Vous êtes sur la page 1sur 19

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

TP VPN

Pré requis et Configuration initiale des machines

Utilisation de quatre machines, un client (Windows 7 pour simuler le client VPN), un serveur (Windows Server 2008 => WS2008 pour le serveur VPN), un client (XP pour la prise en main à distance) et un routeur (WS2003 qui servira à faire des captures de trame et à simuler une « box » d’accès à Internet) ;

Attribuez une (des) adresse(s) IP fixe(s) à toutes les machines ;

Attribuez une adresse IP fixe au client ;

Vérifiez que la connectivité est bonne entre les deux machines ;

Désactivez, si nécessaire, le service Routage et accès distant (mis en œuvre dans un autre TP) ;

Vérifiez que le service d’annuaire Active Directory est installé (Normalement votre SERVEUR est contrôleur de domaine et il est donc capable de gérer les utilisateurs du domaine).

L’objectif du TP est de configurer les différents matériels et logiciels afin de simuler une prise en main à distance d’une machine du réseau local par une autre machine située sur Internet grâce à une liaison VPN.

Vous allez mettre en place l’architecture suivante (rajoutez et/ou modifiez, dans les zones surlignées en jaune, les noms et adresses IP correspondant à votre environnement de travail). Les adresses IP indiquées sur le schéma correspondent à l’environnement de travail de l’élève N°1 !!!

Dernier point important : Débranchez le câble qui vous connecte à Internet. D’après vous pourquoi (analysez bien le schéma !)?

Car cela risque de crée de conflit d’adresse IP. Internet Réseau local Client 09 Votre
Car cela risque de crée de conflit d’adresse IP.
Internet
Réseau local
Client 09
Votre
(Win 7)
poste de
Serveur ESXi
Client
Serveur VPN
Win XP
Serveur
_09
(Win2008)
192.168.0.
179
192.168.0.
159
Routeur
172.10.0. 254
(Win2003)
172.20.0.1
Internet
Switch
Switch
Switch
virtuel 1
virtuel 2
virtuel 3
192.168.0.
151
172.10.0. 253
172.20.0.253
Réseaux 1 (Internet)
Réseaux 2
Réseaux 3 (Local)
192.168.1.0 / 24
172.10.0.0 /16
172.20.0.0 /16

Attention, on

directement à votre serveur ESX, comme c’est le cas habituellement!

un accès via Internet. Dans le TP, votre poste de travail Windows7 sera reliéà votre serveur ESX , comme c’est le cas habituellement ! Avant d’ aller plus loin,

Avant d’aller plus loin, testez le bon fonctionnement de vos 3 réseaux.

Vous allez mettre en œuvre deux types de VPN : PPTP et SSTP.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Mise en œuvre d’une connexion VPN PPTP

Dans l’architecture proposée, le client Internet (ici le client01 ou votre client) ouvre une connexion VPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion établie, le client Internet accèdera au bureau à distance du poste local (Win XP).

Pour cela, il faudra procéder de la façon suivante :

1. Configurer le serveur VPN (WS2008), notamment le service de routage et d’accès distant ;

2. Créer un compte utilisateur pour pouvoir établir la connexion VPN (authentification) ;

3. Configurer le client afin qu’il puisse ouvrir une connexion VPN ;

4. Autoriser l’accès à distance sur le client virtuel XP (client du réseau local) ;

5. Vérifier que la connexion VPN est établie et accéder au bureau à distance du client WinXP.

1) Configuration du routeur (W1indows server 2003)

Dans cette première partie, le routeur ne servira que pour faire des analyses de trames entre votre poste de travail Windows Seven (poste qui va simuler une demande en provenance d’Internet), le serveur VPN et le poste sur lequel vous allez prendre la main (poste que l’on considère être dans le réseau local de l’entreprise).

Dans un premier temps, seul le routage sera activé afin de laisser passer tout type de trafic.

2) Configuration du serveur VPN (Windows server 2008)

2.1. Installation du serveur VPN et configuration des options générales

2.1.1. Activez et configurez le routage et l’accès distant [SERVEUR]

Avant de passez à la configuration du VPN effectuez les 2 opérations suivantes :

1. Si le service Routage et accès distant a déjà été installé (précédent TP), désactivez le.

2. indiquez les résultats des tests demandés ci-dessous :

Est-ce que le « Ping » entre le routeur et le serveur VPN fonctionne ?

Oui

Est-ce que le « Ping » entre le serveur VPN et le client XP fonctionne ?

