client vpn ipsec netasq · la désinstallation silencieuse ne se lance pas à la mise à jour. le...

Release Note 5.52

Copyright NETASQ 2012

Release Notes 5.52 du client VPN IPSec NETASQ

Ce document reprend la liste des nouvelles fonctionnalités, améliorations et corrections.

Client VPN IPSec NETASQ version 5.52 build 001

Améliorations

Mise à jour des langues Russe et Chinois


Fonctionnalités

Prise en charge de Windows 8 32-64bit.

Mode Gina pris en charge sur Windows 7, Vista 32-64bit.

Prise en charge du token ePass3003.

Ajout d'un champ de confirmation mot de passe lors de l'exportation d'une configuration VPN.

service anti-rejeu ESP pris en charge soit RFC 2401/4303.

Ajout de plusieurs lignes de commande (fichier d'installation et d'initialisation) afin de mieux choisir des certificats sur carte à puce ou token dans la configuration VPN. Elles sont appelées options PKI. Pour plus de détails, consultez notre guide de déploiement disponible sur notre site. «KeyUsage » permet de limiter l'accès uniquement aux certificats « d'authentification » du token ou de la carte à puce. «SmartCardRoaming »permet de définir la règle utilisée pour récupérer un certificat sur une carte à puce ou un token. «Pkcs11Only » permet de limiter l'accès uniquement aux «certificats PKCS # 11 » de la carte à puce ou token. «NoCaCertReq » permet d'utiliser des certificats signés par une autorité de certification différente de la passerelle VPN. «PKICheck » vérifie la présence du certificat racine sur la machine de l'utilisateur.

Les options PKI sont aussi configurables depuis l'interface utilisateur via un nouvel onglet dans la fenêtre "Outils"> "Options ...".

Le responsable informatique peut désactiver le Panneau de configuration via une clé de registre. Lorsque la clé de registre spécifique est définie, l'utilisateur ne peut pas accéder au panneau de configuration.

Le dossier de sauvegarde de configuration VPN peut ne pas exister sur certains environnements Windows. Le dossier de sauvegarde de configuration VPN est personnalisé.

Le dossier d'activation du logiciel peut ne pas exister sur certains environnements Windows personnalisé. Le dossier d'activation du logiciel est personnalisé

Exclusion du protocole DHCP du réseau de filtre afin de permettre mécanisme DHCP lors de la configuration du réseau forces tout en tunnel (0.0.0.0/0.0.0.0).

Algorithmes SHA2 est supporté de signer avec une carte à puce DSP.

Retirer «acheter» le bouton

Client VPN IPSec NETASQ

Release Note 5.52


Corée et en farsi sont désormais intégrés comme nouvelles langues, ce qui porte à 25 le nombre total de langues.

Possibilité d'ouvrir le magasin de l'utilisateur actuel certificat lors de la sélection d'un certificat dans le Panneau de configuration, au lieu de le magasin de certificats ordinateur local.

Gemalto. NET avec DSP middleware pris en charge sur Windows Vista et Seven.

Utilisez VendorID (IKE) pour restreindre l'utilisation du client VPN sur une passerelle spécifique

Activer l'importation automatique de la configuration VPN si un nom de fichier de configuration spécifique est disponible dans le dossier d'installation.

Améliorations

Nouvelle commande pour déplacer le focus d'un champ à l'autre avec la touche de tabulation dans le panneau de configuration> onglet IPsec phase 2.

Activer la langue russe pour l'interface utilisateur de l''EasyVPN' module

Ne pas afficher les popup systray lors de la renégociation Phase1/Phase2.

Extension de la taille du champ code PIN pour SmartCard.

Possibilité de se connecter au Wifi hotspot avec une configuration VPN qui force tout le trafic dans le tunnel (masque de sous ie 0.0.0.0).

Le raccourci « Ctrl + Alt + T » permet d’activer le mode Trace.

Cosmétique mineur.

Corrections

Le module 'EasyVPN' n’était pas supporté par Windows 8

Une fois le tunnel ouvert en utilisant le mode Config, la valeur du serveur WINS peut être écrasée par la valeur du serveur DNS.

Désélectionner l’option « PKICheck » pouvait ne pas être prise en compte dans certaines circonstances.

Dans certaines circonstances, un nombre important de phase 1 peut rendre inutilisable le client VPN.

Erreur d'initialisation de service IKE (certains partenaires OEM seulement).

Licence quota actif n'est pas réinitialisée après la désinstallation de logiciels (certains partenaires OEM seulement).

BSOD lors de la sortie de veille de Windows (Windows XP uniquement).

Le mode Gina (tunnel ouvert avant l'ouverture de session Windows) ne fonctionne pas (certains partenaires OEM seulement).

Un tunnel VPN pouvait ne pas s’ouvrir lorsqu’un autre service IPSec était activé sur la machine, comme les ports 500 et/ou 4500 sont utilisés.

La génération de journal de débogage échoue si le répertoire d'installation du logiciel est modifié par l'utilisateur lors de l'installation.

La désinstallation silencieuse ne se lance pas à la mise à jour.

Le client VPN ne peut pas ouvrir un tunnel lorsque vous utilisez un certificat avec caractères Unicode ou UTF8 comme des caractères japonais.

PKCS#11 middleware utilisé à la place du CSP middleware lorsque l'option SmartCardRoaming est réglée sur 2, 3, 4 ou 5.

Aucun de message de code PIN erroné lors de l'utilisation de cartes à puce avec DSP middleware.

