Client VPN IPSec NETASQ

Commentaires

Transcription

Client VPN IPSec NETASQ
Release Note 5.52
Client VPN IPSec NETASQ
Release Notes 5.52 du client VPN IPSec NETASQ
Ce document reprend la liste des nouvelles fonctionnalités, améliorations et corrections.
Client VPN IPSec NETASQ version 5.52 build 001
Améliorations

Mise à jour des langues Russe et Chinois
Client VPN IPSec NETASQ version 5.51 build 001
Fonctionnalités













Prise en charge de Windows 8 32-64bit.
Mode Gina pris en charge sur Windows 7, Vista 32-64bit.
Prise en charge du token ePass3003.
Ajout d'un champ de confirmation mot de passe lors de l'exportation d'une configuration VPN.
service anti-rejeu ESP pris en charge soit RFC 2401/4303.
Ajout de plusieurs lignes de commande (fichier d'installation et d'initialisation) afin de mieux
choisir des certificats sur carte à puce ou token dans la configuration VPN. Elles sont appelées
options PKI. Pour plus de détails, consultez notre guide de déploiement disponible sur notre
site. «KeyUsage » permet de limiter l'accès uniquement aux certificats « d'authentification » du
token ou de la carte à puce. «SmartCardRoaming »permet de définir la règle utilisée pour
récupérer un certificat sur une carte à puce ou un token. «Pkcs11Only » permet de limiter
l'accès uniquement aux «certificats PKCS # 11 » de la carte à puce ou token. «NoCaCertReq »
permet d'utiliser des certificats signés par une autorité de certification différente de la
passerelle VPN. «PKICheck » vérifie la présence du certificat racine sur la machine de
l'utilisateur.
Les options PKI sont aussi configurables depuis l'interface utilisateur via un nouvel onglet dans la
fenêtre "Outils"> "Options ...".
Le responsable informatique peut désactiver le Panneau de configuration via une clé de registre.
Lorsque la clé de registre spécifique est définie, l'utilisateur ne peut pas accéder au panneau de
configuration.
Le dossier de sauvegarde de configuration VPN peut ne pas exister sur certains environnements
Windows. Le dossier de sauvegarde de configuration VPN est personnalisé.
Le dossier d'activation du logiciel peut ne pas exister sur certains environnements Windows
personnalisé. Le dossier d'activation du logiciel est personnalisé
Exclusion du protocole DHCP du réseau de filtre afin de permettre mécanisme DHCP lors de la
configuration du réseau forces tout en tunnel (0.0.0.0/0.0.0.0).
Algorithmes SHA2 est supporté de signer avec une carte à puce DSP.
Retirer «acheter» le bouton
Copyright NETASQ 2012
Release Note 5.52





Corée et en farsi sont désormais intégrés comme nouvelles langues, ce qui porte à 25 le nombre
total de langues.
Possibilité d'ouvrir le magasin de l'utilisateur actuel certificat lors de la sélection d'un certificat
dans le Panneau de configuration, au lieu de le magasin de certificats ordinateur local.
Gemalto. NET avec DSP middleware pris en charge sur Windows Vista et Seven.
Utilisez VendorID (IKE) pour restreindre l'utilisation du client VPN sur une passerelle spécifique
Activer l'importation automatique de la configuration VPN si un nom de fichier de configuration
spécifique est disponible dans le dossier d'installation.
Améliorations







Nouvelle commande pour déplacer le focus d'un champ à l'autre avec la touche de tabulation
dans le panneau de configuration> onglet IPsec phase 2.
Activer la langue russe pour l'interface utilisateur de l''EasyVPN' module
Ne pas afficher les popup systray lors de la renégociation Phase1/Phase2.
Extension de la taille du champ code PIN pour SmartCard.
Possibilité de se connecter au Wifi hotspot avec une configuration VPN qui force tout le trafic
dans le tunnel (masque de sous ie 0.0.0.0).
Le raccourci « Ctrl + Alt + T » permet d’activer le mode Trace.
Cosmétique mineur.
Corrections















Le module 'EasyVPN' n’était pas supporté par Windows 8
Une fois le tunnel ouvert en utilisant le mode Config, la valeur du serveur WINS peut être
écrasée par la valeur du serveur DNS.
Désélectionner l’option « PKICheck » pouvait ne pas être prise en compte dans certaines
circonstances.
Dans certaines circonstances, un nombre important de phase 1 peut rendre inutilisable le client
VPN.
Erreur d'initialisation de service IKE (certains partenaires OEM seulement).
Licence quota actif n'est pas réinitialisée après la désinstallation de logiciels (certains
partenaires OEM seulement).
BSOD lors de la sortie de veille de Windows (Windows XP uniquement).
Le mode Gina (tunnel ouvert avant l'ouverture de session Windows) ne fonctionne pas (certains
partenaires OEM seulement).
Un tunnel VPN pouvait ne pas s’ouvrir lorsqu’un autre service IPSec était activé sur la machine,
comme les ports 500 et/ou 4500 sont utilisés.
La génération de journal de débogage échoue si le répertoire d'installation du logiciel est
modifié par l'utilisateur lors de l'installation.
La désinstallation silencieuse ne se lance pas à la mise à jour.
Le client VPN ne peut pas ouvrir un tunnel lorsque vous utilisez un certificat avec caractères
Unicode ou UTF8 comme des caractères japonais.
PKCS#11 middleware utilisé à la place du CSP middleware lorsque l'option SmartCardRoaming
est réglée sur 2, 3, 4 ou 5.
Aucun de message de code PIN erroné lors de l'utilisation de cartes à puce avec DSP
middleware.
Les serveurs DNS/WINS ne sont pas appliqués si le tunnel est ouvert lors de l'activation 'Ouvrir
automatiquement ce tunnel sur détection de trafic'.
Copyright NETASQ 2012
Release Note 5.52



















