Professional Documents
Culture Documents
用户指南
WebSite: http://www.thegreenbow.com/zh
Contact: support@thegreenbow.com
目录
IPSec VPN客户端使TheGreenBow网络安全系列产品更完整,并且它和TheGreenBow的其它产品一样极
易安装和使用。
1.2 多种VPN网关解决方案
TheGreenBow策略是尽可能多地支持当前市场上的VPN网管和设备,从而为用户提供一个真正的多厂商解
决方案。我们的实验室不断对新的IPSec VPN网关和设备进行测试。我公司网站上公布有已认证的VPN网
关名单并且每天都在增加,欢迎定期查看已认证的新VPN产品。
1.4 支持Linux设备
语言 阿拉伯语、汉语(简体)、荷兰语、英语、芬兰语、法语、德语、希腊
语、印地语、意大利语、日语、波兰语、葡萄牙语、俄语、塞尔维亚语、
斯洛文尼亚语、西班牙语、泰语及土耳其语
连接模式 不需要网关或服务器,进行点到点(Peer-to-peer)和点到多点(point-to-
multiple)操作。
支持拨号Dial up,DSL,Cable,GSM/GPRS和WiFi等连接方式。
允许在IP范围建立网络。
可以在RDP远程桌面连接对话中进行。
隧道协议 完全的IKE支持:
我们的IKE实现基于OpenBSD 3.1的执行(ISAKMPD),因此,能够为现有
IPSec路由器和网关提供最好的兼容。
完全的IPSec支持:
• 主要模式和野蛮模式
• MD5和SHA散列算法
• IKE端口转换
加密 提供了集中加密运算法则:
• 3DES, DES和AES 128/192/256bits加密。
• 支持1、2、5和14组(例如,768、1024、1536以及2048)等。
用户认证 所支持的用户认证方法:
• 预设共享密钥与X509证书支持。兼容大多数当前可用的IPSec网
关。
• X-AUTH支持。
• 灵活的证书支持(PEM, PKCS12, ...)。可以从用户界面直接导入
PKCS#12证书。可以分别在每条隧道设置证书。
• 混合认证模式支持。
证书存储能力:
• USB Token与智能卡支持。
• Windows证书存储支持
• VPN配置文件
远程登录
• Vista凭证提供器支持(W2K/WXP上的aka GINA),从而能够通过
VPN隧道登录Windows或者选择在本机上登录。
冗余网关 冗余网关让用户可以安全可靠地连接到企业内部网络。
冗余网关所具有的功能使得TheGreenBow VPN客户端在首要网关瘫痪或无
回应的时候,利用一个替换网关建立IPSec隧道。
USB驱动盘 VPN配置与安全信息(证书、预设共享密钥)能够保存到USB驱动盘中,
从而转移计算机上的安全信息(如:认证);插入USB驱动盘,隧道自动打
开;拔出USB驱动盘,隧道自动关闭。能够将VPN配置分配给特定计算机
或者特定USB驱动盘。
日志控制台 所有的阶段信息都会被保存以便进行测试或者升级,进而易于缩小特定方
面的浏览范围。
灵活多样的用户界面 静默安装和隐形界面使IT管理员在进行方案部署的同时,防止用户配置错
误。
终端用户可以选择带有用户访问权限的微型连接面板或VPN配置面板。
将VPN配置拖放至IPSec VPN客户端里。
多种快捷键,简单驾驭IPSec VPN客户端。
脚本 在特定情况下自动启动脚本和应用程序(在隧道打开前后,或在隧道关闭前
后)。
配置管理 用户界面和命令行
VPN配置文档密码保护
在设置里提供专有的VPN配置文档
利用TheGreenBow在线服务器测试和调整内嵌默认VPN配置
实时升级 能够检查在线升级。
许可 可以根据许可情况而选择永久性注册码,临时性注册码或版本注册码。
1.6 OEM和软件重塑标牌
我们公司旨在为OEM和系统集成商服务。我们提供全面的VPN客户端解决方案来完成当前的服务。而且我
们的IPSec VPN客户端可以被重新标牌。
计算机重启之后会出现以下选项窗口:
• 点击“退出”退出此窗口和软件。
• 点击“试用”允许您继续使用软件试用版本。软件试用期限显示在窗口顶部的橘色条框。
• 点击“激活”,您可以用注册码在线激活软件。激活向导器在点击“激活”时弹出。
• 点击“购买”,到TheGreenBow网站在线购买软件注册码。
快捷键:安装软件完毕后,可以通过以下方法打开TheGreenBow VPN窗口:
• 双击TheGreenBow VPN桌面快捷方式
• 任务栏图标
• 开始菜单>程序>TheGreenBow>TheGreenBow VPN>TheGreenBow VPN客户端
注释:可以通过命令行里的参数选项个性化软件安装。
欢迎查阅公司网上的“部署指南”。
2.1.1 访问权限
在特定Windows计算机中,用户访问权限可能受到限制。下面给出了用户的权限:
操作 管理员 用户
软件安装 是 否
软件激活 是 是
软件使用 是 是
Vista防火墙规则名称 操作
TheGreenBow IPSec VPN Client 阶段1 授权UDP 500
TheGreenBow IPSec VPN Client 阶段2 授权UDP 4500
2.2 软件试用
一旦过期,“试用 Evaluation”按钮不可再用,也不能再试用软件。
2.3 临时软件注册
可提供一个临时软件注册码以便进行测试。有效期为1到9星期。为了获取临时软件编号,请与我们的销售
团队联系:sales@thegreenbow.com。
临时软件注册码的有效期以及剩余使用时间将显示在IPSec VPN客户端第一个弹出窗口中。
有效期届满时,将无法运行该软件。
在使用临时软件注册码的全部时间内,可从配置面板获取激活窗口。通过激活窗口,用户可激活新的许
可,例如,终身注册码而非临时编号。
在此期间内,通过“关于About”菜单,即可查知剩余时间。
当临时软件许可码有效期届满时,“试用”按钮被禁用。用户可点击“购买”与“激活”按钮从而获得终身软件许
可。
2.4 软件激活
2.4.1 软件激活向导器
通过以下步骤在VPN客户端软件中打开“激活向导器”:
• 启动VPN客户端,在窗口点击“激活”。
• 软件启动后,立即点击菜单“?”,然后点击“激活向导器”……
2.4.2 第一步:输入注册码
输入注册码激活软件。
输入您的注册码和电子邮件地址,如下图所示,点击“下一步”:
注意:如果您的注册码是20个字符,请点击链接 “点击此处输入一个为20位数的注册
码”从而切换至20字符“注册码”字段。
注释:请仔细确认电子邮件地址输入正确,因为软件激活成功的信息会被寄到此邮箱。
注释:电子邮件地址不是必须的:IT管理员可以在安装过程中强制要求此选项,并且它不会再出现于软件
激活向导器中。 此功能把软件激活的确认信息集中寄到特定的电子邮箱。
2.4.3 第二步:在线激活软件
“激活向导器”会自动连接到在线软件激活服务器,激活VPN客户端软件。同时您也可以随时返回更改注册
码,但是,您需要首先卸载该软件。
成功激活软件后,“激活向导器”会显示软件被成功激活。
重要的是要记住,安装完毕后,注册码应随同计算机一同保管。然而,在卸载软件之后,注册码可在另外
一台计算机上再次被激活。
2.4.4 软件激活常见问题
在激活软件的过程中可能会出现错误。在步骤2所述激活窗口中,对每种激活错误进行了简要解释。您也可
以点击进程条下方的链接“更多关于此错误的信息”,选项“解释与建议”可以指导您接下来的进展。
仔细检查如下要点,从而解决常见错误:
4. 暂时无法连接到激活服务器。请几分钟之后重新激活。
所有的激活错误相关问题在本公司网页上有详尽解
释:www.thegreenbow.com/support_flow.html?page=11
注释:如果以上资料没有帮助您成功地激活该软件,您还可以在本公司网
站:http://www.thegreenbow.com/activation/osa_manual.html 手动激活软件。
此程序可以帮助您即时完整地激活软件。
2.5 软件升级
注意:每次VPN客户端软件升级后均需要激活。激活过程仅需数秒钟。依据您的软件维护合
约,您的软件升级激活可能会遭到拒绝。请细心阅读以下建议并通过点击菜单“?”到配置面板选
择“检查更新”获得您的软件维护状态和软件版本。
您的软件维护合约决定了软件是否能够成功升级:
1. 在软件维护期中(自首次激活软件)所有软件均可升级。
2. 如果您的软件维护期已经终止(或者您没有软件维护合约),只能升级维护软件。通过版本号最后一位
数确认维护软件升级。
举例:我的软件维护期已过期,而我的软件版本为3.12,我只能在版本3.13到 版本3.19中升级,而不能升
级到到版本 3.20 、3.30或 4.00。
如果需要注册或延长您的软件维护期,请联系本公司的销售部门:sales@thegreenbow.com
注释:在软件升级的过程中,VPN配置会被保存而且会自动在新版本使用。
2.6 软件卸载
• 在Windows控制面板中选择“添加/删除程序”
3 常见问题快速指引
3.1 如何打开VPN隧道?
