Annexes

Raccourcis

Panneau des Connexions

Esc

Ferme la fenêtre.

Ctrl+Entrée

Ouvre le Panneau de Configuration (interface principale).

Flèches

Les flèches haut et bas permettent de sélectionner une connexion VPN.

Ctrl+O

Ouvre la connexion VPN sélectionnée.

Ctrl+W

Ferme la connexion VPN sélectionnée.

Arborescence du Panneau de Configuration

F2

Permet d’éditer le nom de la phase sélectionnée

Del

Si une phase est sélectionnée, la supprime après confirmation de l’utilisateur.

Si la configuration est sélectionnée (racine de l’arborescence), propose l’effacement (reset) de la configuration complète.

Ctrl+O

Si une Child SA est sélectionnée, ouvre le tunnel VPN correspondant.

Ctrl+W

Si une Child SA est sélectionnée, ferme le tunnel VPN correspondant.

Ctrl+C

Copie la phase sélectionnée dans le presse-papiers.

Ctrl+V

Colle (ajoute) la phase copiée dans le presse-papiers.

Ctrl+N

Crée un nouvel IKE Auth, si la configuration VPN est sélectionnée, ou crée une nouvelle Child SA pour l’IKE Auth sélectionné.

Ctrl+S

Sauvegarde la configuration VPN.

Panneau de Configuration

Ctrl+Entrée

Permet de basculer au Panneau des Connexions.

Ctrl+D

Ouvre la fenêtre Console de traces VPN.

Ctrl+Alt+R

Redémarrage du service IKE.

Ctrl+Alt+T

Activation du mode traçant (génération de logs).

Ctrl+S

Sauvegarde la configuration VPN.

Logs administrateur

ID Log define

ID Log value

Severity

Log string

LOGID_STARTERINIT

1001

Notice

Starter service is started.

LOGID_VPNCONFSTARTING

2001

Notice

GUI is starting.

LOGID_VPNCONFSTOPPED

2002

Notice

GUI has closed.

LOGID_TGBIKESTARTED

3001

Notice

IKE has started (status %d).

LOGID_TGBIKESTOPPED

3002

Notice

IKE has stopped.

LOGID_TUNNELOPEN

3004

Info

Tunnel %s is asked to open.

LOGID_VPNCONFCRASHED

2003

Notice

GUI crashed (state %d).

LOGID_TGBIKECRASHED

3003

Notice

IKE crashed (state %d).

LOGID_STARTERSTOP

1002

Notice

Starter service is stopped.

LOGID_RESETIKE

2007

Warning

IKE is asked to reset.

LOGID_VPNCONFSTARTED

2008

Notice

GUI has started from user %s.

LOGID_VPNCONFSTOPPING

2009

Notice

GUI is stopping from user %s.

LOGID_VPNCONFLOADERROR

2010

Error

Configuration couldn’t load (reason: %s).

LOGID_VPNCONFOPENTUNNEL

2011

Info

GUI opens tunnel (source: %s).

LOGID_VPNCONFCLOSETUNNEL

2012

Info

GUI closes tunnel (source: %s).

LOGID_VPNCONFSAVE

2013

Notice

New configuration is saved.

LOGID_VPNCONFIMPORT

2014

Info

%s has been imported.

LOGID_VPNCONFIMPORTERR

2015

Error

%s could not be imported (status %d).

LOGID_VPNCONFEXPORT

2016

Info

%s has been exported.

LOGID_TOKENINSERT

2017

Info

Token %s has been inserted.

LOGID_TOKENEXTRACT

2018

Info

Token %s has been extracted.

LOGID_USBINSERT

2019

Info

USB Key has been inserted

LOGID_USBEXTRACT

2020

Info

USB Key has been extracted

LOGID_INSTALLATION

2021

Info

VPN running for the 1st time.

LOGID_UPDATE

2022

Info

VPN software has been updated to version %s.

LOGID_VERSION

2023

Info

VPN Version is %s.

LOGID_GINASTARTED

4001

Notice

GINA has started.

LOGID_GINASTOPPING

4002

Notice

GINA is stopping.

