Windows Server 2012 - Routage et serveur VPN

Page 1 / 4
  • Publié le : 03 décembre 2016 à 13:25
  • Par Lionel Eppe

En entreprise, il arrive que des employés ou le patron doivent partir en mission à l'extérieur.
Lorsque ceux-ci sortent de la société, ils n'ont plus accès aux services hébergés dans leurs locaux.

Pour remédier à ça, il existe ce que l'on appelle les tunnels VPN. Cette technologie vous permet d'accéder à l'intégralité de votre réseau local depuis l'extérieur, et ce de façon entièrement sécurisée.
Une fois connecté au serveur VPN de votre société, votre ordinateur se retrouvera virtuellement dans le réseau local de votre société comme si vous y étiez physiquement.

Cette technologie est donc très pratique, mais attention aux tentatives de piratage, car si votre serveur VPN n'est pas sécurisé correctement, un pirate pourrait s'en servir pour avoir accès à l'intégralité de votre réseau.
Jusqu'à ce que vous lui bloquiez l'accès (mais il sera surement trop tard).

  1. VPN ou DirectAcces ?
  2. Configuration utilisée
  3. Installation du serveur VPN et du routeur
  4. Configuration du serveur VPN et du routeur
  5. Propriétés de la console : routage et accès distant
  6. Autoriser la connexion VPN pour un utilisateur
  7. NPS (Network Policy Server)
    1. Filtres IP
    2. Stratégies réseau
  8. Client VPN
    1. Configuration
    2. Propriétés
    3. Test
  9. Bonus : CMAK
    1. Configuration du client VPN
    2. Installation du client VPN

1. VPN ou DirectAcces ?

Lorsque vous tenterez d'installer les services d'accès à distance (dont le VPN), Windows Server vous proposera de choisir entre :

  • DirectAccess + VPN
  • DirectAccess seulement
  • VPN seulement

Alors qu'elle est la différence entre ces 2 technologies et quelle technologie choisir ?

1.1. VPN

Pour le VPN, il s'agit de créer une connexion réseau sécurisée à son réseau d'entreprise pour que le PC distant se retrouve virtuellement dans le réseau de votre entreprise.

1.2. DirectAccess

Comme vous le verrez notamment sur la page "Vue d’ensemble de DirectAccess" du site de Microsoft, DirectAccess est une technologie qui permet de créer une connexion bidirectionnelle (dans les 2 sens) avec un réseau interne (intranet) lorsqu'un ordinateur DirectAccess se connecte à Internet.

Lorsque vous utiliser DirectAccess :

  • la connexion est établie avant même que l'utilisateur se connecte sur sa session
  • l'administrateur réseau de votre entreprise pourra gérer la sécurité de ce PC grâce notamment aux stratégies de sécurité.

Par exemple : si un employé possède un ordinateur portable qui est membre de votre domaine (dans le réseau de votre entreprise), vous pouvez gérer sa sécurité et lui définir automatiquement des stratégies de sécurité via les stratégies de groupe.
Cela est possible parce que son PC portable est joint à votre domaine et qu'il se connecte avec un utilisateur présent dans votre Active Directory.
Néanmoins, lorsqu'il sortira de votre société, vous ne pourrez plus gérer ce PC. Sauf si vous utilisez la technologie : DirectAccess.

Notez que cette technologie est très complexe à mettre en place, bien qu'elle soit très intéressante.

1.3. Conclusion

La technologie à utiliser dépend de vos besoins et notamment si vous voulez pouvoir gérer ces PC distants comme si ceux-ci étaient réellement dans le réseau de votre entreprise.

2. Configuration utilisée

Pour ce tutoriel, nous allons utiliser 2 serveurs :

  1. un serveur Active Directory
  2. un autre serveur joint à cet Active Directory et où le rôle DHCP est déjà installé

Dans notre cas, notre 2ème serveur servira de routeur et de serveur VPN.
Grâce à ce serveur, les utilisateurs de notre réseau auront accès à Internet via notre serveur et les utilisateurs autorisés pourront se connecter à notre réseau grâce au serveur VPN.

2.1. Configuration réseau

Voici la configuration réseau de nos 2 serveurs.