En mode Gina et «tunnel ouvert» avec des serveurs DNS/WINS configurés, ces paramètres sont
appliquées à l'interface locale au lieu de l'interface virtuelle.
La fragmentation des paquets n'est pas correctement effectuée lors de la modification de la
taille de MTU (certaines valeurs) sur Windows XP.
La mise à jour logicielle échoue lorsque vous utilisez le mode silencieux "/ S".
Impossible d'ouvrir avec certificat lorsque l'utilisateur ne dispose pas de droit administrateur.
Client VPN ne répond pas après le renouvellement de la clé reçu par le firewall
Mauvaise traduction finlandaise dans la fenêtre d'activation du logiciel.
Pas de tunnel lors de l'utilisation de l’algorithme SHA2 et du magasin de certificats Windows.
Un autre tunnel ne s'ouvre pas correctement après avoir débranché certains modèles de cartes
à puce.
La fonction de configuration à distance crée des journaux dans le mauvais répertoire.
L’activation ne fonctionne pas correctement dans le cas d’une mise à jour avec plusieurs
utilisateurs sur la même machine.
Accepter l'ID de la section dans le fichier de configuration VPN provenant de la passerelle VPN
lorsque l'adresse IP virtuelle est définie à 0.0.0.0.
Prise en charge de la configuration VPN configuration de la passerelle VPN contenant '-' dans les
noms de tunnel et également lorsque vous utilisez la configuration des certificats.
Crash IKE lorsque le nom de phase est trop long. La limite est désormais limité à 49 caractères.
La fonction VPN "Peer to Peer" peut échouer quand il y a un routeur avec du NAT-T entre les
deux.
un tunnel VPN ne s'ouvre pas quand il est configuré avec un certificat sélectionné dans le
magasin de certificats de l'utilisateur.
Le tunnel VPN s'ouvre correctement mais aucun trafic ne passe lors d’une configuration basé sur
X-Auth et l'adresse du Client VPN est 0.0.0.0.
Le client VPN cesse de répondre pendant un certain temps après renouvellement des clés reçue
de la passerelle VPN.
Le renouvellement d’adresse IP ne fonctionne pas correctement lorsque la configuration VPN
force tout le trafic dans le tunnel (masque de sous ie 0.0.0.0).
L’importation de la configuration VPN ne fonctionne pas correctement lorsque le certificat a un
type d'ID local DER_ASN1_DN_ID contenant un objet avec les caractères tels que des espaces et
des "/".
Copyright NETASQ 2012
Release Note 5.52
Client VPN IPSec NETASQ version 5.13 build 002
Améliorations



Clarification des règles pour choisir quel certificat doit être pris en compte lorsqu'ils sont
disponibles via Token, lecteur SmartCard.
Rapidité d'affichage du menu systray quand 100+ tunnels VPN sont configurés.
Le format du nom des fichiers log a changé pour inclure la date et l'heure. Cela permet de
réduire la taille des fichiers lors de l'envoi au support technique.
Corrections




















Le tunnel VPN envoie une demande de certificat avec le DN provenant uniquement d'une seule
Certificate Authority (CA).
Le Client VPN peut maintenant envoyer un message INITIAL-CONTACT pendant la négociation
IKE.
La console arrête d'afficher les logs après un clic sur le menu 'Outils' > 'Reset IKE'.
Certains lecteurs USB 3G d'Orange (Business Everywhere 3G par exemple) modifient les
paramètres de routage, ce qui peut empêcher le trafic VPN de passer, en particulier quand le
Client VPN est configuré pour forcer tout le trafic dans le tunnel.
Un deuxième menu apparaît en revenant d'une mise en vielle avant l'ouverture d'une session
Windows, si le mode Gina (ouverture du tunnel VPN avant l'ouverture d'une session Windows) a
été configuré.
Mauvais format de timestamp IKE dans la console.
Le tunnel VPN peut ne pas se rouvrir correctement lors de l'utilisation d'une connexion 3G,
surtout si une nouvelle adresse IP est réattribuée par le réseau mobile.
Quand un tunnel utilise le 'Config Mode', la renégociation de la phase 2 ne peut pas utiliser les
paramètres envoyés par la passerelle, mais ceux du fichier de configuration, empêchant
l'ouverture du tunnel VPN.
Le tunnel VPN peut ne pas s'ouvrir correctement si utilisation de Certificats PKCS#11 et plusieurs
Certificats avec le même sujet sont sur une seule carte à puce.
Le tunnel VPN peut ne pas s'ouvrir correctement lors de l'import d'une configuration VPN
utilisant une carte à puce. Le message 'conf_x509_subject_set: error while using PKCS#11
middleware' s'affiche.
CERT_REQ Payload n'est pas envoyé correctement dans certaines circonstances.
Le tunnel VPN peut ne pas s'ouvrir correctement lors de son retour du mode veille.
Le tunnel VPN configuré avec une plage d'adresses IP peut ne pas s'ouvrir correctement.
Les paramètres DNS / WINS peuvent ne pas être restaurés correctement lorsque le mode Gina
est utilisé (ouverture tunnel VPN avant ouverture de session Windows).
Les paramètres DNS / WINS ne sont pas configurés correctement lorsque l'adresse du Client
VPN (adresse IP distante) est configurée pour 0.0.0.0.
L'ordinateur se fige dans de rares cas, sur certaines machines DELL utilisant des certificats
Windows Seven 64 bits.
Le trafic reste bloqué quand 'Désactiver Split Tunneling' est sélectionné, si l'adresse IP du Client
VPN sélectionné existe déjà sur l'ordinateur.
Le trafic risque d'être ralenti pour IE ou Firefox lorsque l'ensemble du trafic est forcé dans le
tunnel (masque réseau = 0.0.0.0).
Le tunnel pourrait ne pas s'ouvrir correctement, quand la passerelle distante envoie un certificat
de grande taille (par exemple avec une clé de 2048 bits).
La modification du MTU pourrait ne pas être prise en compte (Windows XP 32-bit uniquement).
Copyright NETASQ 2012
Release Note 5.52



