）。您可以为每一条隧道分别配置
证书。

IKE 加密 在认证过程中使用加密算法(3DES, AES,……)。

IKE 认证 在认证过程中使用认证算法(MD5, SHA,……)，支持SHA1和SHA2-256数位。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 34/72

TheGreenBow IPSec VPN 客户端 – 用户指南

IKE 密钥组 Diffie-Hellman密钥长度。

点击“P1高级”进入高级设置。

6.3.3 阶段 1 高级设置描述

点击“P1高级”进入阶段1面板，进行高级设置。

配置模式 通过检验后，VPN客户端会在这条隧道激活配置模式。配置模式允许VPN客户端从
VPN网关取得VPN配置信息。如果远程网关支持配置模式，VPN客户端和远程网关
就会在IKE交换(阶段1)过程中对其它参数进行协商 。
• VPN客户端的虚拟IP地址

• DNS服务器地址（可选）

• WINS服务器地址（可选）

如果配置模式在远程网关不可用，您可以在“阶段2高级”手动设定DNS和WINS服务
器地址到IPSec VPN客户端。

野蛮模式 通过检验后，VPN客户端会使用野蛮模式作为与远程网关的商议模式。

冗余网关 当首要网关瘫痪或者无响应的时候，冗余网关功能允许利用一个备用网关打开

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 35/72

TheGreenBow IPSec VPN 客户端 – 用户指南

IPSec隧道。
请输入冗余网关的IP地址或者因特网地址（URL）（比如：router.dyndns.com）
• TheGreenBow VPN客户端会先联系首要网关建立隧道。在几次尝试失败的
情况下（默认尝试次数为5次，您可以到“参数” > “重发”对它进行设置），冗
余网关会被起用为新的隧道终端。两次尝试之间的最长等待时间为10秒。
• 如果您成功连接到了首要网关但不能建立隧道（如VPN配置问题），VPN客
户端不会尝试使用冗余网关建立隧道。您需要对VPN配置进行修改。
• 经过两端的DPD检查后，成功与首要网关建立起隧道。如果首要网关停止响
应（DPD可以检测出网关的无响应状态），VPN客户端就会马上使用冗余网
关重新建立隧道。（DPD：对端状态检查）
• DPD功能同样应用于冗余网关。VPN客户端会通过首要网关和冗余网关不断
尝试建立隧道。此程序会一直持续到用户退出软件或点击“保存&应用”。

NAT-T模式 您可以选择“强制”，“禁用”或“自动”的NAT-T模式：
“禁用”模式可以防止由IPSec VPN客户端或VPN网关启动NAT-T（内网互联）。
“自动”模式允许VPN网关和VPN客户端自行商议决定是否使用NAT-T 。
“强制”模式允许TheGreenBow IPSec VPN客户端把IPSec数据包加载到UDP并强制
使用NAT-T功能，实现与媒介NAT路由器的互联。

本地ID 本地ID是VPN客户端在阶段1中传送给VPN网关的身份证明。它可以是：
• IP地址（类型=IP地址），举例：195.100.205.101
• 领域名称（类型=DNS），比如 ：mydomain.com
• 电子邮件地址（类型=电子邮件），比如：support@thegreenbow.com
• 字符串：（类型=密匙ID），比如：123456
• 证书发行者（类型= DER ASN1 DN）（查阅证书配置）。如果此身份认证
没有被设置，说明VPN客户端的IP地址已经被使用。

远程ID 远程ID是在阶段1中，远程VPN网关给VPN客户端发送的身份认证。
这个身份认证可以是：
• 一个IP地址（类型=IP地址），例如：80.2.3.4
• 一个域名（类型＝DNS），例如gateway.mydomain.com
• 一个电子邮箱地址（类型=电子邮件），例如 admin@mydomain.com
• 一个字符串（类型=密钥ID），例如123456
• 证书发行者（类型=DER ASN1 DN）（查看证书配置）
如果此身份证明没有被设置，说明VPN网关的IP地址已经被使用。

X-Auth 确定X-Auth IPSec商议的登录名和密码。 如果您选定“X-Auth弹出”，以后每当您要

通过远程网关打开隧道时，都会有一个弹出窗口请求您输入登录名和密码。终端用
户只有20秒的时间输入其登录名和密码，否则X-Auth认证会自动停止。如果X-Auth
认证失败，隧道的建立也会失败。

混合认证模式 混合模式是IKE 阶段1中特定的认证方法，用于避免认证实体间的不相称问题。

本方法假定认证实体之间的对称性。一个实体，通常是指一个边缘设备（比如：防
火墙），使用标准公钥机制进行认证（签名模式）。而同时另一实体，通常是一个
远程用户，使用挑战-响应机制进行认证。通过这些认证方法在阶段1阶段末建立一
个已进行单向认证的IKE SA。
接下来，X-Auth交换阶段[XAUTH]会立即对IKE进行双向认证。X-Auth交换还可以
用来对远程用户进行认证。这些不同认证方法的使用被统称为混合认证模式。
TheGreenBow IPSec VPN客户端执行RFC 'draft-ietf-ipsec-isakmp-hybrid-auth-
05.txt'。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 36/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6.3.4 使用X-Auth

X-Auth为互联网密钥交换（IKE）协议的扩展。IKE是PKI（公共密钥架构）的一个重要组成部分，用来确
定如何通过IPSsec隧道协议交换安全证书。

要求识别X-Auth IPSec协议登录和密码。

1. 在阶段1高级设置中定义X-Auth
登录与密码可在阶段1高级设置中定义，并在每次需要打开VPN隧道时使用而无需请求用户许可。尽管不建
议省略登录和密码，但是，的确能够为用户带来便捷。

