Un réseau Privé Virtuel (VPN) Vous Permet

Un réseau privé virtuel (VPN) vous permet de connecter des composants à un réseau par l'intermédiaire d'un

autre réseau tel qu'Internet. Vous pouvez transformer votre ordinateur Windows 2000 Server en un serveur

d'accès distant de façon à ce que d'autres utilisateurs puissent s'y connecter à l'aide d'un VPN et accéder

aux fichiers partagés présents sur vos lecteurs locaux ou votre réseau. Les réseaux privés virtuels

parviennent à cela par " tunnellisation " à travers Internet ou un autre réseau public, d'une manière qui offre

le même niveau de sécurité et les mêmes fonctionnalités qu'un réseau privé. Avec un réseau privé virtuel,

des connexions établies à travers le réseau public peuvent assurer le transfert de données en utilisant

l'infrastructure de routage d'Internet, alors que pour l'utilisateur, il semble que les données ont été envoyées

via une liaison privée spécialisée.

Le présent article explique comment installer un réseau privé virtuel et créer une connexion VPN sur

Windows 2000.

Retour au début

Présentation d'un réseau privé virtuel (VPN)

Un réseau privé virtuel est un moyen de se connecter à un réseau privé (comme votre réseau d'entreprise)

par le biais d'un réseau public tel qu'Internet. Il allie les avantages d'une connexion d'accès à distance avec

un serveur d'accès distant à la souplesse et la commodité d'une connexion Internet. En utilisant une

connexion Internet, vous pouvez voyager dans le monde entier tout ayant la possibilité, dans la plupart des

cas, de vous connecter à votre entreprise par un simple appel local au fournisseur d'accès Internet le plus

proche. Si vous disposez d'une connexion Internet à haut débit (liaison par câble ou DSL, par exemple) sur

votre ordinateur (et à votre bureau), vous pouvez communiquer avec votre entreprise au plein débit

Internet, qui est beaucoup plus rapide que n'importe quelle connexion d'accès à distance à l'aide d'un

modem analogique.

Les VPN utilisent des liaisons authentifiées qui garantissent que seuls les utilisateurs autorisés peuvent se

connecter à votre réseau. De plus, ils utilisent le cryptage pour garantir que les données qui circulent sur

Internet ne peuvent être interceptées et utilisées par d'autres personnes. Windows assure ce niveau de

sécurité en utilisant le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two

Tunneling Protocol).

La technologie VPN permet également à une entreprise de se connecter à ses succursales ou à d'autres

sociétés via un réseau public (comme Internet) tout en préservant la sécurité des communications. La

connexion VPN via Internet fonctionne logiquement comme une liaison réseau à grande distance (WAN)

spécialisée.

http://support.microsoft.com/kb/308208/fr#top

Retour au début

Composants d'un VPN

Dans Windows 2000, un réseau privé virtuel (VPN) est composé d'un serveur VPN, d'un client VPN, d'une

connexion VPN (la partie de la connexion où les données sont cryptées) et du tunnel (la partie de la

connexion où les données sont encapsulées). La tunnellisation est effectuée par le biais de l'un des

protocoles de tunnellisation fournis avec Windows 2000, qui sont tous les deux installés avec le service

Routage et accès distant. Les deux protocoles de tunnellisation fournis avec Windows 2000 sont les

suivants :

PPTP (Point-to-Point Tunneling Protocol) : Assure le cryptage des données à l'aide du

Cryptage point à point Microsoft

L2TP (Layer Two Tunneling Protocol) : Assure le cryptage, l'authentification et l'intégrité des

données à l'aide du protocole IPSec

Il est recommandé que votre connexion à Internet utilise une ligne spécialisée de type T1, T1 fractionnel ou

relais de trames. La carte WAN doit être configurée avec l'adresse IP et le masque de sous-réseau attribués à

votre domaine ou fournis par un fournisseur de services Internet (ISP, Internet Service Provider), ainsi

qu'avec la passerelle par défaut du routeur ISP.

REMARQUE : pour activer un VPN, vous devez ouvrir une session à l'aide d'un compte disposant des droits

d'administration.