Le tunnel VPN ne s'ouvre pas avec 'Erreur 307' lorsque le masque de réseau à distance contient
des valeurs spécifiques (par exemple 255.255.254.0, 255.255.252.0, ...).
Le code PIN de carte à puce n'est pas demandé quand une séquence spéciale d'événements se
produit. Par exemple : on branche la carte à puce, le tunnel VPN ne parvient pas à s'ouvrir (par
exemple le routeur ne répond pas), on rebranche la carte à puce.
L'assistant de configuration du Client VPN ne démarre pas lorsque le logiciel est lancé et que la
configuration VPN est vide.
Problèmes connus
Voici la liste des problèmes connus dans cette version. Nous faisons tout notre possible pour y
remédier le plus vite possible.




Pas de Gina Mode (alias tunnel ouvert avant l'ouverture de session Windows) sur Windows 64bit (Vista et Seven). Le panneau de connexion Gina (avant ouverture de session Windows) peut
apparaître avec 5-8 secondes de retard sur Windows XP.
Wireshark doit être installé après le logiciel client VPN pour être en mesure de numériser ses
interfaces.
L'exportation d'une configuration VPN vers un lecteur réseau mappé n'est pas possible. Aucun
message d'erreur ne s'affiche, mais le fichier n'est pas exporté. Pour contourner le problème il
faut l'exporter vers le disque local, puis copier ou déplacer ce fichier vers le lecteur mappé.
Après une mise à jour du logiciel, un tunnel avec certificat sur token peut dans certains cas, ne
pas s'ouvrir correctement. Pour contourner le problème, il faut passer en mode 'Preshared Key'
dans la Phase 1 concernée, sauver la configuration, puis revenir au mode 'Certificat' et sauver à
nouveau la configuration.
Copyright NETASQ 2012
Release Note 5.52
Client VPN IPSec NETASQ version 5.10 build 009
Fonctionnalités





Possibilité de prise en charge SIP / VoIP du trafic dans le tunnel VPN (Windows Vista et Seven).
Possibilité d'ouvrir une session Windows Remote Desktop Protocol en un seul clic à partir du
menu systray. Cela permet à l'utilisateur d'ouvrir un partage de bureau à distance avec
n'importe quelle machine sur le réseau distant. Plusieurs sessions de partage de bureau par
tunnel VPN peuvent être définies, et le tunnel VPN s'ouvre automatiquement lorsqu’une session
de partage de bureau est demandé.
Possibilité d'exécuter une désinstallation silencieuse lorsque le logiciel a été installé avec une
configuration d'installation silencieuse.
Possibilité de définir une MTU spécifique par tunnels IPSEC.
Ajout d'une case à cocher pour exécuter le client VPN IPSec après l'installation du logiciel.
Améliorations















Possibilité d'installer le logiciel sans avoir à redémarrer le système d'exploitation Windows.
Possibilité de désactiver la fenêtre du pop-up systray qui monte lors de l'ouverture ou la
fermeture d'un tunnel VPN.
Possibilité de fermer tous les tunnels en un seul clic. Nouvel élément du menu dans le Panneau
de configuration.
Afficher une petite icône dans le Panneau de configuration USB chaque fois qu'un disque USB
est branché et que le logiciel est en mode USB.
Chaque nom de phase 1 & Phase2 du tunnel VPN apparaissent maintenant dans le menu
systray.
Tous les noms de tunnel VPN sont triés par ordre alphabétique dans le menu systray.
La stabilité de la détection de changement d'adresse IP a été considérablement améliorée.
La stabilité de la gestion des DNS / WINS a été considérablement améliorée.
La gestion de l'insertion et l'extraction de Token a été considérablement améliorée. Lors de
l'insertion ou l'extraction, tous les tunnels VPN sont ouverts ou fermés en conséquence.
Ctrl + Alt + D ouvre le journal de débogage, et maintenant il y a aussi une icône avec un lien vers
le dossier du journal.
Plus d'aide ajoutée pour le mode hybride. Il exige un certificat et X-Auth doit être configuré pour
fonctionner correctement.
Une case "Ne plus me prévenir" ajoutée en matière d'alerte pop-up lorsque l'adresse du client
VPN appartient au réseau distant configuré en adresse LAN distante ".
'Bloquer les connexions non chiffrées' a été remplacé par "Désactiver Split tunneling".
Support Token contient plusieurs certificats avec le même certificat.
Vérification de la date de validité de certificat avant l'ouverture d'un tunnel. S’il y a plusieurs
certificats, le client VPN utilise uniquement le certificat avec une date valide. Si aucun certificat
valide ne peut être trouvé, le tunnel ne s'ouvre pas, et un message d'erreur « aucun certificat
approprié » s'affiche dans la console.
Copyright NETASQ 2012
Release Note 5.52
Corrections





















