Vous êtes sur la page 1sur 42

Mise en place dun

VPN PPTP-EAP (v2)



Tutorial conu et rdig par Michel de CREVOISIER


SOURCES


Step by step deployement guide by Microsoft :
http://technet.microsoft.com/en-us/library/cc787328%28WS.10%29.aspx

Dpannage des incidents VPN communs :
http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-
errors.aspx

Commandes netsh pour l'accs distant :
http://technet.microsoft.com/fr-fr/library/cc738607%28WS.10%29.aspx




Prambule


En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et
DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas
dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et
pensez crer une zone de recherche inverse.

Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1 Entreprise
(jinsiste sur Entreprise pour la gestion des certificats), vous pouvez tlcharger une dmo ici
depuis le site officiel de Microsoft. Vous pouvez mme le tlcharger en VHD si vous utilisez
Hyper-V ou Virtual PC. Notez par ailleurs quil est recommand de ne pas installer le VPN sur
le serveur Active Directory.
Attention, mes serveurs sont installs en anglais, donc je vous recommande dopter pour
cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en
anglais ici pour ne pas perdre le fil En revanche, mon poste client sous Windows Seven est
bien en franais.

Pour ce tuto, jutiliserai deux serveurs, le principal (avec Active Directory et DNS) nomm
DC1 et celui o le VPN sera install, nomm VPN1. Quant au poste client (Vista SP1 ou Seven
minimum), il sera nomm CLIENT1. VPN1 devra obligatoirement tre joint au domaine cre
par DC1. En revanche, cela nest pas ncessaire pour le poste client VPN1.

Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier
ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter des
certificats auprs dune autorit comptente, de disposer dune DMZ et de possder un
serveur avec de deux cartes rseau places dans des rseaux diffrents. Tout ceci pour des
raisons de scurit.




I. Installation de DC1

IP : 192.168.0.10

1. Rles installer (non dtaill)

Les rles installer sur le serveur DC1 sont les suivants :
Active Directory Domain Services (dcpromo)
DNS avec zone de recherche inverse

Si vous ne savez pas comment procder ou si vous souhaitez plus dinformations concernant
linstallation dun serveur DNS, vous pouvez lire mon tuto intitul : Serveur DNS redondants
(tuto de A Z) disponible dans ma bibliothque Scribd.

2. Cration dun groupe de scurit ddi au VPN

Il est vivement recommand de crer un groupe de scurit afin de restreindre les accs au
VPN ce seul groupe. Par ailleurs, cela vite de devoir configurer individuellement chaque
utilisateur souhaitant se connecter au VPN. Appelez ce groupe GS_VPN .

3. Cration dun compte utilisateur ddi au VPN

Crez un compte AD nomm user-pptp (un compte utilisateur normal suffit). Ensuite,
joignez ce compte au groupe GS_VPN cr pralablement.

4. Attribution dune IP statique

Lorsquun utilisateur se connecte au VPN, il est indispensable quil dispose dune IP
dynamique ou statique. Pour affecter une IP statique :
Ouvrir la console Active Directory > clic droit sur [user-pptp] > Properties > Onglet
Dial-in



Cochez la case Assign Static IP Addresses
La fentre suivante souvre :

Renseignez ensuite lIP fournir pour cet utilisateur
Attention ne pas indiquer une IP faisant partie dune plage DHCP




II. Configuration de Active Directory Certificate Services

IP : 192.168.0.20
Pensez intgrer VPN1 au domaine de DC1

1. Ajout du rle Active Directory Certificate Services :

Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur
Add roles ( droite)



















Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas
changer le type de CSP)







A vous dopter pour la dure de votre choix. 10 annes me paraissent correctes.













2. Configuration dInternet Explorer

A excuter en tant quadministrateur si vous avez lUAC dactiv : clic droit sur IE > Run
as administrator .

Tools > Options > Security > Local intranet > LOW



3. Activation du site de distribution des certificats sous IIS 7.5

Lancer IIS Manager
Cliquer sur Default Web Site
Puis sur Directory Browsing




Cliquer sur Enable ( droite)



4. Demande de certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise
Cliquer sur Request a certificate





Puis sur Advances certificate request



Cliquer sur Create and submit a request to this CA





Acceptez les ActiveX
En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com)
Dans Type of certificate needed, mettre Server Authentification Certificate
Cochez la case Mark key as exportable
Vous pouvez augmenter la taille de clef jusqu 16384 !!!