Oui

Est-ce que le « Ping » entre le routeur et le client XP fonctionne ?

Non

Est-ce que le « Ping » entre votre client Seven et le routeur fonctionne ?

Oui

Est-ce que le « Ping » entre votre client Seven et le serveur fonctionne ?

Non

Sur le serveur VPN

Pour configurer l’accès distant il faut que le rôle de serveur Services de stratégie et accès distant soit installé. Normalement ce doit être le cas. Au besoin, allez dans le Outils d’administration puis Gestionnaire de serveur et ajouter ce rôle. Vous devrez alors cocher l’option Services de routage et d’accès distant puis installer ces services.

Relancez ensuite Configurer et activer le routage et l’accès distant. Voir la suite en page suivante.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Dans l’assistant Installation du serveur de routage et d’accès distant, suivre les étapes suivantes :

Dans la fenêtre Configuration, choisissez Accès à distance [connexion à distance ou VPN], puis cliquez sur Suivant.

Dans la fenêtre Configuration, choisissez Accès à distance [connexion à distance ou VPN] , puis cliquez

Choisissez l'interface correspondant à votre connexion internet.

« Sécuriser

l’interface sélectionnée en … » soit

Veillez

à

ce

que

la

case

cochée.

Cliquez sur le bouton Suivant.

l’interface sélectionnée en … » soit  Veillez à ce que la case cochée.  Cliquez

Choisissez une plage d’adresses qui n’est pas utilisée habituellement :

De 10.10.10.10 à 10.10.10.20

Vous pourrez modifier plus tard ces adresses dans la console Routage et accès distant, en faisant un clic droit sur SERVEUR, puis en sélectionnant Propriétés et IPv4 :

Côchez ensuite la case VPN et cliquez sur le bouton Suivant, puis sur le bouton Terminer

 Côchez ensuite la case VPN et cliquez sur le bouton Suivant, puis sur le bouton

pour quitter l’assistant.cliquez sur le bouton Suivant, puis sur le bouton Terminer  Choisissez comment le serveur VPN

 Choisissez comment le serveur VPN va attribuer les adresses IP aux clients VPN :
 Choisissez comment le serveur VPN va
attribuer les adresses IP aux clients VPN :
Soit les clients VPN utilisent un
serveur DHCP du réseau local.
Soit vous spécifiez les adresses que
vous voulez utiliser

Vous devez ensuite choisir si vous voulez ou non utiliser un serveur RADIUS pour

Sélectionner l’option NON. L’authentification se fera à partir des comptes utilisateurs d’Active Directory.

Cliquez ensuite sur le bouton Terminer.

l’authentification des utilisateurs.d’Active Directory.  Cliquez ensuite sur le bouton Terminer . Alexa STROZZI / Georges ESQUIROL Page

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Une fois cet assistant terminé, WS2008 crée automatiquement 128 ports pour chacune des trois technologies
Une fois cet assistant terminé, WS2008 crée
automatiquement 128 ports pour chacune
des trois technologies de VPN. Chaque
connexion VPN requiert ensuite un port
unique.
Revenez dans la console de Routage et
accès distant, dans l’arborescence de votre
serveur allez sur ports. Vérifiez la présence
des ports.
En pratique, il faudrait désactiver les ports
inutiles pour une meilleure sécurité.

Faites un ping entre votre client Seven et le serveur VPN. Quel résultat obtenez-vous ? Expliquez ce résultat (avec un peu de curiosité et de bon sens, la réponse est facile à obtenir !).

Le résultat du ping et défaillance général car il n’y pas de connexion VPN.

Remarque

:

va

automatiquement bloquer tout le trafic entrant qui ne correspond pas au trafic VPN, sur l’interface publique.

Une fois

configuré pour accepter les

connexions

VPN entrantes,

WS2008

Pour visualiser les règles de filtrage rajoutées lors de l’installation du serveur VPN, il faut :

Accéder à la console de Routage et accès distant, dans l’arborescence de votre serveur allez sur IPv4 puis Général.

Faites un clic droit sur votre interface publique puis sélectionnez Propriétés.