La Phase2 du tunnel VPN ne va pas se fermer lorsque vous débranchez la carte à puce utilisée
pour s'authentifier.
un tunnel VPN ne peut pas être ouvert quand on revient du mode Veille de Windows.
Trop d'erreurs affichées dans la fenêtre pop-up lors de l'ouverture systray du tunnel VPN dans
certaines circonstances réseau.
Une fois en mode USB, 'Déplacer vers USB' le sous-menu est toujours activé.
OSA port pas pris en charge par vpnconf.ini.
message d'erreur lors du lancement d'aide "F1".
Le logiciel se bloque lorsque vous entrez dans le mode USB pour la première fois dans certaines
configurations de Windows.
Tous les voyants sont au vert même si le Client VPN IPSec est "Abandon", après plusieurs
tentatives pour ouvrir un tunnel VPN.
l'exportation d'une configuration VPN peut être vide en mode USB (c'est à dire la configuration
VPN a été déplacé vers la clé USB).
"cookie non valide" Un message reçu alors que le tunnel VPN est ouvert pourrait rendre la
fenêtre pop-up pour montrer systray avec LED orange au lieu de vert.
Une icône spéciale apparaît dans Panneau de configuration lorsque "Auto ouverture sur la
détection de trafic" est sélectionnée.
Le caractère '\' ne devraient pas être autorisés dans le champ de confirmation clé pré-partagée.
adresse LAN à distance et sur le terrain sous-réseau sont vides après l'importation d'une
configuration avec 'adresse LAN distante "et" sous-réseau "0.0.0.0 / 0.
L'activation manuelle échoue avec un message d'erreur d'activation: 0, dans certaines
circonstances.
plantages du logiciel lorsqu'un utilisateur clique plusieurs fois sur le bouton "Appliquer".
Un Tunnel avec des certificats ne peut pas être ouvert lors de l'utilisation de la phase 1 pièce
d'identité avec nom de domaine complet.
L'option de commande d'installation "- GuiDefs" ne fonctionne pas correctement.
Une installation silencieuse ne fonctionne pas correctement lorsqu'il est utilisé avec les options
"- Licence", "- ActivMail", "- noactiv", "- autoactiv", "- guidefs".
plantages du logiciel lors de copier-coller d'un tunnel VPN existante, et d'essayer ensuite de le
supprimer dans le Panneau de configuration.
Mauvais fichier de code d'activation peut être utilisée si plusieurs utilisateurs tentent d'activer
le Client VPN IPSec sur la même machine.
crash lors de l'utilisation TgbIke avec la carte à puce. Tous les journaux de débogage sont activés
et une erreur de connexion survient.
Problèmes connus
Voici la liste des problèmes connus dans cette version. Nous faisons tout notre possible pour y
remédier le plus vite possible.



Après une session Windows déverrouiller/verrouiller, il peut être impossible d'ouvrir un tunnel,
d'enregistrer ou appliquer une configuration. Une solution consiste à redémarrer le logiciel
client VPN.
Pas de Gina (alias tunnel ouverts avant ouverture de session Windows) sur Windows 64 bits
(Vista et Seven). Panneau de connexion Gina (avant ouverture de session Windows) peut
apparaître avec le 5-8sec retard sur Windows XP. Le panneau de connexion Gina ne s'affiche pas
lorsque l'ordinateur est "verrouillé" sur Windows Seven uniquement.
Après une session Windows de déconnexion / connexion avec Gina, une connexion Internet
pourrait être impossible en raison de l’adresse DNS / WINS pas restauré correctement. Passer
Copyright NETASQ 2012
Release Note 5.52



d'un utilisateur à un autre peut entraîner un disfonctionnement du client VPN. Une solution
consiste è redémarrer le logiciel client VPN.
Erreur système lors de son retour du mode veille de Windows. Une solution consiste à
redémarrer le logiciel client VPN.
Wireshark doit être installé après le logiciel client VPN pour être en mesure de numériser sont
interfaces.
Exportation d'une configuration VPN à un lecteur mappé n'est pas possible. Aucun message
d'erreur mais le fichier n'est pas exporté.
Client VPN IPSec NETASQ version 5.06 build 004
Améliorations




Connexion X-Auth accepte plus de 31 caractères.
Suppression de la restriction sur SHA-256 & DH14 pour l'un de nos partenaires.
Possibilité d'augmenter le hachage de 96bit à 128bit avec SHA-256.
Pour conformité aux RFCs, SHA2-256 devient SHA-256.
Corrections







La combinaison de SHA2 & DES ou 3DES ne fonctionne pas.
Erreur 'Acces Denied' lors du lancement du Client VPN IPSec via une connexion RDP à distance.
Le bouton & menu "Ouvrir" tunnel reste désactivé même si un tunnel ne s'est pas ouvert quand
l'utilisateur saisi un mauvais login/mot de passe dans pop-up X-Auth.
La configuration 'X-Auth pop-up' ne peut être enregistré que si effacement des champs
login/mot de passe.
La négociation du tunnel échoue avec l'erreur 'exchange_validate échoué' quand 'Adresse LAN
Distant' et 'Masque' sont configurés à 0.0.0.0/0.
Crash du service IKE lorsque Windows revient du mode Hibernation ou d'une mise en Veille.
Crash de TgbStarter.exe lors de la mise à jour de la configuration VPN dans certaines
circonstances.
Client VPN IPSec NETASQ version 5.03 build 002
Améliorations