LOGID_GINAOPENTUNNEL

4003

Info

GINA opens tunnel (source: %s).

LOGID_GINACLOSETUNNEL

4004

Info

GINA closes tunnel (source: %s).

LOGID_TUNNELAUTH_OK

3005

Info

Tunnel authentication Ok (%s).

LOGID_TUNNELTRAFIC_OK

3006

Info

Tunnel %s Ok

LOGID_TUNNELAUTH_NOK

3007

Error

Tunnel authentication failed (reason %d).

LOGID_TUNNELTRAFIC_NOK

3008

Error

Tunnel %s Failed (reason %d).

LOGID_AUTHREKEYING

3009

Info

Tunnel %s initiated rekey (source %d).

LOGID_AUTHREKEYED

3010

Info

Tunnel %s rekeyed.

LOGID_TUNNELREKEYING

3011

Info

Tunnel %s initiated rekey (source %d).

LOGID_TUNNELREKEYED

3012

Info

Tunnel %s rekeyed.

LOGID_PINCODE

3013

Notice/Error

Pin code is entered (status %d).

LOGID_DRIVERNOK

3014

Critical

Driver could not be loaded (status %d).

LOGID_IKEEXT_STOP

1003

Warning

IKEEXT service is stopped.

LOGID_IKEEXT_RESTART

1004

Notice

IKEEXT service is restarted.

LOGID_IKEEXT_ERROR

1005

Critical

IKEEXT could not be stopped (status %d).

SYSTEMLOGID_VIRTIFOK

3015

Info

Virtual interface created successfully (instance %d).

SYSTEMLOGID_VIRTIFNOK

3016

Error

Virtual interface could not be created (error %d).

LOGID_TUNNELCLOSED

3017

Notice

%s tunnel successfully closed (%d min).

LOGID_TUNNELCLOSED_ERR

3018

Error

%s tunnel closed unexpectedly (%d).

LOGID_CERTERROR

3019

Error

Error %d when handling certificate %s.

Diagnostics du Panneau TrustedConnect

Le Panneau TrustedConnect informe l’utilisateur des problèmes d’établissement de la connexion VPN via l’affichage d’un code d’erreur.

Ces codes erreurs, leur diagnostic et leur solution éventuelle sont détaillés ci-dessous. Cette liste permet à l’administrateur, sur avertissement de l’utilisateur, d’étudier une réponse au problème rencontré.

Code

Diagnostic

Solution

0

Problème de configuration VPN

La connexion VPN n’a pas été trouvée dans la configuration.

  • Vérifier la présence du fichier tgbvpn.conf dans le répertoire d’installation du Client VPN.

1

Problème de certificat

La configuration VPN utilise un certificat dont la clé privée est introuvable.

  • Vérifier la configuration du client VPN ainsi que les éventuels périphériques d’authentification associés (lecteur de cartes à puce, token ou magasin de certificats Windows).

  • Réimporter la configuration VPN puis réimporter le certificat concerné.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

3

Problème de configuration

Le message No proposal chosen a été reçu lors d’un échange avec IKE : la suite d’algorithmes cryptographique configurée pour la séquence IKE_SA_INIT ne correspond pas à celle configurée sur la passerelle.

  • Vérifier que la suite d’algorithmes cryptographiques pour la séquence IKE_SA_INIT de la connexion VPN correspond à celui de la passerelle (se reporter au IKE Auth dans le Panneau de Configuration).

4

Problème de configuration

Le message « No proposal chosen » a été reçu lors d’un échange avec IKE : la suite d’algorithmes cryptographique du protocole ESP ne correspond pas à celui configuré sur la passerelle.

  • Vérifier que la suite d’algorithmes cryptographique protocole ESP (se reporter au Child SA dans le Panneau de Configuration) correspond à celui de la passerelle.

5

Passerelle non accessible

L’adresse de la passerelle (« Adresse routeur distant ») indiquée dans la configuration VPN n’est pas joignable. Si c’est une adresse IP, elle est introuvable ou injoignable. Si c’est une adresse DNS elle peut être inaccessible, indéfinie ou ne peut être résolue.