Les serveurs DNS/WINS ne sont pas appliqués si le tunnel est ouvert lors de l'activation 'Ouvrir automatiquement ce tunnel sur détection de trafic'.

Release Note 5.52


En mode Gina et «tunnel ouvert» avec des serveurs DNS/WINS configurés, ces paramètres sont appliquées à l'interface locale au lieu de l'interface virtuelle.

La fragmentation des paquets n'est pas correctement effectuée lors de la modification de la taille de MTU (certaines valeurs) sur Windows XP.

La mise à jour logicielle échoue lorsque vous utilisez le mode silencieux "/ S".

Impossible d'ouvrir avec certificat lorsque l'utilisateur ne dispose pas de droit administrateur.

Client VPN ne répond pas après le renouvellement de la clé reçu par le firewall

Mauvaise traduction finlandaise dans la fenêtre d'activation du logiciel.

Pas de tunnel lors de l'utilisation de l’algorithme SHA2 et du magasin de certificats Windows.

Un autre tunnel ne s'ouvre pas correctement après avoir débranché certains modèles de cartes à puce.

La fonction de configuration à distance crée des journaux dans le mauvais répertoire.

L’activation ne fonctionne pas correctement dans le cas d’une mise à jour avec plusieurs utilisateurs sur la même machine.

Accepter l'ID de la section dans le fichier de configuration VPN provenant de la passerelle VPN lorsque l'adresse IP virtuelle est définie à 0.0.0.0.

Prise en charge de la configuration VPN configuration de la passerelle VPN contenant '-' dans les noms de tunnel et également lorsque vous utilisez la configuration des certificats.

Crash IKE lorsque le nom de phase est trop long. La limite est désormais limité à 49 caractères.

La fonction VPN "Peer to Peer" peut échouer quand il y a un routeur avec du NAT-T entre les deux.

un tunnel VPN ne s'ouvre pas quand il est configuré avec un certificat sélectionné dans le magasin de certificats de l'utilisateur.

Le tunnel VPN s'ouvre correctement mais aucun trafic ne passe lors d’une configuration basé sur X-Auth et l'adresse du Client VPN est 0.0.0.0.

Le client VPN cesse de répondre pendant un certain temps après renouvellement des clés reçue de la passerelle VPN.

Le renouvellement d’adresse IP ne fonctionne pas correctement lorsque la configuration VPN force tout le trafic dans le tunnel (masque de sous ie 0.0.0.0).

L’importation de la configuration VPN ne fonctionne pas correctement lorsque le certificat a un type d'ID local DER_ASN1_DN_ID contenant un objet avec les caractères tels que des espaces et des "/".

Release Note 5.52



Améliorations Clarification des règles pour choisir quel certificat doit être pris en compte lorsqu'ils sont

disponibles via Token, lecteur SmartCard.

Rapidité d'affichage du menu systray quand 100+ tunnels VPN sont configurés.

Le format du nom des fichiers log a changé pour inclure la date et l'heure. Cela permet de réduire la taille des fichiers lors de l'envoi au support technique.

Corrections Le tunnel VPN envoie une demande de certificat avec le DN provenant uniquement d'une seule

Certificate Authority (CA).

Le Client VPN peut maintenant envoyer un message INITIAL-CONTACT pendant la négociation IKE.

La console arrête d'afficher les logs après un clic sur le menu 'Outils' > 'Reset IKE'.

Certains lecteurs USB 3G d'Orange (Business Everywhere 3G par exemple) modifient les paramètres de routage, ce qui peut empêcher le trafic VPN de passer, en particulier quand le Client VPN est configuré pour forcer tout le trafic dans le tunnel.

Un deuxième menu apparaît en revenant d'une mise en vielle avant l'ouverture d'une session Windows, si le mode Gina (ouverture du tunnel VPN avant l'ouverture d'une session Windows) a été configuré.

Mauvais format de timestamp IKE dans la console.

Le tunnel VPN peut ne pas se rouvrir correctement lors de l'utilisation d'une connexion 3G, surtout si une nouvelle adresse IP est réattribuée par le réseau mobile.

Quand un tunnel utilise le 'Config Mode', la renégociation de la phase 2 ne peut pas utiliser les paramètres envoyés par la passerelle, mais ceux du fichier de configuration, empêchant l'ouverture du tunnel VPN.

Le tunnel VPN peut ne pas s'ouvrir correctement si utilisation de Certificats PKCS#11 et plusieurs Certificats avec le même sujet sont sur une seule carte à puce.

Le tunnel VPN peut ne pas s'ouvrir correctement lors de l'import d'une configuration VPN utilisant une carte à puce. Le message 'conf_x509_subject_set: error while using PKCS#11 middleware' s'affiche.

CERT_REQ Payload n'est pas envoyé correctement dans certaines circonstances.

Le tunnel VPN peut ne pas s'ouvrir correctement lors de son retour du mode veille.

Le tunnel VPN configuré avec une plage d'adresses IP peut ne pas s'ouvrir correctement.

Les paramètres DNS / WINS peuvent ne pas être restaurés correctement lorsque le mode Gina est utilisé (ouverture tunnel VPN avant ouverture de session Windows).

Les paramètres DNS / WINS ne sont pas configurés correctement lorsque l'adresse du Client VPN (adresse IP distante) est configurée pour 0.0.0.0.

L'ordinateur se fige dans de rares cas, sur certaines machines DELL utilisant des certificats Windows Seven 64 bits.