2. 申请X-Auth证书来打开VPN隧道
如果在阶段1高级设置中选择了“X-Auth弹出窗口”，则每次均弹出一个窗口要求进行X-Auth登录和密码，并
需要认证才能通过远程网关打开隧道。VPN隧道名称显示在弹出窗口中，在使用多种VPN隧道配置情况
下，可输入正确的X-Auth证书。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 37/72

TheGreenBow IPSec VPN 客户端 – 用户指南

用户可数次进入X-Auth证书。但是，如果允许进入X-Auth证书的时间届满，则显示出一个警告窗口，用户
必须再次打开VPN隧道。

根据VPN网关的不同，登录/密码认证管理也有所不同。如果登录错误或者密码错误，那么，应采取如下措
施：

• 再次显示出用于输入登录/密码的X-Auth窗口，并显示出可以尝试的次数；
• 与以上或者以下窗口类似的警告窗口，提醒用户再次尝试打开VPN隧道。

6.4 IPSec 配置阶段 2

6.4.1 什么是阶段 2?

“IPSec配置”和“阶段2”窗口涉及阶段2设置。

阶段2的目的是协商IPSec安全参数，这些参数通过阶段1讨论的隧道而适用于通信。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 38/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6.4.2 阶段 2 设置描述

名称 IPSec配置名称只适用于VPN客户端。在IPSec商议过程中不会对此参数进行传
送。您可以随意更改这个名称并到子目录中对它进行查看，但您不可以在两个
阶段共用同一命名。

VPN客户端地址 远程局域网中的VPN客户端使用的虚拟IP地址：这是计算机在局域网上的IP地
址。请注意：这个IP地址可以从属于远程局域网(比如：在例子中， 您就不能使
用如192.168.1.10之类的IP地址)。在此情况下，必须阅读如下注意事项。

地址类型 远程终端可以是一个局域网或是一台计算机。
在远程终端是一个局域网的情况下，请选择“子网地址”或“IP范围”。
如果您选的是“子网地址”，那么“远程局域网地址”和“子网掩码”则可以使用；如
果您选的是“IP范围”，那么“始端地址”和“终端地址”则可以使用。
使TheGreenBow IPSec VPN客户端能够在预定的IP地址范围内建立隧道。这个
IP范围只能包含一个IP地址。
如果远程终端是一部计算机，请选择“单个地址”。当您选了“单个地址”，就只有
“远程主地址”可用。

远程地址 根据地址的类型，这个域可以是“远程主地址”或“远程局域网地址”。它是打开
VPN隧道的网关的远程IP地址，或是它的局域网网址。

子网掩码 远程局域网的子网掩码。只有在地址类型为“子网地址”时可用。

ESP 加密 IPSec阶段中的加密算法商议(3DES, AES, ……)

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 39/72

TheGreenBow IPSec VPN 客户端 – 用户指南

ESP 认证 IPSec阶段中的认证算法商议(MD5, SHA, ……)

ESP 模式 IPSec加载模式：隧道或传送模式

PFS 组 Diffie-Hellman密钥长度

打开隧道 您可以通过此按钮打开隧道。当隧道打开后，它会变为“关闭隧道”。

脚本 您可以到脚本配置窗口配置脚本。

注释1：“IP范围”结合“通信时打开隧道”功能允许在侦测到路线时在预定的IP地址范围自动打开隧道。但是，
这个IP地址范围必须得通过VPN网关配置的许可。

注释2：有可能将计算机的本地IP地址和远程LAN的IP地址用作相同子网的一部分。为此，必须选择“检测到
通信时自动打开本隧道”（“P2高级”）。一旦在本配置中打开VPN隧道，所有与远程LAN之间的通信将被允
许，但是，不可能与本地网络进行通信。

点击“P2高级”进行其它高级设置。

参数设置完毕后，点击“保存&应用”。

对于所有本公司软件支持的网关，我们都为您提供了相应的VPN客户端配置文件。欢迎查阅我们的网站资
料库 。

6.4.3 阶段 2 高级设置描述

点击“P2高级”按钮，进入阶段2面板进行高级功能和参数的配置。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 40/72

TheGreenBow IPSec VPN 客户端 – 用户指南

自动打开模式 VPN客户端可以在某些特定的情况下自动打开特定隧道（阶段2）：
• 启动VPN客户端时自动打开隧道。
• 插入USB时自动打开隧道(查看“USB模式”)。
• 当VPN客户端侦测到远程局域网路线时，自动打开隧道。如选择该选项，
配置面板树形列表中的阶段2将改变形状/颜色，表明该功能现在处于运行
中：

Gina模式
如果选择了Gina模式，该隧道将由Vista证书提供器（W2K/WXP中的aka）用来
处理Windows登录。在使用公司员工数据库用于登录时，该模式有帮助作用，并
且在处理Windows登录之前远程计算机需连接到公司网络上。请参见“如何在登录
Windows之前打开VPN隧道”。

预备服务器 您可以在此处输入DNS和WINS服务器在远程局域网中的IP地址，为企业内部网
定位。只有在隧道被打开时，这些DNS和WINS地址才会被投入使用。在“配置模
式”下时，无需使用这些参数。

6.4.4 脚本配置

您可以到脚本配置窗口进行脚本配置。点击阶段2设置中的“脚本”打开对话窗口。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 41/72

TheGreenBow IPSec VPN 客户端 – 用户指南

脚本或程序可以在VPN隧道打开或关闭过程中使用：

• 隧道打开之前
• 隧道打开之后
• 隧道关闭之前
• 隧道关闭之后

根据各种不同的需要，这个功能可以帮助您在整个隧道连接过程中执行脚本（批处理、脚本、应用程序
等）。比如查看软件的新版本，查看电脑数据库在启动后台之前的可用性程度，检验软件是否正在运用，
登录是否完毕……

