Windows Server 2012 - Routage et passerelles VPN

Page 1 / 3
  • Publié le : 09 décembre 2016 à 14:20
  • Par Lionel Eppe

Lorsque l'on possède des bureaux dans différents pays, il est parfois intéressant de pouvoir accéder aux données hébergées à un autre endroit dans le monde.
Pour cela, nous allons utiliser le système des passerelles VPN.

Dans ce tutoriel, nous allons prendre l'exemple d'une société qui serait implémentée en Belgique (avec un bureau à Bruxelles) et qui possèderait aussi un autre bureau en France (à Paris).

Note : si vous souhaitez mieux connaitre la technologie VPN, consultez notre précédent tutoriel : Windows Server 2012 - Routage et serveur VPN

  1. Configuration réseau utilisée
  2. Configuration des pare-feu matériels
  3. Installation du serveur VPN et du routeur
  4. Configuration du serveur VPN et du routeur
  5. Création et configuration des passerelles VPN
    1. Création des utilisateurs
    2. Connexion du site 1 (Bruxelles) au site 2 (Paris)
    3. Connexion du site 2 (Paris) au site 1 (Bruxelles)
  6. Routage statique pour ordinateurs des réseaux locaux
    1. Routage statique en ligne de commandes
    2. Routage statique via les stratégies de groupe (GPO)
  7. Test des passerelles VPN
  8. Configuration des passerelles VPN pour utiliser L2TP/IKEv2
  9. Test des passerelles VPN (via L2TP/IKEv2)

1. Configuration réseau utilisée

Pour implémenter cette solution et correspondre au mieux à la configuration d'un réseau réel d'entreprise, voici la configuration réseau que nous avons utilisée :

  • 1 serveur Active Directory dans chaque réseau (le rôle Active Directory doit déjà être configuré sur ces serveurs)
  • 1 serveur dans chaque réseau avec les DHCP (déjà installé), VPN et routeur (ces serveurs possèdent donc 2 cartes réseau : 1 pour le réseau LAN et l'autre connecté à Internet)

Les serveurs VPN1 et VPN2 serviront de passerelles VPN, mais aussi de routeurs pour les machines de nos intranets (réseaux locaux).

Important : pour pouvoir accéder aux serveurs du réseau interne, ainsi qu'à ceux du réseau distant, il est recommandé d'utiliser des adresses IP différentes sur ces 2 réseaux. En effet, grâce à la connexion VPN, toutes les machines des 2 réseaux se retrouveront sur un même réseau.
Comme vous pouvez le voir sur l'image ci-dessous, chaque serveur possède une adresse IP LAN unique. Par exemple : 10.0.1.10 pour le contrôleur de domaine (Active Directory) du 1er réseau et 10.0.2.10 pour celui du réseau distant.

Pour la configuration des serveurs DHCP, voici leurs configurations :

  • le serveur DHCP du 1er réseau (serveur VPN1 sur l'image ci-dessus) distribue des adresses IP de 10.0.1.20 à 10.0.1.30 avec un masque de sous-réseau de 255.255.255.0
  • le serveur DHCP du 2ème réseau (serveur VPN2 sur l'image ci-dessus) distribue des adresses IP de 10.0.2.20 à 10.0.2.30 avec un masque de sous-réseau de 255.255.255.0

Pour les options de l'étendue, nous utiliserons les options / valeurs suivantes.

Pour le serveur DHCP du 1er réseau :

  • 003 Routeur : 10.0.1.11 (adresse IP du serveur VPN1)
  • 006 Serveur DNS : 10.0.1.10 (adresse IP du serveur Active Directory)
  • 015 Nom de domaine DNS : nom de domaine local choisi lors de la création de votre Active Directory.

Pour le serveur DHCP du 2ème réseau :

  • 003 Routeur : 10.0.2.11 (adresse IP du serveur VPN2)
  • 006 Serveur DNS : 10.0.2.10 (adresse IP du serveur Active Directory)
  • 015 Nom de domaine DNS : nom de domaine local choisi lors de la création de votre Active Directory.

2. Configuration des pare-feu matériels

Etant donné que le système de passerelles VPN vous permettra de relier plusieurs réseaux distants en un seul réseau, il sera peut-être nécessaire de configurer les pare-feu matériels qui seraient présent entre votre réseau et Internet. C'est le cas notamment dans les grosses sociétés.

Attention : ceci ne concerne pas le pare-feu de Windows qui est, par défaut, configuré correctement pour autoriser les connexions VPN PPTP et L2TP que nous utiliserons dans ce tutoriel.

Pour connaitre les ports à débloquer (selon votre configuration), consultez la page "Which ports to unblock for VPN traffic to pass-through ?" créée par Samir Jain sur le Technet de Microsoft.

3. Installation du serveur VPN et du routeur

Pour installer le serveur VPN et le routeur, lancez l'assistant d'ajout de rôles et de fonctionnalités et sélectionnez "Installation basée sur un rôle ou une fonctionnalité".

Important : ceci est à effectuer sur vos 2 serveurs (VPN1 et VPN2).

Sélectionnez votre serveur et cliquez sur "Suivant".

Cochez la case "Accès à distance" et cliquez sur Suivant.

Cochez les cases "DirectAccess et VPN (accès à distance)" pour l'installation de la passerelle VPN et "Routage" pour le routeur.

Cliquez sur Installer.

L'installation s'effectue.

A la fin de l'installation, cliquez sur le lien "Ouvrir l'Assistant de Mise en route".

4. Configuration du serveur VPN et du routeur

Cliquez sur "Déployer VPN uniquement".

Important : ceci est à effectuer sur vos 2 serveurs (VPN1 et VPN2).

Faites un clic droit sur le nom de votre serveur et cliquez sur "Configurer et activer le routage et l'accès à distance".

L'assistant d'installation d'un serveur Routage et accès distant s'affiche.

Sélectionnez "Accès VPN (Virtual Private Network) et NAT" et cliquez sur "Suivant".

Sélectionnez l'interface (la carte réseau) de votre serveur connectée à Internet.

Note : comme vous pouvez le voir, nous avions déjà renommé nos cartes réseau en LAN et WAN pour savoir quelle carte réseau est connectée à Internet et quelle carte réseau est connectée au réseau interne.

Sélectionnez "Automatiquement" pour que votre serveur DHCP distribue les adresses IP aux clients du serveur VPN.

Choisissez "Non, utiliser Routage et accès distant pour authentifier les demandes de connexion".
En choisissant cette option, ce serveur utilisera votre Active Directory pour authentifier vos utilisateurs.

L'assistant vous affiche un résumé de la configuration.

Windows vous affichera un message concernant la configuration de l'agent de relais DHCP.
Cliquez sur OK.

Le serveur initialise le serveur de routage et d'accès distant, puis démarrera les services nécessaires.

Pour terminer la configuration, allez dans IPv4 et faites un clic droit "Propriétés" sur "Agent de relais DHCP".

Indiquez l'adresse de votre serveur DHCP et cliquez sur Ajouter, puis OK.
Dans notre cas, pour notre serveur VPN1, il s'agit de l'adresse IP : 10.0.1.11

Pour notre serveur VPN2, il s'agit de l'adresse IP : 10.0.2.11