Retour au début

Installation et activation d'un VPN

Pour installer et activer un serveur VPN, procédez comme suit :

1. Sur l'ordinateur VPN Microsoft Windows 2000, confirmez que la connexion à Internet et la

connexion à votre réseau local (LAN, Local Area Network) sont toutes les deux correctement

configurées.

2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et

accès distant.

3. Cliquez sur le nom de serveur dans l'arborescence, puis sur Configurer et activer le routage

et l'accès distant dans le menu Action. Cliquez sur Suivant.

4. Dans la boîte de dialogue Configurations communes, cliquez sur Serveur de réseau privé

virtuel (VPN), puis sur Suivant.



5. Dans la boîte de dialogue Protocoles du client distant, confirmez que TCP/IP est inclus dans

la liste, cliquez sur Oui, tous les protocoles requis sont dans cette liste, puis sur Suivant.

6. Dans la boîte de dialogue Connexion Internet, sélectionnez la connexion Internet utilisée pour

vous connecter à Internet, puis cliquez sur Suivant.

7. Dans la boîte de dialogue Attribution d'adresses IP, sélectionnez Automatiquement pour

utiliser le serveur DHCP de votre sous-réseau pour attribuer des adresses IP aux clients d'accès

distant et au serveur.

8. Dans la boîte de dialogue Gestion des serveurs d'accès à distance multiples, confirmez

que la case à cocher Non, je ne veux pas configurer ce serveur pour utiliser RADIUS

maintenant est activée.

9. Cliquez sur Suivant, puis sur Terminer.

10. Cliquez avec le bouton droit sur le noeud Ports, puis cliquez sur Propriétés.

11. Dans la boîte de dialogue Propriétés de Ports, cliquez sur le périphérique Miniport WAN

(PPTP), puis sur Configurer.

12. Dans la boîte de dialogue Configurer le périphérique - Miniport WAN (PPTP), effectuez

l'une des opérations suivantes :

o Si vous ne voulez pas prendre en charge un VPN d'accès utilisateur distant direct aux

modems installés sur le serveur, désactivez la case à cocher Connexions de routage

à la demande (entrantes et sortantes).

o Si vous voulez prendre en charge un VPN d'accès utilisateur distant direct aux modems

installés sur le serveur, activez la case à cocher Connexions de routage à la

demande (entrantes et sortantes).

13. Tapez le nombre maximal de connexions PPTP simultanées que vous voulez autoriser dans la

zone de texte Nombre maximum de ports. (Ce nombre peut dépendre du nombre d'adresses

IP disponibles.)

14. Répétez les étapes 11 à 13 pour le périphérique L2TP, puis cliquez sur OK.

Retour au début

Configuration du serveur VPN

Pour configurer le serveur VPN selon vos besoins, procédez comme décrit ci-après.

Configuration du serveur d'accès distant en tant que routeur

Pour que le serveur d'accès distant puisse acheminer le trafic correctement sur votre réseau, vous devez le

configurer en tant que routeur avec soit des itinéraires statiques, soit des protocoles de routage, de façon à

ce que tous les sites sur l'intranet soient joignables à partir du serveur d'accès distant.


Pour configurer le serveur en tant que routeur :


accès distant.

2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.

3. Sous l'onglet Général, activez la case à cocher Activer cet ordinateur en tant que routeur.

4. Sélectionnez Uniquement le routage réseau local ou Routage réseau local et de

numérotation à la demande, puis cliquez sur OK pour fermer la boîte de dialogue

Propriétés.

Configuration des ports PPTP

Confirmez le nombre de ports PPTP dont vous avez besoin. Pour vérifier le nombre de ports ou pour ajouter

des ports, procédez comme suit :


accès distant.

2. Dans l'arborescence de la console, développez Routage et accès distant, développez le nom

du serveur, puis cliquez sur Ports.

3. Cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de Ports, cliquez sur Miniport WAN (PPTP), puis sur

Configurer.

