TP VPN - WeeblyVPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion...

BTS SIO2: module SISR5 TP VPN sous Windows server 2008

Alexa STROZZI / Georges ESQUIROL

TP VPN

Pré requis et Configuration initiale des machines

Utilisation de quatre machines, un client (Windows 7 pour simuler le client VPN), un serveur

(Windows Server 2008 => WS2008 pour le serveur VPN), un client (XP pour la prise en main

à distance) et un routeur (WS2003 qui servira à faire des captures de trame et à simuler une

« box » d’accès à Internet) ;

Attribuez une (des) adresse(s) IP fixe(s) à toutes les machines ;

Attribuez une adresse IP fixe au client ;

Vérifiez que la connectivité est bonne entre les deux machines ;

Désactivez, si nécessaire, le service Routage et accès distant (mis en œuvre dans un autre TP) ;

Vérifiez que le service d’annuaire Active Directory est installé (Normalement votre

SERVEUR est contrôleur de domaine et il est donc capable de gérer les utilisateurs du

domaine).

L’objectif du TP est de configurer les différents matériels et logiciels afin de simuler une prise en

main à distance d’une machine du réseau local par une autre machine située sur Internet grâce à une

liaison VPN.

Vous allez mettre en place l’architecture suivante (rajoutez et/ou modifiez, dans les zones surlignées

en jaune, les noms et adresses IP correspondant à votre environnement de travail). Les adresses IP

indiquées sur le schéma correspondent à l’environnement de travail de l’élève N°1 !!!

Dernier point important : Débranchez le câble qui vous connecte à Internet. D’après vous

pourquoi (analysez bien le schéma !)?

Car cela risque de crée de conflit d’adresse IP.

Attention, on simule un accès via Internet. Dans le TP, votre poste de travail Windows7 sera relié

directement à votre serveur ESX, comme c’est le cas habituellement!

Avant d’aller plus loin, testez le bon fonctionnement de vos 3 réseaux.

Vous allez mettre en œuvre deux types de VPN : PPTP et SSTP.

192.168.0. 179

Réseaux 3 (Local)

172.20.0.0 /16

Serveur_09

(Win2008)

Serveur ESXi Client

Win XP

192.168.0.151 172.10.0. 253

Réseaux 1 (Internet)

192.168.1.0 / 24

Serveur VPN

172.20.0.253

172.20.0.1

Switch

virtuel 3

Switch

virtuel 2

Internet

Internet Réseau local

Réseaux 2

172.10.0.0 /16

Switch

virtuel 1

Routeur

(Win2003)

192.168.0. 159 172.10.0. 254

Client 09

(Win 7) Votre

poste de

travail



Mise en œuvre d’une connexion VPN PPTP

Dans l’architecture proposée, le client Internet (ici le client01 ou votre client) ouvre une connexion

VPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion établie, le

client Internet accèdera au bureau à distance du poste local (Win XP).

Pour cela, il faudra procéder de la façon suivante :

1. Configurer le serveur VPN (WS2008), notamment le service de routage et d’accès distant ;

2. Créer un compte utilisateur pour pouvoir établir la connexion VPN (authentification) ;

3. Configurer le client afin qu’il puisse ouvrir une connexion VPN ;

4. Autoriser l’accès à distance sur le client virtuel XP (client du réseau local) ;

5. Vérifier que la connexion VPN est établie et accéder au bureau à distance du client WinXP.

1) Configuration du routeur (W1indows server 2003)

Dans cette première partie, le routeur ne servira que pour faire des analyses de trames entre votre

poste de travail Windows Seven (poste qui va simuler une demande en provenance d’Internet), le

serveur VPN et le poste sur lequel vous allez prendre la main (poste que l’on considère être dans le

réseau local de l’entreprise).

Dans un premier temps, seul le routage sera activé afin de laisser passer tout type de trafic.