您还可以在隧道连接之前，期间和之后，进行各种不同的网络配置。

6.5 常规参数
6.5.1 常规设置描述

常规参数通用于所有已建立的VPN隧道。参数修改完毕后，点击“保存&应用”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 42/72

TheGreenBow IPSec VPN 客户端 – 用户指南

生命期(秒) IKE默认生命期 默认生命期IKE密钥更新

IKE最短生命期 IKE rekeying最短生命期密钥更新
IKE 最长生命期 IKE rekeying最长生命期密钥更新
IPSec最短生命期 IPSec rekeying默认生命期密钥更新
IPSec 最长生命期 IPSec rekeying最长生命期密钥更新

IPSec 最短生命期 IPSe密钥更新最长生命期

对端状态检查 时间间隔（秒） DPD信息的时间间隔

最多重试次数 已发出的DPD信息数

重试等候时间（秒） 当远程网关无回复时，DPD信息的时间间隔

最多重试次数 重发信息次数
其它功能
重试间隔耽搁 远程网关无回复时，DPD信息之间的时间间隔

重新发送 放弃之前，信息应重新发送多少次

IKE端口 默认情况下，在阶段1 1KE协商期间，可以使用的端

口是UDP端口500.用户可以改变IKE商议端口。交换
仍然以UDP进行。除了某些防火墙不支持IKE端口
500，此交换还可以在别的端口进行。远程网关必须
支持此功能。并且与新选定的IKE端口相关的流入通
信需重新定位到默认的UDP500上，从而正确定位

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 43/72

TheGreenBow IPSec VPN 客户端 – 用户指南

IPSec服务。
NAT端口
默认情况下，在阶段1 1KE协商期间，可以使用的端
口是UDP端口500.用户可以改变IKE商议端口。交换
仍然以UDP进行。除了某些防火墙不支持IKE端口
500，此交换还可以在端口4500之外的端口进行。远
程网关必须支持此功能。并且与新选定的IKE端口相
关的流入通信需重新定位到默认的UDP4500上，从
而正确定位IPSec服务。
X-Auth超时
封闭非计算出的连接 允许用户进入X-Auth证书的时间

在选择了该选项时，只有加密的数据流被授权发送，
因此，一旦打开PVN隧道，所有数据流均通过VPN隧
道发送。

对端状态检查（DPD）是网络密钥交换（IKE）的技术延伸(如 RFC3706)。它能够侦测IKE点的无反应状
态。TheGreenBow VPN客户端的DPD功能：

• 当对端点无反应时，删除已在VPN客户端打开的SA（安全联盟）。

• 利用冗余网关重新启动IKE商议（如果您已在配置面板“阶段1高级”设置了此功能）。

完成参数设置后，请点击“保存&应用”保存并应用新的配置。

6.6 查看VPN隧道
6.6.1 如何查看已打开隧道的运作情况？

您可以在“查看隧道”栏中查看和关闭已打开的VPN隧道。如果您要关闭VPN隧道，请在列表中选择您想要关
闭的那一条隧道，然后点击“关闭隧道”即可。也可从系统托盘菜单和“连接面板”中直接查看、打开和关闭隧
道。

可利用按钮“连接面板”打开连接面板。利用快捷键“Ctrl + Enter”也可在“连接面板”和“配置面板”之间切换（请
参阅“快捷键”一节）。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 44/72

TheGreenBow IPSec VPN 客户端 – 用户指南

6.7 USB模式
6.7.1 什么是USB模式？

TheGreenBow VPN客户端使用USB驱动盘对VPN配置和其它VPN安全因素进行保护（比如预设共享密
钥，证书……），利用该功能，用户能够连接VPN配置：

• 连接至特定计算机：VPN配置中定义的VPN隧道只能用在该特定计算机上。
• 连接到特定USB上：从而使得VPN配置中定义的VPN隧道只能与特定USB驱动盘结合使用。

在选择了“菜单>将VPN配置移动至USB驱动盘”时，在您首次插入USB驱动盘时，VPN配置及所包括的安全
因素将被移动至USB存储器上。

当您插入USB驱动盘时，隧道就会自行打开。反之，拔开USB驱动盘时，所有已建立的隧道都会自行关
闭。

6.7.2 如何设置USB模式？

通过拷贝VPN配置和安全因素到USB驱动盘上，即可启用新的USB驱动盘（无数据）。共有两种方法：

• 通过菜单“文件>导出VPN配置”来导出VPN配置，随后将VPN配置文件拷贝到USB驱动盘中。
• 通过菜单“文件>将VPN配置移动至USB驱动盘上”来使用“USB模式向导”。

下面说明了“USB模式向导”的工作方式。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 45/72

TheGreenBow IPSec VPN 客户端 – 用户指南

1. “USB模式向导”随同“USB模式向导”步骤1启动

如果已经插入了一个USB驱动盘，那么，IPSec VPN将检测到该驱动盘，如下图所示。最终，向导器将询
问是否选择一个USB驱动盘，这是因为可能同时插入了几个USB驱动盘：

注意：如果在“USB模式向导”步骤1实施的同时插入了USB驱动盘，则仅显示出一个驱动盘，IPSec VPN客
户端将检测到该USB驱动盘，并跳转至“USB模式向导”步骤2.