Le trafic reste bloqué quand 'Désactiver Split Tunneling' est sélectionné, si l'adresse IP du Client VPN sélectionné existe déjà sur l'ordinateur.

Le trafic risque d'être ralenti pour IE ou Firefox lorsque l'ensemble du trafic est forcé dans le tunnel (masque réseau = 0.0.0.0).

Le tunnel pourrait ne pas s'ouvrir correctement, quand la passerelle distante envoie un certificat de grande taille (par exemple avec une clé de 2048 bits).

La modification du MTU pourrait ne pas être prise en compte (Windows XP 32-bit uniquement).

Release Note 5.52


Le tunnel VPN ne s'ouvre pas avec 'Erreur 307' lorsque le masque de réseau à distance contient des valeurs spécifiques (par exemple 255.255.254.0, 255.255.252.0, ...).

Le code PIN de carte à puce n'est pas demandé quand une séquence spéciale d'événements se produit. Par exemple : on branche la carte à puce, le tunnel VPN ne parvient pas à s'ouvrir (par exemple le routeur ne répond pas), on rebranche la carte à puce.

L'assistant de configuration du Client VPN ne démarre pas lorsque le logiciel est lancé et que la configuration VPN est vide.

Problèmes connus Voici la liste des problèmes connus dans cette version. Nous faisons tout notre possible pour y remédier le plus vite possible.

Pas de Gina Mode (alias tunnel ouvert avant l'ouverture de session Windows) sur Windows 64-bit (Vista et Seven). Le panneau de connexion Gina (avant ouverture de session Windows) peut apparaître avec 5-8 secondes de retard sur Windows XP.

Wireshark doit être installé après le logiciel client VPN pour être en mesure de numériser ses interfaces.

L'exportation d'une configuration VPN vers un lecteur réseau mappé n'est pas possible. Aucun message d'erreur ne s'affiche, mais le fichier n'est pas exporté. Pour contourner le problème il faut l'exporter vers le disque local, puis copier ou déplacer ce fichier vers le lecteur mappé.

Après une mise à jour du logiciel, un tunnel avec certificat sur token peut dans certains cas, ne pas s'ouvrir correctement. Pour contourner le problème, il faut passer en mode 'Preshared Key' dans la Phase 1 concernée, sauver la configuration, puis revenir au mode 'Certificat' et sauver à nouveau la configuration.

Release Note 5.52



Fonctionnalités Possibilité de prise en charge SIP / VoIP du trafic dans le tunnel VPN (Windows Vista et Seven).

Possibilité d'ouvrir une session Windows Remote Desktop Protocol en un seul clic à partir du menu systray. Cela permet à l'utilisateur d'ouvrir un partage de bureau à distance avec n'importe quelle machine sur le réseau distant. Plusieurs sessions de partage de bureau par tunnel VPN peuvent être définies, et le tunnel VPN s'ouvre automatiquement lorsqu’une session de partage de bureau est demandé.

Possibilité d'exécuter une désinstallation silencieuse lorsque le logiciel a été installé avec une configuration d'installation silencieuse.

Possibilité de définir une MTU spécifique par tunnels IPSEC.

Ajout d'une case à cocher pour exécuter le client VPN IPSec après l'installation du logiciel.

Améliorations Possibilité d'installer le logiciel sans avoir à redémarrer le système d'exploitation Windows.

Possibilité de désactiver la fenêtre du pop-up systray qui monte lors de l'ouverture ou la fermeture d'un tunnel VPN.

Possibilité de fermer tous les tunnels en un seul clic. Nouvel élément du menu dans le Panneau de configuration.

Afficher une petite icône dans le Panneau de configuration USB chaque fois qu'un disque USB est branché et que le logiciel est en mode USB.

Chaque nom de phase 1 & Phase2 du tunnel VPN apparaissent maintenant dans le menu systray.

Tous les noms de tunnel VPN sont triés par ordre alphabétique dans le menu systray.

La stabilité de la détection de changement d'adresse IP a été considérablement améliorée.

La stabilité de la gestion des DNS / WINS a été considérablement améliorée.

La gestion de l'insertion et l'extraction de Token a été considérablement améliorée. Lors de l'insertion ou l'extraction, tous les tunnels VPN sont ouverts ou fermés en conséquence.

Ctrl + Alt + D ouvre le journal de débogage, et maintenant il y a aussi une icône avec un lien vers le dossier du journal.

Plus d'aide ajoutée pour le mode hybride. Il exige un certificat et X-Auth doit être configuré pour fonctionner correctement.

Une case "Ne plus me prévenir" ajoutée en matière d'alerte pop-up lorsque l'adresse du client VPN appartient au réseau distant configuré en adresse LAN distante ".

'Bloquer les connexions non chiffrées' a été remplacé par "Désactiver Split tunneling".

Support Token contient plusieurs certificats avec le même certificat.

Vérification de la date de validité de certificat avant l'ouverture d'un tunnel. S’il y a plusieurs certificats, le client VPN utilise uniquement le certificat avec une date valide. Si aucun certificat valide ne peut être trouvé, le tunnel ne s'ouvre pas, et un message d'erreur « aucun certificat approprié » s'affiche dans la console.

Release Note 5.52


Corrections

La Phase2 du tunnel VPN ne va pas se fermer lorsque vous débranchez la carte à puce utilisée pour s'authentifier.

un tunnel VPN ne peut pas être ouvert quand on revient du mode Veille de Windows.