5. Dans la boîte de dialogue Configurer le périphérique, sélectionnez le nombre maximal de

ports pour le périphérique, puis sélectionnez les options permettant de spécifier si le

périphérique accepte les connexions entrantes uniquement ou à la fois les connexions entrantes

et sortantes.

Gestion des adresses et des serveurs de noms

Le serveur VPN doit avoir des adresses IP à disposition afin de les attribuer à l'interface virtuelle du serveur

VPN et aux clients VPN au cours de la phase de négociation IPCP (IP Control Protocol) du processus de

connexion. L'adresse IP attribuée au client VPN est attribuée à l'interface virtuelle du client VPN.

Pour les serveurs VPN Windows 2000, les adresses IP attribuées aux clients VPN sont obtenues par

adressage DHCP par défaut. Vous pouvez également configurer un groupe d'adresses IP statiques. Le

serveur VPN doit également être configuré avec des serveurs de résolution de noms (généralement des

adresses de serveurs DNS et WINS) à attribuer au client VPN au cours de la négociation IPCP.

Gestion de l'accès

Configurez les propriétés d'appel entrant sur les comptes d'utilisateurs et les stratégies d'accès distant pour

l'accès distant au réseau et les connexions VPN.

REMARQUE : par défaut, l'accès aux connexions d'accès à distance est refusé aux utilisateurs.

Accès par un compte d'utilisateur

Si vous gérez l'accès distant au niveau de l'utilisateur, cliquez sur Permettre l'accès sous l'onglet Appel

entrant de la boîte de dialogue Propriétés de l'utilisateur pour les comptes d'utilisateurs qui sont autorisés

à créer des connexions VPN. Si le serveur VPN autorise uniquement les connexions VPN, supprimez la

stratégie d'accès distant par défaut appelée " Permet l'accès si l'autorisation d'entrée est activée ". Créez

ensuite une nouvelle stratégie d'accès distant en lui attribuant un nom descriptif comme " Accès VPN si

autorisé par le compte d'utilisateur ". Pour plus d'informations, consultez l'aide sur Windows 2000.

ATTENTION : après avoir supprimé la stratégie par défaut, l'accès sera refusé à tout client d'accès distant

qui ne correspond pas à au moins une des configurations de stratégie que vous avez créées.

Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,

mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.

Accès par appartenance à un groupe

Si vous gérez l'accès distant au niveau du groupe, activez la case d'option Contrôler l'accès via la

Stratégie d'accès distant sur tous les comptes d'utilisateurs à l'aide de la console Utilisateurs et

ordinateurs Active Directory disponible dans outils d'administration ou le composant logiciel enfichable MMC.

Créez un groupe Windows 2000 avec les membres qui sont autorisés à créer des connexions VPN. Si le

serveur VPN autorise uniquement les connexions VPN, supprimez la stratégie d'accès distant appelée

" Permet l'accès si l'autorisation d'entrée est activée ". Ensuite, créez une nouvelle stratégie d'accès distant

en lui attribuant un nom descriptif tel que " Accès VPN si membre d'un groupe à autorisation VPN ", puis

affectez le groupe Windows 2000 à la stratégie.

Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,

mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.

Retour au début

Configuration d'une connexion VPN à partir d'un ordinateur client

Pour configurer une connexion à un VPN :

1. Sur l'ordinateur client, confirmez que la connexion à Internet est configurée correctement.

2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès

à distance.

3. Double-cliquez sur Établir une nouvelle connexion.

4. Cliquez sur Suivant, puis sur Connexion à un réseau privé via Internet, puis à nouveau sur

Suivant.

5. Effectuez l'une des opérations suivantes :

o Si vous utilisez une connexion d'accès distant pour vous connecter à Internet, cliquez

sur Composer automatiquement pour cette connexion initiale, puis sélectionnez

votre connexion d'accès distant à Internet dans la liste.

o Si vous utilisez une connexion permanente (comme un modem câble), cliquez sur Ne

pas composer automatiquement la connexion initiale.

6. Cliquez sur Suivant.

7. Tapez le nom d'hôte (par exemple, Microsoft.com) ou l'adresse IP (par exemple,

123.123.123.123) de l'ordinateur auquel vous souhaitez vous connecter, puis cliquez sur

Suivant.