注意：如果第一个USB驱动盘（含有其他VPN配置）已经插入的同时，插入了一个含有VPN配置信息的
USB驱动盘，则显示出警告信息，询问用户是否在继续操作之前拔出一个驱动盘。

2. “USB模式向导”步骤2

该向导建议通过如下选项来启用USB驱动盘：
• 仅利用该计算机：因此，VPN配置中所定义的VPN隧道只能用于该特定计算机上；
• “在任何计算机上”：因此，VPN配置中所定义的VPN隧道可在任何计算机上与特定USB驱动盘结合
使用。

可利用密码来保护VPN配置信息（非强制性），这样，即使USB驱动盘中的信息丢失，也不会危机公司安
全。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 46/72

TheGreenBow IPSec VPN 客户端 – 用户指南

注意：本步骤中，如果拔出了USB驱动盘，则向导器自动转回至步骤1。

注意：IPSec VPN客户端软件无法修改密码或者与USB驱动盘关联的计算机。无论如何，始终能够插入包
括VPN配置信息的USB驱动盘，并将VPN配置信息导出至本地硬盘，拔出USB驱动盘，导入VPN配置信
息，并启动“USB模式向导器”从而设置新的密码或者与计算机之间建立新的关联。

3. “USB模式向导器”步骤3

随后，向导器建议选择下次需要打开以便插入USB驱动盘的VPN隧道。此处，针对每一条隧道均使用了相
同的“阶段2高级设置”选项“插入USB驱动盘时自动打开该隧道”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 47/72

TheGreenBow IPSec VPN 客户端 – 用户指南

4. “USB模式向导器”步骤4

步骤4为先前设置的总结。确认后，IPSec VPN客户端将VPN配置信息拷贝到USB驱动盘中，并从计算机上
移除所有安全信息，同时，IPSec VPN将被视为处于“USB模式”。

注意：一旦移动至USB驱动盘，VPN配置将保留到插入USB驱动盘为止。一旦拔出USB驱动盘，VPN配置
信息将被复位（“配置面板”中将显示出空的配置）。下次在启动IPSec VPN时，VPN配置为空。

6.7.3 在插入USB驱动盘时，如何自动打开隧道？

利用选项“在插入USB驱动盘时自动打开隧道”，可分别配置每条隧道。

如果插入含有VPN配置信息的USB驱动盘，所有利用本功能设置的VPN隧道将自动打开。在拔出USB驱动
盘时，将自动关闭。当IPSec VPN启动时，如果已经插入了USB驱动盘，则情况相同。

显然，如果插入了不含有VPN配置信息的USB驱动盘，或者如果并未插入USB驱动盘，那么，IPSec VPN
将在本地模式下启动（利用本地硬盘上的VPN配置）。

该选项可在“配置面板”中配置：
• 相关隧道的IPSec配置（阶段2），点击“P2高级”按钮；
• 选择“当插入USB驱动盘时自动打开该隧道”选项。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 48/72

TheGreenBow IPSec VPN 客户端 – 用户指南

也可通过菜单“文件>将VPN配置移动至USB驱动盘”启用USB驱动盘，请参阅“USB模式向导器”。

注意：在登录Windows之前，选项“插入USB驱动盘时自动打开该隧道”将被禁用。

6.8 证书管理
6.8.1 证书管理概括

TheGreenBow IPSec VPN客户端的证书使用可以通过不同方式来实现。

• PEM 格式文件
• PKCS#12 格式文件
• Windows 证书存储
• USB Tokens 或 智能卡

利用证书管理面板，能够查看一个位置的所有证书来源并为特定隧道选择适当的证书。

为了给特定隧道分配一个证书，请按照如下程序继续操作：

转至该隧道“阶段1”窗口，点击“证书”，随后点击“证书管理……”；
在所示列表中选择一个证书，点击“OK”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 49/72

TheGreenBow IPSec VPN 客户端 – 用户指南

注意：仅能选定一个证书并分配给一条隧道。

注意：TheGreenBow VPN客户端软件无法创建证书。必须由第三方软件创建证书（并存储在智能卡
/Tokens或者Windows证书存储中）。您可以在本公司网站找到相关技术支持“如何创建证书”或者“如何进行
证书格式转换”。

证书来源

下面是几种可选的证书来源：

1. TheGreenBown配置文件：
证书位于VPN客户端软件所用的VPN配置文件中。这就意味着证书已经从其他来源导入，例如，证书文件
或者Microsoft证书存储。

注意：如果并未在VPN配置中对任何证书进行配置，那么，将不会出现本部分内容。然而，如果在VPN配
置文件中先前已经配置了证书，但现在没有了，则禁用本部分。

2. Microsoft证书存储：
这些证书均位于Microsoft证书存储中。为了查看并使用证书，证书必须符合如下规则：
• 证书必须经证书主管部门认证，并且证书状态必须“良好”（请参见“证书故障排除”）；
• 证书必须位于“个人”证书存储中，这是因为证书代表了尝试连接到公司网络的用户的个人身份。

3． USB token或者智能卡（例如，Feitian ePass2000-FT21）：

可插入几种USB Token和智能卡，并且所包括的所有证书均在本部分显示出来。

注意：如果证书无法插入到所显示的证书存储中，则利用“导入证书”按钮，总是能够从文件中导入证书。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 50/72

TheGreenBow IPSec VPN 客户端 – 用户指南

查看证书详情
可查看所有证书详情，包括所有属性，例如“发行人”、“有效期开始自”、“有效期至”和“主题”。

如下图所示，选择您希望使用的证书并点击“查看证书”：

证书管理

TheGreenBow IPSec VPN客户端对用户证书的管理情况如下：

事件 证书 管理
用户证书
导入时…… 无
根证书
打开VPN隧道时…… 用户证书 无

6.8.2 如何使用PKCS#12 证书配置IPSec VPN客户端？

大多数的网关都支持PKCS#12证书。TheGreenBow IPSec VPN客户端可以直接从主界面把PKCS#12证书

导入到VPN配置。您可以给每一条隧道分别设立PKCS#12证书。因此，您也可以对使用不同PKI的网关进
行连接。（PKI：公钥基础设施）

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 51/72

TheGreenBow IPSec VPN 客户端 – 用户指南

您可以通过以下步骤使用PKCS#12证书文件来配置IPSec VPN客户端：

第一步：在“阶段1”窗口选择“证书”，点击“证书管理……”，然而点击“导入证书”。

第二步：选择“来自 PKCS#12文件的证书”，点击“导入……”。

第三步：选择您要导入的PKCS#12证书。 如果此PKCS#12证书受密码保护，请在密码条框输入密码。当
证书被正确导入后，它的有关条目就会呈现在“证书导入”窗口。同时，密钥图标也会在每个证书旁边出现
(根证书，用户证书，私有密钥) 。

第四步：点击“OK”，PKCS#12证书将保存到VPN配置文档。无需点击“保存并应用”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 52/72

TheGreenBow IPSec VPN 客户端 – 用户指南

注释：导入证书后，它的条目就会使用在相应的阶段1的本地ID上。这在P1高级有显示：

6.8.3 如何使用PEM证书文件配置IPSec VPN客户端?