如何打开隧道(VPN配置已经完成):
• 连接面板 > 打开
• 自动侦测到路线
• 插入USB驱动盘自动进行连接
• 启动软件时自动连接 (登录之前或之后)
• 双击VPN配置(桌面图标,电子邮件附件)
• 利用命令行来打开或者关闭隧道。
3.2 隧道故障如何处理?
您可以在我们网站上的文档资料里找到相关问题的解决方法:
• 故障排除文档 (pdf)
• 在线帮助 (html)
• 在线软件激活 (html)
• 使用默认VPN配置测试您的网络
3.3 如何双击VPN配置图标导入VPN配置?
这种方法也被称为“拨号模式”:双击VPN 配置打开隧道。(例如,扩展名为“.tgb”文件)。此功能允许在桌
面建立多个VPN配置,然后通过双击VPN配置的桌面快捷方式打开隧道。
如何创建VPN配置的桌面快捷方式:
第一步:在配置面板设置隧道
第二步:到“阶段2 高级设置”,将隧道设置为“启动VPN客户端时自动打开此隧道”
第三步:把VPN配置导出到电脑桌面上
注释:您可以通过设置密码来限制隧道的导出。以后每次打开隧道时将会要求此密码。
3.4 如何使用证书进行用户认证
1. 创建“阶段1”并调整“P1高级设置”。
2. 创建“阶段2”并调整“P2高级设置”。
3. 返回至该隧道的“阶段1”,点击“证书”,随后点击“证书管理”。
4. 在所显示的列表中选择一份证书,或者点击从证书文件中“导入证书”,然后点击“OK”。
3.5 如何在登录Windows之前打开VPN隧道
在登录Windows之前,利用名为Vista证书提供器的Windows登录技术(W2K/WXP系统中的aka GINA),
有可能手动或者自动打开一个或者多个VPN隧道。
下面是设置为触发证书提供器情况下的几种可能的使用情况:
1. 用户希望在登录Windows之前手动打开VPN隧道
设置 IPSec VPN客户端行为
跳转至“阶段2高级设置”: 在登录Windows之前,显示出如下小型窗口,用
·选择“登录Windows”前启用; 户通过该窗口即可打开所需的任何VPN隧道。
·不得选择“在检测到通信时自动打开”
弹出窗口将列出所有利用选项“登录Windows之前
启用”进行配置的VPN隧道。
2.用户希望在登录Windows之前自动打开VPN隧道
设置 IPSec VPN客户端行为
跳转至“阶段2高级设置”: 在登录Windows之前,显示出如下小型窗口,该
·选择“登录Windows”前启用; 窗口所列示的VPN隧道将自动启动开启功能。
·选择“在检测到通信时自动打开”
弹出窗口将列示出利用选项“登录Windows之前启
用”而配置的所有VPN隧道。
下面给出了利用选项“登录Windows之前启用”而禁用的某些隧道功能:
• 在登录Windows之前,始终能够看到这个微型窗口。该窗口不可能被隐藏起来。
• 在第二种情况下,隧道被配置为“检测到通信时自动打开”并且只有一条隧道能够使用选项“在登录
Windows之前启用”,因此,在IKE服务运行时、在登录Windows之前,不可能自动打开两条隧道。
• 配置‘脚本’,从而能够利用选项“登录Windows之前启用”可禁用隧道。
• 对于带有选项“登录Windows之前启用”的隧道,IPSec VPN客户端并未处于“USB模式”(例如,转
移到USB驱动盘中的配置)。
• 禁用配置模式。必须在此处配置DNS/WINS服务器地址。
关于高级“用户认证”方法的注释:
• 利用X-Auth认证:如果已经将隧道配置为能够使用X-Auth,则在打开隧道时,显示出弹出窗口,要
求用户输入X-Auth登录/密码。
• 利用USB Token或者智能卡:如果已经配置了隧道,可使用USB Token或者智能卡,则在打开隧道
时,显示出一个弹出窗口,要求用户输入PIN代码。相同的弹出窗口中将显示出错误信息(Token
被锁闭、PIN代码错误…)。
注释:在登录Windows之后,为了使得VPN隧道能够“检测到通信时自动打开”,不得选择选项“登录
Windows之前启用”。
4 用户界面的使用
4.1 用户界面的构成
IPSec VPN客户端配置在VPN配置文档有详细说明。您可以在软件用户界面进行创建,修改,保存,导入
或导出VPN配置安全因素等操作(比如:预设共享密钥,证书等……)。
用户界面包括以下部分:
• 配置面板
• 连接面板
• 主菜单
• 系统托盘图标与弹出菜单
• 状态栏
• 向导器
• 自定义
4.2 系统任务栏图标
您可以双击应用程序图标(桌面或Windows开始菜单)或单击任务栏图标打开VPN客户端用户界面。进入
用户界面后,VPN客户端软件会用系统任务栏上的颜色图标来显示隧道的运作状态。
下列为VPN客户端应用程序颜色代码:
图标为蓝色:没有打开VPN隧道
图标为绿色:至少有一条VPN隧道被打开了
左键单击VPN图标打开配置用户界面。
右键单击显示以下菜单:
• “退出”将关闭已建立的VPN隧道,随后,退出IPSec VPN客户端软件。
• “保存&应用”关闭已建立的VPN隧道,应用最新的VPN配置更改和重新打开已被配置为能够自动启
动的VPN隧道。
• “控制台”显示IPSec-IKE日志窗口。
• “连接面板”打开已连接面板,通过该面板能够打开、关闭隧道以及获取隧道信息。
• 配置面板 选项可打开配置面板,该配置面板能够创建和配置隧道。
• 已配置好的隧道当前状态列表。并且也可以通过此菜单关闭或打开隧道。
系统图标VPN客户端图标上的工具提示表明VPN隧道的连接状态:
• “隧道 <隧道名称>”:有一条或一条以上的隧道被建立。
• “等待VPN的准备……”:IKE服务重新初始化。
• “TheGreenBow VPN客户端”:VPN客户端正在运作但没有打开隧道。
4.3 系统图标弹出窗口
系统图标中的微型弹出窗口显示出每次打开或者关闭隧道的时间。