8. Sélectionnez Pour tous les utilisateurs si vous souhaitez que la connexion soit disponible à

toute personne qui ouvre une session sur l'ordinateur, ou sélectionnez Uniquement pour moi

pour la rendre disponible uniquement lorsque vous ouvrez une session sur l'ordinateur. Cliquez

sur Suivant.

9. Attribuez un nom descriptif à la connexion, puis cliquez sur Terminer.

REMARQUE : cette option n'est disponible que si vous avez ouvert une session en tant que

membre du groupe Administrateurs.


à distance.

11. Double-cliquez sur la nouvelle connexion.

12. Cliquez sur Propriétés pour configurer les options de la connexion :


o Si vous vous connectez à un domaine, cliquez sur l'onglet Options, puis activez la case

à cocher Inclure le domaine d'ouverture de session Windows pour spécifier si des

informations relatives au domaine d'ouverture de session de Windows 2000 doivent être

demandées avant de tenter d'établir une connexion.

o Si vous voulez que la connexion soit retentée si la ligne a été raccrochée, cliquez sur

l'onglet Options, puis activez la case à cocher Rappeler si la ligne a été

raccrochée.

Pour utiliser la connexion :


à distance.

2. Double-cliquez sur la nouvelle connexion.

3. Si vous n'êtes pas connecté à Internet, Windows vous propose de le faire.

4. Une fois la connexion à Internet établie, le serveur VPN vous invite à entrer votre nom

d'utilisateur et votre mot de passe. Entrez votre nom d'utilisateur et votre mot de passe, puis

cliquez sur Connecter. Vos ressources réseau devraient disponibles comme si vous étiez

directement connecté au réseau. REMARQUE : pour vous déconnecter du VPN, cliquez avec le

bouton droit sur l'icône de la connexion, puis cliquez sur Déconnecter.

Retour au début

Résolution des problèmes

Résolution des problèmes des VPN d'accès distant

Impossible d'établir la connexion à un VPN d'accès distant

Cause : Le nom de machine de l'ordinateur client est le même que le nom de machine d'un

autre ordinateur sur le réseau.

Solution : Vérifiez que les noms de machine de tous les ordinateurs du réseau et de tous ceux

qui se connectent au réseau sont uniques.

Cause : Le service Routage et accès distant n'est pas démarré sur le serveur VPN.

Solution : Vérifiez l'état du service Routage et accès distant sur le serveur VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service


Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès

distant.

Cause : L'accès distant n'est pas activé sur le serveur VPN.

Solution : Activez l'accès distant sur le serveur VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du

serveur d'accès distant.

Cause : Les ports PPTP ou L2TP ne sont pas activés pour les demandes d'accès distant entrant.

Solution : Activez les ports PPTP et/ou L2TP pour les demandes d'accès distant entrant.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration

des ports pour l'accès distant.

Cause : Les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l'accès distant

sur le serveur VPN.

Solution : Activez les protocoles LAN utilisés par les clients VPN pour l'accès distant sur le

serveur VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'affichage des

propriétés du serveur d'accès distant.

Cause : Tous les ports PPTP ou L2TP du serveur VPN sont déjà en cours d'utilisation par des

clients d'accès distant ou des routeurs de numérotation à la demande actuellement connectés.

Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours

d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le

nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions

simultanées.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports

PPTP ou L2TP.

Cause : Le protocole de tunnellisation du client VPN n'est pas pris en charge par le serveur VPN.

Par défaut, les clients VPN d'accès distant Windows 2000 utilisent l'option de type de serveur

Automatique, ce qui signifie qu'ils essaient d'établir en premier une connexion VPN de type

L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les clients VPN utilisent l'option de

type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling

Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris en charge par le

serveur VPN.

Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et

accès distant est un serveur à capacité PPTP et L2TP avec cinq ports L2TP et cinq ports PPT. Pour

créer un serveur de type PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour

créer un serveur de type L2TP uniquement, définissez le nombre de ports PPTP sur zéro.

Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.