Compatible avec le modem 3G Ericsson MD300, Huawei E1756 et E1553.
Corrections




La version de tgbgina.dll n'est pas affichée dans la fenêtre 'A propos'.
Les DNS alternatifs et WINS ne fonctionne pas sur la connexion 3G utilisant la 3G avec Huawei
E1756 et E1553 sur Windows 7 ou Windows XP.
Les paramètres de configuration du proxy ne sont pas proposés lorsque le délai d'activation a
été dépassé (lorsque le serveur d'activation ou le réseau sont indisponibles).
L'option 'Démarrer le Client VPN après logon Windows' ne peut être désactivé sur les versions
de Windows en 64-bit.
Copyright NETASQ 2012
Release Note 5.52











Le lien 'plus d'info' sur erreur 33 ne fonctionne pas correctement dans l'activation logicielle en
fin de période d'évaluation.
La désinstallation logiciel peut laisser le raccourci de désinstallation du 'Client IPSec VPN'.
'Erreur d'activation 70: Ce logiciel ne peut être activé.' se produit lorsque le répertoire
'Application data' porte un nom différent, principalement sous Windows XP.
Si un ou plusieurs tunnels sont ouverts, et qu'une nouvelle configuration VPN doit être chargée
(via une clé USB, par exemple), alors les scripts d'avant fermeture du tunnel ne sont pas
exécutés et les DNS/WINS ne sont pas restaurés.
Le sous-menu 'Assistant d'Activation...' dans le menu '?' n'est pas grisé après l'activation du
logiciel.
La configuration VPN provenant d'une clé USB n'est pas chargée si la clé USB a été branchée
avant le démarrage du Client VPN.
Dans 'Phase 2' > 'Avancé' l'option 'Ouvrir automatiquement ce tunnel lorsqu'une clé USB est
insérée.' pourrait ne pas fonctionner sur certaines versions de Windows car le lecteur USB n'a
pas été détecté.
L'importation d'une configuration VPN créée avec la version 4.7 du Client VPN dans le Client
VPN IPSec 5.0 pourrait empêcher l'ouverture d'un tunnel.
La touche 'Suppr' ne fonctionne pas dans la nouvelle interface d'édition des langues.
La pile IP Windows peut rester bloquer si le nombre de packets IP fragmentés est supérieur à
10. Le nombre maximum de packets IP fragmentés est désormais pris en charge.
Dans le cas où une adresse IP local dans un fichier de configuration VPN importé n'existe pas sur
la machine locale, le champ 'Interface' n'est pas forcé à 'Automatique'.
Problèmes connus
Voici la liste des problèmes connus dans cette version. Nous faisons tout notre possible pour y
remédier le plus vite possible.







Certaines options d'installation en ligne de commande peuvent ne pas fonctionner
correctement en mode silencieux.
Après le verrouillage ou le déverrouillage d'une session Windows, il se peut que l'ouverture d'un
tunnel ou l'enregistrement/l'application de la configuration VPN soit impossible. Dans ce cas, le
Client VPN doit être redémarré.
Le mode Gina (alias 'Peut être ouvert avant le logon Windows') ne fonctionne pas sur Windows
Vista 64-bit et Windows Seven 64-bit. Le panneau de connexion Gina peut apparaître avec un
délai de 5-8 secondes sur Windows XP et peut ne pas s'afficher sur Windows Seven lorsque
l'ordinateur est verrouillé.
Le changement d'une langue se lisant de gauche à droite vers une langue se lisant de droite à
gauche peut ne pas fonctionner. Dans ce cas, le Client VPN doit être redémarré.
L'export d'une configuration VPN sur un lecteur mappé est impossible. Aucun message d'erreur
n'apparait mais le fichier n'est pas exporté.
En mode USB, l'exportation d'une configuration VPN protégée par un mot de passe crée un
fichier de configuration VPN incorrect.
Note : Le mode débuggage (Ctrl+Alt+D) crée de gros fichiers de logs. Il faut alors le désactivé
(Ctrl+Alt+D) ou supprimer régulièrement les fichiers de logs.
Copyright NETASQ 2012
Release Note 5.52
Client VPN IPSec NETASQ version 5.00 build 023
Fonctionnalités











Nouvelle interface graphique utilisateur pour fournir une expérience utilisateur simplifiée. Les
changements majeurs sont, entre autres, un menu simplifié, un Panneau des Connexions plus
petit et plus clair, moins de boutons et plus d'onglets dans le Panneau de Configuration. Installez
cette nouvelle version et envoyez-nous vos commentaires.
La langue peut être changée à la volée, et toutes les chaînes peuvent être modifiées à partir du
logiciel. Cela permet à nos partenaires de localiser toutes les chaînes de caractères et de voir les
changements en un seul clic.
Nouveaux langages disponibles Hongrois et Norvégien ce qui amène à un total de 23 langues.
Tri automatique des tunnels VPN par nom.
Affichage de l'adresse IP virtuelle envoyée par la passerelle lorsque la fonctionnalité 'ModeConfig' est activée.
Ajout de 'Acheter une licence en ligne' dans le menu '?'.
La ligne de commande option /pwd (mot de passe) doit être spécifié lors de l'utilisation en ligne
de commande option /export.
Nouvelle option de configuration --reboot=1 pour redémarrer automatiquement après une
installation silencieuse.
Les adresses serveur DNS/WINS reçues de la passerelle distante sont maintenant affichées dans
'Phase 2'>‘Avancé’. Si la fonction 'Mode-Config' est activée, les deux champs sont désactivés
pour éviter des réglages manuels, mais les adresses serveur DNS/WINS sont affichées de toute
façon.
Affichage du nombre de données chiffrées par un tunnel VPN dans le Panneau des Connexions.
Le DPD peut désormais être désactivé grâce à une case à cocher ajoutée dans 'Paramètres
généraux'>'Dead Peer Connection (DPD)'.
Améliorations