2) Configuration du serveur VPN (Windows server 2008)

2.1. Installation du serveur VPN et configuration des options générales

2.1.1. Activez et configurez le routage et l’accès distant [SERVEUR]

Avant de passez à la configuration du VPN effectuez les 2 opérations suivantes :

1. Si le service Routage et accès distant a déjà été installé (précédent TP), désactivez le.

2. indiquez les résultats des tests demandés ci-dessous :

Est-ce que le « Ping » entre le routeur et le serveur VPN fonctionne ? Oui

Est-ce que le « Ping » entre le serveur VPN et le client XP fonctionne ? Oui

Est-ce que le « Ping » entre le routeur et le client XP fonctionne ? Non

Est-ce que le « Ping » entre votre client Seven et le routeur fonctionne ? Oui

Est-ce que le « Ping » entre votre client Seven et le serveur fonctionne ? Non

Sur le serveur VPN

Pour configurer l’accès distant il faut que le rôle de serveur Services de stratégie et accès distant

soit installé. Normalement ce doit être le cas. Au besoin, allez dans le Outils d’administration puis

Gestionnaire de serveur et ajouter ce rôle. Vous devrez alors cocher l’option Services de routage

et d’accès distant puis installer ces services.

Relancez ensuite Configurer et activer le routage et l’accès distant.

Voir la suite en page suivante.



Dans l’assistant Installation du serveur de routage et d’accès distant, suivre les étapes suivantes :

Dans la fenêtre Configuration, choisissez

Accès à distance [connexion à distance ou

VPN], puis cliquez sur Suivant.

Côchez ensuite la case VPN et cliquez sur le

bouton Suivant, puis sur le bouton Terminer

pour quitter l’assistant.

Choisissez l'interface correspondant à

votre connexion internet.

Veillez à ce que la case « Sécuriser

l’interface sélectionnée en … » soit

cochée.

Cliquez sur le bouton Suivant.

Choisissez comment le serveur VPN va

attribuer les adresses IP aux clients VPN :

Soit les clients VPN utilisent un

serveur DHCP du réseau local.

Soit vous spécifiez les adresses que

vous voulez utiliser

Choisissez une plage d’adresses qui n’est

pas utilisée habituellement :

De 10.10.10.10 à 10.10.10.20

Vous pourrez modifier plus tard ces adresses

dans la console Routage et accès distant, en

faisant un clic droit sur SERVEUR, puis en

sélectionnant Propriétés et IPv4 :

Vous devez ensuite choisir si vous voulez

ou non utiliser un serveur RADIUS pour

l’authentification des utilisateurs.

Sélectionner l’option NON.

L’authentification se fera à partir des

comptes utilisateurs d’Active Directory.

Cliquez ensuite sur le bouton Terminer.



Une fois cet assistant terminé, WS2008 crée

automatiquement 128 ports pour chacune

des trois technologies de VPN. Chaque

connexion VPN requiert ensuite un port

unique.

Revenez dans la console de Routage et

accès distant, dans l’arborescence de votre

serveur allez sur ports. Vérifiez la présence

des ports.

En pratique, il faudrait désactiver les ports

inutiles pour une meilleure sécurité.

Faites un ping entre votre client Seven et le serveur VPN. Quel résultat obtenez-vous ?

Expliquez ce résultat (avec un peu de curiosité et de bon sens, la réponse est facile à obtenir !).

Le résultat du ping et défaillance général car il n’y pas de connexion VPN.

Remarque : Une fois configuré pour accepter les connexions VPN entrantes, WS2008 va

automatiquement bloquer tout le trafic entrant qui ne correspond pas au trafic VPN, sur

l’interface publique.

Pour visualiser les règles de filtrage rajoutées lors de

l’installation du serveur VPN, il faut :

Accéder à la console de Routage et accès distant,

dans l’arborescence de votre serveur allez sur IPv4

puis Général.

Faites un clic droit sur votre interface publique puis

sélectionnez Propriétés.

Cliquez sur filtres d’entrée puis sur filtres de sortie.

Analysez le contenu des tables de filtrage et recherchez à quoi correspondent les autorisations qui y

sont:

Protocole 47 : ni-ftp

Protocole 50 : re-mail-ck - Remote Mail Checking Protocol

Protocole 51 : la-maint - IMP Logical Address Maintenance

Port 500 sur UDP : ISAKMP (Internet Security Association and Key Management Protocol), un des composants d'IPsec

Port 1701 sur UDP : Layer 2 Forwarding Protocole (L2F) et Layer 2 Tunneling Protocol (L2TP)

Port 1723 sur TCP : PPTP

Port 4500 sur UDP : IPSec NAT Traversal ( RFC 3947 )

Port 443 sur TCP https

Faites vérifier par le Prof.