Trop d'erreurs affichées dans la fenêtre pop-up lors de l'ouverture systray du tunnel VPN dans certaines circonstances réseau.

Une fois en mode USB, 'Déplacer vers USB' le sous-menu est toujours activé.

OSA port pas pris en charge par vpnconf.ini.

message d'erreur lors du lancement d'aide "F1".

Le logiciel se bloque lorsque vous entrez dans le mode USB pour la première fois dans certaines configurations de Windows.

Tous les voyants sont au vert même si le Client VPN IPSec est "Abandon", après plusieurs tentatives pour ouvrir un tunnel VPN.

l'exportation d'une configuration VPN peut être vide en mode USB (c'est à dire la configuration VPN a été déplacé vers la clé USB).

"cookie non valide" Un message reçu alors que le tunnel VPN est ouvert pourrait rendre la fenêtre pop-up pour montrer systray avec LED orange au lieu de vert.

Une icône spéciale apparaît dans Panneau de configuration lorsque "Auto ouverture sur la détection de trafic" est sélectionnée.

Le caractère '\' ne devraient pas être autorisés dans le champ de confirmation clé pré-partagée.

adresse LAN à distance et sur le terrain sous-réseau sont vides après l'importation d'une configuration avec 'adresse LAN distante "et" sous-réseau "0.0.0.0 / 0.

L'activation manuelle échoue avec un message d'erreur d'activation: 0, dans certaines circonstances.

plantages du logiciel lorsqu'un utilisateur clique plusieurs fois sur le bouton "Appliquer".

Un Tunnel avec des certificats ne peut pas être ouvert lors de l'utilisation de la phase 1 pièce d'identité avec nom de domaine complet.

L'option de commande d'installation "- GuiDefs" ne fonctionne pas correctement.

Une installation silencieuse ne fonctionne pas correctement lorsqu'il est utilisé avec les options "- Licence", "- ActivMail", "- noactiv", "- autoactiv", "- guidefs".

plantages du logiciel lors de copier-coller d'un tunnel VPN existante, et d'essayer ensuite de le supprimer dans le Panneau de configuration.

Mauvais fichier de code d'activation peut être utilisée si plusieurs utilisateurs tentent d'activer le Client VPN IPSec sur la même machine.

crash lors de l'utilisation TgbIke avec la carte à puce. Tous les journaux de débogage sont activés et une erreur de connexion survient.


Après une session Windows déverrouiller/verrouiller, il peut être impossible d'ouvrir un tunnel, d'enregistrer ou appliquer une configuration. Une solution consiste à redémarrer le logiciel client VPN.

Pas de Gina (alias tunnel ouverts avant ouverture de session Windows) sur Windows 64 bits (Vista et Seven). Panneau de connexion Gina (avant ouverture de session Windows) peut apparaître avec le 5-8sec retard sur Windows XP. Le panneau de connexion Gina ne s'affiche pas lorsque l'ordinateur est "verrouillé" sur Windows Seven uniquement.

Après une session Windows de déconnexion / connexion avec Gina, une connexion Internet pourrait être impossible en raison de l’adresse DNS / WINS pas restauré correctement. Passer

Release Note 5.52


d'un utilisateur à un autre peut entraîner un disfonctionnement du client VPN. Une solution consiste è redémarrer le logiciel client VPN.

Erreur système lors de son retour du mode veille de Windows. Une solution consiste à redémarrer le logiciel client VPN.

Wireshark doit être installé après le logiciel client VPN pour être en mesure de numériser sont interfaces.

Exportation d'une configuration VPN à un lecteur mappé n'est pas possible. Aucun message d'erreur mais le fichier n'est pas exporté.


Améliorations

Connexion X-Auth accepte plus de 31 caractères.

Suppression de la restriction sur SHA-256 & DH14 pour l'un de nos partenaires.

Possibilité d'augmenter le hachage de 96bit à 128bit avec SHA-256.

Pour conformité aux RFCs, SHA2-256 devient SHA-256.

Corrections

La combinaison de SHA2 & DES ou 3DES ne fonctionne pas.

Erreur 'Acces Denied' lors du lancement du Client VPN IPSec via une connexion RDP à distance.

Le bouton & menu "Ouvrir" tunnel reste désactivé même si un tunnel ne s'est pas ouvert quand l'utilisateur saisi un mauvais login/mot de passe dans pop-up X-Auth.

La configuration 'X-Auth pop-up' ne peut être enregistré que si effacement des champs login/mot de passe.

La négociation du tunnel échoue avec l'erreur 'exchange_validate échoué' quand 'Adresse LAN Distant' et 'Masque' sont configurés à 0.0.0.0/0.

Crash du service IKE lorsque Windows revient du mode Hibernation ou d'une mise en Veille.

Crash de TgbStarter.exe lors de la mise à jour de la configuration VPN dans certaines circonstances.


Améliorations

Compatible avec le modem 3G Ericsson MD300, Huawei E1756 et E1553.

Corrections

La version de tgbgina.dll n'est pas affichée dans la fenêtre 'A propos'.

Les DNS alternatifs et WINS ne fonctionne pas sur la connexion 3G utilisant la 3G avec Huawei E1756 et E1553 sur Windows 7 ou Windows XP.

Les paramètres de configuration du proxy ne sont pas proposés lorsque le délai d'activation a été dépassé (lorsque le serveur d'activation ou le réseau sont indisponibles).

L'option 'Démarrer le Client VPN après logon Windows' ne peut être désactivé sur les versions de Windows en 64-bit.