该微型弹出窗口具有非常简单的行为:
1. 该弹出窗口显示出隧道打开的不同阶段,并在6秒钟后消失,除非鼠标在其上移动。
2. 该弹出窗口也显示隧道正在关闭中。
3. 如果隧道无法打开,则显示出警告信息以及一条链接,通过该链接可在我们的网站上获得更多信息。
4.4 键盘快捷键
此功能可以提高日常使用效率。
快捷键 作用
Ctrl + D 打开VPN控制台进行网络“调试”
Ctrl + S 保存和应用VPN配置
4.5 连接面板
通过连接面板,用户能够打开、关闭和清除每条已经配置的隧道的信息。所有终端用户均需利用连接面板
来打开和关闭隧道。
很显然,本功能有助于IT管理人员(配置VPN连接)和用户(仅负责打开或者关闭VPN连接)按照自己的
习惯进行操作。
连接面板包括如下几个构件:
• 显示出当前隧道信息的动态网络图(顶部);
• 带有“打开/关闭”按钮的所有已配置隧道列表(图表下);
• 回转至“配置面板”的链接(底部左侧)。
利用快捷键“Ctrl + Enter”,可以在“连接面板”和“配置面板”之间来回切换(请参见“快捷键”一节)。
4.6 配置面板
利用配置面板,能够创建VPN配置,并由以下部分组成:
• 三个按钮控制台,参数,连接(左栏)
• 含所有IKE和IPSec配置的目录树列表窗口(左栏)
• 显示每个树状结构层次相关参数的配置窗口(右栏)
4.6.1 主菜单
主要有以下几种菜单:
• 在“文件”菜单可以导出或导入配置,还可以选择VPN配置的位置:计算机上本地存储或者USB驱动
盘存储。最终可用来配置各种不同的自定义选项,例如,VPN客户端启动方式。
• 您也可以通过“配置”菜单访问“配置向导器”。“VPN配置”菜单包括树形结构控制右键点击菜单的所
有动作。通过“配置”菜单也可访问“配置向导”。
• “查看”菜单包含用户拥有访问权限的“配置”选项。
• “工具”菜单包含“控制台”和“连接”以及“复位IKE”选项。
• “?”菜单包含“检查更新”,“在线帮助”和 “关于”窗口。在软件尚未激活时,通过“?”菜单也可访问“激
活向导器”。
4.6.2 状态栏
状态栏能够显示以下信息:
• 在状态栏中部会显示VPN客户端的运作状况:
(比如:正在打开隧道,正在保存配置,正在打开VPN客户端等……)。
• 指示灯箱(右边)给出了隧道相关信息(例如,绿色指示灯 指的是至少
有一条隧道被打开,灰色指示灯 表明并无隧道被打开)。
4.6.3 “关于”窗口
在“关于”窗口会显示VPN客户端软件的版本信息和软件激活信息,并带有我公司的网络链接。
4.6.4 访问权限控制和隐藏界面
该项功能是专门为IT管理员而设计的。利用该功能,可锁闭对“配置面板”的访问,并通过密码来限制通过
“连接面板”和/或“系统托盘菜单”来使用IPSec VPN客户端。因此,用户将无法再修改VPN配置并可避免错误
配置VPN。
通过密码的方式进行访问权限控制仅涉及到“配置面板”。绝不能通过密码的方式来控制对“连接面板”的控
制。
配置完毕后,用户会被请求输入密码:
1. 单击(或双击)系统托盘上IPSec VPN客户端图标时
2. 从连接面板转换到配置面板时
3. 启动“软件更新”时
可以在安装过程中选择设置密码(查看“安装选项”)
配置权限控制窗口位于:
而且,系统托盘菜单条目也可以通过它来配置。这样,IT管理员就能够通过隐藏的界面来控制软件访问权
限。
如果您要取消访问权限控制这个功能,只需要空出“密码”和“确认”这两栏,随后点击“OK”即可。
注释:系统托盘菜单上“退出”不能在软件标准版本中使用。您可以通过安装过程中的“-menuitem”选项把它
删除 (查看“安装选项”)
如果设置了访问权限控制,您就不能再通过双击桌面图标或开始菜单进入“配置面板”。而且在任务栏只有“
控制台”可用,您可以退出软件,打开/关闭已配置的隧道。
下面是一个示例:
4.6.5 向导器
有几种向导器可供使用:
• 通过菜单“文件> 移动VPN配置至USB驱动盘”启动USB驱动盘模式向导器。
4.6.6 自定义
通过“自定义”窗口,可以定义:
• 选择软件启动模式。这些模式可以在软件安装过程进行配置(请查看“安装选项”)
• 启用/停用侦测界面断开功能
在“文档”菜单点击“自定义”。
VPN客户端启动模式
• 在登陆MS Windows系统前启动
其它功能:
网络连接会经常出现短暂断线的问题,特别是用WiFi、GPRS和3G上网时候。针对这种情况,可以使用
IPSec VPN客户端的界面断线侦测功能来保持隧道连接。
5 连接面板
5.1 连接面板操作基础
在连接面板,用户可以打开或关闭任何一条隧道并了解隧道的配置情况。而且终端用户只需要在此面板就
可以打开或关闭隧道。
连接面板的构成:
• 现运行隧道信息的网络图示(上方)
• “打开/关闭”隧道按钮列表(网络图下方)
用户只需要点击“打开”打开隧道。隧道打开后,“打开”按钮会自动转换成“关闭”。单击隧道名称能够打开配
置面板,更改隧道配置。
如果连接面板设置了密码保护,此功能则不可用(请看访问权限控制)。
使用系统菜单(配置面板菜单)或快捷键“Ctrl + Enter”实现连接面板与配置面板之间的转换(请看快捷
键)。
还可以通过拖拉式把VPN配置拉到连接面板。如果隧道被设定了自动连接,当启动VPN客户端时,它会马
上应用新的VPN配置。(请参见“阶段2——高级设置”一节)。
5.2 更多连接面板的有关信息
如果在开隧道的过程中出现问题,您会在隧道列表看到警告提示。
与该警告信息相关的链接自动打开“警告”弹出窗口,并显示出有关该问题的详细信息。明晰的警告信息将帮
助用户和IT管理员找出VPN问题根源。点击窗口上的“问题详细解答”连接到我公司的在线帮助网页,找到相
对问题的详细描述和解决办法。
6 VPN 配置
6.1 VPN配置综述
6.1.1 如何创建VPN隧道?