2.1.2. Création d’un compte utilisateur pour la connexion VPN. [SERVEUR]

Dans la console Utilisateurs et ordinateurs Active Directory, créez un compte d’utilisateur

que vous nommerez « usr_vpn » avec le mot de passe « vpn » qui n’expire jamais.

http://fr.wikipedia.org/wiki/Internet_Protocol_Security

http://en.wikipedia.org/wiki/Layer_2_Forwarding_Protocol

http://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol

http://fr.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol

http://en.wikipedia.org/wiki/IPsec_Passthrough

http://tools.ietf.org/html/rfc3947

http://fr.wikipedia.org/wiki/HTTPS



Dans les propriétés de cet utilisateur, allez dans la section Appel entrant, sélectionnez

Autoriser l’accès, puis cliquez sur le bouton OK.



3) Configuration du client VPN

Comme vous utilisez souvent un client sous Windows Seven ou sous Windows XP, les deux

méthodes sont décrites ci-dessous :

A) Création d’une connexion VPN pour un client Windows XP (si besoin)

Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic

droit sur Connexions réseau, puis choisissez Ouvrir.

Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle

connexion ou bien allez dans la partie de gauche intitulée Gestion du réseau et choisissez

Créer une nouvelle connexion.

Cliquez sur Suivant, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant

Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis

Suivant.

Saisissez « Connexion VPN » dans la zone de texte Nom de la société, puis cliquez sur

Suivant.

Dans la fenêtre intitulée « Réseau public » sélectionnez l’option Ne pas établir la connexion

initiale

Entrez l’adresse IP de votre serveur VPN dans le champ Nom d’hôte ou adresse IP, puis

validez ce choix en cliquant sur le bouton Suivant.

Cliquez sur le bouton Terminer pour quitter l’assistant.

B) Création d’une connexion VPN pour un client Windows 7

Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Sélectionnez ensuite

Réseau et Internet, puis Centre réseau et partage et enfin Configurer une nouvelle

connexion ou un nouveau réseau.

Dans la fenêtre Configurer une connexion ou un réseau sélectionnez Connexion à votre

espace de travail (configurer une connexion d’accès à distance ou VPN) puis

éventuellement l’option « Non, créer une nouvelle connexion ».

Choisissez ensuite le type de connexion Utiliser ma connexion Internet (VPN) puis «

Me laisser décider ultérieurement »

Indiquez l’adresse IP de votre serveur VPN et le nom de la destination (par défaut connexion

VPN). Les trois options proposées en plus ne sont pas nécessaires dans le cadre du TP.

Saisissez le nom d’utilisateur et le mot de passe créés précédemment. La connexion est

enregistrée.



4) Configuration de l’accès à distance sur le client local

Comme nous pouvons utiliser aussi bien un client XP qu’un client Seven, vous trouverez les deux

procédures à suivre pour autoriser l’accès à distance sur la machine.

Pour autoriser l’accès à distance sur un Windows XP il faut aller dans Panneau de configuration /

Connexion réseau et Internet /Bureau à distance.

Cochez la case correspondant à « Autoriser les utilisateurs à se connecter à distance à cet

ordinateur ».

Remarque : 1 seul utilisateur peut accéder à la machine. Ce sera donc soit un utilisateur local (qui a

accès physiquement à la machine) soit un utilisateur distant, mais pas les deux en même temps !

Windows XP vous affiche un message chaque fois qu’un utilisateur tente de prendre la main sur la

machine alors qu’un autre utilisateur y est déjà connecté. Il faudra alors confirmer le changement

d’utilisateur.

Pour autoriser l’accès à distance sur un poste Windows 7 il faut :

- Ouvrez le menu Démarrer puis saisissez Autoriser accès dans le champ de recherche, ou

bien ouvrez les propriétés de l’ordinateur et choisissez Paramètres d’utilisation à distance

- Cliquez sur Autoriser l’accès à distance à votre ordinateur

- Cochez la case Autoriser les connexions d’assistance…

- Cochez surtout la case Autoriser la connexion des ordinateurs exécutant…

Remarque : si vous savez que vous n’utiliserez que des PC sous Vista ou sous Windows 7 pour

prendre le contrôle à distance, optez alors pour le mode le plus sécurisé en cochant l’option

"N’autoriser que la connexion des ordinateurs…"



5) Vérification de la connexion VPN et de l’accès à distance

5.1) Test de la connexion VPN

Avant de tester la connexion VPN, affichez les paramètres IP de votre client. Vous ne devez

donc voir que les paramètres standards de votre (vos) carte(s) réseau.

