Mise en place dun

VPN SSTP (v4.0)

Tutorial conu et rdig par Michel de CREVOISIER Fvrier 2011

SOURCES
Laboratoire Microsoft :
http://www.labo-microsoft.org/articles/Windows-server-2008-VPN-SSTP/
Step by step deployment guide by Microsoft :
http://technet.microsoft.com/en-us/library/cc731352(WS.10).aspx
Dpannage des incidents VPN communs :
http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-relatederrors.aspx

Dpannage des incidents dune connexion SSTP :

http://support.microsoft.com/kb/947031/fr
http://blogs.technet.com/b/rrasblog/archive/2007/09/26/how-to-debug-sstp-specific-connectionfailures.aspx

Identification des vnements systmes relatifs au RRAS-SSTP :

http://technet.microsoft.com/en-us/library/cc733772(WS.10).aspx

Installation de la liste des certificats rvoqus localement :

http://www.carbonwind.net/blog/post/Quickly-establish-a-SSTP-VPN-connection-from-a-Windows-7RC-VPN-client-without-a-published-CRL-distribution-point.aspx

Scurit du VPN SSTP :

https://www.carbonwind.net/blog/post/Quick-fun-e28093-decrypting-with-Wireshark-some-SSTPtraffic.aspx

Configuration dun port avec certificat SSL :

http://msdn.microsoft.com/fr-fr/library/ms733791.aspx
http://blogs.technet.com/b/rrasblog/archive/2009/02/11/sstp-certificate-selection.aspx

INDEX
SOURCES.................................................................................................................................................. 2
INDEX....................................................................................................................................................... 3
Prambule ............................................................................................................................................... 5
1.

2.

3.

Configuration du contrleur de domaine ....................................................................................... 6

1.1

Groupe de scurit .................................................................................................................. 6

1.2

Compte utilisateur ................................................................................................................... 6

1.3

Attribution dune IP statique ................................................................................................... 6

Configuration dActive Directory Certificate Services ..................................................................... 8

2.1

Ajout du rle ADCS .................................................................................................................. 8

2.2

Configuration dInternet Explorer ......................................................................................... 14

2.3

Activation du site de distribution des certificats ................................................................... 14

2.4

Demande de certificat ........................................................................................................... 15

2.5

Validation du certificat .......................................................................................................... 17

2.6

Installation du certificat ........................................................................................................ 18

2.7

Copie du certificat ................................................................................................................. 18

Configuration de Network Policy and Access services ............................................................ 22

3.1

Installation du rle NPS ......................................................................................................... 22

3.2

Dmarrage du serveur RRAS ................................................................................................. 24

3.3

Association du certificat ........................................................................................................ 25

3.4

Configuration du firewall....................................................................................................... 26

3.5

Changement du port dcoute .............................................................................................. 26

3.6

Configuration des rgles de filtrage ...................................................................................... 26

4.

Configuration de votre routeur/box.............................................................................................. 31

5.

Configuration du poste client ........................................................................................................ 32

6.

5.1

Installation du certificat ........................................................................................................ 32

5.2

Copie du certificat ................................................................................................................. 33

5.3

Importation de la liste des certificats rvoqus (CRL)........................................................... 35

5.4

Configuration du fichier HOST ............................................................................................... 37

5.5

Cration dune connexion VPN ............................................................................................. 38

Erreurs et problmes frquents .................................................................................................... 42

6.1

Le nom CN ne correspond pas la valeur passe ................................................................. 42

6.2

La fonction de rvocation na pas pu vrifier la rvocation car le serveur tait dconnect42

6.3

La connexion a t interdite par une stratgie .................................................................. 43

6.4

Le nom demand est valide, mais aucune donne du type requis na t trouve ............. 43

6.5
La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le
serveur [] ne correspond pas aux paramtres ............................................................................. 43
6.6
Une chaine de certificats a t traite mais sest termine par un certificat racine qui nest
pas approuv par le fournisseur dapprobation................................................................................ 44
Conclusion ............................................................................................................................................. 45

Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et DNS)
pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas dtaille
la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et pensez
crer une zone de recherche inverse.
Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1
Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis le site officiel de
Microsoft. Vous pouvez mme la tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC.
Attention, mes serveurs sont installs en anglais, je vous recommande donc dopter pour cette
langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en anglais ici
pour ne pas perdre le fil
Pour ce tuto, jutiliserai deux serveurs et un client :
DC1 : Active Directory et DNS installs (non dtaill)
VPN1 (membre du domaine): RRAS et ADCA installes (dtaill)
CLIENT1 : poste client (Vista SP1 ou Seven minimum). Il nest pas ncessaire que le
client soit membre du domaine
Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier
ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter de certificats
auprs dune autorit comptente, de disposer dune DMZ, de rendre publique la liste des
certificats rvoquer et de possder un serveur avec de deux cartes rseau places dans des
rseaux diffrents.