PPTP ou L2TP.

Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne

sont pas configurés pour utiliser au moins une méthode d'authentification commune.

Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès

distant pour qu'ils utilisent au moins une méthode d'authentification commune.


de l'authentification.

Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne

sont pas configurés pour utiliser au moins une méthode de cryptage commune.

Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès

distant pour qu'ils utilisent au moins une méthode de cryptage commune.


du cryptage.

Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel

entrant du compte d'utilisateur et des stratégies d'accès distant.

Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les

propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la

connexion puisse être établie, les paramètres de la tentative de connexion doivent :

o satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;

o disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur

Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la

Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès

distant correspondante (définie sur Accorder l'autorisation d'accès distant) ;

o correspondre à tous les paramètres du profil ;

o correspondre à tous les paramètres des propriétés d'appel entrant du compte

d'utilisateur.

Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies

d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.

Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les

propriétés du serveur VPN.

Les propriétés du profil des stratégies d'accès distant et les propriétés du serveur VPN incluent

toutes deux des paramètres pour :

o le protocole de liaisons multiples (Multilink) ;

o le protocole d'affectation de bande passante ;

o les protocoles d'authentification.

Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les

paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de la

stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-TLS doit

être utilisé et que le protocole EAP n'est pas activé sur le serveur VPN, la tentative de connexion

est rejetée.

Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en

conflit avec les propriétés du serveur VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des

protocoles d'authentification et la configuration de l'authentification.

Cause : Le routeur de réponse est dans l'incapacité de valider les informations d'identification

du routeur d'appel (nom d'utilisateur, mot de passe et nom de domaine).

Solution : Vérifiez que les informations d'identification du client VPN (nom d'utilisateur, mot de

passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le serveur VPN.

Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.

Solution : Si le serveur VPN est configuré avec un groupe d'adresses IP statiques, vérifiez qu'il y

a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe statique ont été

attribuées aux clients VPN connectés, le serveur VPN est dans l'incapacité d'attribuer une

adresse IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si

besoin est. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP

et l'accès distant et sur la création d'un groupe d'adresses IP statiques.

Cause : Le client VPN est configuré pour demander son propre numéro de noeud IPX et le

serveur VPN n'est pas configuré pour autoriser les clients IPX à demander leur propre numéro de

noeud IPX.

Solution : Configurez le serveur VPN pour qu'il autorise les clients IPX à demander leur propre

numéro de noeud IPX.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès

distant.

Cause : Le serveur VPN est configuré avec une plage de numéros de réseau IPX qui sont en

cours d'utilisation ailleurs sur le réseau IPX.

Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX spécifique à

votre réseau IPX.


distant.

Cause : Le fournisseur d'authentification du serveur VPN n'est pas correctement configuré.

Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le

serveur VPN pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les informations

d'identification du client VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs

d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.

Cause : Le serveur VPN ne peut pas accéder au service Active Directory.

Solution : Pour un serveur VPN qui est membre d'un domaine Windows 2000 en mode mixte ou

mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :

o le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le

groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur

Domaine local ;

o le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur

l'objet Contrôle d'accès aux serveurs RAS et IAS ;

o le compte d'ordinateur du serveur VPN doit être membre du groupe de sécurité

Serveurs RAS et IAS. Vous pouvez utiliser la commande netsh ras show

registeredserver pour afficher l'inscription actuelle. Vous pouvez utiliser la commande

" netsh ras add registeredserver " pour inscrire le serveur dans un domaine spécifié ;

si vous ajoutez/supprimez le serveur VPN au/du groupe de sécurité Serveurs RAS et

IAS, la modification n'est pas appliquée immédiatement (en raison de la procédure

utilisée par Windows 2000 pour mettre en mémoire cache les informations du service

Active Directory). Pour que cette modification soit appliquée immédiatement, vous

devez redémarrer le serveur VPN ;

o pour un domaine en mode natif, le serveur VPN doit avoir rejoint le domaine.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un

groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi

que sur les commandes NetShell pour l'accès distant.

Cause : Impossible pour un serveur VPN Windows NT 4.0 de valider les demandes de connexion.