  • Vérifier l’adresse de la passerelle/poste distant. Par exemple, essayer de « pinguer » cette adresse.

6

Problème de configuration

Le message Remote ID other than expected a été reçu. Cela signifie que la valeur du Remote ID ne correspond pas à la valeur attendue par la passerelle VPN distante.

  • Vérifier que le paramètre Local ID de l’onglet Protocole du client VPN correspond au Remote ID de la passerelle (ou du poste) distant(e).
    Attention : le Remote ID sur le routeur est le Local ID sur le Client VPN et inversement !

7

Certificat passerelle

La vérification de la chaîne de certification du certificat reçu de la passerelle VPN est active. La chaîne de certification du certificat de la passerelle n’a pas pu être validée.

  • Vérifier la date d’expiration du certificat de la passerelle.

  • Vérifier la date de début de validité du certificat de la passerelle.

  • Vérifier les signatures de tous les certificats de la chaîne de certification (y compris le certificat racine, les certificats intermédiaires et le certificat de la passerelle).

  • Vérifier la mise à jour des CRL de tous les émetteurs de certificats de la chaîne de certification.

  • Vérifier l’absence de révocation de certificats concernés dans les listes de CRL correspondante.

  • Vérifier que le certificat racine et tous les certificats de la chaîne de certification (l’autorité de certification racine et les autorités de certification intermédiaires) sont présents dans le magasin de certificats Windows du poste de travail.

  • Vérifier que les CRL des différentes autorités de certification sont présentes dans le magasin de certificats Windows, ou que ces CRL sont téléchargeables à l’ouverture de la connexion VPN.

9

Pas de réponse passerelle

Le Client VPN a abandonné la connexion, le plus souvent après plusieurs tentatives de connexion.

  • Vérifier si la passerelle est toujours accessible depuis le poste de travail.

10

Problème d’authentification

La passerelle a refusé les éléments d’authentification de l’utilisateur.

  • Vérifier le certificat utilisateur.

  • Vérifier dans l’onglet Protocole du Panneau de Configuration que le Local ID correspond à la valeur et au type définis sur la passerelle.
    Attention : le Local ID sur le Client VPN est le Remote ID sur le routeur et inversement !

  • Vérifier les logs de la passerelle distante pour obtenir plus d’informations sur ce problème.

13

Problème de configuration

Une erreur est survenue lors de l’établissement de la connexion VPN. L’établissement de la connexion VPN a été abandonnée.

  • Récupérer les fichiers de logs de l’utilisateur, leur analyse est nécessaire.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

14

Configuration réseau

Une erreur est survenue lors de la création de l’interface virtuelle utilisée pour la connexion VPN.

  • Récupérer les fichiers de logs de l’utilisateur, leur analyse est nécessaire.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

15

Configuration réseau

L’adresse IP virtuelle affectée lors de la connexion VPN est déjà existante sur l’une des interfaces du poste de travail.

  • Changer l’adresse IP virtuelle (Paramètre Adresse du client VPN) indiquée dans la configuration du client VPN.

  • Changer l’adresse IP fournie par la passerelle au client VPN.

16

Configuration réseau

Une erreur est survenue lors de la création de l’interface virtuelle utilisée pour la connexion VPN.

  • Récupérer les fichiers de logs de l’utilisateur, leur analyse est nécessaire.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

24

Problème de configuration

La suite d’algorithmes cryptographique proposée par le client VPN n’a pas été acceptée par la passerelle.

  • Vérifier que les suites d’algorithmes cryptographique du Client VPN correspondent à celles de la passerelle.

  • Vérifier le Local ID et le Remote ID.
    Avertissement : le Local ID sur le routeur est le Remote ID sur le Client VPN et inversement !

25

Problème de configuration

Le réseau distant configuré dans le client VPN, ou l’adresse IP Virtuelle proposée par le client VPN n’ont pas été acceptés par la passerelle.

  • Vérifier que l’adresse IP virtuelle (paramètre Adresse du client VPN) indiquée dans la configuration du client VPN est acceptable côté passerelle.