Le 1er serveur (Active Directory) :

Le 2ème serveur (Routeur et serveur VPN).
Etant donné qu'il servira de routeur, ce serveur possède donc 2 cartes réseau :

  • la carte réseau LAN pour le réseau interne. Les machines de ce réseau possèderont des adresses IP en 10.x.x.x (IP de classe A comme celle des adresses IP distribuées par notre serveur DHCP)
  • la carte réseau WAN connecté à Internet (dans notre cas : sur une box connectée à Internet).

Pour la carte réseau connectée à notre réseau interne, nous avons défini une adresse IP statique "10.0.0.11".
En effet, comme le serveur DHCP est installé sur ce serveur et que notre serveur servira aussi de routeur, nous devons lui définir une adresse IP statique.

Pour la passerelle, il n'y en a pas étant donné que c'est nous.
Pour le serveur DNS, nous utilisons celui qui a été automatiquement installé lors de l'installation de l'Active Directory (sur notre 1er serveur).

Pour la carte réseau connectée à Internet, notre Box distribue des adresses IP du type : 192.168.x.x
Nous avons donc choisi une adresse IP facile à mémoriser : 192.168.1.10.
La passerelle correspond à l'adresse IP de notre Box : 192.168.1.1
Pour les serveurs DNS, nous utiliserons ceux fournis par notre FAI (qui se trouvent dans la Box), ainsi que ceux de Google.

2.2. Configuration DNS

Sur le serveur où vous avez installé votre Active Directory, vous trouverez aussi un serveur DNS (celui-ci a été automatiquement installé lors de l'installation de l'Active Directory).
Néanmoins, par défaut, ce serveur DNS ne résout que les noms de domaines de votre intranet.

Pour que celui-ci résolve aussi les noms de domaines présents sur Internet, vous devrez y ajouter des redirecteurs.
Pour cela, lancez le programme "DNS" (ou gestionnaire DNS), puis faites un clic droit "Propriétés" sur le nom de votre serveur.
Ensuite, allez dans l'onglet "Redirecteurs", cliquez sur le bouton "Modifier" en bas de la liste, puis ajoutez les serveurs DNS publics de Google (8.8.8.8 et 8.8.4.4).

Pour plus d'informations concernant cette configuration, consultez la page : Configuration du serveur DNS (pour supporter Internet)

2.3. Configuration du serveur DHCP

Pour le serveur DHCP installé sur le serveur qui servira de routeur et de serveur VPN, nous l'avons configuré pour :

  • qu'il distribue des adresses IP de type : 10.0.0.x
  • qu'il envoie l'adresse IP de notre futur routeur comme passerelle par défaut (Option : 003 Routeur)
  • qu'il envoie l'adresse IP de notre serveur Active Directory comme serveur DNS (Option : 006 Serveurs DNS)
  • qu'il envoie le nom de domaine local "informatiweb.lan" comme suffixe DNS propre à la connexion (Option : 015 Nom de domaine DNS) - facultatif

Voilà pour la configuration utilisée et pré-configurée.

3. Installation du serveur VPN et du routeur

Pour commencer, lancez l'assistant d'ajout de rôles et de fonctionnalités.

Comme vous pouvez le voir, notre 2ème serveur possède 2 adresses IP (1 pour chaque carte réseau).

Cochez uniquement la case "Accès à distance" et cliquez sur "Suivant".

Aucune fonctionnalité nécessaire.
Cliquez sur Suivant.

Windows vous affiche une description du rôle "Accès à distance" et de la technologie "DirectAccess".

Cochez "DirectAccess et VPN (accès à distance)" et "Routage".

Windows vous affiche une description du rôle "Web Server (IIS)".

Cliquez sur "Suivant".

Cliquez sur "Installer".
Comme vous pouvez le voir, l'assistant va aussi installer le kit d'administration du gestionnaire des connexions Microsoft (CMAK) RAS.
Ce programme vous permettra de créer un exécutable pour installer et configurer automatiquement un client VPN sur les ordinateurs de vos utilisateurs avec les paramètres que vous souhaitez.
En résumé, pour vos utilisateurs, il leur suffira de lancer ce programme pour pouvoir ensuite se connecter au serveur VPN de votre entreprise.

Une fois l'installation terminée, cliquez sur le lien "Ouvrir l'Assistant Mise en route".