Professional Documents
Culture Documents
1)
Tutorial conu et rdig par Michel de CREVOISIER
SOURCES
Step by step deployement guide by Microsoft :
http://technet.microsoft.com/en-us/library/cc787328%28WS.10%29.aspx
Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et pensez crer une zone de recherche inverse. Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1 Entreprise (jinsiste sur Entreprise pour la gestion des certificats), vous pouvez tlcharger une dmo ici depuis le site officiel de Microsoft. Vous pouvez mme le tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC. Notez par ailleurs quil est recommand de ne pas installer le VPN sur le serveur Active Directory. Attention, mes serveurs sont installs en anglais, donc je vous recommande dopter pour cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en anglais ici pour ne pas perdre le fil En revanche, mon poste client sous Windows Seven est bien en franais. Pour ce tuto, jutiliserai deux serveurs, le principal (avec Active Directory et DNS) nomm DC1 et celui o le VPN sera install, nomm VPN1. Quant au poste client (Vista SP1 ou Seven minimum), il sera nomm CLIENT1. VPN1 devra obligatoirement tre joint au domaine cre par DC1. En revanche, cela nest pas ncessaire pour le poste client VPN1. Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter des certificats auprs dune autorit comptente, de disposer dune DMZ et de possder un serveur avec de deux cartes rseau places dans des rseaux diffrents. Tout ceci pour des raisons de scurit.
I.
Installation de DC1
IP : 192.168.0.10
Renseignez ensuite lIP fournir pour cet utilisateur Attention ne pas indiquer une IP faisant partie dune plage DHCP
II.
Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur Add roles ( droite)
Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP)
Lancer IIS Manager Cliquer sur Default Web Site Puis sur Directory Browsing
4. Demande de certificat
Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise Cliquer sur Request a certificate
Acceptez les ActiveX En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com) Dans Type of certificate needed, mettre Server Authentification Certificate Cochez la case Mark key as exportable Vous pouvez augmenter la taille de clef jusqu 16384 !!!
Cliquez sur Submit en bas droite Votre demande est maintenant en attente de validation
5. Validation du certificat
Puis clic droit sur le certificat > All tasks > Issue Votre demande est maintenant valide
6. Installation du certificat
Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise Cliquer sur View the status Cliquez sur Install the certificate
Certificates > Add > Computer account > Local computer > OK Ok Vous obtenez ceci :
Droulez Certificate Current User > Personal afin de slectionner votre certificat rcemment install Clic droit All tasks > Export
Next
Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish Droulez Certificate (Local computer) > Personal > Certificates
Clic droit sur Certificates >All tasks > Import Next [Emplacement certificat] > Next Votre mot de passe > Next > Next > Finish On supprime le certificat commenant par le <nom_domaine><nom_machine>
III.
1. Installation du rle
Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur Add roles ( droite)
Lancer Routing and remote access Clic droit sur [nom_votre_serveur] > Configure and enable
3. Configuration du firewall
Ouvrez le gestionnaire de firewall avanc Bloquez les rgles entrantes (inbound rules) existantes suivantes par scurit (le service Pare-feu / Windows Firewall doit bien entendu tre activ) : o L2TP-in o SSTP-in Double clic sur la rgle > Bloquer
Aller dans Policies > Connection Requet Policies Supprimer toutes les rgles existantes (clic droit > Supprimer) Ensuite, crez une nouvelle rgle : clic droit > Connection Request Policies > New
Tapez un nom pour votre stratgie : Accs distant VPN-PPTP-EAP Type of network > Remote Access Server (VPN-Dial up) Next Vous obtenez la page suivante :
Add Ajoutez ensuite les rgles suivantes dans la liste : o Framed Protocol : PPP o NAS port type : Virtual VPN o Tunnel Type : PPTP
Rpondez ensuite Next toutes les options, puis sur terminer Vous obtenez un rsultat semblable cela :
Il faut maintenant crer une stratgie rseau: Aller dans Policies > Network Policies Supprimer toutes les rgles existantes (clic droit > Supprimer) Ensuite, crez une nouvelle rgle : clic droit > Network Policies > New Lassistant suivant se lance :
Add Ajoutez ensuite les rgles suivantes dans la liste : o Users groups : groupe AD donc VPN-user est membre
Rpondez ensuite Next toutes les options, puis sur terminer Vous obtenez un rsultat semblable cela :
Une fois votre Network Policies cr, clic droit sur celle-ci, puis Proprits Allez dans longlet Constraints
Cliquez sur OK, puis encore sur OK Lancer ensuite Routing and remote access Clic droit sur [nom_votre_serveur] > All tasks > Restart Votre serveur NPS est dornavant oprationnel.