为了通过“配置面板”创建VPN隧道(无需使用配置向导器),您必须按照如下步骤操作:
复位配置面板,从而清除先前配置。
右键点击树形列表窗口中的“根”并选择“新的阶段1”。
配置认证阶段(阶段1)。
右键点击属性控制面板中的“新的阶段1”并选择“添加阶段2”。
配置IPSec 阶段(阶段2)。
一旦设置参数完毕,点击“保存与应用”从而应用新的配置。从而使得IKE能够按照新参数运行。
关于更多的设置说明,请参阅阶段1和阶段2。
您可以配置多个认证阶段(阶段1)。因此,一台计算机能够和多个网关或多台计算机建立IPSec VPN隧道
(peer to peer点到点)。
同样地,相同的认证阶段(阶段1)可以创建数个IPSec配置(阶段2)。
6.1.3 高级功能
为阶段1和阶段2设置高级功能和参数。
在阶段1中定义的可以在所有于当前VPN配置中创造的阶段2中运用:
• 启用/禁用 配置模式
• 启用/禁用 冗余网关
• 选择 NAT-T 模式 (强制,禁用或自动)
• 启用/禁用混合模式(指的是一种混合认证方法)只能在阶段2应用阶段2设置:
• 自动启动模式
• 当隧道打开时,选择脚本/应用
• 手动设定DNS/WINS服务器地址
• 利用证书提供器并通过VPN隧道启用Windows登录(WWK/WXP上的aka GINA)
6.2 配置向导
6.2.1 三步骤配置向导
下面举例说明:
• 为远程计算机动态提供一个公用IP地质;
• 在配备了一个DNS地址“gateway.mydomain.com”的VPN网关后尝试连接到公司LAN上。
• 公司LAN地质为192.168.1.xxx,例如,远程计算机通过IP地址(192.168.1.100)连接服务器。
为了配置该连接,请选择菜单“VPN配置>配置向导”从而打开配置向导面板。
6.2.2 步骤 1:选择远程设备
必须在隧道末端指定设备类型:VPN网关。
6.2.3 步骤 2: VPN隧道参数
您必须指定如下信息:
• 远程网关公共地址(WAN一侧)
• 用于该隧道的共享密钥(该共享密钥必须与网关中的密钥相同)
• 贵公司LAN的IP地址(例如,指定为192.168.1.0)
6.2.4 步骤 3: 摘要
第三步总结了新的VPN配置。也可直接通过“配置面板”配置其他参数(例如,证书、虚拟IP地址等)。
隧道已经创建完毕,您可以打开该隧道。
6.3 认证或者阶段 1
6.3.1 什么是阶段 1?
“认证”和“阶段1”窗口涉及认证阶段和阶段1中的设定。这也被称为IKE协议阶段。
在阶段1您可以设定IKE方案,认证端口,并在端口之间设置安全性隧道。另外,在阶段1中,系统的每一端
都必须向它的另一端进行自我身份认证。
6.3.2 阶段 1 设置描述
名称 认证阶段中的名称只适用于配置用户界面。这个值不会在IKE协议阶段中使用。
您可以随时对此名称进行更改,但不能在两个阶段1中共用同一个名称。
界面 建立VPN连接计算机的网络IP地址。如果这个IP地址会改变(由ISP或者路由器
动态接收该IP地址),选择“任何”。如果在VPN配置文档中配置了IP地址,请参
阅计算机上尚不存在的IP地址,随后,在本参数上强制采取默认设置“任何”。
远程网关 远程网关的IP地址或DNS地址(比如:gateway.mydomain.com)。这个区域是
强制的。
预设共享密钥 与远程网关共享密码或密钥。
证书 VPN客户端使用X509证书。点击“导入证书”。选择证书源:PEM文档,
PKCS#21文档或智能卡(查看如何配置证书)。您可以为每一条隧道分别配置
证书。
点击“P1高级”进入高级设置。
6.3.3 阶段 1 高级设置描述
点击“P1高级”进入阶段1面板,进行高级设置。
配置模式 通过检验后,VPN客户端会在这条隧道激活配置模式。配置模式允许VPN客户端从
VPN网关取得VPN配置信息。如果远程网关支持配置模式,VPN客户端和远程网关
就会在IKE交换(阶段1)过程中对其它参数进行协商 。
• VPN客户端的虚拟IP地址
• DNS服务器地址(可选)
• WINS服务器地址(可选)
如果配置模式在远程网关不可用,您可以在“阶段2高级”手动设定DNS和WINS服务
器地址到IPSec VPN客户端。
野蛮模式 通过检验后,VPN客户端会使用野蛮模式作为与远程网关的商议模式。
冗余网关 当首要网关瘫痪或者无响应的时候,冗余网关功能允许利用一个备用网关打开
IPSec隧道。
请输入冗余网关的IP地址或者因特网地址(URL)(比如:router.dyndns.com)
• TheGreenBow VPN客户端会先联系首要网关建立隧道。在几次尝试失败的
情况下(默认尝试次数为5次,您可以到“参数” > “重发”对它进行设置),冗
余网关会被起用为新的隧道终端。两次尝试之间的最长等待时间为10秒。
• 如果您成功连接到了首要网关但不能建立隧道(如VPN配置问题),VPN客
户端不会尝试使用冗余网关建立隧道。您需要对VPN配置进行修改。
• 经过两端的DPD检查后,成功与首要网关建立起隧道。如果首要网关停止响
应(DPD可以检测出网关的无响应状态),VPN客户端就会马上使用冗余网
关重新建立隧道。(DPD:对端状态检查)
• DPD功能同样应用于冗余网关。VPN客户端会通过首要网关和冗余网关不断
尝试建立隧道。此程序会一直持续到用户退出软件或点击“保存&应用”。
NAT-T模式 您可以选择“强制”,“禁用”或“自动”的NAT-T模式:
“禁用”模式可以防止由IPSec VPN客户端或VPN网关启动NAT-T(内网互联)。
“自动”模式允许VPN网关和VPN客户端自行商议决定是否使用NAT-T 。
“强制”模式允许TheGreenBow IPSec VPN客户端把IPSec数据包加载到UDP并强制
使用NAT-T功能,实现与媒介NAT路由器的互联。
本地ID 本地ID是VPN客户端在阶段1中传送给VPN网关的身份证明。它可以是:
• IP地址(类型=IP地址),举例:195.100.205.101
• 领域名称(类型=DNS),比如 :mydomain.com
• 电子邮件地址(类型=电子邮件),比如:support@thegreenbow.com
• 字符串:(类型=密匙ID),比如:123456
• 证书发行者(类型= DER ASN1 DN)(查阅证书配置)。如果此身份认证
没有被设置,说明VPN客户端的IP地址已经被使用。
远程ID 远程ID是在阶段1中,远程VPN网关给VPN客户端发送的身份认证。
这个身份认证可以是:
• 一个IP地址(类型=IP地址),例如:80.2.3.4
• 一个域名(类型=DNS),例如gateway.mydomain.com
• 一个电子邮箱地址(类型=电子邮件),例如 admin@mydomain.com
• 一个字符串(类型=密钥ID),例如123456
• 证书发行者(类型=DER ASN1 DN)(查看证书配置)
如果此身份证明没有被设置,说明VPN网关的IP地址已经被使用。
6.3.4 使用X-Auth
X-Auth为互联网密钥交换(IKE)协议的扩展。IKE是PKI(公共密钥架构)的一个重要组成部分,用来确
定如何通过IPSsec隧道协议交换安全证书。
要求识别X-Auth IPSec协议登录和密码。
1. 在阶段1高级设置中定义X-Auth
登录与密码可在阶段1高级设置中定义,并在每次需要打开VPN隧道时使用而无需请求用户许可。尽管不建
议省略登录和密码,但是,的确能够为用户带来便捷。
2. 申请X-Auth证书来打开VPN隧道