Sous Windows XP, dans la fenêtre Connexions réseau, lancer la connexion (double clic)

« Connexion VPN » créée précédemment.

Sous Windows 7, allez dans Réseau et Internet / Centre Réseau et partage. Dans la partie

inférieure de la fenêtre intitulée « Modifier vos paramètres réseau », sélectionnez Connexion à

un réseau. Une nouvelle fenêtre apparaît où il suffit de cliquer sur la connexion que l’on a

créée à l’étape précédente et qui doit se nommée « Connexion VPN ».

Dans les deux cas (XP et Seven), vous devez alors indiquer le nom et le mot de passe de

l’utilisateur (usr_vpn / vpn) créé dans Active Directory. La connexion VPN doit alors être

établie avec succès.

Refaite un « ipconfig » sur votre client et sur votre serveur VPN.

Une nouvelle interface doit apparaître avec un nom de la forme : « Carte PPP …… ». L’adresse IP

doit appartenir à la plage d’adresses que vous avez créée sur le serveur (10.10.10.10 à 10.10.10.20).

Client Serveur

Une fois que vous êtes sur du bon fonctionnement de la liaison VPN, déconnectez-vous. Sur votre

routeur, lancez une analyse de trame (peu importe l’interface car Trafic d’Entrée = Trafic de Sortie).

Rétablissez la connexion VPN. Arrêtez la capture de trames. Dans la zone « filtre », tapez

« gre » et validez.

Faites un copier/coller de la capture de trame.

Analysez attentivement les 15 premières lignes. Normalement vous devriez voir apparaître le

protocole PPP qui est associé avec d’autres protocoles vus en cours (c’est bon pour les

révisions !!).

On ne prendra pas en compte les protocoles CBCP, CCP, IPv6, IPCP.

Essayez de retrouver à quoi servent ces différents protocoles (infos présentes dans la capture de

trames) :

Sous Windows 7 la connexion

VPN apparaît dans la fenêtre

Centre réseau et partage

Pour lancer la

connexion VPN



PPP

_LCP___ Un protocole de contrôle de liaison (Link Control Protocol, LCP)

qui a pour rôle d'établir, de configurer, de tester et de fermer la

liaison de données.

PPP

_CHAP___

CHAP signifie Challenge Handshake Authentication Protocol est un protocole d’authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin qu’Initiator et Target iSCSI s’authentifient éventuellement mutuellement.

L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejoué par un tiers à l’écoute. La contrainte est que chaque partie partage un « secret » (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte.

PPP

_Comp___

GRE

Maintenant que la connexion VPN est établie, allez sur le serveur VPN, dans Routage et accès

distant. Dans l’arborescence de votre serveur, sélectionnez Ports. Dans la liste des ports VPN

créés, recherchez et notez le port qui est actif :

Le port atif est Wan Miniport (PPTP) (VPN3-127)

La connexion VPN étant toujours établie, allez sur le serveur VPN, dans Routage et accès

distant. Dans l’arborescence de votre serveur, sélectionnez Clients d’accès distant.

Normalement vous devriez voir que l’utilisateur « usr_vpn » est connecté. Déconnectez-le à

partir de votre serveur.



5.2) Test de l’accès distant

Relancez la connexion VPN. Vous pouvez maintenant accéder au réseau local. Vous allez donc

accéder au bureau à distance de la machine (supposée être dans le réseau local) depuis votre poste

client (en principe Windows 7) que l’on suppose être relié à Internet.

Pour cela, allez dans Démarrer / Tous les programmes / Accessoires / Connexion bureau à

distance.

Pouvez-vous prendre la main sur la machine distante ? Si vous rencontrez un problème notez-le :

Oui

Faites vérifier par le Prof.

Maintenant que vous avez pris la main à distance sur le client, relancez une capture de trames.