Release Note 5.52


Le lien 'plus d'info' sur erreur 33 ne fonctionne pas correctement dans l'activation logicielle en fin de période d'évaluation.

La désinstallation logiciel peut laisser le raccourci de désinstallation du 'Client IPSec VPN'.

'Erreur d'activation 70: Ce logiciel ne peut être activé.' se produit lorsque le répertoire 'Application data' porte un nom différent, principalement sous Windows XP.

Si un ou plusieurs tunnels sont ouverts, et qu'une nouvelle configuration VPN doit être chargée (via une clé USB, par exemple), alors les scripts d'avant fermeture du tunnel ne sont pas exécutés et les DNS/WINS ne sont pas restaurés.

Le sous-menu 'Assistant d'Activation...' dans le menu '?' n'est pas grisé après l'activation du logiciel.

La configuration VPN provenant d'une clé USB n'est pas chargée si la clé USB a été branchée avant le démarrage du Client VPN.

Dans 'Phase 2' > 'Avancé' l'option 'Ouvrir automatiquement ce tunnel lorsqu'une clé USB est insérée.' pourrait ne pas fonctionner sur certaines versions de Windows car le lecteur USB n'a pas été détecté.

L'importation d'une configuration VPN créée avec la version 4.7 du Client VPN dans le Client VPN IPSec 5.0 pourrait empêcher l'ouverture d'un tunnel.

La touche 'Suppr' ne fonctionne pas dans la nouvelle interface d'édition des langues.

La pile IP Windows peut rester bloquer si le nombre de packets IP fragmentés est supérieur à 10. Le nombre maximum de packets IP fragmentés est désormais pris en charge.

Dans le cas où une adresse IP local dans un fichier de configuration VPN importé n'existe pas sur la machine locale, le champ 'Interface' n'est pas forcé à 'Automatique'.


Certaines options d'installation en ligne de commande peuvent ne pas fonctionner correctement en mode silencieux.

Après le verrouillage ou le déverrouillage d'une session Windows, il se peut que l'ouverture d'un tunnel ou l'enregistrement/l'application de la configuration VPN soit impossible. Dans ce cas, le Client VPN doit être redémarré.

Le mode Gina (alias 'Peut être ouvert avant le logon Windows') ne fonctionne pas sur Windows Vista 64-bit et Windows Seven 64-bit. Le panneau de connexion Gina peut apparaître avec un délai de 5-8 secondes sur Windows XP et peut ne pas s'afficher sur Windows Seven lorsque l'ordinateur est verrouillé.

Le changement d'une langue se lisant de gauche à droite vers une langue se lisant de droite à gauche peut ne pas fonctionner. Dans ce cas, le Client VPN doit être redémarré.

L'export d'une configuration VPN sur un lecteur mappé est impossible. Aucun message d'erreur n'apparait mais le fichier n'est pas exporté.

En mode USB, l'exportation d'une configuration VPN protégée par un mot de passe crée un fichier de configuration VPN incorrect.

Note : Le mode débuggage (Ctrl+Alt+D) crée de gros fichiers de logs. Il faut alors le désactivé (Ctrl+Alt+D) ou supprimer régulièrement les fichiers de logs.

Release Note 5.52



Fonctionnalités

Nouvelle interface graphique utilisateur pour fournir une expérience utilisateur simplifiée. Les changements majeurs sont, entre autres, un menu simplifié, un Panneau des Connexions plus petit et plus clair, moins de boutons et plus d'onglets dans le Panneau de Configuration. Installez cette nouvelle version et envoyez-nous vos commentaires.

La langue peut être changée à la volée, et toutes les chaînes peuvent être modifiées à partir du logiciel. Cela permet à nos partenaires de localiser toutes les chaînes de caractères et de voir les changements en un seul clic.

Nouveaux langages disponibles Hongrois et Norvégien ce qui amène à un total de 23 langues.

Tri automatique des tunnels VPN par nom.

Affichage de l'adresse IP virtuelle envoyée par la passerelle lorsque la fonctionnalité 'Mode-Config' est activée.

Ajout de 'Acheter une licence en ligne' dans le menu '?'.

La ligne de commande option /pwd (mot de passe) doit être spécifié lors de l'utilisation en ligne de commande option /export.

Nouvelle option de configuration --reboot=1 pour redémarrer automatiquement après une installation silencieuse.

Les adresses serveur DNS/WINS reçues de la passerelle distante sont maintenant affichées dans 'Phase 2'>‘Avancé’. Si la fonction 'Mode-Config' est activée, les deux champs sont désactivés pour éviter des réglages manuels, mais les adresses serveur DNS/WINS sont affichées de toute façon.

Affichage du nombre de données chiffrées par un tunnel VPN dans le Panneau des Connexions.

Le DPD peut désormais être désactivé grâce à une case à cocher ajoutée dans 'Paramètres généraux'>'Dead Peer Connection (DPD)'.

Améliorations

Affichage de plus d'informations du 'Mode-Config' (DNS, WINS) dans la Console.

L'onglet 'Certificat' dans 'Phase 1' affiche maintenant tous Lecteurs de Tokens/SmartCard configurés, et non pas ceux simplement branchés. Un message d'avertissement apparaît lorsque le certificat ne peut être lu avec le lecteur de Token/SmartCard (non branché, la carte n'est pas le lecteur,...).

Plus besoin d'être administrateur pour activer le logiciel Client VPN IPSec.