如果在阶段1高级设置中选择了“X-Auth弹出窗口”,则每次均弹出一个窗口要求进行X-Auth登录和密码,并
需要认证才能通过远程网关打开隧道。VPN隧道名称显示在弹出窗口中,在使用多种VPN隧道配置情况
下,可输入正确的X-Auth证书。
用户可数次进入X-Auth证书。但是,如果允许进入X-Auth证书的时间届满,则显示出一个警告窗口,用户
必须再次打开VPN隧道。
根据VPN网关的不同,登录/密码认证管理也有所不同。如果登录错误或者密码错误,那么,应采取如下措
施:
• 再次显示出用于输入登录/密码的X-Auth窗口,并显示出可以尝试的次数;
• 与以上或者以下窗口类似的警告窗口,提醒用户再次尝试打开VPN隧道。
“IPSec配置”和“阶段2”窗口涉及阶段2设置。
阶段2的目的是协商IPSec安全参数,这些参数通过阶段1讨论的隧道而适用于通信。
6.4.2 阶段 2 设置描述
名称 IPSec配置名称只适用于VPN客户端。在IPSec商议过程中不会对此参数进行传
送。您可以随意更改这个名称并到子目录中对它进行查看,但您不可以在两个
阶段共用同一命名。
VPN客户端地址 远程局域网中的VPN客户端使用的虚拟IP地址:这是计算机在局域网上的IP地
址。请注意:这个IP地址可以从属于远程局域网(比如:在例子中, 您就不能使
用如192.168.1.10之类的IP地址)。在此情况下,必须阅读如下注意事项。
地址类型 远程终端可以是一个局域网或是一台计算机。
在远程终端是一个局域网的情况下,请选择“子网地址”或“IP范围”。
如果您选的是“子网地址”,那么“远程局域网地址”和“子网掩码”则可以使用;如
果您选的是“IP范围”,那么“始端地址”和“终端地址”则可以使用。
使TheGreenBow IPSec VPN客户端能够在预定的IP地址范围内建立隧道。这个
IP范围只能包含一个IP地址。
如果远程终端是一部计算机,请选择“单个地址”。当您选了“单个地址”,就只有
“远程主地址”可用。
远程地址 根据地址的类型,这个域可以是“远程主地址”或“远程局域网地址”。它是打开
VPN隧道的网关的远程IP地址,或是它的局域网网址。
子网掩码 远程局域网的子网掩码。只有在地址类型为“子网地址”时可用。
ESP 模式 IPSec加载模式:隧道或传送模式
PFS 组 Diffie-Hellman密钥长度
打开隧道 您可以通过此按钮打开隧道。当隧道打开后,它会变为“关闭隧道”。
脚本 您可以到脚本配置窗口配置脚本。
注释1:“IP范围”结合“通信时打开隧道”功能允许在侦测到路线时在预定的IP地址范围自动打开隧道。但是,
这个IP地址范围必须得通过VPN网关配置的许可。
注释2:有可能将计算机的本地IP地址和远程LAN的IP地址用作相同子网的一部分。为此,必须选择“检测到
通信时自动打开本隧道”(“P2高级”)。一旦在本配置中打开VPN隧道,所有与远程LAN之间的通信将被允
许,但是,不可能与本地网络进行通信。
点击“P2高级”进行其它高级设置。
参数设置完毕后,点击“保存&应用”。
对于所有本公司软件支持的网关,我们都为您提供了相应的VPN客户端配置文件。欢迎查阅我们的网站资
料库 。
6.4.3 阶段 2 高级设置描述
点击“P2高级”按钮,进入阶段2面板进行高级功能和参数的配置。
自动打开模式 VPN客户端可以在某些特定的情况下自动打开特定隧道(阶段2):
• 启动VPN客户端时自动打开隧道。
• 插入USB时自动打开隧道(查看“USB模式”)。
• 当VPN客户端侦测到远程局域网路线时,自动打开隧道。如选择该选项,
配置面板树形列表中的阶段2将改变形状/颜色,表明该功能现在处于运行
中:
Gina模式
如果选择了Gina模式,该隧道将由Vista证书提供器(W2K/WXP中的aka)用来
处理Windows登录。在使用公司员工数据库用于登录时,该模式有帮助作用,并
且在处理Windows登录之前远程计算机需连接到公司网络上。请参见“如何在登录
Windows之前打开VPN隧道”。
预备服务器 您可以在此处输入DNS和WINS服务器在远程局域网中的IP地址,为企业内部网
定位。只有在隧道被打开时,这些DNS和WINS地址才会被投入使用。在“配置模
式”下时,无需使用这些参数。
6.4.4 脚本配置
您可以到脚本配置窗口进行脚本配置。点击阶段2设置中的“脚本”打开对话窗口。
脚本或程序可以在VPN隧道打开或关闭过程中使用:
• 隧道打开之前
• 隧道打开之后
• 隧道关闭之前
• 隧道关闭之后
根据各种不同的需要,这个功能可以帮助您在整个隧道连接过程中执行脚本(批处理、脚本、应用程序
等)。比如查看软件的新版本,查看电脑数据库在启动后台之前的可用性程度,检验软件是否正在运用,
登录是否完毕……
您还可以在隧道连接之前,期间和之后,进行各种不同的网络配置。
6.5 常规参数
6.5.1 常规设置描述
常规参数通用于所有已建立的VPN隧道。参数修改完毕后,点击“保存&应用”。
最多重试次数 已发出的DPD信息数
重试等候时间(秒) 当远程网关无回复时,DPD信息的时间间隔
最多重试次数 重发信息次数
其它功能
重试间隔耽搁 远程网关无回复时,DPD信息之间的时间间隔
重新发送 放弃之前,信息应重新发送多少次
IPSec服务。
NAT端口
默认情况下,在阶段1 1KE协商期间,可以使用的端
口是UDP端口500.用户可以改变IKE商议端口。交换
仍然以UDP进行。除了某些防火墙不支持IKE端口
500,此交换还可以在端口4500之外的端口进行。远
程网关必须支持此功能。并且与新选定的IKE端口相
关的流入通信需重新定位到默认的UDP4500上,从
而正确定位IPSec服务。
X-Auth超时
封闭非计算出的连接 允许用户进入X-Auth证书的时间
在选择了该选项时,只有加密的数据流被授权发送,
因此,一旦打开PVN隧道,所有数据流均通过VPN隧
道发送。
对端状态检查(DPD)是网络密钥交换(IKE)的技术延伸(如 RFC3706)。它能够侦测IKE点的无反应状
态。TheGreenBow VPN客户端的DPD功能:
• 当对端点无反应时,删除已在VPN客户端打开的SA(安全联盟)。
• 利用冗余网关重新启动IKE商议(如果您已在配置面板“阶段1高级”设置了此功能)。
完成参数设置后,请点击“保存&应用”保存并应用新的配置。
6.6 查看VPN隧道
6.6.1 如何查看已打开隧道的运作情况?
您可以在“查看隧道”栏中查看和关闭已打开的VPN隧道。如果您要关闭VPN隧道,请在列表中选择您想要关
闭的那一条隧道,然后点击“关闭隧道”即可。也可从系统托盘菜单和“连接面板”中直接查看、打开和关闭隧
道。
可利用按钮“连接面板”打开连接面板。利用快捷键“Ctrl + Enter”也可在“连接面板”和“配置面板”之间切换(请
参阅“快捷键”一节)。
6.7 USB模式
6.7.1 什么是USB模式?
TheGreenBow VPN客户端使用USB驱动盘对VPN配置和其它VPN安全因素进行保护(比如预设共享密
钥,证书……),利用该功能,用户能够连接VPN配置:
• 连接至特定计算机:VPN配置中定义的VPN隧道只能用在该特定计算机上。
• 连接到特定USB上:从而使得VPN配置中定义的VPN隧道只能与特定USB驱动盘结合使用。
在选择了“菜单>将VPN配置移动至USB驱动盘”时,在您首次插入USB驱动盘时,VPN配置及所包括的安全
因素将被移动至USB存储器上。
当您插入USB驱动盘时,隧道就会自行打开。反之,拔开USB驱动盘时,所有已建立的隧道都会自行关
闭。
6.7.2 如何设置USB模式?