Cliquez sur filtres d’entrée puis sur filtres de sortie.

interface publique puis sélectionnez Propriétés .  Cliquez sur filtres d’entrée puis sur filtres de sortie
interface publique puis sélectionnez Propriétés .  Cliquez sur filtres d’entrée puis sur filtres de sortie
interface publique puis sélectionnez Propriétés .  Cliquez sur filtres d’entrée puis sur filtres de sortie
interface publique puis sélectionnez Propriétés .  Cliquez sur filtres d’entrée puis sur filtres de sortie

Analysez le contenu des tables de filtrage et recherchez à quoi correspondent les autorisations qui y sont:

Protocole 47 :

ni-ftp

 

Protocole 50 :

re-mail-ck - Remote Mail Checking Protocol

 

Protocole 51 :

la-maint - IMP Logical Address Maintenance

 

Port 500 sur UDP :

ISAKMP (Internet Security Association and Key Management Protocol), un des

composants d'IPsec

 

Port 1701 sur UDP :

 

Port 1723 sur TCP :

 

Port 4500 sur UDP :

 

Port 443 sur TCP

 

Faites vérifier par le Prof.

2.1.2. Création d’un compte utilisateur pour la connexion VPN. [SERVEUR]

Dans la console Utilisateurs et ordinateurs Active Directory, créez un compte d’utilisateur que vous nommerez « usr_vpn » avec le mot de passe « vpn » qui n’expire jamais.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Dans les propriétés de cet utilisateur, allez dans la section Appel entrant, sélectionnez Autoriser l’accès, puis cliquez sur le bouton OK.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

3) Configuration du client VPN

Comme vous utilisez souvent un client sous Windows Seven ou sous Windows XP, les deux méthodes sont décrites ci-dessous :

A) Création d’une connexion VPN pour un client Windows XP (si besoin)

Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic droit sur Connexions réseau, puis choisissez Ouvrir.

Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle connexion ou bien allez dans la partie de gauche intitulée Gestion du réseau et choisissez Créer une nouvelle connexion.

Cliquez sur Suivant, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant

Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis Suivant.

Saisissez « Connexion VPN » dans la zone de texte Nom de la société, puis cliquez sur Suivant.

Dans la fenêtre intitulée « Réseau public » sélectionnez l’option Ne pas établir la connexion initiale

Entrez l’adresse IP de votre serveur VPN dans le champ Nom d’hôte ou adresse IP, puis validez ce choix en cliquant sur le bouton Suivant.

Cliquez sur le bouton Terminer pour quitter l’assistant.

B) Création d’une connexion VPN pour un client

Windows 7

Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Sélectionnez ensuite Réseau et Internet, puis Centre réseau et partage et enfin Configurer une nouvelle connexion ou un nouveau réseau.

Dans la fenêtre Configurer une connexion ou un réseau sélectionnez Connexion à votre espace de travail (configurer une connexion d’accès à distance ou VPN) puis éventuellement l’option « Non, créer une nouvelle connexion ».

Choisissez ensuite le type de connexion Utiliser ma connexion Internet (VPN) puis «

Me laisser décider ultérieurement »

Indiquez l’adresse IP de votre serveur VPN et le nom de la destination (par défaut connexion VPN). Les trois options proposées en plus ne sont pas nécessaires dans le cadre du TP.

Saisissez le nom d’utilisateur et le mot de passe créés précédemment. La connexion est enregistrée.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

4) Configuration de l’accès à distance sur le client local

Comme nous pouvons utiliser aussi bien un client XP qu’un client Seven, vous trouverez les deux procédures à suivre pour autoriser l’accès à distance sur la machine.

Pour autoriser l’accès à distance sur un

Connexion réseau et Internet /Bureau à distance. Cochez la case correspondant à « Autoriser les utilisateurs à se connecter à distance à cet ordinateur ».

Windows XP

il faut aller dans Panneau de configuration /

Remarque : 1 seul utilisateur peut accéder à la machine. Ce sera donc soit un utilisateur local (qui a accès physiquement à la machine) soit un utilisateur distant, mais pas les deux en même temps ! Windows XP vous affiche un message chaque fois qu’un utilisateur tente de prendre la main sur la machine alors qu’un autre utilisateur y est déjà connecté. Il faudra alors confirmer le changement d’utilisateur.