Réalisez une ou deux actions sur le client distant et analysez la capture. Indiquez quels sont les

interlocuteurs (adresses IP) du trafic (PPP uniquement) :

IP src 172.10.0.1 (client de la connection bureau accès à distance)

IP dest 172.10.0.253 ( IP de l’interface du serveur VPN et non pas du PC distant comme

on pourrai le pensé)

Pouvez-vous voir une quelconque information (Nom, adresse IP, etc.) concernant la machine du

réseau local sur laquelle vous êtes connecté à distance ?

Non impossible d’avoir une information sur le bureau distant.

PPTP est probablement le plus répandu en ce qui concerne l’accès distant des nomades. Facile à

mettre en place, il convient parfaitement aux infrastructures ne nécessitant pas de sécurité

particulière et nécessite peu de maintenance. Sa simplicité de mise en place se couple avec le très

large support des systèmes d’exploitation clients, pour la plupart, ne nécessiteront pas de client

logiciel tiers.



On notera néanmoins des désavantages. L’établissement et le maintien de la session se fait en fait

via 2 liens persistants : 1 session GRE encapsulant une session PPP et 1 session TCP vers le port

1723 du serveur servant à gérer la session GRE. Utilisant le protocole d’encapsulation GRE, il n’est

pas évident qu’il puisse être mis en place partout. En effet, nombre de matériels ne gère pas GRE ce

qui rend impossible son implémentation, et notamment les routeurs basiques et les fameuses Box

des différents FAI. Autre point faible, l’authentification de l’utilisateur avant l’établissement de la

session. Bien qu’utilisant couramment le protocole MS-CHAPv2, cela laisse une place aux mots de

passe faibles des utilisateurs, lacune qui peut être comblée par l’emploi de certificats avec EAP-

TLS.

6) Connexion VPN avec mise en œuvre de la NAT sur le routeur

Le routeur va fonctionner de la même façon qu’un routeur d’accès à Internet (type « box » que vous

posséder à votre domicile).

En réalité, ce routeur doit donc avoir une adresse IP publique afin qu’on puisse y accéder depuis

Internet. Nous simulerons cette IP publique et vous utiliserez tous l’adresse « 192.168.0.254 » qui

fera office d’adresse publique.

Il faut ensuite configurer la redirection de port afin que le trafic VPN (provenant de votre poste

client Seven) puisse être redirigé vers le serveur VPN.

Voir « Configuration de la redirection de ports »

Apportez toutes les modifications nécessaires et testez si la connexion VPN est toujours

opérationnelle.

192.168.0. 131

Réseaux 3 (Local)

172.20.0.0 /16

Serveur_01

(Win2008)

Serveur ESXi Client

Win XP

192.168.0.151 172.10.0. 253


192.168.1.0 / 24

Serveur VPN

172.20.0.253

172.20.0.1

Switch

virtuel 3

Switch

virtuel 2

Internet


Réseaux 2

172.10.0.0 /16

Switch

virtuel 1

Routeur

(Win2003)

IP « publique »

192.168.0. 254 172.10.0. 254

Client 01

(Win 7) Votre

poste de

travail



Mise en œuvre d’une connexion VPN SSTP

SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et

établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère en outre une très large

compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le

port 443. Cette solution de SSL VPN est implémentée nativement sur Windows Server 2008 depuis

sa RC0 ce qui évite tout investissement dans une solution tierce. Prévue pour une utilisation des

clients nomades uniquement, son support est uniquement fourni par Windows Vista SP1 et

Windows 7, ce qui n’est pas le cas pour le Service Pack 3 de Windows XP.

Le routeur ne fera que du routage, comme dans la première partie. On supprime la NAT car 2003 ne

sait pas rediriger le trafic SSTP.