Affichage de plus d'informations du 'Mode-Config' (DNS, WINS) dans la Console.
L'onglet 'Certificat' dans 'Phase 1' affiche maintenant tous Lecteurs de Tokens/SmartCard
configurés, et non pas ceux simplement branchés. Un message d'avertissement apparaît lorsque
le certificat ne peut être lu avec le lecteur de Token/SmartCard (non branché, la carte n'est pas
le lecteur,...).
Plus besoin d'être administrateur pour activer le logiciel Client VPN IPSec.
Un champ unique permet d'entrer le numéro de licence qu'il soit de 20 ou 24 chiffres.
Les champs adresse IP virtuelle du Client VPN et DNS/WINS sont désactivés lorsque le 'ModeConfig' est sélectionné.
Les champs 'Script' sont désormais désactivés lorsque 'Peut être ouvert avant le logon Windows'
est sélectionné.
Plus d'informations et des messages plus clairs sur les erreurs d'activation du logiciel.
Si un tunnel VPN se ferme parce que l'ordinateur a changé son adresse IP, le tunnel VPN ne se
ré-ouvre pas automatiquement une fois que le réseau est à nouveau disponible
(débranchement du câble IP, changement de l'adresse IP du réseau sans fil,..).
L'authentification
X-Auth
de
type
'OTP'
est
désormais
compatible
(c.a.dhttp://tools.ietf.org/html/draft-beaulieu-ike-xauth-02, section 6.3). Si la passerelle VPN
demande ce type d'authentification, le Client VPN IPSec demandera à l'utilisateur
l'authentification X-Auth pour chaque renégociation des clés (timeout).
Copyright NETASQ 2012
Release Note 5.52


L'authentification
X-Auth
de
type
'CHAP'
est
désormais
compatible
(c.a.dhttp://tools.ietf.org/html/draft-beaulieu-ike-xauth-02, section 6.3). Si la passerelle VPN est
compatible avec ce type d'authentification et l'utilise, cette authentification permet d'atteindre
le login/mot de passe X-Auth du serveur d'authentification AAA (Radius,..).
Le logiciel devient 25% plus petit.
Corrections


















Les adresses initiales DNS, WINS du serveur peuvent ne pas être rétablies dans certaines
circonstances, comme le débranchement du câble LAN avec un tunnel VPN ouvert en 'ModeConfig'.
Les adresses secondaires DNS, WINS du serveur fournies par la passerelle en 'Mode-Config' peut
désactivée la fonctionnalité 'Mode-Config' du Client VPN IPSec, en particulier si ces adresses
DNS, WINS sont vides. Elles sont maintenant ignorées.
CHAP Radius X-Auth ne fonctionne pas lorsque les login & mot de passe sont intégrés dans le
fichier de configuration.
L'analyseur du certificat X509 suppose que le numéro de série dans le certificat est obligatoire et
rejette les certificats sans numéro de série (par exemple en provenance de Tokens USB). X509
standard ETSI TS 102 280 ne spécifie pas que le champ numéro de série est obligatoire dans les
certificats.
La fonctionnalité 'Mode-Config' du Client VPN IPSec ne prend pas en compte la valeur du
masque fournie par la passerelle VPN, mais utilise un masque par défaut (c.a.d.
RFC2408A.4ISAKMP Identification Type Values).
Le type d'authentification X-Auth dans une réponse à la passerelle VPN n'est pas identique au
type d'authentification X-Auth reçu dans la demande de la passerelle VPN. Il doit être identique.
Le paramètre réseau DNS Windows est remis à 'statique' quand le tunnel VPN se ferme, bien
qu'il ait été mis à 'dynamique' avant l'ouverture du tunnel. Cela peut se produire sur certaines
versions de Windows puisque la fonction système inet_addr utilisée n'a pas le même
comportement sur toutes les versions de Windows.
La désinstallation du logiciel peut ne pas supprimer les pilotes NDIS filter correctement, ce qui
pourrait désactiver les cartes réseau.
'Phase 2' > l'adresse IP du Client VPN était obligatoire, même si "Mode-Config" était sélectionné.
La désinstallation du logiciel supprime tous les raccourcis, si le chemin d'installation est différent
de 'Programmes' (dossier système).
La saisie d'un numéro de licence à 20 chiffres sous Windows XP ne fonctionne plus.
L'adresse DNS n'est pas restaurée correctement après la fermeture d'un tunnel VPN dû à un
débranchement de la clé USB contenant une configuration VPN (voir le mode USB), bien que le
tunnel VPN soit ouvert.
Le Client VPN cesse de fonctionner après avoir entré un code PIN d'une SmartCard de plus de 10
chiffres.
L'ouverture d'un tunnel déclenche des messages du pop-up systray à propos d'un autre tunnel
VPN lorsque vous utilisez plusieurs tunnels VPN dans une configuration.
La réception d'un message dont le SA est ignoré peut déclencher un message du pop-up systray
à répétition.
Impossible d'importer un fichier de configuration VPN à partir d'un lecteur réseau sur certaines
configurations réseau Windows.
La ligne de commande option'/export' n'exporte pas si le Client VPN est déjà en cours
d'exécution.
Le statut du tunnel VPN dans le Panneau de Configuration (led dans l'arbre de configuration)
pourrait ne pas être mis à jour comme 'Tunnel ouvert' dans certaines circonstances. Le statut du
tunnel dans le Panneau des Connexions est correctement mis à jour.
Copyright NETASQ 2012
Release Note 5.52