TheGreenBow IPSec VPN客户端能够直接从配置面板把PEM证书导入到VPN配置，对每一条隧道分别确

定PEM证书。因此，您也可以对使用不同PKI的网关进行连接。（PKI：公钥基础设施）。

您可以通过以下步骤使用PEM证书配置IPSec VPN客户端：

第一步：到 阶段1 选择“证书”，点击“证书管理”，随后点击“证书导入……”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 53/72

TheGreenBow IPSec VPN 客户端 – 用户指南

第二步：选择“PEM格式”，然后点击“下一步”。

第三步：通过点击相关的按钮导入根证书，用户证书和密钥。如果证书被正确导入，将显示在
“TheGreenBow配置文件”下方的证书管理面板中。

第四步：点击“OK”，把PEM证书保存到VPN配置文件，无需点击“保存&应用”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 54/72

TheGreenBow IPSec VPN 客户端 – 用户指南

注释：导入证书后，它的条目就会使用在相应的阶段1的本地ID上。这在 P1高级 有显示：

注释：不能对嵌有私有密钥的PEM文件进行加密或密码保护。

6.8.4 如何使用USB Token或者智能卡证书配置隧道？

TheGreenBow IPSec VPN客户端客户端可以从智能卡读取证书。智能卡使用PIN密码来保障X509证书安

全。（PIN：个人识别号码）

您可以通过以下步骤使用智能卡证书配置隧道：

第一步：将“证书”选入到该隧道“阶段1”窗口中，并点击“证书管理”。

第二步：从证书管理面板中选择证书，该面板显示了所有可用的USB Token或者智能卡及其证书列表。此
时，如果尚未插入，请插入您的USB Token或者智能卡，USB Token或者智能卡将在列表中显示出来。
（USB Token或者智能卡读卡器）识别程序启动，并有可能需要提供PIN码。输入您的“PIN码”，并点击
“OK”。一旦成功地读取了USB Token或者智能卡，则表明该证书已经被正确导入，并显示在
“TheGreenBow配置文件”下面的证书管理面板中。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 55/72

TheGreenBow IPSec VPN 客户端 – 用户指南

第三步：点击“OK”。

6.8.5 如何利用USB Token或者智能卡中的证书打开隧道

当隧道配置为能够使用来自USB Token或者智能卡证书时，每次必须打开隧道时，均要求用户提供USB
Token或者智能卡PIN码（出了在自动VPN商议时）。

因此，为了使用USB Token或者智能卡提供的证书打开一条隧道，要求：
• 已正确安装智能卡读卡器（中间韧件）；
• 插入到智能卡读卡器中的可读智能卡或者插入的USB Token；
• 用于读取USB Token或者智能卡的PIN码正确

然后，点击“打开隧道‘隧道1’”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 56/72

TheGreenBow IPSec VPN 客户端 – 用户指南

在使用智能卡时，每次发布版本均显示在控制面板中。

6.8.6 证书使用故障排除

在连接到USB Token或者智能卡上时，有可能出现错误，在靠近Token名称附近的弹出窗口将发出警告，
点击该图标将显示出故障详情。
• Token未找到：先前已插入，但此时并未找到；
• 找到了Token，但并无中间韧件访问Token（在使用智能卡读卡器时，通常需要中间韧件访问
Token）；
• 已找到Token和存储，但并未发现证书。

2、Microsoft证书存储

Microsoft证书存储中的证书需符合如下规则：

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 57/72

TheGreenBow IPSec VPN 客户端 – 用户指南

• 证书已经得到证书主管部门的认证，并且证书状态必须“良好”（请参见“证书使用故障排除”）；
• 证书必须存储到“个人”证书存储中，这是由于证书代表了尝试连接到公司网络上的用户的个人身
份。

注意：Windows提供了一个证书管理工具，您可以利用该工具排除证书使用问题：
跳转至Windows启动程序>运行>CETMGR.MSC。

6.9 配置管理
6.9.1 从菜单中导入/导出VPN配置

TheGreenBow VPN客户端能够导入或导入VPN配置。这个功能可以帮助IT管理员把已设置好的配置递交给
其他用户。

• 导入配置：菜单 “文件 > 导入VPN配置”

• 导出配置：菜单 “文件 > 导出VPN配置”