Solution : Si les clients VPN accèdent à distance à un serveur VPN exécutant Windows NT 4.0

qui est membre d'un domaine Windows 2000 en mode mixte, vérifiez que le groupe Tout le

monde est ajouté au groupe Accès compatible pre-Windows 2000 avec la commande

" net localgroup " Accès compatible pre-Windows 2000 " "

Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur

contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :

net localgroup " Accès compatible pre-Windows 2000 " everyone / add.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs

d'accès distant Windows NT 4.0 dans un domaine Windows 2000.

Cause : Le serveur VPN est dans l'incapacité de communiquer avec le serveur RADIUS

configuré.

Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un

filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de

RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour

les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur

la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs

RADIUS plus anciens) pour la gestion de comptes RADIUS.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre

de paquets.

Cause : Impossible de se connecter au serveur VPN via Internet à l'aide de l'utilitaire Ping.exe.

Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur

l'interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol) utilisés

par la commande de contrôle de connexion (" ping ") sont éliminés par filtrage. Pour permettre

au serveur VPN de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre

de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).


de paquets.

Résolution des problèmes des VPN de routeur à routeur

Impossible d'établir une connexion VPN de routeur à routeur

Cause : Le service Routage et accès distant n'est pas démarré ni sur le client VPN (le routeur

d'appel) ni sur le serveur VPN (le routeur de réponse).

Solution : Vérifiez l'état du service Routage et accès distant sur le client VPN et sur le serveur

VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service

Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès

distant.

Cause : Le routage LAN et WAN n'est activé ni sur le routeur d'appel ni sur le routeur de

réponse.

Solution : Activez la fonctionnalité Routage local et distant (routeur LAN et WAN) sur le

routeur d'appel et le routeur de réponse.


routage LAN et WAN.

Cause : Les ports PPTP ou L2TP ne sont pas activés pour les connexions de routage de

numérotation à la demande entrantes et sortantes.

Solution : Activez les ports PPTP et/ou L2TP pour les connexions de routage de numérotation à

la demande entrantes et sortantes.


routage sur les ports.

Cause : Tous les ports PPTP ou L2TP du routeur d'appel ou de réponse sont déjà en cours

d'utilisation par des clients d'accès distant ou des routeurs de numérotation à la demande

actuellement connectés.

Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours

d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le

nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions

simultanées.


PPTP ou L2TP.

Cause : Le protocole de tunnellisation utilisé par le routeur d'appel n'est pas pris en charge par

le routeur de réponse.

Par défaut, les interfaces de numérotation à la demande de Windows 2000 utilisent l'option de

type de serveur Automatique, ce qui signifie qu'ils essaient en premier d'établir une connexion

VPN de type L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les routeurs d'appel

utilisent l'option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP

(Layer-2 Tunneling Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris

en charge par le routeur de réponse.

Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et

accès distant est un routeur de numérotation à la demande à capacité PPTP et L2TP avec cinq

ports L2TP et cinq ports PPTP. Pour créer un routeur de type PPTP uniquement, définissez le

nombre de ports L2TP sur zéro. Pour créer un routeur de type L2TP uniquement, définissez le

nombre de ports PPTP sur zéro.

Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré sur le routeur

d'appel et le routeur de réponse.


PPTP ou L2TP.

Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès

distant ne sont pas configurés pour utiliser au moins une méthode d'authentification commune.

Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès

distant pour qu'ils utilisent au moins une méthode d'authentification commune.


de l'authentification.

Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès

distant ne sont pas configurés pour utiliser au moins une méthode de cryptage commune.

Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès

distant pour qu'ils utilisent au moins une méthode de cryptage commune.


du cryptage.

Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel

entrant du compte d'utilisateur et des stratégies d'accès distant.

Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les

propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la

connexion puisse être établie, les paramètres de la tentative de connexion doivent :

o satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;

o disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur

Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la

Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès

distant correspondante (définie sur Accorder l'autorisation d'accès distant).

o correspondre à tous les paramètres du profil ;

o correspondre à tous les paramètres des propriétés d'appel entrant du compte

d'utilisateur.

Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies

d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.

Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les

propriétés du routeur de réponse. Les propriétés du profil des stratégies d'accès distant et les

propriétés du routeur de réponse incluent toutes deux des paramètres pour :

o le protocole de liaisons multiples (Multilink) ;

o le protocole d'affectation de bande passante ;

o les protocoles d'authentification.

Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les

paramètres du routeur de réponse, la tentative de connexion est rejetée. Par exemple, si le profil

de la stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-

TLS doit être utilisé et que le protocole EAP n'est pas activé sur le routeur de réponse, la

tentative de connexion est rejetée.

Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en

conflit avec les propriétés du routeur d'accès distant.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des

protocoles d'authentification et la configuration de l'authentification.

Cause : Les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et

nom de domaine) sont incorrectes et ne peuvent pas être validées par le routeur de réponse.

Solution : Vérifiez que les informations d'identification du routeur d'appel (nom d'utilisateur,

mot de passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le routeur

de réponse.

Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.

Solution : Si le routeur de réponse est configuré avec un groupe d'adresses IP statiques, vérifiez

qu'il y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe d'adresses

statiques ont été attribuées aux clients d'accès distant connectés ou aux routeurs de

numérotation à la demande, le routeur de réponse est dans l'incapacité d'attribuer une adresse

IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si besoin

est.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP et l'accès

distant, ainsi que sur la création d'un groupe d'adresses IP statiques.

Cause : Le routeur de réponse est configuré avec une plage de numéros de réseau IPX qui sont

en cours d'utilisation ailleurs sur le réseau IPX.

Solution : Configurez le routeur de réponse avec une plage de numéros de réseau IPX

spécifiques à votre réseau IPX.


distant.

Cause : Le fournisseur d'authentification du routeur de réponse n'est pas correctement

configuré.

Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le

routeur de réponse pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les

informations d'identification du client VPN.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs

d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.

Cause : Le routeur de réponse ne peut pas accéder au service Active Directory.

Solution : Pour un routeur de réponse qui est membre d'un domaine Windows 2000 en mode

mixte ou mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :

o le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le

groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur

Domaine local ;

o le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur

l'objet Contrôle d'accès aux serveurs RAS et IAS.

o le compte d'ordinateur du routeur de réponse doit être membre du groupe de sécurité

Serveurs RAS et IAS. Vous pouvez utiliser la commande suivante pour afficher

l'inscription actuelle.

" netsh ras show registeredserver "

Vous pouvez utiliser la commande suivante pour inscrire le serveur dans un domaine

spécifié :

"netsh ras add registeredserver"

Si vous ajoutez/supprimez l'ordinateur routeur de réponse au/du groupe de sécurité

Serveurs RAS et IAS, la modification n'est pas appliquée immédiatement (en raison

de la procédure utilisée par Windows 2000 pour mettre en mémoire cache les

informations du service Active Directory). Pour que cette modification soit appliquée

immédiatement, vous devez redémarrer l'ordinateur routeur de réponse ;

o pour un domaine en mode natif, le routeur de réponse doit avoir rejoint le domaine.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un

groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi

que sur les commandes NetShell pour l'accès distant.

Cause : Un routeur de réponse qui exécute Windows NT 4.0 avec le Service Routage et accès

distant (RRAS) ne peut pas valider de demandes de connexion.

Solution : Si les routeurs d'appel accèdent à distance à un routeur de réponse exécutant

Windows NT 4.0 avec le service RRAS qui est membre d'un domaine Windows 2000 en mode

mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible pre-

Windows 2000 avec la commande

" net localgroup " Accès compatible pre-Windows 2000 " "

Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur

contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :

" net localgroup " Accès compatible pre-Windows 2000 " everyone/add.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs

d'accès distant Windows NT 4.0 dans un domaine Windows 2000.

Cause : Le routeur de réponse est dans l'incapacité de communiquer avec le serveur RADIUS

configuré.

Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un

filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de

RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour

les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur

la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs

RADIUS plus anciens) pour la gestion de comptes RADIUS.


de paquets.