La fonctionnalité 'Exécuter ce script après que le tunnel soit fermé' pourrait lancer le script trop
tôt dans le cas où l'utilisateur quitte le logiciel, ce qui contraint tous les tunnels ouverts à la
fermeture.
La fonctionnalité qui interdit aux utilisateurs d'accéder au Panneau de Configuration (menu
'Options' > 'Affichage' > 'Bloquer l'accès à l'interface') devrait également interdire la possibilité
d'importer via la ligne de commande avec 'vpnconf.exe/import', ou '/replace'.
La sélection du dossier 'Bureau' dans le Windows panneau 'explorer' (par exemple lorsque vous
essayez d'importer un fichier de configuration) peut provoquer une erreur sur Windows Vista.
L'exécution de la ligne de commande options vpnconf.exe/close:tunnel1 et /open:tunnel1 ouvre
le Panneau de Configuration. La Configuration restera fermée, seuls les messages du pop-up
systray apparaîtront.
Lorsque la passerelle envoie une réponse d'échec d'authentification de l'utilisateur, le Client
VPN IPSec réessaye automatiquement plusieurs fois. Les nouvelles tentatives sur un mauvais
paramètre sont désactivées, et une fenêtre demande à l'utilisateur d'entrer à nouveau ses
références.
La bibliothèque Gina (c.a.d. le Panneau de Connexions visible avant l'ouverture de session) ne
trouve pas toutes les ressources système nécessaires qui pourraient empêcher un utilisateur de
se connecter, ce qui peut forcer l'utilisateur à se connecter en mode sans échec. Le problème se
produit sur toutes les versions Windows XP avec un certain VMware (sans outils VMware), et
sur certaines versions de Windows XP qui n'ont pas les 'Services Pack' à jour et seulement si la
fonctionnalité 'Peut être ouvert avant le logon Windows' a été sélectionnée.
Problèmes connus
Voici la liste des problèmes connus dans cette version. Nous faisons tout notre possible pour y
remédier le plus vite possible.








Cliquer sur 'Enregistrer' avant de cliquer sur 'Quitter' le logiciel, si une Configuration VPN a été
modifiée. Sinon les connexions avec le module IKE ne pourront pas être possibles au prochain
démarrage du logiciel.
Si le bouton 'Enregistrer' est cliqué alors que tous les tunnels sont ouverts, les adresses
DNS/WINS pourraient ne pas se restaurer correctement. Une solution serait de fermer tous les
tunnels avant d'enregistrer la configuration VPN.
Pas de Gina (alias Ouvrir un tunnel avant l'ouverture de session Windows) sur Windows 64-bit
(Vista et Seven). Le Panneau de Connexions Gina (avant l'ouverture de session Windows) peut
apparaître avec un délai de 5 à 8 sec sur Windows XP. Le Panneau de Connexions Gina ne
s'affiche pas lorsque l'ordinateur est 'verrouillé' seulement sur Windows Seven. Le Panneau de
Connexions Gina affiche seulement 1 tunnel (si plusieurs configurés dans le Panneau de
Configuration).
L'importation de configurations VPN avec certificats dans le Client VPN IPSec 5.0 à partir d'une
Configuration VPN du Client VPN 4.7 pourrait empêcher l'ouverture d'un tunnel. Une solution
serait d'importer les certificats directement dans Client VPN IPSec 5.0.
La modification d'une langue se lisant de 'gauche à droite' vers une langue se lisant de 'droite à
gauche' (ou vice-versa) ne pourrait pas s'effectuer. La solution serait de quitter le logiciel et de
redémarrer.
L'option 'Ouvrir automatiquement ce tunnel lorsqu'une clé USB est insérée' dans 'Phase 2' >
'Avancé' pourrait ne pas fonctionner dans sur certaines configuration de Windows car le lecteur
USB n'est pas détecté.
Exportation d'une configuration VPN sur un lecteur mappé n'est pas possible. Aucun message
d'erreur mais le fichier n'est pas exporté.
Touche clavier 'Suppr' (Supprimer) n'est pas pris en charge dans l'éditeur de traducteur de
langue nouvelle.
Copyright NETASQ 2012
Release Note 5.52

Note : Le mode Debug (Ctrl+Alt+D) produit d'assez grandes traces de logs, assez rapidement.
N'oubliez pas de désactiver le mode debug.
Client VPN IPSec NETASQ version 4.70 build 001
Fonctionnalités





Ajout des langages Tchèque et Danois. Le Client VPN IPSec NETASQ est désormais disponible en
21 langues. Tchèque et danois étant dorénavant embarqués dans le logiciel d'installation.
Compatible avec le nouveau pilote WWAN Microsoft pour périphérique 3G/4G sur Windows 7
(Windows Seven 32/64 bits). Avec cette nouvelle version du logiciel chaque adaptateur
compatible WWAN devrait fonctionner correctement. WWAN signifie 'Wireless Wide Area
Network' ou réseau étendu sans fil, et est maintenant compatible avec plusieurs
modems/adaptateurs sans fil de différents fabricants. Tous les fabricants doivent prendre en
compte les "Mobile Broadband Driver Model Specification " pour Windows 7 basées les pilotes
mini port NDIS6.20. Parmi ces adaptateurs, le Client VPN IPSec supporte maintenant Atheros
Wireless Adapter, Dell Wireless 5530 HSDPA Mini-Card, Dell Wireless 5600 EVDO-HSPA MiniCard, modem 3G Huawei, Qualcomm Gobi 2000, Sierra Wireless MC8781 HSPDA. Pour plus
d'informations, veuillez consulter la liste des modems/adaptateurs 3G et la FAQ.
Configuration automatique des règles du Pare-feu Windows étendues aux profils 'domain' et
'public'.
Possibilité de mettre à jour plusieurs numéros de licence (qui auraient des dates d'expiration
différentes) à une date précise. Ceci permet aux clients et/ou revendeurs qui gèrent de
nombreuses licences de simplifier leur comptabilité et la gestion de l'option de maintenance.
Cette fonctionnalité n'est pas encore disponible en ligne, veuillez contacter notre équipe
commerciale [email protected]
Le fichier de configuration est désormais chiffré lors de la mise à jour du logiciel. Si l'accès à
l'interface principale a été protégée par un mot de passe, ou si un mot de passe a été configuré
en ligne de commande lors de l'installation, ils seront utilisés (par exemple, 'Affichage' >
'Configuration' > 'Bloquer l'accès à l'interface' ou consultez le Guide de déploiement).
Améliorations