通过拷贝VPN配置和安全因素到USB驱动盘上,即可启用新的USB驱动盘(无数据)。共有两种方法:
• 通过菜单“文件>导出VPN配置”来导出VPN配置,随后将VPN配置文件拷贝到USB驱动盘中。
• 通过菜单“文件>将VPN配置移动至USB驱动盘上”来使用“USB模式向导”。
下面说明了“USB模式向导”的工作方式。
1. “USB模式向导”随同“USB模式向导”步骤1启动
如果已经插入了一个USB驱动盘,那么,IPSec VPN将检测到该驱动盘,如下图所示。最终,向导器将询
问是否选择一个USB驱动盘,这是因为可能同时插入了几个USB驱动盘:
注意:如果在“USB模式向导”步骤1实施的同时插入了USB驱动盘,则仅显示出一个驱动盘,IPSec VPN客
户端将检测到该USB驱动盘,并跳转至“USB模式向导”步骤2.
注意:如果第一个USB驱动盘(含有其他VPN配置)已经插入的同时,插入了一个含有VPN配置信息的
USB驱动盘,则显示出警告信息,询问用户是否在继续操作之前拔出一个驱动盘。
2. “USB模式向导”步骤2
该向导建议通过如下选项来启用USB驱动盘:
• 仅利用该计算机:因此,VPN配置中所定义的VPN隧道只能用于该特定计算机上;
• “在任何计算机上”:因此,VPN配置中所定义的VPN隧道可在任何计算机上与特定USB驱动盘结合
使用。
可利用密码来保护VPN配置信息(非强制性),这样,即使USB驱动盘中的信息丢失,也不会危机公司安
全。
注意:本步骤中,如果拔出了USB驱动盘,则向导器自动转回至步骤1。
注意:IPSec VPN客户端软件无法修改密码或者与USB驱动盘关联的计算机。无论如何,始终能够插入包
括VPN配置信息的USB驱动盘,并将VPN配置信息导出至本地硬盘,拔出USB驱动盘,导入VPN配置信
息,并启动“USB模式向导器”从而设置新的密码或者与计算机之间建立新的关联。
3. “USB模式向导器”步骤3
随后,向导器建议选择下次需要打开以便插入USB驱动盘的VPN隧道。此处,针对每一条隧道均使用了相
同的“阶段2高级设置”选项“插入USB驱动盘时自动打开该隧道”。
4. “USB模式向导器”步骤4
步骤4为先前设置的总结。确认后,IPSec VPN客户端将VPN配置信息拷贝到USB驱动盘中,并从计算机上
移除所有安全信息,同时,IPSec VPN将被视为处于“USB模式”。
注意:一旦移动至USB驱动盘,VPN配置将保留到插入USB驱动盘为止。一旦拔出USB驱动盘,VPN配置
信息将被复位(“配置面板”中将显示出空的配置)。下次在启动IPSec VPN时,VPN配置为空。
6.7.3 在插入USB驱动盘时,如何自动打开隧道?
利用选项“在插入USB驱动盘时自动打开隧道”,可分别配置每条隧道。
如果插入含有VPN配置信息的USB驱动盘,所有利用本功能设置的VPN隧道将自动打开。在拔出USB驱动
盘时,将自动关闭。当IPSec VPN启动时,如果已经插入了USB驱动盘,则情况相同。
显然,如果插入了不含有VPN配置信息的USB驱动盘,或者如果并未插入USB驱动盘,那么,IPSec VPN
将在本地模式下启动(利用本地硬盘上的VPN配置)。
该选项可在“配置面板”中配置:
• 相关隧道的IPSec配置(阶段2),点击“P2高级”按钮;
• 选择“当插入USB驱动盘时自动打开该隧道”选项。
也可通过菜单“文件>将VPN配置移动至USB驱动盘”启用USB驱动盘,请参阅“USB模式向导器”。
注意:在登录Windows之前,选项“插入USB驱动盘时自动打开该隧道”将被禁用。
6.8 证书管理
6.8.1 证书管理概括
利用证书管理面板,能够查看一个位置的所有证书来源并为特定隧道选择适当的证书。
为了给特定隧道分配一个证书,请按照如下程序继续操作:
转至该隧道“阶段1”窗口,点击“证书”,随后点击“证书管理……”;
在所示列表中选择一个证书,点击“OK”。
注意:仅能选定一个证书并分配给一条隧道。
注意:TheGreenBow VPN客户端软件无法创建证书。必须由第三方软件创建证书(并存储在智能卡
/Tokens或者Windows证书存储中)。您可以在本公司网站找到相关技术支持“如何创建证书”或者“如何进行
证书格式转换”。
证书来源
下面是几种可选的证书来源:
1. TheGreenBown配置文件:
证书位于VPN客户端软件所用的VPN配置文件中。这就意味着证书已经从其他来源导入,例如,证书文件
或者Microsoft证书存储。
注意:如果并未在VPN配置中对任何证书进行配置,那么,将不会出现本部分内容。然而,如果在VPN配
置文件中先前已经配置了证书,但现在没有了,则禁用本部分。
2. Microsoft证书存储:
这些证书均位于Microsoft证书存储中。为了查看并使用证书,证书必须符合如下规则:
• 证书必须经证书主管部门认证,并且证书状态必须“良好”(请参见“证书故障排除”);
• 证书必须位于“个人”证书存储中,这是因为证书代表了尝试连接到公司网络的用户的个人身份。
可插入几种USB Token和智能卡,并且所包括的所有证书均在本部分显示出来。
注意:如果证书无法插入到所显示的证书存储中,则利用“导入证书”按钮,总是能够从文件中导入证书。
查看证书详情
可查看所有证书详情,包括所有属性,例如“发行人”、“有效期开始自”、“有效期至”和“主题”。
如下图所示,选择您希望使用的证书并点击“查看证书”:
证书管理
事件 证书 管理
用户证书
导入时…… 无
根证书
打开VPN隧道时…… 用户证书 无
您可以通过以下步骤使用PKCS#12证书文件来配置IPSec VPN客户端:
第一步:在“阶段1”窗口选择“证书”,点击“证书管理……”,然而点击“导入证书”。
第二步:选择“来自 PKCS#12文件的证书”,点击“导入……”。
第三步:选择您要导入的PKCS#12证书。 如果此PKCS#12证书受密码保护,请在密码条框输入密码。当
证书被正确导入后,它的有关条目就会呈现在“证书导入”窗口。同时,密钥图标也会在每个证书旁边出现
(根证书,用户证书,私有密钥) 。
第四步:点击“OK”,PKCS#12证书将保存到VPN配置文档。无需点击“保存并应用”。
注释:导入证书后,它的条目就会使用在相应的阶段1的本地ID上。这在P1高级有显示:
您可以通过以下步骤使用PEM证书配置IPSec VPN客户端:
第二步:选择“PEM格式”,然后点击“下一步”。
第三步:通过点击相关的按钮导入根证书,用户证书和密钥。如果证书被正确导入,将显示在
“TheGreenBow配置文件”下方的证书管理面板中。
第四步:点击“OK”,把PEM证书保存到VPN配置文件,无需点击“保存&应用”。
注释:不能对嵌有私有密钥的PEM文件进行加密或密码保护。
您可以通过以下步骤使用智能卡证书配置隧道:
第一步:将“证书”选入到该隧道“阶段1”窗口中,并点击“证书管理”。
第二步:从证书管理面板中选择证书,该面板显示了所有可用的USB Token或者智能卡及其证书列表。此
时,如果尚未插入,请插入您的USB Token或者智能卡,USB Token或者智能卡将在列表中显示出来。
(USB Token或者智能卡读卡器)识别程序启动,并有可能需要提供PIN码。输入您的“PIN码”,并点击
“OK”。一旦成功地读取了USB Token或者智能卡,则表明该证书已经被正确导入,并显示在
“TheGreenBow配置文件”下面的证书管理面板中。
第三步:点击“OK”。
当隧道配置为能够使用来自USB Token或者智能卡证书时,每次必须打开隧道时,均要求用户提供USB
Token或者智能卡PIN码(出了在自动VPN商议时)。