Un champ unique permet d'entrer le numéro de licence qu'il soit de 20 ou 24 chiffres.

Les champs adresse IP virtuelle du Client VPN et DNS/WINS sont désactivés lorsque le 'Mode-Config' est sélectionné.

Les champs 'Script' sont désormais désactivés lorsque 'Peut être ouvert avant le logon Windows' est sélectionné.

Plus d'informations et des messages plus clairs sur les erreurs d'activation du logiciel.

Si un tunnel VPN se ferme parce que l'ordinateur a changé son adresse IP, le tunnel VPN ne se ré-ouvre pas automatiquement une fois que le réseau est à nouveau disponible (débranchement du câble IP, changement de l'adresse IP du réseau sans fil,..).

L'authentification X-Auth de type 'OTP' est désormais compatible (c.a.dhttp://tools.ietf.org/html/draft-beaulieu-ike-xauth-02, section 6.3). Si la passerelle VPN demande ce type d'authentification, le Client VPN IPSec demandera à l'utilisateur l'authentification X-Auth pour chaque renégociation des clés (timeout).

http://www.thegreenbow.com/vpn_local.html

http://www.thegreenbow.fr/vpn_faq.html#Overview9

http://tools.ietf.org/html/draft-beaulieu-ike-xauth-02

Release Note 5.52


L'authentification X-Auth de type 'CHAP' est désormais compatible (c.a.dhttp://tools.ietf.org/html/draft-beaulieu-ike-xauth-02, section 6.3). Si la passerelle VPN est compatible avec ce type d'authentification et l'utilise, cette authentification permet d'atteindre le login/mot de passe X-Auth du serveur d'authentification AAA (Radius,..).

Le logiciel devient 25% plus petit.

Corrections

Les adresses initiales DNS, WINS du serveur peuvent ne pas être rétablies dans certaines circonstances, comme le débranchement du câble LAN avec un tunnel VPN ouvert en 'Mode-Config'.

Les adresses secondaires DNS, WINS du serveur fournies par la passerelle en 'Mode-Config' peut désactivée la fonctionnalité 'Mode-Config' du Client VPN IPSec, en particulier si ces adresses DNS, WINS sont vides. Elles sont maintenant ignorées.

CHAP Radius X-Auth ne fonctionne pas lorsque les login & mot de passe sont intégrés dans le fichier de configuration.

L'analyseur du certificat X509 suppose que le numéro de série dans le certificat est obligatoire et rejette les certificats sans numéro de série (par exemple en provenance de Tokens USB). X509 standard ETSI TS 102 280 ne spécifie pas que le champ numéro de série est obligatoire dans les certificats.

La fonctionnalité 'Mode-Config' du Client VPN IPSec ne prend pas en compte la valeur du masque fournie par la passerelle VPN, mais utilise un masque par défaut (c.a.d. RFC2408A.4ISAKMP Identification Type Values).

Le type d'authentification X-Auth dans une réponse à la passerelle VPN n'est pas identique au type d'authentification X-Auth reçu dans la demande de la passerelle VPN. Il doit être identique.

Le paramètre réseau DNS Windows est remis à 'statique' quand le tunnel VPN se ferme, bien qu'il ait été mis à 'dynamique' avant l'ouverture du tunnel. Cela peut se produire sur certaines versions de Windows puisque la fonction système inet_addr utilisée n'a pas le même comportement sur toutes les versions de Windows.

La désinstallation du logiciel peut ne pas supprimer les pilotes NDIS filter correctement, ce qui pourrait désactiver les cartes réseau.

'Phase 2' > l'adresse IP du Client VPN était obligatoire, même si "Mode-Config" était sélectionné.

La désinstallation du logiciel supprime tous les raccourcis, si le chemin d'installation est différent de 'Programmes' (dossier système).

La saisie d'un numéro de licence à 20 chiffres sous Windows XP ne fonctionne plus.

L'adresse DNS n'est pas restaurée correctement après la fermeture d'un tunnel VPN dû à un débranchement de la clé USB contenant une configuration VPN (voir le mode USB), bien que le tunnel VPN soit ouvert.

Le Client VPN cesse de fonctionner après avoir entré un code PIN d'une SmartCard de plus de 10 chiffres.

L'ouverture d'un tunnel déclenche des messages du pop-up systray à propos d'un autre tunnel VPN lorsque vous utilisez plusieurs tunnels VPN dans une configuration.

La réception d'un message dont le SA est ignoré peut déclencher un message du pop-up systray à répétition.

Impossible d'importer un fichier de configuration VPN à partir d'un lecteur réseau sur certaines configurations réseau Windows.

La ligne de commande option'/export' n'exporte pas si le Client VPN est déjà en cours d'exécution.

Le statut du tunnel VPN dans le Panneau de Configuration (led dans l'arbre de configuration) pourrait ne pas être mis à jour comme 'Tunnel ouvert' dans certaines circonstances. Le statut du tunnel dans le Panneau des Connexions est correctement mis à jour.

http://tools.ietf.org/html/draft-beaulieu-ike-xauth-02

Release Note 5.52


La fonctionnalité 'Exécuter ce script après que le tunnel soit fermé' pourrait lancer le script trop tôt dans le cas où l'utilisateur quitte le logiciel, ce qui contraint tous les tunnels ouverts à la fermeture.

La fonctionnalité qui interdit aux utilisateurs d'accéder au Panneau de Configuration (menu 'Options' > 'Affichage' > 'Bloquer l'accès à l'interface') devrait également interdire la possibilité d'importer via la ligne de commande avec 'vpnconf.exe/import', ou '/replace'.