Possibilité de copier et coller le numéro de licence de la fenêtre "A propos...", de sorte qu'il
puisse être envoyé facilement à notre support technique.
Modification de l'interface utilisateur dans le panneau Phase 2 autour du bouton "Gestion des
Certificats :".
Le dossier temporaire d'installation pour les pilotes sous Windows 7 64-bit ne devait pas être
limité en droits d'accès. Cela n'est plus obligatoire maintenant.
RFC définit le port 4500 UDP pour la renégociation des clés. Le port 500 est désormais
également autorisé.
Pour les lignes de commande /export et /exportonce, le paramètre /pwd est obligatoire (par
exemple vpnconf.exe /export:c:\test.tgb /pwd:test).
Corrections


Pas de demande de retransmission de Phase 2 lorsque la passerelle distante ne répond pas.
Quand une passerelle distante ne répond pas, le Client VPN IPSec ne bascule pas sur une
passerelle redondante. Cela ne se produit pas si un autre tunnel est ouvert.
Copyright NETASQ 2012
Release Note 5.52























Le moteur IKE pourrait ne plus être à l'écoute dans certains cas d'échanges de messages avec la
passerelle VPN, par exemple un délai de réponse expiré ou une réponse perdue venant d'une
passerelle VPN.
Le masque par défaut dans l'assistant de Configuration VPN doit être fixé à la classe C.
L'adresse DNS/WINS n'est pas retirée des paramètres de réseau Windows sur Windows 7
édition Ultimate si la connexion Wifi est utilisée.
Le fichier de Configuration VPN préconfiguré et embarqué dans le programme d'installation
peut ne pas fonctionner correctement (consultez la rubrique 'Comment intégrer une
Configuration VPN spécifique dans le programme d'installation du Client VPN ?' du Guide de
déploiement).
Rafales de messages du Config-Mode reçus avec les adresses serveurs DNS/WINS à mettre à
jour, pourraient ne pas fonctionner correctement.
La phase 2 du mode ESP utilisée avec certaines passerelles VPN peut rester en mode 'Tunnel'
bien que le mode 'Transport' ait été choisi.
La ligne de commande pour remplacer un fichier de Configuration protégé par un mot de passe
(par exemple '/replace:c\test.tgb /pwd:test') pourrait effacer la configuration actuelle si le mot
de passe est incorrect. Les lignes de commande /add ou /importonce ne sont pas affectées.
Les lignes de commande ('vpnconf.exe /import:[nom du fichier]') pourraient ne pas être
exécutées correctement.
Les évènements avant l'ouverture d'une session Windows ne sont pas enregistrés dans la
'Console' lors de l'ouverture/fermeture d'un tunnel (pour le mode Gina cliquez sur 'Phase 2
avancée' puis 'Peut-être ouvert avant le logon Windows').
L'activation du logiciel peut ne pas fonctionner correctement si le dossier temporaire de
Windows est interdit à l'utilisateur.
Ecran bleu à la sortie du mode veille sous Windows 7 64-bit.
Les caractères spéciaux dans le nom de Phase 1 ou Phase 2 peuvent bloquer le démarrage du
logiciel.
Le pop-up montre en permanence 'Tunnel résiduel' après la fermeture du tunnel en raison d'un
cookie erroné dans le message de notification 'INVALID COOKIE' (RFC2522).
Limitation en longueur de tous les paramètres pour éviter un dépassement de mémoire
tampon. Intégration d'un patch déjà publié.
Le bouton 'Ouvrir le tunnel' est désactivé pendant que les interfaces réseau deviennent
disponibles ou indisponibles pour éviter un plantage. En particulier les interfaces réseau sans fil
(3G, Wifi...).
Le service IKE peut se bloquer si l'utilisateur ouvre et ferme un tunnel rapidement plusieurs fois
si une passerelle redondante a été configurée.
La compatibilité avec les OID numériques dans le sujet du certificat peut conduire à
l'impossibilité d'ouvrir un tunnel.
Emission d'un son ('ding') lors de l'utilisation de la touche 'TAB' dans la fenêtre
d'authentification X-Auth.
Un mot de passe limitant l'accès à certaines vues de l'interface graphique ('Affichage' >
'Configuration :') peut être demandé même si il n'a pas été paramétré.
L'option 'Ne pas démarrer le Client VPN quand Windows démarre' ne fonctionne pas sur
Windows 7 64-bit. Le Client VPN démarre toujours.
Ecran bleu sur le Sony VAIO VGN-FW51MF avec option 3G, Windows 7 64-bit et une
configuration VPN utilisant des certificats.
Lorsque le réseau local et distant est sur le même sous-réseau, l'accès au réseau distant ne
fonctionne pas correctement si la fonctionnalité 'Ouvrir automatiquement ce tunnel sur
détection de trafic' n'a pas été sélectionnée.
Mauvais numéro de version du daemon d'IKE.
Copyright NETASQ 2012