Cliquez sur Submit en bas droite
Votre demande est maintenant en attente de validation



5. Validation du certificat

Ouvrir Certification Authority dans Administrative Tools du menu dmarrer
Cliquer sur Pending request





Puis clic droit sur le certificat > All tasks > Issue
Votre demande est maintenant valide

6. Installation du certificat

Aller sur www.localhost/certsrv/en-US ou en-FR si version franaise
Cliquer sur View the status
Cliquez sur Install the certificate

7. Copie du certificat dans un autre magasin

Start > Run > MMC > OK



File > Add/Remove Snap-in





Certificates > Add > My user account > OK



Certificates > Add > Computer account > Local computer > OK
Ok
Vous obtenez ceci :





Droulez Certificate Current User > Personal afin de slectionner votre certificat
rcemment install
Clic droit All tasks > Export



Next



Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish
Droulez Certificate (Local computer) > Personal > Certificates





Clic droit sur Certificates >All tasks > Import
Next
[Emplacement certificat] > Next
Votre mot de passe > Next > Next > Finish
On supprime le certificat commenant par le <nom_domaine><nom_machine>




III. Configuration de Network Policy and Access services

Sur VPN1

1. Installation du rle
Pour ajouter ce rle, cliquez sur le Gestionnaire de serveur
Add roles ( droite)













2. Dmarrage du serveur RRAS

Lors du dploiement dun VPN, vous avez le choix dutiliser 2 cartes rseaux. Cela implique
bien sr davoir 2 sous-rseaux disposition, et galement de rajouter le rle Routage
sur votre serveur VPN1. Lavantage de cette solution est que la carte rseau du rseau public
est totalement isole par rapport votre rseau interne.
Dans mon cas et dans ce tuto, nayant pas besoin dune telle configuration (et surtout
nayant quun seul rseau), jai tout simplement utilis une seule carte rseau (pas de
routage donc).

Lancer Routing and remote access
Clic droit sur [nom_votre_serveur] > Configure and enable



Lassistant suivant apparat :









3. Configuration du firewall
Ouvrez le gestionnaire de firewall avanc
Bloquez les rgles entrantes (inbound rules) existantes suivantes par scurit (le
service Pare-feu / Windows Firewall doit bien entendu tre activ) :
o L2TP-in
o SSTP-in
Double clic sur la rgle > Bloquer




4. Configuration des rgles de filtrage du serveur NPS

Lancer la console NPS



Aller dans Policies > Connection Requet Policies
Supprimer toutes les rgles existantes (clic droit > Supprimer)
Ensuite, crez une nouvelle rgle : clic droit > Connection Request Policies > New



Lassistant suivant se lance :





Tapez un nom pour votre stratgie : Accs distant VPN-PPTP-EAP
Type of network > Remote Access Server (VPN-Dial up)
Next
Vous obtenez la page suivante :



Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Framed Protocol : PPP
o NAS port type : Virtual VPN
o Tunnel Type : PPTP





Rpondez ensuite Next toutes les options, puis sur terminer
Vous obtenez un rsultat semblable cela :



Il faut maintenant crer une stratgie rseau:

Aller dans Policies > Network Policies
Supprimer toutes les rgles existantes (clic droit > Supprimer)
Ensuite, crez une nouvelle rgle : clic droit > Network Policies > New
Lassistant suivant se lance :



Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Users groups : groupe AD donc VPN-user est membre


o Day and time restrictions (optionnel)



Rpondez ensuite Next toutes les options, puis sur terminer
Vous obtenez un rsultat semblable cela :



Une fois votre Network Policies cr, clic droit sur celle-ci, puis Proprits
Allez dans longlet Constraints





Cliquez sur Add puis choisissez loption Protected EAP (PEAP)



Cliquez sur OK, puis encore sur OK
Lancer ensuite Routing and remote access
Clic droit sur [nom_votre_serveur] > All tasks > Restart

Votre serveur NPS est dornavant oprationnel.




IV. Ouverture du port 1723 sur votre box/routeur

Pour vous connecter depuis lextrieur, vous devez ouvrir les ports 1723 en TCP sur votre
routeur et les rediriger vers lIP interne du serveur VPN1. Je vous laisse chercher sur internet
pour savoir comment ouvrir le port selon votre type de box/routeur.

V. Configuration du poste CLIENT1

1. Installation du certificat

Depuis le poste CLIENT1, allez sur le site http://nom_serveur_VPN1/certsrv/en-US via
IE
Download a CA certificate



Download a CA certificate





Ouvrir > Installer le certificat



Suivant > Suivant > Terminer





2. Copie du certificat dans un autre magasin

Start > Run > MMC > OK



File > Add/Remove Snap-in



Certificates > Add > My user account > OK
Certificates > Add > Computer account > Local computer > OK




Ok

Vous obtenez ceci :



Certificats utilisateur local > Autorits de certification intermdiaire > Certificats
Clic droit sur votre certificat > Copier
Certificats (ordinateur local) > Autorits de certification racine de confiance >
Certificats
Clic droit > Coller

3. Problme avec IP dynamique

Si vous avez la chance davoir une IP fixe (vous avez tout compris), alors lentre de votre
fichier HOST naura besoin dtre modifie quune seule fois.