Pour autoriser l’accès à distance sur un poste

- Ouvrez le menu Démarrer puis saisissez Autoriser accès dans le champ de recherche, ou bien ouvrez les propriétés de l’ordinateur et choisissez Paramètres d’utilisation à distance

- Cliquez sur Autoriser l’accès à distance à votre ordinateur

- Cochez la case Autoriser les connexions d’assistance…

- Cochez surtout la case Autoriser la connexion des ordinateurs exécutant

Remarque : si vous savez que vous n’utiliserez que des PC sous Vista ou sous Windows 7 pour prendre le contrôle à distance, optez alors pour le mode le plus sécurisé en cochant l’option

"N’autoriser que la connexion des ordinateurs…"

Windows 7

il faut :

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

5) Vérification de la connexion VPN et de l’accès à distance

5.1) Test de la connexion VPN

Avant de tester la connexion VPN, affichez les paramètres IP de votre client. Vous ne devez

donc voir

que
que

les paramètres standards de votre (vos) carte(s) réseau.

Sous Windows XP, dans la fenêtre Connexions réseau, lancer la connexion (double clic)

« Connexion VPN » créée précédemment.

Sous Windows 7, allez dans Réseau et Internet / Centre Réseau et partage. Dans la partie inférieure de la fenêtre intitulée « Modifier vos paramètres réseau », sélectionnez Connexion à

un réseau. Une nouvelle fenêtre apparaît où il suffit de cliquer sur la connexion que l’on a créée à l’étape précédente et qui doit se nommée « Connexion VPN ».

précédente et qui doit se nommée « Connexion VPN ». Sous Windows 7 la connexion VPN

Sous Windows 7 la connexion VPN apparaît dans la fenêtre Centre réseau et partage

VPN apparaît dans la fenêtre Centre réseau et partage Pour connexion VPN lancer la  Dans
VPN apparaît dans la fenêtre Centre réseau et partage Pour connexion VPN lancer la  Dans
VPN apparaît dans la fenêtre Centre réseau et partage Pour connexion VPN lancer la  Dans

Pour

connexion VPN

lancer

la

Centre réseau et partage Pour connexion VPN lancer la  Dans les deux cas (XP et

Dans les deux cas (XP et Seven), vous devez alors indiquer le nom et le mot de passe de l’utilisateur (usr_vpn / vpn) créé dans Active Directory. La connexion VPN doit alors être établie avec succès.

Refaite un « ipconfig » sur votre client et sur votre serveur VPN.

Une nouvelle interface doit apparaître avec un nom de la forme : « Carte PPP …… ». L’adresse IP doit appartenir à la plage d’adresses que vous avez créée sur le serveur (10.10.10.10 à 10.10.10.20).

Client Serveur
Client
Serveur

Une fois que vous êtes sur du bon fonctionnement de la liaison VPN, déconnectez-vous. Sur votre routeur, lancez une analyse de trame (peu importe l’interface car Trafic d’Entrée = Trafic de Sortie).

Rétablissez la connexion VPN. Arrêtez la capture de trames. Dans la zone « filtre », tapez

« gre » et validez.

Faites un copier/coller de la capture de trame.

Analysez attentivement les 15 premières lignes. Normalement vous devriez voir apparaître le

protocole PPP qui est associé avec d’autres protocoles vus en cours (c’est bon pour les révisions !!). On ne prendra pas en compte les protocoles CBCP, CCP, IPv6, IPCP.

Essayez de retrouver à quoi servent ces différents protocoles (infos présentes dans la capture de trames) :

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 PPP  Un protocole de contrôle

PPP

Un protocole de contrôle de liaison (Link Control Protocol, LCP) qui a pour rôle d'établir, de configurer, de tester et de fermer la liaison de données.

_LCP
_LCP

PPP

CHAP signifie Challenge Handshake Authentication Protocol est un protocole d’authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin qu’Initiator et Target iSCSI s’authentifient éventuellement mutuellement.

_CHAP

 

L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejoué par un tiers à l’écoute. La contrainte est que chaque partie partage un « secret » (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte.

PPP

 

_Comp

GRE

 

Maintenant que la connexion VPN est établie, allez sur le serveur VPN, dans Routage et accès distant. Dans l’arborescence de votre serveur, sélectionnez Ports. Dans la liste des ports VPN créés, recherchez et notez le port qui est actif :

Le port atif est Wan Miniport (PPTP) (VPN3-127)

La connexion VPN étant toujours établie, allez sur le serveur VPN, dans Routage et accès distant. Dans l’arborescence de votre serveur, sélectionnez Clients d’accès distant. Normalement vous devriez voir que l’utilisateur « usr_vpn » est connecté. Déconnectez-le à partir de votre serveur.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

5.2) Test de l’accès distant Relancez la connexion VPN. Vous pouvez maintenant accéder au réseau local. Vous allez donc accéder au bureau à distance de la machine (supposée être dans le réseau local) depuis votre poste client (en principe Windows 7) que l’on suppose être relié à Internet. Pour cela, allez dans Démarrer / Tous les programmes / Accessoires / Connexion bureau à distance. Pouvez-vous prendre la main sur la machine distante ? Si vous rencontrez un problème notez-le :

Oui

Faites vérifier par le Prof.

