Vous êtes sur la page 1sur 8

Installer un serveur de VPN

Service de réseau privé virtuel

Les protocoles VPN


Le réseau privé virtuel (VPN) est un accès à distance utilisant une technique de cryptage pour
garantir la confidentialité des données.
Différences entre PPTP et L2TP/IPSec
Windows 2000 supporte deux protocoles VPN, le protocole PPTP (point to point tunneling
protocol) et L2TP (layer 2 tunneling protocol). Le protocole PPTP utilise la méthode de chiffrement
MPPE (Microsoft Point to point encryption) tandis que L2TP est basé sur IPSec. Par contre, pour
avoir une communication chiffré avec le protocole PPTP il est nécessaire d'avoir utilisé l'une des
methodes suivantes d'authentification: MS-CHAP v1 ou v2 et EAP/TLS pour les cartes à puces.
IPSec ne requiert aucune méthode d'authentification particulière.
La méthode MPPE permet de chiffrer sur 40, 56 et 128 bits ; pour pouvoir utiliser le cryptage sur
128 bits il est nécessaire d'avoir installer le high encryption pack (inclus dans le service pack3) et
d'installer un patch correcteur pour les versions 95 et 98 de Windows.

Voici un tableau des principales caractéristiques des protocoles PPTP et L2TP

Nous allons nous intéresser uniquement au protocole PPTP car il est plus facile à mettre en oeuvre
et il permet d'avoir une compatibilité avec les plateformes Windows 9X.
Contrôle du filtrage des paquets
Tout bon établissement possède un firewall pour protéger son réseau C'est pourquoi il est nécessaire
de comprendre les enjeux de l'installation de ce nouveau service.
En ce qui concerne le filtrage, il va falloir autoriser le passage du trafic sur le port 1723 via TCP
sur votre firewall vers votre serveur VPN et vice versa.
Contrôle du routage des paquets
D'autre part, il faut aussi autoriser le routage du protocole GRE (numero 47 sous unix) vers votre
serveur VPN pour que les connexions fonctionnent.
Installation du service routage et accès distant
Installation de base
Ouvrez la MMC "Routage et accès distant" à partir des outils d'administration.

Faites un clic-droit sur le nom de votre serveur


et choisissez "Configurer et activer le routage et
l'accès à distance".

Page 1 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Choisir "Serveur de réseau privé virtuel".

Cliquer sur suivant.

Si vous utilisez une carte spécifique pour vous


connecter sur internet choisissez la sinon
cliquez sur suivant.

Vous pouvez utiliser votre serveur DHCP ou


spécifier une plage d’adresse particulière.

Page 2 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Ici nous n'étudierons pas RADIUS, donc laissez


le choix par défaut et cliquez suivant.

L'assistant d'installation est terminé et il va


démarrer le service, assurez vous d'avoir un
écran comme celui-ci maintenant

Optimisation pour le protocole PPTP


Nous nous sommes basés uniquement sur le protocole PPTP, donc par mesure de sécurité nous
allons désactiver l'utilisation de L2TP et nous allons rééquilibrer le nombre de ports disponibles
pour le protocole PPTP sachant qu’un port est égal à une connexion. Pour cela afficher les
propriétés des ports du serveur VPN dans la console routage et accès à distance.

Réduire à zéro le nombre de ports L2TP et désactiver tous les accès pour ce même protocole.
D'autre part il faut dimensionner la valeur des ports qu'on laisse ouverts pour le protocole PPTP en
fonction du nombre d'utilisateurs mais aussi en fonction du débit réseau et surtout de la fréquence
du processeur car le cryptage sur 128 bits est très gourmand en ressource. Je vous conseille
d'augmenter le nombre de ports libres au fur et à mesure tout en faisant des benchmarks via
l'analyseur de performance.

Page 3 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Définir la plage d’adressage IP

Configuration de la sécurité
Contrôler les modes d'authentification
Pour pouvoir bénéficier du chiffrement des données avec le protocole PPTP il est nécessaire de
faire attention au protocole d'authentification qu'on utilise. En effet, pour un maximum de sécurité il
faut utiliser uniquement les protocoles MS-CHAP v1 et v2.

Faite un clic-droit sur le nom de votre serveur et


choisissez "Configurer et activer le routage et
l'accès à distance"

Une fois que vous voyez les propriétés du


serveur configurer votre méthode
d'authentification comme ci-dessous.

