• Windows Server
  • VPN, Routage
  • 1/4

En entreprise, il arrive que des employés ou le patron doivent partir en mission à l'extérieur.
Lorsque ceux-ci sortent de la société, ils n'ont plus accès aux services hébergés dans leurs locaux.

Pour remédier à ça, il existe ce que l'on appelle les tunnels VPN. Cette technologie vous permet d'accéder à l'intégralité de votre réseau local depuis l'extérieur, et ce de façon entièrement sécurisée.
Une fois connecté au serveur VPN de votre société, votre ordinateur se retrouvera virtuellement dans le réseau local de votre société comme si vous y étiez physiquement.

Cette technologie est donc très pratique, mais attention aux tentatives de piratage, car si votre serveur VPN n'est pas sécurisé correctement, un pirate pourrait s'en servir pour avoir accès à l'intégralité de votre réseau.
Jusqu'à ce que vous lui bloquiez l'accès (mais il sera surement trop tard).

  1. VPN ou DirectAcces ?
  2. Configuration utilisée
  3. Installation du serveur VPN et du routeur
  4. Configuration du serveur VPN et du routeur
  5. Propriétés de la console : routage et accès distant
  6. Autoriser la connexion VPN pour un utilisateur
  7. NPS (Network Policy Server)
    1. Filtres IP
    2. Stratégies réseau
  8. Client VPN
    1. Configuration
    2. Propriétés
    3. Test
  9. Bonus : CMAK
    1. Configuration du client VPN
    2. Installation du client VPN

1. VPN ou DirectAcces ?

Lorsque vous tenterez d'installer les services d'accès à distance (dont le VPN), Windows Server vous proposera de choisir entre :

  • DirectAccess + VPN
  • DirectAccess seulement
  • VPN seulement

Alors qu'elle est la différence entre ces 2 technologies et quelle technologie choisir ?

1.1. VPN

Pour le VPN, il s'agit de créer une connexion réseau sécurisée à son réseau d'entreprise pour que le PC distant se retrouve virtuellement dans le réseau de votre entreprise.

1.2. DirectAccess

Comme vous le verrez notamment sur la page "Vue d’ensemble de DirectAccess" du site de Microsoft, DirectAccess est une technologie qui permet de créer une connexion bidirectionnelle (dans les 2 sens) avec un réseau interne (intranet) lorsqu'un ordinateur DirectAccess se connecte à Internet.

Lorsque vous utiliser DirectAccess :

  • la connexion est établie avant même que l'utilisateur se connecte sur sa session
  • l'administrateur réseau de votre entreprise pourra gérer la sécurité de ce PC grâce notamment aux stratégies de sécurité.

Par exemple : si un employé possède un ordinateur portable qui est membre de votre domaine (dans le réseau de votre entreprise), vous pouvez gérer sa sécurité et lui définir automatiquement des stratégies de sécurité via les stratégies de groupe.
Cela est possible parce que son PC portable est joint à votre domaine et qu'il se connecte avec un utilisateur présent dans votre Active Directory.
Néanmoins, lorsqu'il sortira de votre société, vous ne pourrez plus gérer ce PC. Sauf si vous utilisez la technologie : DirectAccess.

Notez que cette technologie est très complexe à mettre en place, bien qu'elle soit très intéressante.

1.3. Conclusion

La technologie à utiliser dépend de vos besoins et notamment si vous voulez pouvoir gérer ces PC distants comme si ceux-ci étaient réellement dans le réseau de votre entreprise.

2. Configuration utilisée

Pour ce tutoriel, nous allons utiliser 2 serveurs :

  1. un serveur Active Directory
  2. un autre serveur joint à cet Active Directory et où le rôle DHCP est déjà installé

Dans notre cas, notre 2ème serveur servira de routeur et de serveur VPN.
Grâce à ce serveur, les utilisateurs de notre réseau auront accès à Internet via notre serveur et les utilisateurs autorisés pourront se connecter à notre réseau grâce au serveur VPN.

2.1. Configuration réseau

Voici la configuration réseau de nos 2 serveurs.