Maintenant que vous avez pris la main à distance sur le client, relancez une capture de trames. Réalisez une ou deux actions sur le client distant et analysez la capture. Indiquez quels sont les interlocuteurs (adresses IP) du trafic (PPP uniquement) :

interlocuteurs (adresses IP) du trafic (PPP uniquement) : IP src 172.10.0.1 (client de la connection bureau

IP src 172.10.0.1 (client de la connection bureau accès à distance) IP dest 172.10.0.253 ( IP de l’interface du serveur VPN et non pas du PC distant comme on pourrai le pensé)

Pouvez-vous voir une quelconque information (Nom, adresse IP, etc.) concernant la machine du réseau local sur laquelle vous êtes connecté à distance ?

Non impossible d’avoir une information sur le bureau distant.

PPTP est probablement le plus répandu en ce qui concerne l’accès distant des nomades. Facile à mettre en place, il convient parfaitement aux infrastructures ne nécessitant pas de sécurité particulière et nécessite peu de maintenance. Sa simplicité de mise en place se couple avec le très large support des systèmes d’exploitation clients, pour la plupart, ne nécessiteront pas de client logiciel tiers.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

On notera néanmoins des désavantages. L’établissement et le maintien de la session se fait en fait via 2 liens persistants : 1 session GRE encapsulant une session PPP et 1 session TCP vers le port 1723 du serveur servant à gérer la session GRE. Utilisant le protocole d’encapsulation GRE, il n’est pas évident qu’il puisse être mis en place partout. En effet, nombre de matériels ne gère pas GRE ce qui rend impossible son implémentation, et notamment les routeurs basiques et les fameuses Box des différents FAI. Autre point faible, l’authentification de l’utilisateur avant l’établissement de la session. Bien qu’utilisant couramment le protocole MS-CHAPv2, cela laisse une place aux mots de passe faibles des utilisateurs, lacune qui peut être comblée par l’emploi de certificats avec EAP- TLS.

6) Connexion VPN avec mise en œuvre de la NAT sur le routeur Internet Réseau
6) Connexion VPN avec mise en œuvre de la NAT sur le routeur
Internet
Réseau local
Client 01
Votre
(Win 7)
poste de
Serveur ESXi
Client
Serveur VPN
Win XP
Serveur
_01
IP « publique
»
(Win2008)
192.168.0.
131
192.168.0. 254
Routeur
172.10.0. 254
(Win2003)
172.20.0.1
Internet
Switch
Switch
Switch
virtuel 1
virtuel 2
virtuel 3
192.168.0.
151
172.10.0. 253
172.20.0.253
Réseaux 1 (Internet)
Réseaux 2
Réseaux 3 (Local)
192.168.1.0 / 24
172.10.0.0 /16
172.20.0.0 /16

Le routeur va fonctionner de la même façon qu’un routeur d’accès à Internet (type « box » que vous posséder à votre domicile).

En réalité, ce routeur doit donc avoir une adresse IP publique afin qu’on puisse y accéder depuis Internet. Nous simulerons cette IP publique et vous utiliserez tous l’adresse « 192.168.0.254 » qui fera office d’adresse publique.

Il faut ensuite configurer la redirection de port afin que le trafic VPN (provenant de votre poste client Seven) puisse être redirigé vers le serveur VPN.

Voir « Configuration de la redirection de ports »

Apportez

opérationnelle.

toutes

les

modifications

nécessaires

et

testez

si

la

connexion

VPN

est

toujours

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Mise en œuvre d’une connexion VPN SSTP

SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère en outre une très large compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le port 443. Cette solution de SSL VPN est implémentée nativement sur Windows Server 2008 depuis sa RC0 ce qui évite tout investissement dans une solution tierce. Prévue pour une utilisation des clients nomades uniquement, son support est uniquement fourni par Windows Vista SP1 et Windows 7, ce qui n’est pas le cas pour le Service Pack 3 de Windows XP.

Le routeur ne fera que du routage, comme dans la première partie. On supprime la

Le routeur ne fera que du routage, comme dans la première partie. On supprime la NAT car 2003 ne

sait pas rediriger le trafic SSTP

.