La sélection du dossier 'Bureau' dans le Windows panneau 'explorer' (par exemple lorsque vous essayez d'importer un fichier de configuration) peut provoquer une erreur sur Windows Vista.

L'exécution de la ligne de commande options vpnconf.exe/close:tunnel1 et /open:tunnel1 ouvre le Panneau de Configuration. La Configuration restera fermée, seuls les messages du pop-up systray apparaîtront.

Lorsque la passerelle envoie une réponse d'échec d'authentification de l'utilisateur, le Client VPN IPSec réessaye automatiquement plusieurs fois. Les nouvelles tentatives sur un mauvais paramètre sont désactivées, et une fenêtre demande à l'utilisateur d'entrer à nouveau ses références.

La bibliothèque Gina (c.a.d. le Panneau de Connexions visible avant l'ouverture de session) ne trouve pas toutes les ressources système nécessaires qui pourraient empêcher un utilisateur de se connecter, ce qui peut forcer l'utilisateur à se connecter en mode sans échec. Le problème se produit sur toutes les versions Windows XP avec un certain VMware (sans outils VMware), et sur certaines versions de Windows XP qui n'ont pas les 'Services Pack' à jour et seulement si la fonctionnalité 'Peut être ouvert avant le logon Windows' a été sélectionnée.


Cliquer sur 'Enregistrer' avant de cliquer sur 'Quitter' le logiciel, si une Configuration VPN a été modifiée. Sinon les connexions avec le module IKE ne pourront pas être possibles au prochain démarrage du logiciel.

Si le bouton 'Enregistrer' est cliqué alors que tous les tunnels sont ouverts, les adresses DNS/WINS pourraient ne pas se restaurer correctement. Une solution serait de fermer tous les tunnels avant d'enregistrer la configuration VPN.

Pas de Gina (alias Ouvrir un tunnel avant l'ouverture de session Windows) sur Windows 64-bit (Vista et Seven). Le Panneau de Connexions Gina (avant l'ouverture de session Windows) peut apparaître avec un délai de 5 à 8 sec sur Windows XP. Le Panneau de Connexions Gina ne s'affiche pas lorsque l'ordinateur est 'verrouillé' seulement sur Windows Seven. Le Panneau de Connexions Gina affiche seulement 1 tunnel (si plusieurs configurés dans le Panneau de Configuration).

L'importation de configurations VPN avec certificats dans le Client VPN IPSec 5.0 à partir d'une Configuration VPN du Client VPN 4.7 pourrait empêcher l'ouverture d'un tunnel. Une solution serait d'importer les certificats directement dans Client VPN IPSec 5.0.

La modification d'une langue se lisant de 'gauche à droite' vers une langue se lisant de 'droite à gauche' (ou vice-versa) ne pourrait pas s'effectuer. La solution serait de quitter le logiciel et de redémarrer.

L'option 'Ouvrir automatiquement ce tunnel lorsqu'une clé USB est insérée' dans 'Phase 2' > 'Avancé' pourrait ne pas fonctionner dans sur certaines configuration de Windows car le lecteur USB n'est pas détecté.

Exportation d'une configuration VPN sur un lecteur mappé n'est pas possible. Aucun message d'erreur mais le fichier n'est pas exporté.

Touche clavier 'Suppr' (Supprimer) n'est pas pris en charge dans l'éditeur de traducteur de langue nouvelle.

Release Note 5.52


Note : Le mode Debug (Ctrl+Alt+D) produit d'assez grandes traces de logs, assez rapidement. N'oubliez pas de désactiver le mode debug.


Fonctionnalités

Ajout des langages Tchèque et Danois. Le Client VPN IPSec NETASQ est désormais disponible en 21 langues. Tchèque et danois étant dorénavant embarqués dans le logiciel d'installation.

Compatible avec le nouveau pilote WWAN Microsoft pour périphérique 3G/4G sur Windows 7 (Windows Seven 32/64 bits). Avec cette nouvelle version du logiciel chaque adaptateur compatible WWAN devrait fonctionner correctement. WWAN signifie 'Wireless Wide Area Network' ou réseau étendu sans fil, et est maintenant compatible avec plusieurs modems/adaptateurs sans fil de différents fabricants. Tous les fabricants doivent prendre en compte les "Mobile Broadband Driver Model Specification " pour Windows 7 basées les pilotes mini port NDIS6.20. Parmi ces adaptateurs, le Client VPN IPSec supporte maintenant Atheros Wireless Adapter, Dell Wireless 5530 HSDPA Mini-Card, Dell Wireless 5600 EVDO-HSPA Mini-Card, modem 3G Huawei, Qualcomm Gobi 2000, Sierra Wireless MC8781 HSPDA. Pour plus d'informations, veuillez consulter la liste des modems/adaptateurs 3G et la FAQ.

Configuration automatique des règles du Pare-feu Windows étendues aux profils 'domain' et 'public'.

Possibilité de mettre à jour plusieurs numéros de licence (qui auraient des dates d'expiration différentes) à une date précise. Ceci permet aux clients et/ou revendeurs qui gèrent de nombreuses licences de simplifier leur comptabilité et la gestion de l'option de maintenance. Cette fonctionnalité n'est pas encore disponible en ligne, veuillez contacter notre équipe commerciale [email protected].