En revanche, si comme moi vous disposez dun serveur avec une IP dynamique vous allez
vous heurter au problme suivant :
Vous ne pourrez pas connatre votre IP distance car celle-ci aura change aprs le
redmarrage de votre box/routeur

Pour pallier ce problme, jai cherch sur le net et jai trouv un logiciel fournit par
DynDNS que vous installez sur votre serveur et qui met jour votre IP avec votre nom de
domaine.

Mais attention, cela nest pas gratuit et il existe plusieurs contraintes. Il faut :
Crer un compte sur DynDNS (gratuit) ici


Sabonner au service Custom DNS ici pour 30$ /an (active le service permettant de
mettre jour son IP dynamique)
Dposer un nom de domaine ici pour 15 $ / an
Dposer un nom de domaine gratuit DynDNS (domaine.dyndns.com)

De plus vous devrez tlcharger le logiciel DynDNS Update Client ici. Une fois lapplication
installe sur votre serveur VPN, vous vous identifiez et automatiquement lapplication se
chargera dassocier votre nom de domaine avec votre IP dynamique. Pratique non ? En voici
un aperu :

Astuce
Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur
configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de dposer un nom
de domaine gratuit de type domaine.dyndns.com et le tour est jou. Votre routeur (et non
plus votre serveur) se chargera dactualiser votre nom de domaine avec votre IP.

4. Cration dune connexion VPN

Depuis le Centre de rseau et partage, cliquez sur :

Connexion votre espace de travail





Utilisez ma connexion Internet (VPN)







Remplir les champs nom dutilisateur et mot de passe avec le compte AD client-
vpn cr auparavant.



Crer
Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur
Modifier les paramtres de la carte





Clic droit sur la connexion VPN rcemment cre (VPN PPTP EAP) > Proprits
Vrifiez que vous avez bien mis lIP public de votre serveur dans longlet Gnral



Dans le menu droulant de longlet Scurit choisissez Protocole PPTP et dans
lapart Authentification du dessous choisissez Microsoft : PEAP





Toujours dans longlet Scurit cliqu sur Proprits
Cochez alors la case correspondant au nom de votre certificat




Cliquez sur OK puis encore sur OK
Votre VPN PPTP-EAP est prt



PS : il nest pas ncessaire de saisir le domaine



VI. Erreurs et problmes rencontrs

Les erreurs suivantes sont celles que jai pu rencontrer lors de linstallation du VPN PPTP-
EAP. Certaines mont oblig passer pas mal de temps sur internet la recherche dune
solution. Jespre donc quelles vous seront de grandes utilits. Si une erreur nest pas
rpertorie ici, reportez-vous aux sites cits au dbut dans la partie Sources . Attention la
liste ci-dessous nest pas exhaustive.

1. La connexion a t interdite par une stratgie

Erreur : 812



Votre stratgie NPS bloque la connexion.
Rfrez-vous au paragraphe III.4. pour configurer vos rgles de scurits NPS
correctement.

2. La connexion na pas pu tre tablie, car le protocole dauthentification
utilis par le serveur [] ne correspond pas aux paramtres

Erreur : 919





La mthode dauthentification de votre poste client ne correspond pas celles
acceptes par le serveur
Allez dans Routing and remote access > clic droit [serveur] > Properties >
Security > Authentification Methods et slectionnez la case approprie.
Pour informations le VPN SSTP utilise la mthode MS-CHAP v2 et le VPN
PPTP-EAP la mthode Extensible authentification protocol (EAP)



3. La connexion de rseau [] na pas pu tre tablie. Cet incident se
produit [] lorsque votre serveur VPN nest configur pour permettre les
paquets du protocole GRE

Erreur : 806








Erreur ct client


Erreur ct serveur


Le protocole GRE est bloqu par un pare-feu ou un routeur
Vrifier que le firewall est bien configur selon le point III.3
Vous essay de vous connecter via votre tlphone en modem. Rien faire, le
protocole GRE est bloqu par les oprateurs tlphoniques
Certains FAI bloquent galement le protocole GRE

4. Les informations didentification fournies par le serveur





Vous navez pas indiqu le bon certificat lors de la cration du VPN
Vrifiez que vous avez bien suivi les tapes du point V.4





VII. Conclusion

Voil, votre VPN PPTP-EAP est prt. Vous pouvez dornavant vous connectez chez vous
depuis nimporte quel endroit, du moment que vous avez un accs internet et que les ports
[1723] pour PPTP et [43] pour GRE (change de clefs) ne sont pas bloqus. Et nessayez pas
de vous connecter via votre tlphone en tant que modem, les oprateurs bloquent le
protocole GRE [43].


Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :
michel_de A-R-0-B-A-5 hotmail . com



Soyez-en dores et dj remerci