所有的配置文件都会有“.tgb”扩展名。

在导入/导出过程中，VPN配置和证书都可以使用密码保护。导出配置的时候，会有一个对话窗口提示您是
否要对导出的VPN配置进行密码保护。

如果您要导入一个受到密码保护的VPN配置，系统将会自动要求您输入相应的密码。另外，如果您要导入
一个不受密码保护的VPN 配置，系统将不会对您提出任何要求。

注释：在“USB模式”中进行“导入/导出”操作。

如果在VPN客户端设置了“USB模式”，插入USB驱动盘时，VPN配置的导入会被直接写入其中。相同情况

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 58/72

TheGreenBow IPSec VPN 客户端 – 用户指南

下，如果不插入USB驱动盘（GUI图形界面左下角的USB图标停用）， VPN配置的“导入/导出”将会被停
用。

注释：您也可以通过命令行导入VPN配置文件。

6.9.2 VPN配置整合

TheGreenBow IPSec VPN客户端可将一条或者数条隧道导入到现有VPN配置中。利用本功能，IT管理员能

够将新的VPN配置与新的网关整合到现有VPN配置中，并提供给用户或者用户组。

可采取几种方式完成VPN配置整合：

1. 通过菜单“文件>导入VPN配置”，随后选择“添加”而非“更换”，即可导入新的VPN配置。

2. 随同已经打开的现有VPN配置，将新的VPN配置拖拉至软件中。完全相同的弹出窗口（见上图）将
显示出来，询问用户是否“添加”或者“更换”现有VPN配置。

3. 通过命令行导入新的VPN配置。

“ [path]\vpnconf.exe /add:[file.tgb] ”，其中，[path]指的是 VPN客户端 安装目录，并且

[file.tgb]指的是VPN配置文件。
该命令并未涉及相关路径， ( 例如，“..\..\file.tgb”)。更多详情，请参见导入命令行部分。

您始终要选择导入VPN配置，此时，通常的表现为：
• 全局参数，如果在导入之前至少已经配置了一条隧道，则不得导入，同时，用户在弹出窗口中选择
“添加VPN配置”。
• 全局参数，如果用户选择了“替换”或者导入之前并未配置隧道，则导入。
• 现有VPN配置和所导入VPN配置之间的名称冲突，利用软件自动在括号之间添加增量即可解决，例
如，在所导入的隧道名称中添加tunnel_office(1)（也就是，阶段1和阶段2）。

6.9.3 VPN配置分离

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 59/72

TheGreenBow IPSec VPN 客户端 – 用户指南

TheGreenBow IPSec VPN客户端可从现有VPN配置中导出一条隧道。利用该功能，IT管理员可将现有VPN

配置分割为更小的VPN配置，并提交给用户或者用户组。

为了导出一条隧道，您必须按照如下步骤操作：

1. 右键点击来自您的VPN配置中的任何隧道阶段2，然后选择“导出隧道”。

2. 显示出弹出窗口，要求提供VPN配置密码保护。

3. 导出后，将VPN配置发送给用户，或者双击VPN配置从而启动TheGreenBow IPSec VPN客户

端。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 60/72

TheGreenBow IPSec VPN 客户端 – 用户指南

注释：
• 阶段2导出功能也将导出相关的阶段1。.这就意味着导出了已经在阶段1中定义的证书。
• 阶段2导出功能也将导出全局参数。

6.9.4 把您的VPN配置嵌入IPSec VPN客户端安装

可以把（已设置好的）VPN配置嵌入IPSec VPN客户端安装。这样，IT管理员可以把已配置好的IPSec
VPN客户端软件部署 到一个包裹，并递交给其他用户。

6.9.5 示范VPN配置

TheGreenBow IPSec VPN客户端安装嵌有一个示范VPN配置。完成IPSec VPN客户端软件安装后， 这个

默认配置会打开一条隧道到我们的TheGreenBow演示服务器。

这为检验能否在您的电脑和远程网络之间建立隧道——并最终进行调整提供方便。

可在我们的网站找到该示范VPN配置：www.thegreenbow.com/vpn_faq.html#VPN19

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 61/72

TheGreenBow IPSec VPN 客户端 – 用户指南

7 软件部署
7.1 VPN配置嵌入

在软件安装过程中，IPSec VPN客户端会自动导入内嵌于IPSec VPN客户端软件安装程序中的VPN配置

“.tgb”文件。（已解压，详情请查看“部署指南”。）

通过以下步骤使用VPN配置创建安装：

1. 首先通过IPSec VPN客户端软件建立需要嵌入到安装程序中的VPN配置，然后导出此VPN配置并将其命
名为“myconfig.tgb”。

2. 建立静默安装，或直接对IPSec VPN客户端软件安装程序进行解压安装。

3. 把“myconfig.tgb”VPN配置文件加到已解压的安装程序目录。

4. 将这个安装包裹部署给其他用户（“myconfig.tgb”VPN配置文件将在安装过程中使用)。

注意：安装程序无法导入或使用加密（被保护的）VPN配置。所以当您建立VPN配置的时候，请不要在导
出时对它进行加密（不使用密码保护）。

7.2 安装选项
7.2.1 安装程序选项概括

IPSec VPN客户端软件的安装选项：

1. 图形用户界面模式设置：“完全”，“用户化”或“隐藏”

2. 密码控制图形用户界面访问权限

3. 系统菜单配置

4. 其他选项：启动软件，注册码、自动软件激活、无试用窗口、语言及电子邮件激活

Syntax示例：
Setup.exe /S --license=0123456789ABCDEF0123 --start=1 --activmail=smith@smith.com

警告：所有切换'--guidefs', '--menuitem', '--license', '--start', '--activmail', '--password, '--autoactiv', '--

noactiv', '--lang'只能与'/S'结合使用（静默安装、大小写敏感）。

更多详情，请参阅我公司网站“部署指南”。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 62/72

TheGreenBow IPSec VPN 客户端 – 用户指南

7.2.2 GUI模式安装

Syntax: --vpngui=full|user|hidden
确定IPSec VPN客户端启动时显示图形界面GUI。

“full”：完全：[默认] 显示配置面板
“user”：用户：显示连接面板
“hidden”：隐藏：只显示系统托盘菜单。您可以通过此菜单建立隧道，不显示VPN 配置面板和连接面板。