因此,为了使用USB Token或者智能卡提供的证书打开一条隧道,要求:
• 已正确安装智能卡读卡器(中间韧件);
• 插入到智能卡读卡器中的可读智能卡或者插入的USB Token;
• 用于读取USB Token或者智能卡的PIN码正确
然后,点击“打开隧道‘隧道1’”。
在使用智能卡时,每次发布版本均显示在控制面板中。
6.8.6 证书使用故障排除
在连接到USB Token或者智能卡上时,有可能出现错误,在靠近Token名称附近的弹出窗口将发出警告,
点击该图标将显示出故障详情。
• Token未找到:先前已插入,但此时并未找到;
• 找到了Token,但并无中间韧件访问Token(在使用智能卡读卡器时,通常需要中间韧件访问
Token);
• 已找到Token和存储,但并未发现证书。
2、Microsoft证书存储
Microsoft证书存储中的证书需符合如下规则:
• 证书已经得到证书主管部门的认证,并且证书状态必须“良好”(请参见“证书使用故障排除”);
• 证书必须存储到“个人”证书存储中,这是由于证书代表了尝试连接到公司网络上的用户的个人身
份。
注意:Windows提供了一个证书管理工具,您可以利用该工具排除证书使用问题:
跳转至Windows启动程序>运行>CETMGR.MSC。
6.9 配置管理
6.9.1 从菜单中导入/导出VPN配置
TheGreenBow VPN客户端能够导入或导入VPN配置。这个功能可以帮助IT管理员把已设置好的配置递交给
其他用户。
所有的配置文件都会有“.tgb”扩展名。
在导入/导出过程中,VPN配置和证书都可以使用密码保护。导出配置的时候,会有一个对话窗口提示您是
否要对导出的VPN配置进行密码保护。
如果您要导入一个受到密码保护的VPN配置,系统将会自动要求您输入相应的密码。另外,如果您要导入
一个不受密码保护的VPN 配置,系统将不会对您提出任何要求。
注释:在“USB模式”中进行“导入/导出”操作。
如果在VPN客户端设置了“USB模式”,插入USB驱动盘时,VPN配置的导入会被直接写入其中。相同情况
下,如果不插入USB驱动盘(GUI图形界面左下角的USB图标停用), VPN配置的“导入/导出”将会被停
用。
注释:您也可以通过命令行导入VPN配置文件。
6.9.2 VPN配置整合
可采取几种方式完成VPN配置整合:
1. 通过菜单“文件>导入VPN配置”,随后选择“添加”而非“更换”,即可导入新的VPN配置。
2. 随同已经打开的现有VPN配置,将新的VPN配置拖拉至软件中。完全相同的弹出窗口(见上图)将
显示出来,询问用户是否“添加”或者“更换”现有VPN配置。
3. 通过命令行导入新的VPN配置。
您始终要选择导入VPN配置,此时,通常的表现为:
• 全局参数,如果在导入之前至少已经配置了一条隧道,则不得导入,同时,用户在弹出窗口中选择
“添加VPN配置”。
• 全局参数,如果用户选择了“替换”或者导入之前并未配置隧道,则导入。
• 现有VPN配置和所导入VPN配置之间的名称冲突,利用软件自动在括号之间添加增量即可解决,例
如,在所导入的隧道名称中添加tunnel_office(1)(也就是,阶段1和阶段2)。
6.9.3 VPN配置分离
为了导出一条隧道,您必须按照如下步骤操作:
1. 右键点击来自您的VPN配置中的任何隧道阶段2,然后选择“导出隧道”。
2. 显示出弹出窗口,要求提供VPN配置密码保护。
注释:
• 阶段2导出功能也将导出相关的阶段1。.这就意味着导出了已经在阶段1中定义的证书。
• 阶段2导出功能也将导出全局参数。
可以把(已设置好的)VPN配置嵌入IPSec VPN客户端安装。这样,IT管理员可以把已配置好的IPSec
VPN客户端软件部署 到一个包裹,并递交给其他用户。
6.9.5 示范VPN配置
这为检验能否在您的电脑和远程网络之间建立隧道——并最终进行调整提供方便。
可在我们的网站找到该示范VPN配置:www.thegreenbow.com/vpn_faq.html#VPN19
7 软件部署
7.1 VPN配置嵌入
通过以下步骤使用VPN配置创建安装:
1. 首先通过IPSec VPN客户端软件建立需要嵌入到安装程序中的VPN配置,然后导出此VPN配置并将其命
名为“myconfig.tgb”。
2. 建立静默安装,或直接对IPSec VPN客户端软件安装程序进行解压安装。
3. 把“myconfig.tgb”VPN配置文件加到已解压的安装程序目录。
4. 将这个安装包裹部署给其他用户(“myconfig.tgb”VPN配置文件将在安装过程中使用)。
注意:安装程序无法导入或使用加密(被保护的)VPN配置。所以当您建立VPN配置的时候,请不要在导
出时对它进行加密(不使用密码保护)。
7.2 安装选项
7.2.1 安装程序选项概括
IPSec VPN客户端软件的安装选项:
1. 图形用户界面模式设置:“完全”,“用户化”或“隐藏”
2. 密码控制图形用户界面访问权限
3. 系统菜单配置
4. 其他选项:启动软件,注册码、自动软件激活、无试用窗口、语言及电子邮件激活
Syntax示例:
Setup.exe /S --license=0123456789ABCDEF0123 --start=1 --activmail=smith@smith.com
更多详情,请参阅我公司网站“部署指南”。
7.2.2 GUI模式安装
Syntax: --vpngui=full|user|hidden
确定IPSec VPN客户端启动时显示图形界面GUI。
“full”:完全:[默认] 显示配置面板
“user”:用户:显示连接面板
“hidden”:隐藏:只显示系统托盘菜单。您可以通过此菜单建立隧道,不显示VPN 配置面板和连接面板。
下面给出了使用--guidefs=hidden的示例:
7.2.3 GUI模式访问权限安装选项
Syntax: --password=mypwd
使用密码限制“配置面板”的访问权限。详情请参阅“访问控制与隐藏界面”。
在以下情况中,系统会要求用户输入密码:
• 单击或双击VPN系统托盘图标时
• 从连接面板切换到配置面板时
例:--vpngui=user --password=admin01
这两个选项只允许在“连接面板”模式锁住IPSec VPN客户端,同时使用密码限制配置面板的访问权限。
7.2.4 系统托盘菜单安装选项
Syntax: --menuitem=[0...15]
指定IT管理员需要保留的系统托盘菜单条目 。
注释1:隧道总会在系统托盘菜单中显示,而且您可以用此菜单来建立或关闭隧道。
注释2:“menuitem”和“vpngui=hidden”
在默认装置下,vpngui=hidden把系统托盘菜单设为“退出+控制台”。(不显示“保存&应用”和“连接面板”菜
单项)。“menuitem”的使用将会取代“vpngui”。
这指的是:“--vpngui=hidden --menuitem=1”系统托盘菜单将只包含“退出”菜单项。
7.2.5 其他选项
安装程序命令行的其它安装参数:
Syntax: -s(‘S’前必须为1个斜线,大小写敏感)
使用:启用静默安装模式(安装期间并未显示出对话框)。
示例:“TheGreenBow_VPN_Client.exe /S”
Syntax:/D=【安装路径】(‘D’前面只能有1个斜线,大小写敏感)
使用:【安装路径】指的是软件安装路径。即使路径中有空格,也不得使用引号。
警告:本选项只能与选项‘/S’(静默模式)结合使用,并且必须置于命令行末尾,如果采取了其他模式,则
作为最终选项使用。
Syntax: --license=[licence_number]