Internet Réseau local Client 01 Votre (Win 7) poste de Serveur ESXi Client Serveur VPN
Internet
Réseau local
Client 01
Votre
(Win 7)
poste de
Serveur ESXi
Client
Serveur VPN
Win XP
Serveur
_01
192.168.0.
254
(Win2008)
192.168.0.
131
Routeur
172.10.0. 254
(Win2003)
172.20.0.1
Internet
Switch
Switch
Switch
virtuel 1
virtuel 2
virtuel 3
192.168.0.
151
172.10.0. 253
172.20.0.253
Réseaux 1 (Internet)
Réseaux 2
Réseaux 3 (Local)
192.168.1.0 / 24
172.10.0.0 /16
172.20.0.0 /16

Principe de fonctionnement de SSTP :

/ 24 172.10.0.0 /16 172.20.0.0 /16 Principe de fonctionnement de SSTP : Alexa STROZZI / Georges

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

1) Configuration du serveur

SSTP nécessite Windows Server 2008 sur lequel doivent être installés Active Directory Domain Services (AD DS) et le DNS, ce qui a déjà été fait dans les TP précédents. Un utilisateur de test dont on aura autorisé l’accès distant dans ses propriétés est également requis (ce qui est également fait => usr_vpn ; vpn).

Installation du rôle « services de certificats d’Active Directory (AD CS) »

SSTP étant basé sur SSL et à fortiori sur l’authentification du serveur par certificat, nous préférons, pour la suite, créer notre propre autorité de certification (CA) plutôt que d’engager des frais dans l’obtention d’un certificat validé par une entité reconnue. Dans le Gestionnaire de serveur, ajoutez le rôle Services de certificats Active Directory. Pour cela, vous devez suivre les étapes suivantes :

Sélectionnez le service Autorité de certification ;

Spécifiez ensuite le type d’installation Autonome ;

Indiquez le type d’autorité de certification Autorité de certification racine ;

Configurez la clé privée en choisissant Créer une nouvelle clé privée ;

Configurez le chiffrement avec RSA en 1024 bits et l’algorithme de hachage SHA1 ;

Configurez le nom de l’autorité de certification. Le Nom commun de votre serveur est proposé par défaut, par exemple domaine01-SERVEUR01-ca ;

Sélectionnez la période de validité du certificat : 1 an ;

Validez l’emplacement (par défaut) des fichiers correspondant à la base de données et au journal ;

Vérifiez toutes les informations que vous venez de saisir et lancez l’installation

Remarque : Il se peut que l’installation du service de certificats vous oblige à installer aussi IIS (Internet Information Service). Comme vous déjà installé ce service, l’installation devrait se dérouler telle que décrite ci-dessus. A vérifier !

Toujours dans le Gestionnaire de serveur, sélectionnez le rôle Services de certificats Active Directory.que vous venez d’installer. Dans la partie de droite du gestionnaire, allez sur Services de rôle (qui doit contenir Autorité de certification) et sélectionnez Ajouter des services de rôle. Dans l’assistant d’installation, cochez le service de rôle Inscription de l’autorité de certification via le web et poursuivez l’installation. Ceci nécessite IIS (Internet Information Service) sur le serveur hébergeant l’autorité de certification, les composants requis vous sont donc proposés. Laissez les éléments par défaut.

Créer et installer le certificat d'authentification du serveur Le certificat d'authentification du serveur est utilisé par le client pour authentifier le serveur VPN. Avant d'installer le certificat, vous devez configurer Internet Explorer pour autoriser la publication du certificat.

Configuration d’Internet Explorer :

1. Sur le serveur VPN, cliquez sur Démarrer, clic droit sur Internet Explorer, puis sélectionnez sur Exécuter en tant qu'administrateur.

2. Si une alerte de filtre anti-hameçonnage s'affiche, cliquez sur Désactiver automatiquement Filtre anti-hameçonnage, puis cliquez sur OK.

3. Cliquez sur le menu Outils, puis cliquez sur Options Internet.

4. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

5. Sélectionnez une zone pour afficher ou modifier les paramètres de sécurité, cliquez sur Intranet

local.

6. Cliquez sur Personnaliser le niveau de sécurité Intranet local et passer de moyenne-basse à basse, puis cliquez sur OK.