Le fichier de configuration est désormais chiffré lors de la mise à jour du logiciel. Si l'accès à l'interface principale a été protégée par un mot de passe, ou si un mot de passe a été configuré en ligne de commande lors de l'installation, ils seront utilisés (par exemple, 'Affichage' > 'Configuration' > 'Bloquer l'accès à l'interface' ou consultez le Guide de déploiement).

Améliorations

Possibilité de copier et coller le numéro de licence de la fenêtre "A propos...", de sorte qu'il puisse être envoyé facilement à notre support technique.

Modification de l'interface utilisateur dans le panneau Phase 2 autour du bouton "Gestion des Certificats :".

Le dossier temporaire d'installation pour les pilotes sous Windows 7 64-bit ne devait pas être limité en droits d'accès. Cela n'est plus obligatoire maintenant.

RFC définit le port 4500 UDP pour la renégociation des clés. Le port 500 est désormais également autorisé.

Pour les lignes de commande /export et /exportonce, le paramètre /pwd est obligatoire (par exemple vpnconf.exe /export:c:\test.tgb /pwd:test).

Corrections

Pas de demande de retransmission de Phase 2 lorsque la passerelle distante ne répond pas.

Quand une passerelle distante ne répond pas, le Client VPN IPSec ne bascule pas sur une passerelle redondante. Cela ne se produit pas si un autre tunnel est ouvert.



http://www.thegreenbow.com/vpn_modem.html

http://www.thegreenbow.fr/vpn_faq.html#VPN29

mailto:[email protected]

http://www.thegreenbow.fr/doc/tgbvpn_ug_deployment_en.pdf

http://www.thegreenbow.fr/support.html

Release Note 5.52


Le moteur IKE pourrait ne plus être à l'écoute dans certains cas d'échanges de messages avec la passerelle VPN, par exemple un délai de réponse expiré ou une réponse perdue venant d'une passerelle VPN.

Le masque par défaut dans l'assistant de Configuration VPN doit être fixé à la classe C.

L'adresse DNS/WINS n'est pas retirée des paramètres de réseau Windows sur Windows 7 édition Ultimate si la connexion Wifi est utilisée.

Le fichier de Configuration VPN préconfiguré et embarqué dans le programme d'installation peut ne pas fonctionner correctement (consultez la rubrique 'Comment intégrer une Configuration VPN spécifique dans le programme d'installation du Client VPN ?' du Guide de déploiement).

Rafales de messages du Config-Mode reçus avec les adresses serveurs DNS/WINS à mettre à jour, pourraient ne pas fonctionner correctement.

La phase 2 du mode ESP utilisée avec certaines passerelles VPN peut rester en mode 'Tunnel' bien que le mode 'Transport' ait été choisi.

La ligne de commande pour remplacer un fichier de Configuration protégé par un mot de passe (par exemple '/replace:c\test.tgb /pwd:test') pourrait effacer la configuration actuelle si le mot de passe est incorrect. Les lignes de commande /add ou /importonce ne sont pas affectées.

Les lignes de commande ('vpnconf.exe /import:[nom du fichier]') pourraient ne pas être exécutées correctement.

Les évènements avant l'ouverture d'une session Windows ne sont pas enregistrés dans la 'Console' lors de l'ouverture/fermeture d'un tunnel (pour le mode Gina cliquez sur 'Phase 2 avancée' puis 'Peut-être ouvert avant le logon Windows').

L'activation du logiciel peut ne pas fonctionner correctement si le dossier temporaire de Windows est interdit à l'utilisateur.

Ecran bleu à la sortie du mode veille sous Windows 7 64-bit.

Les caractères spéciaux dans le nom de Phase 1 ou Phase 2 peuvent bloquer le démarrage du logiciel.

Le pop-up montre en permanence 'Tunnel résiduel' après la fermeture du tunnel en raison d'un cookie erroné dans le message de notification 'INVALID COOKIE' (RFC2522).

Limitation en longueur de tous les paramètres pour éviter un dépassement de mémoire tampon. Intégration d'un patch déjà publié.

Le bouton 'Ouvrir le tunnel' est désactivé pendant que les interfaces réseau deviennent disponibles ou indisponibles pour éviter un plantage. En particulier les interfaces réseau sans fil (3G, Wifi...).

Le service IKE peut se bloquer si l'utilisateur ouvre et ferme un tunnel rapidement plusieurs fois si une passerelle redondante a été configurée.

La compatibilité avec les OID numériques dans le sujet du certificat peut conduire à l'impossibilité d'ouvrir un tunnel.

Emission d'un son ('ding') lors de l'utilisation de la touche 'TAB' dans la fenêtre d'authentification X-Auth.

Un mot de passe limitant l'accès à certaines vues de l'interface graphique ('Affichage' > 'Configuration :') peut être demandé même si il n'a pas été paramétré.

L'option 'Ne pas démarrer le Client VPN quand Windows démarre' ne fonctionne pas sur Windows 7 64-bit. Le Client VPN démarre toujours.

Ecran bleu sur le Sony VAIO VGN-FW51MF avec option 3G, Windows 7 64-bit et une configuration VPN utilisant des certificats.

Lorsque le réseau local et distant est sur le même sous-réseau, l'accès au réseau distant ne fonctionne pas correctement si la fonctionnalité 'Ouvrir automatiquement ce tunnel sur détection de trafic' n'a pas été sélectionnée.

Mauvais numéro de version du daemon d'IKE.



client vpn ipsec netasq · la désinstallation silencieuse ne se lance pas à la mise à jour. le...

Documents