Principe de fonctionnement de SSTP :

192.168.0. 131

Réseaux 3 (Local)

172.20.0.0 /16

Serveur_01

(Win2008)

Serveur ESXi Client

Win XP

192.168.0.151 172.10.0. 253


192.168.1.0 / 24

Serveur VPN

172.20.0.253

172.20.0.1

Switch

virtuel 3

Switch

virtuel 2

Internet


Réseaux 2

172.10.0.0 /16

Switch

virtuel 1

Routeur

(Win2003)

192.168.0. 254

172.10.0. 254

Client 01

(Win 7) Votre

poste de

travail



1) Configuration du serveur

SSTP nécessite Windows Server 2008 sur lequel doivent être installés Active Directory Domain

Services (AD DS) et le DNS, ce qui a déjà été fait dans les TP précédents. Un utilisateur de test

dont on aura autorisé l’accès distant dans ses propriétés est également requis (ce qui est également

fait => usr_vpn ; vpn).

Installation du rôle « services de certificats d’Active Directory (AD CS) »

SSTP étant basé sur SSL et à fortiori sur l’authentification du serveur par certificat, nous préférons,

pour la suite, créer notre propre autorité de certification (CA) plutôt que d’engager des frais dans

l’obtention d’un certificat validé par une entité reconnue.

Dans le Gestionnaire de serveur, ajoutez le rôle Services de certificats Active Directory. Pour

cela, vous devez suivre les étapes suivantes :

Sélectionnez le service Autorité de certification ;

Spécifiez ensuite le type d’installation Autonome ;

Indiquez le type d’autorité de certification Autorité de certification racine ;

Configurez la clé privée en choisissant Créer une nouvelle clé privée ;

Configurez le chiffrement avec RSA en 1024 bits et l’algorithme de hachage SHA1 ;

Configurez le nom de l’autorité de certification. Le Nom commun de votre serveur est

proposé par défaut, par exemple domaine01-SERVEUR01-ca ;

Sélectionnez la période de validité du certificat : 1 an ;

Validez l’emplacement (par défaut) des fichiers correspondant à la base de données et au

journal ;

Vérifiez toutes les informations que vous venez de saisir et lancez l’installation

Remarque : Il se peut que l’installation du service de certificats vous oblige à installer aussi IIS

(Internet Information Service). Comme vous déjà installé ce service, l’installation devrait se

dérouler telle que décrite ci-dessus. A vérifier !

Toujours dans le Gestionnaire de serveur, sélectionnez le rôle Services de certificats Active

Directory.que vous venez d’installer. Dans la partie de droite du gestionnaire, allez sur Services de

rôle (qui doit contenir Autorité de certification) et sélectionnez Ajouter des services de rôle. Dans

l’assistant d’installation, cochez le service de rôle Inscription de l’autorité de certification via le

web et poursuivez l’installation.

Ceci nécessite IIS (Internet Information Service) sur le serveur hébergeant l’autorité de

certification, les composants requis vous sont donc proposés. Laissez les éléments par défaut.

Créer et installer le certificat d'authentification du serveur

Le certificat d'authentification du serveur est utilisé par le client pour authentifier le serveur VPN.

Avant d'installer le certificat, vous devez configurer Internet Explorer pour autoriser la publication

du certificat.

Configuration d’Internet Explorer :

1. Sur le serveur VPN, cliquez sur Démarrer, clic droit sur Internet Explorer, puis sélectionnez sur

Exécuter en tant qu'administrateur.

2. Si une alerte de filtre anti-hameçonnage s'affiche, cliquez sur Désactiver automatiquement Filtre

anti-hameçonnage, puis cliquez sur OK.

3. Cliquez sur le menu Outils, puis cliquez sur Options Internet.

4. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité.



5. Sélectionnez une zone pour afficher ou modifier les paramètres de sécurité, cliquez sur Intranet

local.

6. Cliquez sur Personnaliser le niveau de sécurité Intranet local et passer de moyenne-basse à

basse, puis cliquez sur OK.

Demander un certificat d'authentification du serveur

1. Sur le serveur VPN, dans la barre d'adresses d'Internet Explorer, entrez http://localhost/certsrv,

puis appuyez sur ENTRER. Cette opération ne peut fonctionner que si vous avez bien installé le

service de rôle Inscription de l’autorité de certification via le web comme indiqué plus haut.

2. Dans la zone Sélectionner une tâche, cliquez sur Demander un certificat.

3. Vous devez ensuite sélectionner le type de certificat, cliquez sur Demande de certificat

avancée.

4. Cette demande avancée propose deux options, choisissez Créer et soumettre une demande de

requête auprès de cette autorité de certification.

5. Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX

6. Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web.