Le 1er serveur (Active Directory) :

Le 2ème serveur (Routeur et serveur VPN).
Etant donné qu'il servira de routeur, ce serveur possède donc 2 cartes réseau :

  • la carte réseau LAN pour le réseau interne. Les machines de ce réseau possèderont des adresses IP en 10.x.x.x (IP de classe A comme celle des adresses IP distribuées par notre serveur DHCP)
  • la carte réseau WAN connecté à Internet (dans notre cas : sur une box connectée à Internet).

Pour la carte réseau connectée à notre réseau interne, nous avons défini une adresse IP statique "10.0.0.11".
En effet, comme le serveur DHCP est installé sur ce serveur et que notre serveur servira aussi de routeur, nous devons lui définir une adresse IP statique.

Pour la passerelle, il n'y en a pas étant donné que c'est nous.
Pour le serveur DNS, nous utilisons celui qui a été automatiquement installé lors de l'installation de l'Active Directory (sur notre 1er serveur).

Pour la carte réseau connectée à Internet, notre Box distribue des adresses IP du type : 192.168.x.x
Nous avons donc choisi une adresse IP facile à mémoriser : 192.168.1.10.
La passerelle correspond à l'adresse IP de notre Box : 192.168.1.1
Pour les serveurs DNS, nous utiliserons ceux fournis par notre FAI (qui se trouvent dans la Box), ainsi que ceux de Google.

2.2. Configuration DNS

Sur le serveur où vous avez installé votre Active Directory, vous trouverez aussi un serveur DNS (celui-ci a été automatiquement installé lors de l'installation de l'Active Directory).
Néanmoins, par défaut, ce serveur DNS ne résout que les noms de domaines de votre intranet.

Pour que celui-ci résolve aussi les noms de domaines présents sur Internet, vous devrez y ajouter des redirecteurs.
Pour cela, lancez le programme "DNS" (ou gestionnaire DNS), puis faites un clic droit "Propriétés" sur le nom de votre serveur.
Ensuite, allez dans l'onglet "Redirecteurs", cliquez sur le bouton "Modifier" en bas de la liste, puis ajoutez les serveurs DNS publics de Google (8.8.8.8 et 8.8.4.4).

Pour plus d'informations concernant cette configuration, consultez la page : Configuration du serveur DNS (pour supporter Internet)

2.3. Configuration du serveur DHCP

Pour le serveur DHCP installé sur le serveur qui servira de routeur et de serveur VPN, nous l'avons configuré pour :

  • qu'il distribue des adresses IP de type : 10.0.0.x
  • qu'il envoie l'adresse IP de notre futur routeur comme passerelle par défaut (Option : 003 Routeur)
  • qu'il envoie l'adresse IP de notre serveur Active Directory comme serveur DNS (Option : 006 Serveurs DNS)
  • qu'il envoie le nom de domaine local "informatiweb.lan" comme suffixe DNS propre à la connexion (Option : 015 Nom de domaine DNS) - facultatif

Voilà pour la configuration utilisée et pré-configurée.

3. Installation du serveur VPN et du routeur

Pour commencer, lancez l'assistant d'ajout de rôles et de fonctionnalités.

Comme vous pouvez le voir, notre 2ème serveur possède 2 adresses IP (1 pour chaque carte réseau).

Cochez uniquement la case "Accès à distance" et cliquez sur "Suivant".

Aucune fonctionnalité nécessaire.
Cliquez sur Suivant.

Windows vous affiche une description du rôle "Accès à distance" et de la technologie "DirectAccess".

Cochez "DirectAccess et VPN (accès à distance)" et "Routage".

Windows vous affiche une description du rôle "Web Server (IIS)".

Cliquez sur "Suivant".

Cliquez sur "Installer".
Comme vous pouvez le voir, l'assistant va aussi installer le kit d'administration du gestionnaire des connexions Microsoft (CMAK) RAS.
Ce programme vous permettra de créer un exécutable pour installer et configurer automatiquement un client VPN sur les ordinateurs de vos utilisateurs avec les paramètres que vous souhaitez.
En résumé, pour vos utilisateurs, il leur suffira de lancer ce programme pour pouvoir ensuite se connecter au serveur VPN de votre entreprise.