Cause : Impossible de se connecter au routeur de réponse via Internet à l'aide de l'utilitaire

Ping.exe.

Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur

l'interface Internet du routeur de réponse, les paquets ICMP (Internet Control Message Protocol)

utilisés par la commande ping sont éliminés par filtrage. Pour permettre au routeur de réponse

de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre de sortie qui

autorisent le trafic pour le protocole IP 1 (trafic ICMP).


de paquets.

Impossible d'envoyer ou de recevoir des données

Cause : L'interface de numérotation à la demande appropriée n'a pas été ajoutée au protocole

en cours de routage.

Solution : Ajoutez l'interface de numérotation à la demande appropriée au protocole en cours

de routage.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'une

interface de routage.

Cause : Il n'y a aucun itinéraire des deux côtés de la connexion VPN de routeur à routeur qui

prenne en charge l'échange bidirectionnel de trafic.

Solution : À la différence d'une connexion VPN d'accès distant, une connexion VPN de routeur à

routeur ne crée pas automatiquement un itinéraire par défaut. Vous devez créer des itinéraires

sur les deux côtés de la connexion VPN de routeur à routeur de façon à ce que le trafic puisse

être acheminé vers et depuis l'autre côté de ladite connexion.

Vous pouvez ajouter manuellement des itinéraires à la table de routage, ou bien ajouter des

itinéraires statiques par l'intermédiaire de protocoles de routage. Pour les connexions VPN

persistantes, vous pouvez activer le protocole OSPF (Open Shortest Path First) ou RIP (Routing

Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous pouvez

mettre à jour automatiquement les itinéraires par l'intermédiaire d'une mise à jour RIP statique

automatique. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur

l'ajout d'un protocole de routage IP, sur l'ajout d'un itinéraire statique et sur l'exécution de mises

à jour statiques automatiques.

Cause : Une connexion VPN de routeur à routeur à initiation bidirectionnelle est interprétée par

le routeur de réponse comme une connexion d'accès distant.

Solution : Si le nom d'utilisateur dans les informations d'identification du routeur d'appel

apparaît sous Clients d'appel entrant dans le service Routage et accès distant, il se peut que

le routeur de réponse interprète le routeur d'appel comme un client d'accès distant. Vérifiez que

le nom d'utilisateur dans les informations d'identification du routeur d'appel correspond au nom

d'une interface de numérotation à la demande du routeur de réponse. Si l'appelant entrant est

un routeur, le port sur lequel l'appel a été reçu indique un état Actif et l'interface de

numérotation à la demande correspondante est à l'état Connecté.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la vérification de

l'état du port sur le routeur de réponse et sur la vérification de l'état de l'interface de

numérotation à la demande.

Cause : Les filtres de paquets sur les interfaces de numérotation à la demande du routeur

d'appel et du routeur de réponse empêchent l'acheminement du trafic.

Solution : Vérifiez qu'il n'y a pas de filtres de paquets sur les interfaces de numérotation à la

demande du routeur d'appel et du routeur de réponse qui empêchent l'envoi ou la réception de

trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres

d'entrée et de sortie IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX qui est

autorisé en entrée et en sortie de l'interface de numérotation à la demande.

Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la gestion des

filtres de paquets.

Cause : Les filtres de paquets sur le profil des stratégies d'accès distant empêchent

l'acheminement du trafic IP.

Solution : Vérifiez qu'aucun filtre de paquets TCP/IP n'est configuré dans les propriétés de profil

des stratégies d'accès distant du serveur VPN (ou du serveur RADIUS en cas d'utilisation du

service IAS) qui empêchent l'envoi et la réception de trafic TCP/IP. Vous pouvez utiliser les

stratégies d'accès distant pour configurer des filtres de paquets d'entrée et de sortie TCP/IP qui

contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres

de paquets TCP/IP du profil n'empêchent pas l'acheminement du trafic requis.


des options IP.

Un réseau Privé Virtuel (VPN) Vous Permet

Documents

Transcript of Un réseau Privé Virtuel (VPN) Vous Permet