配置注册码。注册码由24位十六进制的数字组成。旧的注册码为20位十六进制的数字。
Syntax: --start=[logon|boot|manual]
设置VPN客户端的启动模式:登录windows之后,启动时,手动。默认设置为[登录]。
Syntax: --activmail=[activation_email]
强制通过使用电子邮件来确认激活。激活过程中,输入该电子邮件地址所用的编辑窗口将被禁用。
Syntax: --autoactiv=1
如果软件升级(例如,在先前的安装过程中已经输入了注册码和激活邮件)并且添加了--autoactiv=1选
项,如果网络可用或者如果启动时网络不可使用情况下而要求打开一条隧道时,该软件将自动尝试激活软
件。
Syntax: --noactiv=1
一旦软件启动,在试用期结束之前,不会显示出“试用窗口”。用户并不知道正处于试用期,并且在试用期结
束时该软件将被禁用。这就意味着如果用户尝试在试用期后启动软件,该软件将被启用并打开“试用窗口”,
但是,“试用”按钮将被禁用。
Syntax: --lang=[语言代码]
该选项确定了TheGreenBow IPSec VPN客户端软件和安装软件的语言。可用语言列示如下:
例:
TheGreenBow_VPN_Client.exe /S --license=0123456789ABCDEF0123 --start=2 --
activmail=smith@smith.com
7.3 命令行
7.3.1 命令行选项
本公司网站为您提供数种配置工具。这些工具为命令行类,根据IT管理员的工作需要转变IPSec VPN客户
端操作。
• 停止使用IPSec VPN客户端
• 导入或导出VPN配置
• 开启或关闭 VPN隧道
更多详情,请登录我公司网站并查看“部署指南”。
7.3.2 打开或者关闭VPN隧道选项
不包括自变数“打开”与“关闭”,并且无法结合使用。
限制内容:
通过执行这些命令行,将打开软件图形用户界面(GUI)。在将来的软件版本中,将消除该限制。
利用如下命令行,可随时停止TheGreenBow VPN客户端:
如果有几条在用的隧道,则将适当关闭。
例如,在建立拨号连接之后启动VPN客户端并在断开连接之前退出VPN客户端的脚本中,可以使用本功
能。
7.3.4 导入或者导出VPN配置选项
TheGreenBow VPN客户端可通过如下命令行导入专门的配置文件:
“[path]\vpnconf.exe /import:[file.tgb]”,其中,[path]指的是VPN客户端安装目录,[file.tgb]指的是VPN配置
文件。该命令并未涉及到相关路径(例如,“..\..\file.tgb”)。支持双引号,路径中可以包括空格。
“/import:”无论VPN客户端是否运行,均可使用该命令行。当VPN客户端已经处于运行状态时,可动态地导
入新配置并自动应用(例如,重启IKE服务)。如果VPN客户端并未运行,则可利用新配置启动VPN客户端。
“/importonce: ”无需运行VPN客户端,即可导入VPN配置。该命令在安装脚本中特别有用:能够静默安装并
能够自动导入配置。
“/export: ”能够在指定文件中导出当前VPN配置(包括证书)。如果VPN并未运行,则该命令可以启用VPN
客户端。
“/exportonce: ”能够在指定文件中导出当前VPN配置(包括证书)。如果VPN客户端并未运行,该命令无法
启动VPN客户端。
“/add: ”能够将新的VPN配置导入到现有VPN配置中,并将两者整合为一个VPN配置。无论VPN运行与否,
均可使用该命令行。如果VPN客户端并为运行,则该命令无法启动VPN客户端。
“/replace: ”能够使用新的VPN配置更换当前配置。在4.1及以前版本的软件中提供了本功能,并可用来取代
/importonce选项,无需运行VPN客户端即可导入VPN配置文件。
“/pwd:[password]”能够为导入操作设置密码。该选项可与/import、/importonce、/export、/exportonce、
/add以及/replace选项结合使用,但是,必须置于上述选项之后。
7.4 支持新的ATR代码(例如,智能卡)
TheGreenBow VPN客户端始终包括Token及智能卡销售商提供的ATR代码列表。然而,新的ATR代码每天
更新,因此,利用本功能,无需等待新版软件即可添加一个或者几个新的ATR代码。
下面是’vpnconf.ini’文件的syntax :
[3B:65:00:00:9C:02:02:07:02]
mask=“FF:FF:00:00:FF:FF:FF:FF:FF”
scname=“My token”
manufacturer=“Token Manufacturer”
pkcs11DllName=“pkcs11.dll”
registry=“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”
[3B:65:00:00:9C:02:02:07:03]
mask=“FF:FF:00:00:FF:FF:FF:FF:FF”
scname=“My token2”
manufacturer=“Token Manufacturer”
pkcs11DllName=“pkcs11.dll”
registry=“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”
其中,参数如下:
注意:如果PKCS#11 DLL(此处为pkcs11.dll)并未在c:\windows\system32\中,那么,必须设置“注册表”。
注意:注册表指的是指向DLL完整路径的注册表中的参数值。syntax 指的是
HKEY_LOCAL_MACHINE:<registry key>:<注册表键中的值>.
例如,如果在“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe”中创建了值“DllPath”的内容“C:\Program Files\TheGreenBow\TheGreenBow
VPN\pkcs11.dll”,则注册表行为
“HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App
Paths\\TgbIke.exe:DllPath”.
8 控制台和日志
8.1 控制台窗口
您可以在系统菜单托盘图标的背景菜单或在配置用户界面中找到“控制台”窗口。并且您还可以通过这个窗口
对VPN隧道进行分析。这个工具对IT管理员设置网络特别适用。
按钮 说明
保存 将当前日志保存在文件中。将来的日志不得保存在选定
文件中。
启动/停止 启动/停止收集日志。
清除 清除控制台窗口内容。
复位IKE 重启IKE过程。
9 软件本地化
IPSec VPN客户端可以进行本地化(L10N),并且可以由第三方来执行。所有需要使用的VPN客户端的字符
串都被列在我们提供的翻译工具上,等待翻译。
第一步:到本公司网站下载VPN客户端翻译工具。
第二步:把字符串翻译到您的语言
第三步:把翻译好的VPN客户端字符串文档寄到:support@thegreenbow.com
第四步:我们将会把您的译本加入到IPSec VPN客户端的新版本。请本公司网站查看已发表的译本。
本地化过程在www.thegreenbow.com/vpn_local.html页面有详尽解释。
10 联系我们
信息资料和升级:www.thegreenbow.com
技术支持电子邮件: support@thegreenbow.com
销售支持电子邮件:sales@thegreenbow.com