  • Vérifier que le réseau distant (paramètre Adresse réseau distant) indiqué dans la configuration du client VPN est acceptable côté passerelle.

26

Problème de configuration

Le client VPN propose ses propres trafic selectors, alors que la passerelle est configurée pour les lui fournir.

  • Cocher le paramètre Obtenir la configuration depuis la passerelle dans l’onglet Child SA.

27

Erreur passerelle

La passerelle a reporté une erreur non prise en charge par le client VPN.

  • Analyser les logs côté passerelle.

  • Récupérer les fichiers de logs de l’utilisateur, leur analyse est nécessaire.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

28

Erreur login/mot de passe

La passerelle a rejeté l’authentification EAP lors de l’établissement de la connexion VPN.

  • Vérifier les paramètres d’authentification EAP dans la configuration du client VPN.

  • Vérifier que l’utilisateur connaît ses identifiants s’il en a besoin lors de l’établissement de la connexion.

30

Erreur carte à puce ou token

Impossible d’accéder au certificat stocké sur la carte à puce ou le token.

  • Vérifier que le lecteur de cartes à puce ou le token est correctement configuré sur le poste de travail, et accessible depuis le client VPN.

31

Délai d’authentification portail captif expiré

Aucune session n’a été ouverte sur le portail captif. Le poste ne dispose donc pas d’une connectivité internet.

  • Cliquer sur le bouton connecter pour pouvoir vous authentifier sur le portail captif.

100

Impossible de charger la configuration VPN

Aucune connexion VPN n’a été trouvée dans le fichier de configuration.

  • Vérifier qu’au moins un tunnel est configuré pour le Panneau des Connexions. Aller dans Outils > Configuration du panneau des connexions, puis ajouter un tunnel et sauvegarder la configuration.

101

Erreur de configuration GINA

Un tunnel est actif avant logon, mais n’a pas été configuré pour être utilisé par le Panneau TrustedConnect.

  • Vérifier que le tunnel actif avant logon est également configuré pour le Panneau des Connexions. Aller dans Outils > Configuration du panneau des connexions, puis ajouter un tunnel et sauvegarder la configuration.

102

Erreur d’initialisation IKE

Une erreur s’est produite pendant l’initialisation du daemon IKE.

  • Récupérer les fichiers de logs de l’utilisateur.

  • Créer un ticket sur votre espace MyStormshield en joignant l’ensemble des fichiers de log.

103

Erreur DNS

Un nom DNS n’a pas pu être résolu dans le jeu de règles du mode filtrant.

  • Vérifier que le poste a accès à internet.

  • Vérifier que le mode filtrant ne bloque pas lui-même l’accès aux requêtes DNS.

  • Remplacer des noms DNS par des adresses IP.

200

Activation du logiciel

Le logiciel n’est pas activé et la période d’essai terminée.

  • Récupérer les fichiers de logs de l’utilisateur.

  • Vérifier l’activation du logiciel.

Caractéristiques techniques du SN VPN Client Exclusive

Général

Version Windows

Windows 11 64 bits
Windows 10 64 bits

Langues

Allemand, anglais, arabe, chinois (simplifié), coréen, espagnol, danois, persan, finnois, français, grec, hindi, hongrois, italien, japonais, néerlandais, norvégien, polonais, portugais, russe, serbe, slovène, tchèque, thaï, turc

Mode d’utilisation

Mode invisible

Ouverture automatique du tunnel sur détection de trafic

Contrôle d’accès aux configurations VPN

Possibilité de masquer tout ou partie des interfaces

Mode USB

Plus aucune configuration VPN sur le poste

Ouverture du tunnel sur insertion d’une clé USB configurée VPN

Fermeture automatique du tunnel sur extraction de la clé USB configurée VPN

Gina

Ouverture d’un tunnel avant le logon Windows par :

GINA / Credential providers sur Windows 10

Scripts

Exécution de scripts configurable sur ouverture et fermeture du tunnel VPN

Partage de bureau à distance

Ouverture en un seul clic d’un ordinateur distant via RDP et le tunnel VPN

Panneau TrustedConnect

Ouverture automatique du tunnel avec Always-on et détection de réseau de confiance (TND)