Demander un certificat d'authentification du serveur

1. Sur le serveur VPN, dans la barre d'adresses d'Internet Explorer, entrez http://localhost/certsrv,

puis appuyez sur ENTRER. Cette opération ne peut fonctionner que si vous avez bien installé le

service de rôle Inscription de l’autorité de certification via le web comme indiqué plus haut.

2. Dans la zone Sélectionner une tâche, cliquez sur Demander un certificat.

3. Vous devez ensuite sélectionner le type de certificat, cliquez sur Demande de certificat

avancée.

4. Cette demande avancée propose deux options, choisissez Créer et soumettre une demande de requête auprès de cette autorité de certification.

5. Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX

6. Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web.

7. Complétez le formulaire :

Informations d’identification :

Nom : c’est le FQDN, nom complet, utilisé par les clients. Ce nom devrait être de la forme serveur01.domaine01.net (serveur01.domaineperso.net à la maison). Pour les autres informations, voir l’exemple ci-dessous.

Type de certificat requis :

Sélectionnez Certificat d’authentification serveur.

Options de la clé :

Cochez l’option Créer un nouveau jeu de clés (option par défaut) ; Fournisseur de service de chiffrement : Microsoft Enhanced RSA and AES cryptographic provider ; Utilisation de la clé : sélectionnez Les deux ; Taille de la clé : 1024 ; Sélectionnez ensuite Nom de conteneur de clé automatique ; Cochez l’option Marquer les clés comme étant exportables ;

Options supplémentaires :

Sélectionnez CMC ; Pour l’algorithme de hachage choisissez sha1 ; On peut attribuer un nom convivial à ce certificat, par exemple Certificat SSTP.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 Validez la demande de certificat en

Validez la demande de certificat en appuyant sur Envoyer.

Un message (dans Internet Explorer) vous informe que le certificat est en attente. La demande a bien été reçue, il faut que l’administrateur émette le certificat demandé.

Emission du certificat d'authentification du serveur

Sur votre serveur VPN, revenez dans la console de gestion de l’autorité de certification (Outils d’administration / autorité de certification). Faites un double clic sur l’autorité correspondant à votre serveur (du type domaine01- SERVEUR01-CA), puis ouvrez le dossier Demandes en attente. Vous devriez voir, dans la partie de droite, la demande de certificat que vous venez de faire. Normalement l’opération à réussi et la demande est en attente de traitement

à réussi et la demande est en attente de traitement Faites un clic droit sur le
à réussi et la demande est en attente de traitement Faites un clic droit sur le

Faites un clic droit sur le certificat en attente, choisissez l’option Toutes les tâches puis Délivrer.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Si vous allez maintenant dans le dossier Certificats délivrés, vous devez voir votre certificat avec toutes les informations que vous avez précédemment indiqué dans le formulaire (Internet Explorer).

Revenez dans Internet Explorer, dans le bandeau en haut de la page (Services certificats Microsoft ….) vous avez un lien vers l’Accueil. Exécutez ce lien (retour à http://localhost/certsrv/).

Dans la zone Sélectionner une tâche, choisissez Afficher le statut d’une requête de certificat en attente.

Sélectionnez ensuite le certificat d’authentification du serveur que vous venez de créer.

Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX

Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web

Cliquez sur le lien pour Installer ce certificat.

Le certificat d’authentification du serveur est maintenant prêt à être utilisé.

2) Configuration du client

Important : Le client VPN doit obligatoirement fonctionner sous Windows Seven (ou Vista) qui supporte nativement le protocole SSTP. C’est impossible à réaliser avec un poste XP qui ne gère pas SSTP !!!!

SSL est basé sur l’authentification du serveur. Celui-ci envoie donc son certificat lors de la négociation de la connexion ; dès lors, comment garantir que ce certificat est valable ? En faisant rentrer en jeu l’autorité de certification racine de confiance que l’on suppose intègre. L’ordinateur doit faire confiance à cette autorité et pour cela posséder son certificat dans son magasin d’autorité racine de confiance. Nativement, seules des autorités reconnues internationalement sont présentes. Il faut donc intégrer à ce magasin le certificat de l’autorité racine que vous avez créé dans l’étape précédente. Pour se faire, deux solutions s’offrent à nous : soit par téléchargement et installation du certificat via l’interface Web, soit par déploiement via une GPO. Nous utiliserons la première solution.