下面给出了使用--guidefs=hidden的示例：

7.2.3 GUI模式访问权限安装选项

Syntax: --password=mypwd
使用密码限制“配置面板”的访问权限。详情请参阅“访问控制与隐藏界面”。

在以下情况中，系统会要求用户输入密码：

• 单击或双击VPN系统托盘图标时

• 从连接面板切换到配置面板时

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 63/72

TheGreenBow IPSec VPN 客户端 – 用户指南

例：--vpngui=user --password=admin01
这两个选项只允许在“连接面板”模式锁住IPSec VPN客户端，同时使用密码限制配置面板的访问权限。

7.2.4 系统托盘菜单安装选项

Syntax: --menuitem=[0...15]
指定IT管理员需要保留的系统托盘菜单条目 。

这个值是一个位元栏位：1 = 退出，2 = 连接面板，4 = 控制台，8 = 保存&应用，16=配置面板，默认值为

31：所有菜单。

举例： --menuitem=5 把“退出+控制台”菜单项添加到系统托盘菜单。

注释1：隧道总会在系统托盘菜单中显示，而且您可以用此菜单来建立或关闭隧道。

注释2：“menuitem”和“vpngui=hidden”

在默认装置下，vpngui=hidden把系统托盘菜单设为“退出＋控制台”。（不显示“保存&应用”和“连接面板”菜
单项）。“menuitem”的使用将会取代“vpngui”。
这指的是：“--vpngui=hidden --menuitem=1”系统托盘菜单将只包含“退出”菜单项。

7.2.5 其他选项

安装程序命令行的其它安装参数：

Syntax: -s（‘S’前必须为1个斜线，大小写敏感）
使用：启用静默安装模式（安装期间并未显示出对话框）。
示例：“TheGreenBow_VPN_Client.exe /S”

Syntax：/D=【安装路径】（‘D’前面只能有1个斜线，大小写敏感）
使用：【安装路径】指的是软件安装路径。即使路径中有空格，也不得使用引号。
警告：本选项只能与选项‘/S’（静默模式）结合使用，并且必须置于命令行末尾，如果采取了其他模式，则
作为最终选项使用。

Syntax: --license=[licence_number]
配置注册码。注册码由24位十六进制的数字组成。旧的注册码为20位十六进制的数字。

Syntax: --start=[logon|boot|manual]
设置VPN客户端的启动模式：登录windows之后，启动时，手动。默认设置为［登录］。

Syntax: --activmail=[activation_email]
强制通过使用电子邮件来确认激活。激活过程中，输入该电子邮件地址所用的编辑窗口将被禁用。

Syntax: --autoactiv=1
如果软件升级（例如，在先前的安装过程中已经输入了注册码和激活邮件）并且添加了--autoactiv=1选
项，如果网络可用或者如果启动时网络不可使用情况下而要求打开一条隧道时，该软件将自动尝试激活软
件。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 64/72

TheGreenBow IPSec VPN 客户端 – 用户指南

Syntax: --noactiv=1
一旦软件启动，在试用期结束之前，不会显示出“试用窗口”。用户并不知道正处于试用期，并且在试用期结
束时该软件将被禁用。这就意味着如果用户尝试在试用期后启动软件，该软件将被启用并打开“试用窗口”，
但是，“试用”按钮将被禁用。

Syntax: --lang=[语言代码]
该选项确定了TheGreenBow IPSec VPN客户端软件和安装软件的语言。可用语言列示如下：

ISO 639-2 语言代码 英文名

code
EN 1033 (默认) 英语
FR 1036 法语
ES 1034 西班牙语
PT 2070 葡萄牙语
DE 1031 德语
NL 1043 荷兰语
IT 1040 意大利语
ZH 2052 简体中文
SL 1060 斯洛文尼亚语
TR 1055 土耳其语
PL 1045 波兰语
EL 1032 希腊语
RU 1049 俄语
JA 1041 日语
FI 1035 芬兰语
SR 2074 塞尔维亚语
TH 1054 泰语
AR 1025 阿拉伯语
HI 1081 北印度语

例：
TheGreenBow_VPN_Client.exe /S --license=0123456789ABCDEF0123 --start=2 --
activmail=smith@smith.com

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 65/72

TheGreenBow IPSec VPN 客户端 – 用户指南

7.3 命令行
7.3.1 命令行选项

本公司网站为您提供数种配置工具。这些工具为命令行类，根据IT管理员的工作需要转变IPSec VPN客户
端操作。

• 停止使用IPSec VPN客户端

• 导入或导出VPN配置

• 开启或关闭 VPN隧道

更多详情，请登录我公司网站并查看“部署指南”。

7.3.2 打开或者关闭VPN隧道选项

利用命令行，TheGreenBow VPN客户端可打开或者关闭VPN隧道。在TheGreenBow IPSec VPN客户端运

行的同时，可激活两个命令行：

“ [path]\vpnconf.exe /open:[阶段1-阶段2] ”，其中，[path]指的是VPN客户端安装目录，[阶段1-阶段2]指的

是VPN配置文件中阶段1和阶段2名称。 该命令并不涉及相关路径（例如， “\..\file.tgb”）。支持双引号，并
且路径中可包括空格。
如果指定隧道被打开，则该命令行无效。

“[path]\vpnconf.exe /close:[阶段1-阶段2]”，其中，[path]指的是 VPN客户端 安装目录，并且[阶段1-阶段2]

指的是VPN配置文件组红阶段1和阶段2.如果指定隧道被关闭，则该命令行无效。

不包括自变数“打开”与“关闭”，并且无法结合使用。

限制内容：
通过执行这些命令行，将打开软件图形用户界面（GUI）。在将来的软件版本中，将消除该限制。

7.3.3 停止IPSec VPN客户端：选项“/stop”

利用如下命令行，可随时停止TheGreenBow VPN客户端：

“[path]\vpnconf.exe /stop ”，其中[path]指的是IPSec VPN客户端安装目录。

如果有几条在用的隧道，则将适当关闭。

例如，在建立拨号连接之后启动VPN客户端并在断开连接之前退出VPN客户端的脚本中，可以使用本功
能。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 66/72