1. Configuration du contrleur de domaine

1.1 Groupe de scurit
Il est vivement recommand de crer un groupe de scurit afin de restreindre les accs au
VPN ce seul groupe. Par ailleurs, cela vite de devoir configurer individuellement chaque
utilisateur souhaitant se connecter au VPN. Appelez ce groupe GS_VPN .

1.2 Compte utilisateur

Crez un compte AD nomm user-sttp (un compte utilisateur normal suffit). Ensuite, ajutez
ce compte au groupe GS_VPN.

1.3 Attribution dune IP statique

Lorsquun utilisateur se connecte au VPN, il est indispensable quil dispose dune IP dynamique
ou statique. Dans notre cas, nous choisirons une IP statique :
Ouvrir la console Active Directory > clic droit sur [user-sstp] > Properties > Dial-in

Cochez la case Assign Static IP Addresses

La fentre suivante souvre :

Renseignez ensuite lIP fournir pour cet utilisateur

Attention ne pas indiquer une IP faisant partie dune plage DHCP

2. Configuration dActive Directory Certificate Services

2.1 Ajout du rle ADCS

Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur

Add roles

 Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas
changer le type de CSP)

2.2 Configuration dInternet Explorer

A excuter en tant quadministrateur si vous avez lUAC dactiv : clic droit sur IE > Run
as administrator .

Tools > Options > Security > Local intranet > LOW

2.3 Activation du site de distribution des certificats

Lancer IIS Manager

Cliquer sur Default Web Site
Puis sur Directory Browsing

Cliquer sur Enable ( droite)

2.4 Demande de certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise

Cliquer sur Request a certificate

Puis sur Advances certificate request

Cliquer sur Create and submit a request to this CA

Acceptez les ActiveX

En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com)
Dans Type of certificate needed, mettre Server Authentification Certificate
Cochez la case Mark key as exportable
Vous pouvez augmenter la taille de clef jusqu 16384 !!!

Cliquez sur Submit en bas droite

Votre demande est maintenant en attente de validation

2.5 Validation du certificat

Ouvrir Certification Authority dans Administrative Tools du menu dmarrer

Cliquer sur Pending request

Puis clic droit sur le certificat > All tasks > Issue
Votre demande est maintenant valide

2.6 Installation du certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise

Cliquer sur View the status

Cliquez sur Install the certificate

2.7 Copie du certificat

Start > Run > MMC > OK

File > Add/Remove Snap-in

Certificates > Add > My user account > OK

Certificates > Add > Computer account > Local computer > OK
Ok

 Vous obtenez ceci :

Droulez Certificate Current User > Personal afin de slectionner votre certificat
rcemment install
Clic droit All tasks > Export

Next

Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish
Droulez Certificate (Local computer) > Personal > Certificates

Clic droit sur Certificates >All tasks > Import

Next
[Emplacement certificat] > Next
Votre mot de passe > Next > Next > Finish

Notez quun copiez/collez entre les magasins de la MMC ne fonctionne pas. Le

certificat doit tre export et import avec ses attributs pour tre reconnu
comme tel.

3. Configuration de Network Policy and Access services

3.1 Installation du rle NPS

Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur

Add roles ( droite)

3.2 Dmarrage du serveur RRAS

Lors du dploiement dun VPN, vous avez le choix dutiliser 2 cartes rseaux. Cela implique
bien sr davoir 2 sous-rseaux disposition i, et galement de rajouter le rle Routage
sur votre serveur VPN1. Lavantage de cette solution est que la carte rseau du rseau public
est totalement isole par rapport votre rseau interne. Dans mon cas et dans ce tuto, nayant
pas besoin dune telle configuration (et surtout nayant quun seul rseau), jai tout
simplement utilis une seule carte rseau (pas de routage donc).

Lancer Routing and remote access

Clic droit sur [nom_votre_serveur] > Configure and enable

Lassistant suivant apparait :

3.3 Association du certificat

Il faut maintenant binder ou associer le certificat SSL au port 443. Pour cela :
Ouvrez la console Routing and Remote Access
Clic droit sur le nom du serveur > Properties > Onglet Security
Slectionnez le certificat cr auparavant dans le menu droulant :

Redmarrez ensuite le serveur Routing and Remote Access

Avant de continuer, vous devez vrifier que le certificat SSL a bien t enregistr. Pour cela,
ouvrez une fentre DOS en mode administrateur et tapez :
netsh http show sslcert

3.4 Configuration du firewall

Ouvrez le gestionnaire de firewall avanc

Bloquez les rgles entrantes (inbound rules) existantes suivantes par scurit (le
service Pare-feu / Windows Firewall doit bien entendu tre activ) :
o GRE-in
o L2TP-in
o PPTP-in
Double clic sur la rgle > Bloquer

3.5 Changement du port dcoute

Si vous tes derrire un router NAT et que vous souhaitez modifier le port dcoute de votre
serveur VPN SSTP, modifiez la clef de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\ListenerPort [0]

Modifiez ensuite la valeur ListenerPort avec le port souhait. Pensez galement modifier la
rgle firewall propre au SSTP afin quelle prenne en compte votre nouvelle configuration.
Sachez que dans tous les cas le client cherchera se connecter via le port [443]. Aprs la
modification du registre, redmarrez votre PC pour prendre la nouvelle configuration.

3.6 Configuration des rgles de filtrage

Lancer la console NPS

Aller dans Policies > Connection Requet Policies

Supprimer toutes les rgles existantes (clic droit > Supprimer)
Ensuite, crez une nouvelle rgle : clic droit > Connection Request Policies > New

Lassistant suivant se lance :

Tapez un nom pour votre stratgie : Accs distant VPN-SSTP

Type of network > Remote Access Server (VPN-Dial up)
Next

Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Framed Protocol : PPP
o NAS port type : Virtual VPN
o Tunnel Type : SSTP

Rpondez ensuite Next toutes les options, puis sur terminer

Vous obtenez un rsultat semblable cela :

Il faut maintenant crer une stratgie rseau:

Aller dans Policies > Network Policies

Supprimer toutes les rgles existantes (clic droit > Supprimer)
Ensuite, crez une nouvelle rgle : clic droit > Network Policies > New
Lassistant suivant se lance :

Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Users groups : ajoutez le groupe GS_VPN dont VPN-user est membre
o Day and time restrictions (optionnel)

Rpondez ensuite Next toutes les options, puis sur terminer

Pour terminer, redmarrer votre serveur RRAS pour prendre en compte la nouvelle
considration :

Lancer Routing and remote access

Clic droit sur [nom_votre_serveur] > All tasks > Restart
Votre serveur NPS est dornavant oprationnel.

4. Configuration de votre routeur/box

Pour vous connecter depuis lextrieur, vous devez ouvrir le port 443 en TCP sur votre routeur
et le redirigez vers lIP interne du serveur VPN1. Je vous laisse chercher sur internet pour
savoir comment ouvrir le port selon votre type de box/routeur. Vous devriez avoir quelque
chose semblable cela :
Port public

IP et port interne

5. Configuration du poste client

5.1 Installation du certificat

Depuis votre poste client, allez sur le site http://nom_serveur_VPN1/certsrv/en-US

Download a CA certificate

Download a CA certificate

Ouvrir > Installer le certificat

Suivant > Suivant > Terminer

5.2 Copie du certificat

Start > Run > MMC > OK

File > Add/Remove Snap-in

Certificates > Add > My user account > OK

Certificates > Add > Computer account > Local computer > OK

Ok

 Vous obtenez ceci :

Certificats utilisateur local > Autorits de certification intermdiaire > Certificats

Clic droit sur votre certificat > Copier
Certificats (ordinateur local) > Autorits de certification racine de confiance >
Certificats
Clic droit > Coller

5.3 Importation de la liste des certificats rvoqus (CRL)

Avant tout, vous devez savoir quavant mme de procder ltablissement de la connexion
VPN, votre poste client va obligatoirement vouloir accder au site des certificats rvoqus afin
de vrifier que votre certificat est bien valide. Si vous ne souhaitez pas rendre publique votre
site web sur internet (pour des raisons de scurit), vous devez tlcharger la dernire version
des CRL localement sur votre poste client. Vous devez pour cela utiliser la mme MMC que
dans le paragraphe prcdent.

Depuis votre poste client, aller sur http://nom_serveur_VPN1/certsrv/en-US ou enFR si version franaise
Download a CA certificate

Download lastest base CRL

Tlcharger et indiquer lendroit o vous souhaitez lenregistrer

Ouvrez la MMC crait au point prcdent
Certificats (ordinateur local) > Autorits de certification intermdiaires > Toutes les
tches > Importer

Attention !
Linconvnient majeur de ne pas publier votre liste de rvocations est que vous devrez rpter
cette procdure tous les 7 jours tout au plus. En effet, au-del de cette priode votre fichier
CRL arrivera chance et vous ne pourrez plus vous connecter.