Pour contacter le serveur en utilisant son nom (FQDN), il va falloir réaliser une résolution de nom. Le serveur DNS actif ne connait pas cette machine, il ne pourra donc pas faire de correspondance entre ce nom et l’adresse IP de serveur. Pour que le poste client puisse joindre le serveur, vous allez modifier le fichier « hosts » du client, situé sous c:/windows/system32/drivers/etc, et rajouter la ligne comportant l’adresse IP et le FQDN du serveur : par exemple 192.168.0.x serveurx.domainex.net. (sur la pate ou on doit prendre le connection a distance)

Sur le poste client, ouvrez le navigateur. Tapez l’URL correspondant à l’autorité de

VPN) :

certification (dans

notre

cas

c’est

aussi

le

serveur

Vous devez accéder à la page d’accueil de l’autorité de certification (que nous avons déjà utilisé pour la configuration du serveur).

Dans la zone Sélectionner une tâche, choisissez Télécharger un certificat d’autorité de certification

Vous avez ensuite le choix entre Ouvrir ou Télécharger le certificat. Choisissez OUVRIR.

Choisissez ensuite Installer le certificat …. ce qui permettra d’approuver les certificats émis par cette autorité de certification (CA par la suite).

Pour vérifier si le certificat est bien installé, allez dans les OUTILS du navigateur. Pour Internet Explorer choisissez Options Internet. Allez ensuite dans Contenu puis Certificats. Sélectionnez l’onglet Autorité de certification intermédiaires et vérifiez que le certificat est bien présent (domaineX-SERVEURx-CA).

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Pour Mozilla Firefox choisissez Options. Allez ensuite dans Avancé puis Chiffrement. Sélectionnez l’onglet Afficher les certificats puis Autorités et vérifiez que le certificat est bien présent (domaineX-SERVEURx-CA).

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

3) Configuration de la connexion VPN

Il faut créer une nouvelle connexion réseau, spécifique au VPN. Pour cela, suivre les étapes suivantes :

Allez dans Centre Réseau et Partage puis choisissez Configurer une nouvelle connexion

Choisissez ensuite l’option Connexion à votre espace de travail (configurer une connexion d’accès à distance ou VPN).

Sélectionnez l’option Non, créer une nouvelle connexion.

Sélectionnez ensuite Utiliser ma connexion Internet (VPN). Une boite de dialogue vous propose de configurer une connexion Internet, choisissez Je configurerai une connexion ultérieurement.

Vous devez ensuite indiquer l’adresse Internet à laquelle vous souhaitez vous connecter. Vous pouvez indiquez le nom (FQDN) du serveur VPN ou son adresse IP. Pour utiliser le nom il faut que le fichier « Hosts » ait été modifié correctement. Vous devez également donner un Nom de la destination : tapez « Connexion VPN SSTP »

Vous devez enfin préciser le Nom d’utilisateur (usr_vpn) et le mot de passe (vpn) avec lesquels vous allez établir la connexion.

Terminez en appuyant sur le bouton Créer.

Dernière opération, toujours dans Centre Réseau et Partage, sélectionnez Connexion à un réseau. Dans la fenêtre qui s’ouvre, vous devez voir la connexion VPN que vous venez de créer. Faites un clic droit puis Propriétés de cette connexion. Ouvrez l’onglet Sécurité. Dans Type de réseau VPN, choisissez Protocole SSTP à la place d’automatique.

4) Test de la connexion

Message d’erreur possible (que la connexion utilise le Nom ou l’IP):

Erreur 0x80072746 : une connexion existante a du être fermée par l’hôte distant.

BTS SIO2: module SISR5

TP VPN sous Windows server 2008

Configuration de la redirection de port

Si ce n’est pas encore fait, ajouter un « nouveau protocole de routage » dans ROUTAGE IP puis GENERAL. Choisir le protocole PARE-FEU DE BASE /NAT sous 2003 et NAT à partir de 2008.

Allez dans PARE-FEU DE BASE /NAT ou NAT et choisissez Nouvelle Interface et sélectionnez la carte réseau qui est reliée à Internet. Dans l’onglet Pare-feu de base / NAT (2003) ou NAT (2008 et +):

Sélectionnez Interface publique connectée à Internet ;

Activer la NAT sur cette interface du routeur ;

Dans l’onglet Services et Ports :

Sélectionnez le(s) service(s) qui vous intéresse(nt). Attention, avec 2003 vous n’avez comme choix que « Passerelle VPN PPTP » et « Passerelle VPN L2TP/IPsec »;

Indiquez l’adresse IP de la machine vers laquelle le routeur doit rediriger le trafic concerné (le serveur VPN, 172.10.0.253 dans le TP) ;

RETOUR TP