TheGreenBow IPSec VPN 客户端 – 用户指南

7.3.4 导入或者导出VPN配置选项

TheGreenBow VPN客户端可通过如下命令行导入专门的配置文件：
“[path]\vpnconf.exe /import:[file.tgb]”，其中，[path]指的是VPN客户端安装目录，[file.tgb]指的是VPN配置
文件。该命令并未涉及到相关路径(例如，“..\..\file.tgb”)。支持双引号，路径中可以包括空格。

“/import:”无论VPN客户端是否运行，均可使用该命令行。当VPN客户端已经处于运行状态时，可动态地导
入新配置并自动应用(例如，重启IKE服务)。如果VPN客户端并未运行，则可利用新配置启动VPN客户端。

“/importonce: ”无需运行VPN客户端，即可导入VPN配置。该命令在安装脚本中特别有用：能够静默安装并
能够自动导入配置。

“/export: ”能够在指定文件中导出当前VPN配置（包括证书）。如果VPN并未运行，则该命令可以启用VPN
客户端。

“/exportonce: ”能够在指定文件中导出当前VPN配置（包括证书）。如果VPN客户端并未运行，该命令无法
启动VPN客户端。

“/add: ”能够将新的VPN配置导入到现有VPN配置中，并将两者整合为一个VPN配置。无论VPN运行与否，
均可使用该命令行。如果VPN客户端并为运行，则该命令无法启动VPN客户端。

“/replace: ”能够使用新的VPN配置更换当前配置。在4.1及以前版本的软件中提供了本功能，并可用来取代
/importonce选项，无需运行VPN客户端即可导入VPN配置文件。

“/pwd:[password]”能够为导入操作设置密码。该选项可与/import、/importonce、/export、/exportonce、
/add以及/replace选项结合使用，但是，必须置于上述选项之后。

全部6个自变量 “import”, “importonce”, “export”, “exportonce”, “add” 以及“replace”均不包括在内，并且

无法一同使用。

7.4 支持新的ATR代码（例如，智能卡）

TheGreenBow VPN客户端始终包括Token及智能卡销售商提供的ATR代码列表。然而，新的ATR代码每天
更新，因此，利用本功能，无需等待新版软件即可添加一个或者几个新的ATR代码。

TheGreenBow VPN客户端在名为“vpnconf.ini”初始化文件中显示之后，需考虑使用新的Token ATR代码。

该文件“vpnconf.ini”必须为文本文件，并且必须保存在与tgbike.exe相同的安装文件夹中。

下面是’vpnconf.ini’文件的syntax :

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 67/72

TheGreenBow IPSec VPN 客户端 – 用户指南

[3B:65:00:00:9C:02:02:07:02]
mask=“FF:FF:00:00:FF:FF:FF:FF:FF”
scname=“My token”
manufacturer=“Token Manufacturer”
pkcs11DllName=“pkcs11.dll”
registry=“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”

[3B:65:00:00:9C:02:02:07:03]
mask=“FF:FF:00:00:FF:FF:FF:FF:FF”
scname=“My token2”
manufacturer=“Token Manufacturer”
pkcs11DllName=“pkcs11.dll”
registry=“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”

其中，参数如下：

[atr] Token ATR代码。该分隔符用来分割几个ATR代码。

mask Token掩码
scname Token名称
manufacturer Token制造商名称
pkcs11DllName PKCS#11中间韧件文件
registry 指向完整DLL路径的注册表中的值

注意：如果PKCS#11 DLL（此处为pkcs11.dll）并未在c:\windows\system32\中，那么，必须设置“注册表”。

注意：注册表指的是指向DLL完整路径的注册表中的参数值。syntax 指的是
HKEY_LOCAL_MACHINE:<registry key>:<注册表键中的值>.

例如，如果在“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe”中创建了值“DllPath”的内容“C:\Program Files\TheGreenBow\TheGreenBow
VPN\pkcs11.dll”，则注册表行为
“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”.

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 68/72

TheGreenBow IPSec VPN 客户端 – 用户指南

8 控制台和日志
8.1 控制台窗口

您可以在系统菜单托盘图标的背景菜单或在配置用户界面中找到“控制台”窗口。并且您还可以通过这个窗口
对VPN隧道进行分析。这个工具对IT管理员设置网络特别适用。

按钮 说明
保存 将当前日志保存在文件中。将来的日志不得保存在选定
文件中。
启动/停止 启动/停止收集日志。
清除 清除控制台窗口内容。
复位IKE 重启IKE过程。

9 软件本地化

IPSec VPN客户端可以进行本地化(L10N)，并且可以由第三方来执行。所有需要使用的VPN客户端的字符
串都被列在我们提供的翻译工具上，等待翻译。

第一步：到本公司网站下载VPN客户端翻译工具。
第二步：把字符串翻译到您的语言
第三步：把翻译好的VPN客户端字符串文档寄到：support@thegreenbow.com
第四步：我们将会把您的译本加入到IPSec VPN客户端的新版本。请本公司网站查看已发表的译本。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 69/72

TheGreenBow IPSec VPN 客户端 – 用户指南

本地化过程在www.thegreenbow.com/vpn_local.html页面有详尽解释。

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 70/72

TheGreenBow IPSec VPN 客户端 – 用户指南

10 联系我们

信息资料和升级：www.thegreenbow.com
技术支持电子邮件： support@thegreenbow.com
销售支持电子邮件：sales@thegreenbow.com

IPSec VPN 客户端 – 用户指南 版权为 TheGreenBow Sistech SA 所有 - © 2001-2010 71/72

Secure, Strong, Simple.
TheGreenBow Security Software