7. Complétez le formulaire :

Informations d’identification :

Nom : c’est le FQDN, nom complet, utilisé par les clients. Ce nom devrait être de la forme

serveur01.domaine01.net (serveur01.domaineperso.net à la maison).

Pour les autres informations, voir l’exemple ci-dessous.

Type de certificat requis :

Sélectionnez Certificat d’authentification serveur.

Options de la clé :

Cochez l’option Créer un nouveau jeu de clés (option par défaut) ;

Fournisseur de service de chiffrement : Microsoft Enhanced RSA and AES cryptographic

provider ;

Utilisation de la clé : sélectionnez Les deux ;

Taille de la clé : 1024 ;

Sélectionnez ensuite Nom de conteneur de clé automatique ;

Cochez l’option Marquer les clés comme étant exportables ;

Options supplémentaires :

Sélectionnez CMC ;

Pour l’algorithme de hachage choisissez sha1 ;

On peut attribuer un nom convivial à ce certificat, par exemple Certificat SSTP.



Validez la demande de certificat en appuyant sur Envoyer.

Un message (dans Internet Explorer) vous informe que le certificat est en attente. La demande a

bien été reçue, il faut que l’administrateur émette le certificat demandé.

Emission du certificat d'authentification du serveur

Sur votre serveur VPN, revenez dans la console de gestion de l’autorité de certification (Outils

d’administration / autorité de certification).

Faites un double clic sur l’autorité correspondant à votre serveur (du type domaine01-

SERVEUR01-CA), puis ouvrez le dossier Demandes en attente. Vous devriez voir, dans la partie

de droite, la demande de certificat que vous venez de faire.

Normalement l’opération à réussi et la demande est en attente de traitement

Faites un clic droit sur le certificat en attente, choisissez l’option Toutes les tâches puis Délivrer.



Si vous allez maintenant dans le dossier Certificats délivrés, vous devez voir votre certificat avec

toutes les informations que vous avez précédemment indiqué dans le formulaire (Internet Explorer).

Revenez dans Internet Explorer, dans le bandeau en haut de la page (Services certificats Microsoft

….) vous avez un lien vers l’Accueil. Exécutez ce lien (retour à http://localhost/certsrv/).

Dans la zone Sélectionner une tâche, choisissez Afficher le statut d’une requête de

certificat en attente.

Sélectionnez ensuite le certificat d’authentification du serveur que vous venez de créer.

Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX

Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web

Cliquez sur le lien pour Installer ce certificat.

Le certificat d’authentification du serveur est maintenant prêt à être utilisé.

2) Configuration du client

Important : Le client VPN doit obligatoirement fonctionner sous Windows Seven (ou Vista) qui

supporte nativement le protocole SSTP. C’est impossible à réaliser avec un poste XP qui ne gère

pas SSTP !!!!

SSL est basé sur l’authentification du serveur. Celui-ci envoie donc son certificat lors de la

négociation de la connexion ; dès lors, comment garantir que ce certificat est valable ? En faisant

rentrer en jeu l’autorité de certification racine de confiance que l’on suppose intègre. L’ordinateur

doit faire confiance à cette autorité et pour cela posséder son certificat dans son magasin d’autorité

racine de confiance.

Nativement, seules des autorités reconnues internationalement sont présentes. Il faut donc intégrer à

ce magasin le certificat de l’autorité racine que vous avez créé dans l’étape précédente. Pour se

faire, deux solutions s’offrent à nous : soit par téléchargement et installation du certificat via

l’interface Web, soit par déploiement via une GPO. Nous utiliserons la première solution.

Pour contacter le serveur en utilisant son nom (FQDN), il va falloir réaliser une résolution

de nom. Le serveur DNS actif ne connait pas cette machine, il ne pourra donc pas faire de

correspondance entre ce nom et l’adresse IP de serveur.

Pour que le poste client puisse joindre le serveur, vous allez modifier le fichier « hosts » du

client, situé sous c:/windows/system32/drivers/etc, et rajouter la ligne comportant l’adresse

IP et le FQDN du serveur : par exemple 192.168.0.x serveurx.domainex.net. (sur la pate ou

on doit prendre le connection a distance)

Sur le poste client, ouvrez le navigateur. Tapez l’URL correspondant à l’autorité de

certification (dans notre cas c’est aussi le serveur VPN) :

http://serveur01.domaine01.net/certsrv.