Connexion / Tunnel

Mode de connexion

Peer-to-gateway

Réseaux

IPv4 et IPv6

Protocoles

IPsec / IKEv2

SSL / OpenVPN

Modes

Main mode (mode principal) et Aggressive mode (mode agressif)

Mode Config / Mode CP

Récupération automatique des paramètres réseaux depuis la passerelle VPN

Cryptographie

Chiffrement, Groupes de clé, Hash (IKEv2)

Symétrique : AES CBC/CTR/GCM 128/192/256 bits

Diffie-Hellman : DH14 (MODP 2048), DH15 (MODP 3072), DH16 (MODP 4096), DH17 (MODP 6144), DH18 (MODP 8192), DH19 (ECP 256), DH20 (ECP 384), DH21 (ECP 521), DH 28 (BrainpoolP256r1)

Hash: SHA-256, SHA-384, SHA-512

Suites de sécurité TLS (OpenVPN)

TLS 1.2 – Medium

TLS 1.2 – High

TLS 1.3 :

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_128_CCM_SHA256

  • TLS_AES_128_CCM_8_SHA256

Chiffrement, Hash (OpenVPN)

Symétrique : AES-128-CBC, AES-192-CBC, AES-256-CBC

Hash: SHA-224, SHA-256, SHA-384, SHA-512

Authentification de l’utilisateur

Administrateur : Protection de l’accès aux configurations VPN

Utilisateur :

  • Pre-shared key

  • EAP (MSCHAP-V2)

  • Certificats X.509

  • Multiple Auth

Authentification des certificats

  • Méthode 1 : RSA Digital Signature with SHA-2 [RFC7296]

  • Méthode 9 : ECDSA "secp256r1" with SHA-256 on the P-256 curve [RFC4754]

  • Méthode 10 : ECDSA "secp384r1" with SHA-384 on the P-384 curve [RFC4754]

  • Méthode 11 : ECDSA "secp521r1" with SHA-512 on the P-521 curve [RFC4754]

  • Méthode 14 : Digital Signature RSASSA-PSS et RSASSA-PKCS1-v1_5 [RFC7427]

  • ECDSA « BrainpoolP256r1 » with SHA-2

IGC / PKI

  • Prise en charge des certificats X.509

  • Import de certificats au format PKCS#12, PEM/PFX

  • Multi-support : magasin de certificats Windows, carte à puce, token, fichier de configuration

  • Prise en charge de la CRL (Certificate Revocation List)

  • Détection automatique du lecteur de cartes à puce ou du token en fonction de critères

  • Accès aux cartes à puce et aux tokens en PKCS#11 et CNG

  • Vérification complète de la chaîne des certificats « utilisateur » et « passerelle »

Divers

NAT / NAT-Traversal

NAT-Traversal Draft 1 (enhanced), Draft 2, Draft 3 et RFC 3947, IP address emulation, inclut le support de : NAT_OA, NAT keepalive, NAT-T mode agressif, NAT-T en mode forcé, automatique ou désactivé

DPD

RFC3706. Détection des extrémités IKE non actives.

Passerelle redondante

Gestion d’une passerelle de secours (passerelle redondante), automatiquement sélectionnée sur déclenchement du DPD (passerelle inactive)

Administration

Déploiement

Installation silencieuse via Microsoft Installer (MSI)

Gestion des configurations VPN

Options d’importation et d’exportation des configurations VPN

Sécurisation des importations / exportations par mot de passe, chiffrement et contrôle d’intégrité

Automatisation

Possibilité d’ouvrir, fermer et superviser un tunnel en ligne de commande (batch et scripts)

Possibilité de démarrer et arrêter le logiciel par batch

Logs et traces

Console de logs IKE/IPsec et SSL/OpenVPN et mode traçant activable

Logs administrateur : fichier local, journal d’évènements Windows, serveur syslog

Mises à jour

Vérification des mises à jour depuis le logiciel

Licence et activation

Licences par abonnement, activation manuelle / automatique / silencieuse