Une fois l'installation terminée, cliquez sur le lien "Ouvrir l'Assistant Mise en route".

A voir également

Commentaires

  • decool
    bonjour. merci pour ce tuto. j exécute minutieusement ce tuto. mais je cherche surtout a faire de la supervision de mes équipements sur sites distants. ainsi, je me demande si avec cette architecture et cette configuration je pourrais mettre en place mon serveur de supervision nagios et ainsi avoir des remontées d alertes. le VPN dont il est question aura t il le comportement qu 'une interconnexion de site distant?
  • InformatiWeb
    Bonsoir,
    nous n'utilisons pas nagios (bien qu'il soit connu), donc, nous ne pourrons pas répondre à votre question.
    Désolé.
  • Denis90
    Bonsoir,
    Merci pour ce tuto, c'est vraiment très important pour moi, car je travaile sur le même sujet pour mon projet de fin d'études. Sinon ma préoccupation réside sur la configuration du 2e serveur où l'on doit configuer le routeur et serveur VPN,j'ai un peu petit souci,car mon serveur n'a qu'une seule carte réseau ! on peut intégrer une autre dans Windows server 12 ou bien il ya une autre alternative pour un cas comme le mien ?
    Merci d'avance
  • InformatiWeb
    Bonjour,

    Pour le 2ème serveur, si vous n'installez que le serveur VPN, 1 carte réseau suffira.
    Mais si vous souhaitez installer les 2 (routage et VPN)), il vous faudra 2 cartes réseau physiques.
  • bricehountonon
    Bonjour à tous et merci au formateur. J'ai bien suivi le tuto qui m'a beaucoup inspiré d'ailleurs. Néanmoins j'ai quelques questions.
    1- je suis sur server 2012 r2 et du coup je vois des ajouts d'options dans certaines parties de la configuration, je crois ça ne modifie rien pour la réussite ?
    2- quelle est l'adresse que le client distant mettra dans son vpn pour se connecter à mon server?. En local le vpn marche bien avec mes PC clients VM, même l'hôte étant sur le même réseau. L'adresse que mon routeur internet me donne en DHCP est dans le range 192.168.2.2 à 192.168.2.254. J'ai pris le 192.168.2.20 pour configurer la carte WAN de mon server de routage. Est-ce cette adresse( 192.168.2.20)que le client distant mettre dans son vpn pour me joindre ou mon adresse publique quand je fais le Mon IP dans google? Merci de m'aider
  • InformatiWeb
    Bonjour,

    1) si vous parlez des options DHCP, c'est simplement parce que c'est notre serveur DHCP qui distribuera les adresses IP aux clients distants (ceux qui se connectent via le VPN), ainsi qu'aux ordinateurs du réseau interne de l'entreprise).

    2) Etant donné qu'il s'agit d'un client distant, il devra indiquer l'adresse IP externe (publique) aussi appelée IP WAN pour se connecter à votre serveur VPN.
    PS : dans ce tuto, nous avions testé la config localement, mais si le PC est à l'extérieur, c'est l'adresse IP publique que vous devrez utiliser.

    Attention : les adresses IP statiques ne doivent jamais se trouver dans la plage du serveur DHCP, sinon, un jour, un ordinateur du réseau risque de recevoir la même adresse IP que celui défini avec cette IP statique.
    Sauf si vous avez utilisé le système de réservation du serveur DHCP de Windows Server. Mais, par habitude, l'IP statique NE doit JAMAIS se trouver dans la plage du serveur DHCP pour la raison expliquée précédemment.

    Pour finir, c'est effectivement l'adresse IP indiquée par les sites du style "Mon IP" trouvés via Google que vous devez utiliser.
    Attention que cette adresse IP peut changer d'un jour à l'autre en fonction de votre FAI.

    De plus, une redirection de port (port forwarding) dans votre routeur physique sera nécessaire pour que le routeur redirige la demande de connexion vers votre serveur VPN local.
    Notez que le port change d'un protocole VPN à un autre (IKEv2, PPTP, SSTP et L2TP.

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.