Page 4 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Contrôler la puissance de chiffrement


Nous allons ensuite spécifier à notre serveur qu'il n'acceptera des connexions entrantes uniquement
si le chiffrement est négocié sur 128 bits. Il va falloir tout d'abord établir une stratégie d'accès
distant ; la stratégie par défaut permet de restreindre les horaires d'accès au serveur. Une fois qu'on
a ajoute notre stratégie on indique quel comportement doit adopter le serveur lorsqu'un client qui
tente de se connecter remplit les conditions de la dite stratégie, il peut soit la refuser soit l'autoriser.

Attention! Si vous êtes dans un environnement


hétérogène, c'est à dire avec un contrôleur de
domaine NT4.0 vous devez tout de même
autoriser l'accès entrant pour chaque utilisateur
via la console de gestion des utilisateurs.
Auquel cas les utilisateurs se verront
systématiquement l'accès refusé.

Ensuite il faut cliquer sur "Modifier le profil"


pour pouvoir definir le niveau de chiffrement
minimum autorisé par le serveur, après il faut
aller dans l'onglet "Cryptage" et on coche
uniquement la case "Maximal".

Page 5 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Autorisation d'accès distant

Si vous avez installé votre serveur VPN


Windows 2000 dans un environnement Active
Directory vous avez la possibilité de contrôler
l'accès distant individuellement ou bien via les
stratégies d'accès distant, pour cela il faut aller
dans les propriétés de l'utilisateur comme ci-
contre ou bien il faut le configurer via une
GPO.

Si vous êtes dans un environnement Windows


NT 4.0 vous pouvez contrôler l'autorisation
d'accès uniquement via la console de gestion
des utilisateurs du contrôleur de domaine. Une
fois que le droit d'accès a été donné, vous
pouvez mettre en place une strategie d'accès
distant dans le service de routage et d'accès
distant. Vous pouvez contrôler les horaires
d'accès, les protocoles utilisés, etc...

Poledit permet aussi de configurer quelques options telles que le nombre de tentatives par exemple.

Page 6 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Configuration des clients


Clients sous Windows 95
Tout d'abord vous devez installer un patch pour le cryptage sur 128 bits, si vous avez Windows 95 il
faut télécharger le patch suivant http://www.projet-java.com/dun14-95.exe et suivez la procédure
suivante:

· Installation de la connexion VPN


· Ouvrez le "Poste de travail"
· Ouvrez l'Accès réseau à distance
· Double-cliquez sur l'icône "Nouvelle connexion"
· Cliquez sur "Suivant"
· Entrez l'adresse IP du point d'accès
· Cliquez sur "Terminer"

· Rendez-vous sur l'icône de votre connexion VPN


· Cliquez avec le bouton droit sur l'icône
· Allez dans "Propriétés"
· Cochez les options d'encryption comme sur l'illustration suivante
Clients sous Windows 98
Tout d'abord vous devez installer un patch pour le cryptage sur 128 bits, si vous avez Windows 98 il
faut télécharger le patch suivant http://www.projet-java.com/dun14-98.exe ou http://www.projet-
java.com/dun14-se.exe si vous avez 98SE et suivez la procédure suivante:

Installation du protocol VPN de Windows 98


· Aller dans le "Panneau de configuration" de Windows 98
· Double-cliquez sur l'icône "Ajout/Suppression de programmes"
· Cliquez sur l'onglet "Installation de Windows"
· Double-cliquez sur "Communications"
· Cochez l'option "Réseau privé virtuel (VPN)"
· Cliquez sur "Ok" et ensuite sur "Appliquer"
· Assurez-vous d'avoir votre CD de Windows 98 à portée de main
· Une fois ces étapes terminées, redémarrez Windows

· Installation de la connexion VPN


· Ouvrez le "Poste de travail"
· Ouvrez l'"Accès réseau à distance"
· Cliquez sur "Suivant"
· Entrez l'adresse IP du point d'accès
· Cliquez sur "Terminer"

Page 7 / 8
Installer un serveur de VPN
Service de réseau privé virtuel

Clients sous Windows 2000/XP


Pour créer une connexion VPN sous Windows 2000 ou XP on utilise les procédures habituelles via
l'assistant de connexion réseau.

Le paramètre le plus important: l'IP du serveur VPN!

Selon la source : http://www.supinfo-projects.com/fr/2003/vpn_2000/0/

Page 8 / 8