IV.
Pour vous connecter depuis lextrieur, vous devez ouvrir les ports 1723 en TCP sur votre routeur et les rediriger vers lIP interne du serveur VPN1. Je vous laisse chercher sur internet pour savoir comment ouvrir le port selon votre type de box/routeur.
V.
1. Installation du certificat
Depuis le poste CLIENT1, allez sur le site http://nom_serveur_VPN1/certsrv/en-US via IE Download a CA certificate
Download a CA certificate
Certificates > Add > My user account > OK Certificates > Add > Computer account > Local computer > OK
Certificats utilisateur local > Autorits de certification intermdiaire > Certificats Clic droit sur votre certificat > Copier Certificats (ordinateur local) > Autorits de certification racine de confiance > Certificats Clic droit > Coller
Sabonner au service Custom DNS ici pour 30$ /an (active le service permettant de mettre jour son IP dynamique) Dposer un nom de domaine ici pour 15 $ / an Dposer un nom de domaine gratuit DynDNS (domaine.dyndns.com)
De plus vous devrez tlcharger le logiciel DynDNS Update Client ici. Une fois lapplication installe sur votre serveur VPN, vous vous identifiez et automatiquement lapplication se chargera dassocier votre nom de domaine avec votre IP dynamique. Pratique non ? En voici un aperu :
Astuce
Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de dposer un nom de domaine gratuit de type domaine.dyndns.com et le tour est jou. Votre routeur (et non plus votre serveur) se chargera dactualiser votre nom de domaine avec votre IP.
Remplir les champs nom dutilisateur et mot de passe avec le compte AD clientvpn cr auparavant.
Crer Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur Modifier les paramtres de la carte
Clic droit sur la connexion VPN rcemment cre (VPN PPTP EAP) > Proprits Vrifiez que vous avez bien mis lIP public de votre serveur dans longlet Gnral
Dans le menu droulant de longlet Scurit choisissez Protocole PPTP et dans lapart Authentification du dessous choisissez Microsoft : PEAP
Toujours dans longlet Scurit cliqu sur Proprits Cochez alors la case correspondant au nom de votre certificat
Cliquez sur OK puis encore sur OK Votre VPN PPTP-EAP est prt
VI.
Les erreurs suivantes sont celles que jai pu rencontrer lors de linstallation du VPN PPTPEAP. Certaines mont oblig passer pas mal de temps sur internet la recherche dune solution. Jespre donc quelles vous seront de grandes utilits. Si une erreur nest pas rpertorie ici, reportez-vous aux sites cits au dbut dans la partie Sources . Attention la liste ci-dessous nest pas exhaustive.
Votre stratgie NPS bloque la connexion. Rfrez-vous au paragraphe III.4. pour configurer vos rgles de scurits NPS correctement.
2. La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le serveur [] ne correspond pas aux paramtres
Erreur : 919
La mthode dauthentification de votre poste client ne correspond pas celles acceptes par le serveur Allez dans Routing and remote access > clic droit [serveur] > Properties > Security > Authentification Methods et slectionnez la case approprie. Pour informations le VPN SSTP utilise la mthode MS-CHAP v2 et le VPN PPTP-EAP la mthode Extensible authentification protocol (EAP)
3. La connexion de rseau [] na pas pu tre tablie. Cet incident se produit [] lorsque votre serveur VPN nest configur pour permettre les paquets du protocole GRE
Erreur : 806
Erreur ct client
Erreur ct serveur
Le protocole GRE est bloqu par un pare-feu ou un routeur Vrifier que le firewall est bien configur selon le point III.3 Vous essay de vous connecter via votre tlphone en modem. Rien faire, le protocole GRE est bloqu par les oprateurs tlphoniques Certains FAI bloquent galement le protocole GRE
Vous navez pas indiqu le bon certificat lors de la cration du VPN Vrifiez que vous avez bien suivi les tapes du point V.4
VII. Conclusion
Voil, votre VPN PPTP-EAP est prt. Vous pouvez dornavant vous connectez chez vous depuis nimporte quel endroit, du moment que vous avez un accs internet et que les ports [1723] pour PPTP et [43] pour GRE (change de clefs) ne sont pas bloqus. Et nessayez pas de vous connecter via votre tlphone en tant que modem, les oprateurs bloquent le protocole GRE [43].
Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante : m.decrevoisier A-R-0-B-A-5 outlook . com