Vous devez accéder à la page d’accueil de l’autorité de certification (que nous avons déjà

utilisé pour la configuration du serveur).

Dans la zone Sélectionner une tâche, choisissez Télécharger un certificat d’autorité de

certification …

Vous avez ensuite le choix entre Ouvrir ou Télécharger le certificat. Choisissez OUVRIR.

Choisissez ensuite Installer le certificat …. ce qui permettra d’approuver les certificats

émis par cette autorité de certification (CA par la suite).

Pour vérifier si le certificat est bien installé, allez dans les OUTILS du navigateur.

Pour Internet Explorer choisissez Options Internet. Allez ensuite dans Contenu puis

Certificats. Sélectionnez l’onglet Autorité de certification intermédiaires et vérifiez que

le certificat est bien présent (domaineX-SERVEURx-CA).

http://serveur01.domaine01.net/certsrv



Pour Mozilla Firefox choisissez Options. Allez ensuite dans Avancé puis Chiffrement.

Sélectionnez l’onglet Afficher les certificats puis Autorités et vérifiez que le certificat est

bien présent (domaineX-SERVEURx-CA).



3) Configuration de la connexion VPN

Il faut créer une nouvelle connexion réseau, spécifique au VPN. Pour cela, suivre les étapes

suivantes :

Allez dans Centre Réseau et Partage puis choisissez Configurer une nouvelle connexion

…

Choisissez ensuite l’option Connexion à votre espace de travail (configurer une connexion

d’accès à distance ou VPN).

Sélectionnez l’option Non, créer une nouvelle connexion.

Sélectionnez ensuite Utiliser ma connexion Internet (VPN). Une boite de dialogue vous

propose de configurer une connexion Internet, choisissez Je configurerai une connexion

ultérieurement.

Vous devez ensuite indiquer l’adresse Internet à laquelle vous souhaitez vous connecter.

Vous pouvez indiquez le nom (FQDN) du serveur VPN ou son adresse IP. Pour utiliser le

nom il faut que le fichier « Hosts » ait été modifié correctement.

Vous devez également donner un Nom de la destination : tapez « Connexion VPN SSTP »

Vous devez enfin préciser le Nom d’utilisateur (usr_vpn) et le mot de passe (vpn) avec

lesquels vous allez établir la connexion.

Terminez en appuyant sur le bouton Créer.

Dernière opération, toujours dans Centre Réseau et Partage, sélectionnez Connexion à un

réseau. Dans la fenêtre qui s’ouvre, vous devez voir la connexion VPN que vous venez de créer.

Faites un clic droit puis Propriétés de cette connexion.

Ouvrez l’onglet Sécurité. Dans Type de réseau VPN, choisissez Protocole SSTP à la place

d’automatique.

4) Test de la connexion

Message d’erreur possible (que la connexion utilise le Nom ou l’IP):

Erreur 0x80072746 : une connexion existante a du être fermée par l’hôte distant.



Configuration de la redirection de port

Si ce n’est pas encore fait, ajouter un « nouveau protocole de routage » dans ROUTAGE IP puis

GENERAL. Choisir le protocole PARE-FEU DE BASE /NAT sous 2003 et NAT à partir de 2008.

Allez dans PARE-FEU DE BASE /NAT ou NAT et choisissez Nouvelle Interface et sélectionnez

la carte réseau qui est reliée à Internet.

Dans l’onglet Pare-feu de base / NAT (2003) ou NAT (2008 et +):

Sélectionnez Interface publique connectée à Internet ;

Activer la NAT sur cette interface du routeur ;

Dans l’onglet Services et Ports :

Sélectionnez le(s) service(s) qui vous intéresse(nt). Attention, avec 2003 vous n’avez

comme choix que « Passerelle VPN PPTP » et « Passerelle VPN L2TP/IPsec »;

Indiquez l’adresse IP de la machine vers laquelle le routeur doit rediriger le trafic concerné

(le serveur VPN, 172.10.0.253 dans le TP) ;

RETOUR TP

TP VPN - WeeblyVPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion...

Documents

Transcript of TP VPN - WeeblyVPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion...