Vous êtes sur la page 1sur 42
Mise en place d’un VPN PPTP-EAP (v2.1) Tutorial conçu et rédigé par Michel de CREVOISIER

Mise en place d’un VPN PPTP-EAP (v2.1)

Tutorial conçu et rédigé par Michel de CREVOISIER

(v2.1) Tutorial conçu et rédigé par Michel de CREVOISIER SOURCES Step by step deployement guide by

SOURCES

Step by step deployement guide by Microsoft :

Dépannage des incidents VPN communs :

Commandes netsh pour l'accès distant :

Préambule

En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas détaillée à la suite. Pensez donc à vérifier que votre serveur DNS fonctionne correctement et pensez à créer une zone de recherche inverse.

Si vous ne disposez pas d’une version de Windows Server 2008 R2 x64 SP1 Entreprise (j’insiste sur Entreprise pour la gestion des certificats), vous pouvez télécharger une démo ici depuis le site officiel de Microsoft. Vous pouvez même le télécharger en VHD si vous utilisez Hyper-V ou Virtual PC. Notez par ailleurs qu’il est recommandé de ne pas installer le VPN sur le serveur Active Directory. Attention, mes serveurs sont installés en anglais, donc je vous recommande d’opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil… En revanche, mon poste client sous Windows Seven est bien en français.

Pour ce tuto, j’utiliserai deux serveurs, le principal (avec Active Directory et DNS) nommé DC1 et celui où le VPN sera installé, nommé VPN1. Quant au poste client (Vista SP1 ou Seven minimum), il sera nommé CLIENT1. VPN1 devra obligatoirement être joint au domaine crée par DC1. En revanche, cela n’est pas nécessaire pour le poste client VPN1.

Enfin, sachez que ce tuto est destiné à être mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommandé de s’acquitter des certificats auprès d’une autorité compétente, de disposer d’une DMZ et de posséder un serveur avec de deux cartes réseau placées dans des réseaux différents. Tout ceci pour des raisons de sécurité.

I. Installation de DC1

IP : 192.168.0.10

1. Rôles à installer (non détaillé)

Les rôles à installer sur le serveur DC1 sont les suivants :

Active Directory Domain Services (dcpromo)

DNS avec zone de recherche inverse

Si vous ne savez pas comment procéder ou si vous souhaitez plus d’informations concernant l’installation d’un serveur DNS, vous pouvez lire mon tuto intitulé : « Serveur DNS redondants (tuto de A à Z) » disponible dans ma bibliothèque Scribd.

2. Création d’un groupe de sécurité dédié au VPN

Il est vivement recommandé de créer un groupe de sécurité afin de restreindre les accès au VPN à ce seul groupe. Par ailleurs, cela évite de devoir configurer individuellement chaque utilisateur souhaitant se connecter au VPN. Appelez ce groupe « GS_VPN ».

3. Création d’un compte utilisateur dédié au VPN

Créez un compte AD nommé « user-pptp » (un compte utilisateur normal suffit). Ensuite, joignez ce compte au groupe « GS_VPN» créé préalablement.

4. Attribution d’une IP statique

Lorsqu’un utilisateur se connecte au VPN, il est indispensable qu’il dispose d’une IP dynamique ou statique. Pour affecter une IP statique :

Ouvrir la console Active Directory > clic droit sur [user-pptp] > Properties > Onglet Dial-in

 Cochez la case Assign Static IP Addresses  La fenêtre suivante s’ouvre : 

Cochez la case Assign Static IP Addresses

La fenêtre suivante s’ouvre :

Static IP Addresses  La fenêtre suivante s’ouvre :  Renseignez ensuite l’IP à fournir pour

Renseignez ensuite l’IP à fournir pour cet utilisateur

Attention à ne pas indiquer une IP faisant partie d’une plage DHCP

II. Configuration de « Active Directory Certificate Services »

IP : 192.168.0.20

Pensez à intégrer VPN1 au domaine de DC1

1. Ajout du rôle Active Directory Certificate Services :

Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur »

Add roles (à droite)

Services :  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur » 
Services :  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur » 
Services :  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur » 
Services :  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur » 

Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP)

 Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne
 Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne

A vous d’opter pour la durée de votre choix. 10 années me paraissent correctes.

 A vous d’opter pour la durée de votre choix. 10 années me paraissent correctes.
 A vous d’opter pour la durée de votre choix. 10 années me paraissent correctes.

2. Configuration d’Internet Explorer

A exécuter en tant qu’administrateur si vous avez l’UAC d’activé : clic droit sur IE > « Run as administrator ».

Tools > Options > Security > Local intranet > LOW

> Options > Security > Local intranet > LOW 3. Activation du site de distribution des

3. Activation du site de distribution des certificats sous IIS 7.5

du site de distribution des certificats sous IIS 7.5  Lancer IIS Manager  Cliquer sur

Lancer IIS Manager

Cliquer sur Default Web Site

Puis sur Directory Browsing

 Cliquer sur Enable (à droite) 4. Demande de certificat  Aller sur www.localhost/certsrv/en-US ou

Cliquer sur Enable (à droite)

 Cliquer sur Enable (à droite) 4. Demande de certificat  Aller sur www.localhost/certsrv/en-US ou «

4. Demande de certificat

Aller sur www.localhost/certsrv/en-US ou « en-FR » si version française

Cliquer sur Request a certificate

 Puis sur Advances certificate request  Cliquer sur Create and submit a request to

Puis sur Advances certificate request

 Puis sur Advances certificate request  Cliquer sur Create and submit a request to this

Cliquer sur Create and submit a request to this CA

 Puis sur Advances certificate request  Cliquer sur Create and submit a request to this

Acceptez les ActiveX

En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com)

Dans Type of certificate needed, mettre Server Authentification Certificate

Cochez la case Mark key as exportable

Vous pouvez augmenter la taille de clef jusqu’à 16384 !!!

pouvez augmenter la taille de clef jusqu’à 16384 !!!  Cliquez sur Submit en bas à

Cliquez sur Submit en bas à droite

Votre demande est maintenant en attente de validation

 Votre demande est maintenant en attente de validation 5. Validation du certificat  Ouvrir Certification

5. Validation du certificat

Ouvrir Certification Authority

Cliquer sur Pending request

 Ouvrir Certification Authority  Cliquer sur Pending request dans Administrative Tools du menu démarrer

dans Administrative Tools du menu démarrer

 Puis clic droit sur le certificat > All tasks > Issue  Votre demande

Puis clic droit sur le certificat > All tasks > Issue

Votre demande est maintenant validée

6. Installation du certificat

Aller sur www.localhost/certsrv/en-US ou « en-FR » si version française

Cliquer sur View the status

Cliquez sur Install the certificate

the status …  Cliquez sur Install the certificate 7. Copie du certificat dans un autre

7. Copie du certificat dans un autre magasin

Start > Run > MMC > OK

7. Copie du certificat dans un autre magasin  Start > Run > MMC > OK

File > Add/Remove Snap-in

7. Copie du certificat dans un autre magasin  Start > Run > MMC > OK

Certificates > Add > My user account > OK

 Certificates > Add > My user account > OK  Certificates > Add > Computer

Certificates > Add > Computer account > Local computer > OK

Ok

Vous obtenez ceci :

> OK  Certificates > Add > Computer account > Local computer > OK  Ok

Déroulez Certificate Current User > Personal afin de sélectionner votre certificat récemment installé

Clic droit All tasks > Export

récemment installé  Clic droit All tasks > Export  Next  Yes, export the private

Next

installé  Clic droit All tasks > Export  Next  Yes, export the private key

Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish

Déroulez Certificate (Local computer) > Personal > Certificates

 Clic droit sur Certificates >All tasks > Import  Next  [Emplacement certificat] >

Clic droit sur Certificates >All tasks > Import

Next

[Emplacement certificat] > Next

Votre mot de passe > Next > Next > Finish

On supprime le certificat commençant par le <nom_domaine><nom_machine>

III. Configuration de « Network Policy and Access services »

1. Installation du rôle

Sur VPN1

Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur »

Add roles (à droite)

du rôle Sur VPN1  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur
du rôle Sur VPN1  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur
du rôle Sur VPN1  Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur

2. Démarrage du serveur RRAS

Lors du déploiement d’un VPN, vous avez le choix d’utiliser 2 cartes réseaux. Cela implique bien sûr d’avoir 2 sous-réseaux à disposition, et également de rajouter le rôle « Routage » sur votre serveur VPN1. L’avantage de cette solution est que la carte réseau du réseau public est totalement isolée par rapport à votre réseau interne. Dans mon cas et dans ce tuto, n’ayant pas besoin d’une telle configuration (et surtout n’ayant qu’un seul réseau), j’ai tout simplement utilisé une seule carte réseau (pas de routage donc).

utilisé une seule carte réseau (pas de routage donc).  Lancer Routing and remote access 

Lancer Routing and remote access

Clic droit sur [nom_votre_serveur] > Configure and enable

remote access  Clic droit sur [nom_votre_serveur] > Configure and enable  L’assistant suivant appara ît

L’assistant suivant apparaît :

remote access  Clic droit sur [nom_votre_serveur] > Configure and enable  L’assistant suivant appara ît
3. Configuration du firewall  Ouvrez le gestionnaire de firewall avancé  Bloquez les règles
3. Configuration du firewall  Ouvrez le gestionnaire de firewall avancé  Bloquez les règles

3. Configuration du firewall

3. Configuration du firewall  Ouvrez le gestionnaire de firewall avancé  Bloquez les règles entrantes

Ouvrez le gestionnaire de firewall avancé

Bloquez les règles entrantes (inbound rules) existantes suivantes par sécurité (le service « Pare-feu / Windows Firewall » doit bien entendu être activé) :

o

L2TP-in

o

SSTP-in

Double clic sur la règle > Bloquer

4. Configuration des règles de filtrage du serveur NPS

Lancer la console NPS

de filtrage du serveur NPS  Lancer la console NPS  Aller dans Policies > Connection
de filtrage du serveur NPS  Lancer la console NPS  Aller dans Policies > Connection

Aller dans Policies > Connection Requet Policies

Supprimer toutes les règles existantes (clic droit > Supprimer)

Ensuite, créez une nouvelle règle : clic droit > Connection Request Policies > New

une nouvelle règle : clic droit > Connection Request Policies > New  L’assistant suivant se

L’assistant suivant se lance :

une nouvelle règle : clic droit > Connection Request Policies > New  L’assistant suivant se

Tapez un nom pour votre stratégie : « Accès distant VPN-PPTP-EAP»

Type of network > Remote Access Server (VPN-Dial up)

Next

Vous obtenez la page suivante :

(VPN-Dial up)  Next  Vous obtenez la page suivante :  Add  Ajoutez ensuite

Add

Ajoutez ensuite les règles suivantes dans la liste :

o

Framed Protocol : PPP

o

NAS port type : Virtual VPN

o

Tunnel Type : PPTP

suivantes dans la liste : o Framed Protocol : PPP o NAS port type : Virtual

Répondez ensuite Next à toutes les options, puis sur terminer

Vous obtenez un résultat semblable à cela :

terminer  Vous obtenez un résultat semblable à cela : Il faut maintenant créer une stratégie

Il faut maintenant créer une stratégie réseau:

 Aller dans Policies > Network Policies  Supprimer toutes les règles existantes (clic droit
Aller dans Policies > Network Policies
Supprimer toutes les règles existantes (clic droit > Supprimer)
Ensuite, créez une nouvelle règle : clic droit > Network Policies > New
L’assistant suivant se lance :
Add
Ajoutez ensuite les règles suivantes dans la liste :

o Users groups : groupe AD donc VPN-user est membre

o Day and time restrictions (optionnel)

o Day and time restrictions (optionnel)  Répondez ensuite Next à toutes les options, puis sur

Répondez ensuite Next à toutes les options, puis sur terminer

Vous obtenez un résultat semblable à cela :

terminer  Vous obtenez un résultat semblable à cela :  Une fois votre Network Policies

Une fois votre Network Policies créé, clic droit sur celle-ci, puis Propriétés

Allez dans l’onglet Constraints

 Cliquez sur Add puis choisissez l’option Protected EAP (PEAP)  Cliquez sur OK ,

Cliquez sur Add puis choisissez l’option Protected EAP (PEAP)

sur Add puis choisissez l’option Protected EAP (PEAP)  Cliquez sur OK , puis encore sur

Cliquez sur OK, puis encore sur OK

EAP (PEAP)  Cliquez sur OK , puis encore sur OK  Lancer ensuite Routing and

Lancer ensuite Routing and remote access

Clic droit sur [nom_votre_serveur] > All tasks > Restart

Votre serveur NPS est dorénavant opérationnel.

IV. Ouverture du port 1723 sur votre box/routeur

Pour vous connecter depuis l’extérieur, vous devez ouvrir les ports 1723 en TCP sur votre routeur et les rediriger vers l’IP interne du serveur VPN1. Je vous laisse chercher sur internet pour savoir comment ouvrir le port selon votre type de box/routeur.

V. Configuration du poste CLIENT1

1. Installation du certificat

Depuis le poste CLIENT1, allez sur le site http://nom_serveur_VPN1/certsrv/en-US via IE

Download a CA certificate…

le site http://nom_serveur_VPN1/certsrv/en-US via IE  Download a CA certificate…  Download a CA certificate

Download a CA certificate

 Ouvrir > Installer le certificat  Suivant > Suivant > Terminer

Ouvrir > Installer le certificat

 Ouvrir > Installer le certificat  Suivant > Suivant > Terminer

Suivant > Suivant > Terminer

2. Copie du certificat dans un autre magasin

Start > Run > MMC > OK

un autre magasin  Start > Run > MMC > OK  File > Add/Remove Snap-in

File > Add/Remove Snap-in

Run > MMC > OK  File > Add/Remove Snap-in  Certificates > Add > My

Certificates > Add > My user account > OK

Certificates > Add > Computer account > Local computer > OK

> Add > My user account > OK  Certificates > Add > Computer account >

Ok

Vous obtenez ceci :

 Ok  Vous obtenez ceci :  Certificats – utilisateur local > Autorités de certification

Certificats utilisateur local > Autorités de certification intermédiaire > Certificats

Clic droit sur votre certificat > Copier

Certificats (ordinateur local) > Autorités de certification racine de confiance > Certificats

Clic droit > Coller

3. Problème avec IP dynamique

Si vous avez la chance d’avoir une IP fixe (vous avez tout compris…), alors l’entrée de votre fichier HOST n’aura besoin d’être modifiée qu’une seule fois.

En revanche, si comme moi vous disposez d’un serveur avec une IP dynamique vous allez vous heurter au problème suivant :

Vous ne pourrez pas connaître votre IP à distance car celle-ci aura changée après le redémarrage de votre box/routeur

Pour pallier à ce problème, j’ai cherché sur le net et j’ai trouvé un logiciel fournit par DynDNS que vous installez sur votre serveur et qui met à jour votre IP avec votre nom de domaine.

Mais attention, cela n’est pas gratuit et il existe plusieurs contraintes. Il faut :

Créer un compte sur DynDNS (gratuit) ici

S’abonner au service Custom DNS ici pour 30$ /an (active le service permettant de mettre à jour son IP dynamique)

Déposer un nom de domaine ici pour 15 $ / an

Déposer un nom de domaine gratuit DynDNS (domaine.dyndns.com)

De plus vous devrez télécharger le logiciel DynDNS Update Client ici. Une fois l’application installée sur votre serveur VPN, vous vous identifiez et automatiquement l’application se chargera d’associer votre nom de domaine avec votre IP dynamique. Pratique non ? En voici un aperçu :

votre IP dynamique. Pratique non ? En voici un aperçu : Astuce Certains routeurs permettent de

Astuce

Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de déposer un nom de domaine gratuit de type domaine.dyndns.com et le tour est joué. Votre routeur (et non plus votre serveur) se chargera d’actualiser votre nom de domaine avec votre IP.

4. Création d’une connexion VPN

Depuis le Centre de réseau et partage, cliquez sur :

d’une connexion VPN Depuis le Centre de réseau et partage , cliquez sur :  Connexion

Connexion à votre espace de travail

 Utilisez ma connexion Internet (VPN)

Utilisez ma connexion Internet (VPN)

 Utilisez ma connexion Internet (VPN)
 Remplir les champs nom d’utilisateur et mot de passe avec le compte AD «
 Remplir les champs nom d’utilisateur et mot de passe avec le compte AD «
Remplir les champs nom d’utilisateur et mot de passe avec le compte AD « client-
vpn » créé auparavant.
Créer
Revenez ensuite au Centre de réseau et partage, et cliquez en haut à gauche sur
Modifier les paramètres de la carte
 Clic droit sur la connexion VPN récemment créée (VPN PPTP EAP) > Propriétés 

Clic droit sur la connexion VPN récemment créée (VPN PPTP EAP) > Propriétés

Vérifiez que vous avez bien mis l’IP public de votre serveur dans l’onglet Général

l’ IP public de votre serveur dans l’onglet Général  Dans le menu déroulant de l’onglet

Dans le menu déroulant de l’onglet Sécurité choisissez Protocole PPTP et dans l’aparté Authentification du dessous choisissez « Microsoft : PEAP… »

 Toujours dans l’onglet Sécurité cliqué sur Propriétés  Cochez alors la case correspondant au

Toujours dans l’onglet Sécurité cliqué sur Propriétés

Cochez alors la case correspondant au nom de votre certificat

dans l’onglet Sécurité cliqué sur Propriétés  Cochez alors la case correspondant au nom de votre

Cliquez sur OK puis encore sur OK

Votre VPN PPTP-EAP est prêt

sur OK puis encore sur OK  Votre VPN PPTP-EAP est prêt PS : il n’est

PS : il n’est pas nécessaire de saisir le domaine

VI. Erreurs et problèmes rencontrés

Les erreurs suivantes sont celles que j’ai pu rencontrer lors de l’installation du VPN PPTP- EAP. Certaines m’ont obligé à passer pas mal de temps sur internet à la recherche d’une solution. J’espère donc qu’elles vous seront de grandes utilités. Si une erreur n’est pas répertoriée ici, reportez-vous aux sites cités au début dans la partie « Sources ». Attention la liste ci-dessous n’est pas exhaustive.

1. La connexion a été interdite par une stratégie…

Erreur : 812

a été interdite par une stratégie… Erreur : 812  Votre stratégie NPS bloque la connexion.

Votre stratégie NPS bloque la connexion.

Référez-vous au paragraphe III.4. pour configurer vos règles de sécurités NPS correctement.

2. La connexion n’a pas pu être établie, car le protocole d’authentification utilisé par le serveur […] ne correspond pas aux paramètres

Erreur : 919

 La méthode d’authentification de votre poste client ne correspond pas à celles à acceptées

La méthode d’authentification de votre poste client ne correspond pas à celles à acceptées par le serveur

Allez dans Routing and remote access > clic droit [serveur] > Properties > Security > Authentification Methods et sélectionnez la case appropriée.

Pour informations le VPN SSTP utilise la méthode MS-CHAP v2 et le VPN PPTP-EAP la méthode Extensible authentification protocol (EAP)

la méthode Extensible authentification protocol (EAP) 3. La connexion de réseau […] n’a pas pu être

3. La connexion de réseau […] n’a pas pu être établie. Cet incident se produit […] lorsque votre serveur VPN n’est configuré pour permettre les paquets du protocole GRE…

Erreur : 806

Erreur côté client

Erreur côté client Erreur côté serveur  Le protocole GRE est bloqué par un pare-feu ou

Erreur côté serveur

Erreur côté client Erreur côté serveur  Le protocole GRE est bloqué par un pare-feu ou

Le protocole GRE est bloqué par un pare-feu ou un routeur

Vérifier que le firewall est bien configuré selon le point III.3

Vous essayé de vous connecter via votre téléphone en modem. Rien à faire, le protocole GRE est bloqué par les opérateurs téléphoniques

Certains FAI bloquent également le protocole GRE

4. Les informations d’identification fournies par le serveur …

 Vous n’avez pas indiqué le bon certificat lors de la création du VPN 

Vous n’avez pas indiqué le bon certificat lors de la création du VPN

Vérifiez que vous avez bien suivi les étapes du point V.4

VII.

Conclusion

Voilà, votre VPN PPTP-EAP est prêt. Vous pouvez dorénavant vous connectez chez vous depuis n’importe quel endroit, du moment que vous avez un accès internet et que les ports [1723] pour PPTP et [43] pour GRE (échange de clefs) ne sont pas bloqués. Et n’essayez pas de vous connecter via votre téléphone en tant que modem, les opérateurs bloquent le protocole GRE [43].

N’hésitez pas à m’envoyer vos commentaires ou retours à l’adresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en d’ores et déjà remercié