5.4 Configuration du fichier HOST

Pour vous connectez distance depuis votre poste CLIENT1, il vous sera obligatoire de
rajouter une entre dans votre fichier HOST.

Editez vote fichier HOST de la faon suivante :

o notepad %windir%\system32\drivers\etc\hosts

Ajoutez la fin la ligne suivante :

o <IP publique du serveur> <FQDN du serveur>

5.5 Cration dune connexion VPN

Depuis le Centre de rseau et partage, cliquez sur :

Connexion votre espace de travail

Utilisez ma connexion Internet (VPN)

Remplir les champs nom dutilisateur et mot de passe avec le compte AD clientvpn cr auparavant.

Crer
Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur
Modifier les paramtres de la carte

Clic droit sur la connexion VPN rcemment cre (VPN SSTP) > Proprits

Vrifiez que vous avez bien mis le FQDN de VPN1 dans longlet Gnral

Dans le menu droulant de longlet Scurit choisissez Protocole SSTP

Cliquez sur OK
Votre VPN SSTP est prt. Il ne vous reste donc plus qu saisir les identifiants de
lutilisateur user-sstp pour vous connecter

PS : il nest pas ncessaire de saisir le domaine

6. Erreurs et problmes frquents

Les erreurs suivantes sont celles que jai pu rencontrer lors de linstallation du VPN SSTP.
Certaines mont oblig passer pas mal de temps sur internet la recherche dune solution.
Jespre donc quelles vous seront de grandes utilits. Si une erreur nest pas rpertorie ici,
reportez-vous aux sites cits au dbut dans la partie Sources . Attention la liste ci-dessous
nest pas exhaustive.

6.1 Le nom CN ne correspond pas la valeur passe

Erreur : 800B010F

Vous avez mis lIP de VPN1 (ou votre IP public) au lieu de son FQDN lors de la cration
du VPN via lassistant Windows :
Mettez le FQDN au lieu de lIP dans les proprits du VPN cr, comme indiqu
dans le point 5.5

Vous avez mis le FQDN mais mal renseign le fichier host

Modifiez le fichier HOST comme indiqu dans le point 5.4

6.2 La fonction de rvocation na pas pu vrifier la rvocation car le serveur

tait dconnect
Erreur : 80092013

Vous navez pas tlcharg et install localement la liste des certificats rvoqus.
Reportez-vous au point 5.3 et vrifiez que vous avez correctement tlcharg
et install la liste des certificats rvoqus
La liste de rvocation des certificats est prime. Tlchargez-la sur votre poste client
selon le point 5.3

6.3 La connexion a t interdite par une stratgie

Erreur : 812

Votre stratgie NPS bloque la connexion.

Rfrez-vous au paragraphe 3.6 pour configurer vos rgles de scurits NPS
correctement.

6.4 Le nom demand est valide, mais aucune donne du type requis na t
trouve
Erreur : 80072AFC

Le nom saisit lors de la cration du VPN est erron (attention, vrifier !) :

Vrifiez que le nom dhte correspond bien nom_pc.nom_domaine , comme
indiqu dans le point 5.5

6.5 La connexion na pas pu tre tablie, car le protocole dauthentification

utilis par le serveur [] ne correspond pas aux paramtres
Erreur : 919

La mthode dauthentification de votre poste client ne correspond pas celles

acceptes par le serveur
Allez dans Routing and remote access > clic droit [serveur] > Properties >
Security > Authentification Methods et slectionnez la case approprie.
Pour information le VPN SSTP utilise la mthode MS-CHAP v2 et le VPN PPTPEAP la mthode Extensible authentification protocol (EAP)

6.6 Une chaine de certificats a t traite mais sest termine par un certificat
racine qui nest pas approuv par le fournisseur dapprobation.
Erreur : 800B0109

Vous navez pas install correctement le certificat sur votre poste client :
Rfrez-vous au paragraphe V.1. pour ajouter le certificat

Le certificat SSL a mal t associ votre VPN. Rendez-vous au point 3.3 pour corriger
ce point

Conclusion
Voil, votre VPN SSTP est prt. Vous pouvez dornavant vous connectez chez vous depuis
nimporte quel endroit, du moment que vous avez un accs internet et que le port [443] nest
pas bloqu.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci