Académique Documents
Professionnel Documents
Culture Documents
- Version 1.0 -
DIFFUSION INTERDITE SANS AUTORISATION 15/01/2016
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 1 / 50
TABLE DES MATIERES
1. INTRODUCTION ______________________________________________________________________________ 4
1.1. MISE EN PLACE D’UN SERVEUR VPN _____________________________________________________________ 4
1.2. CONFIGURATION VPN SOUS WINDOWS SERVER 2012 AVEC NPS _________________________________________ 4
1.3. PREREQUIS POUR LE TUTORIEL _________________________________________________________________ 4
3. AJOUTER UNE AUTORITE DE CERTIFICATION ET UN MODELE POUR LA DELIVRANCE DES CERTIFICATS. ___________________ 18
3.1. AJOUTER UNE AUTORITE DE CERTIFICATION _______________________________________________________ 18
3.1.1. Installation du rôle AD CS 18
3.1.2. Configuration du rôle AD CS. 19
3.1.3. Configuration de l’autorité de certification 23
3.1.4. Délivrer Le certificat créé 27
3.2. DELIVRE UN CERTIFICAT POUR SSTP VPN ________________________________________________________ 28
3.2.1. Demander un nouveau Certificat (Version n°1) 30
3.2.2. Demander un nouveau Certificat (Version n°2) 34
3.2.3. Appliquer ce nouveau certificat 36
3.3. CONFIGURATION D’UN CONNEXION VPN SUR LE CLIENT VIA SSTP ________________________________________ 38
3.3.1. Ajout du certificat sur le client avec une page WEB 38
3.3.2. Exportation d’un certificat via une clé USB ou TEAMVIEWER 38
3.4. INSTALLATION DES CERTIFICATS SUR NOTRE CLIENT __________________________________________________ 41
3.4.1. Ajouter une révocation. 42
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 2 / 50
5. RESOUDRE LES ERREURS _______________________________________________________________________ 49
5.1. ERREUR 720 (POSSIBILITE N°1) _______________________________________________________________ 49
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 3 / 50
1. INTRODUCTION
1.1. MISE EN PLACE D’UN SERVEUR VPN
Nous allons voir ici comment utiliser le rôle de serveur VPN sur un serveur Windows Server 2012.
Tout d’abord, sachez qu’il est nécessaire de disposer de deux interfaces réseaux pour installer le rôle de
serveur VPN. En effet, il faudra configurer une interface pour communiquer avec le réseau local (même
pool que le réseau local), et l’autre avec une adresse différente (qui sera le pool d’adressage à travers le
VPN).
Dans mon exemple par exemple, considérons que le réseau local est 192.168.1.0/24.
On paramétrera l’interface réseau pour le VPN en 192.168.2.0/24
Vous l’aurez compris, on devra rediriger le flux VPN sur le firewall en direction de l’interface adéquat sur le
serveur. Les clients sur le réseau ne feront donc pas parti du même réseau (pratique à plusieurs niveaux,
même si je ne me lancerais pas sur une explication réseau ici). Gardez simplement à l’esprit que le serveur
à “un pied” (une interface) sur chaque réseau (local et VPN distant).
Ce tutoriel vous guide pour la configuration d'un VPN sous Windows Server 2012 R2.
L’installation suivante sera faite sur un serveur Windows Server 2012avec un serveur Active
Directory, et un DNS.
Nous allons non seulement voire comment mettre en place un accès VPN, mais en même temps
comment le sécuriser.
En effet, tout d’abord nous allons mettre en place le service d’accès à distance, puis nous allons
ensuite mettre en place un certificat de connexion avec Active Directory Certificates Server, puis utiliser le
serveur Network Policies Server, afin d’effectuer un control sur l’utilisateur qui demande la connexion.
Nous obtiendrons une connexion VPN parfaitement sécurisée.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 4 / 50
2. INSTALLATION ET CONFIGURATION VPN DE BASE
2.1. AJOUTER DES ROLES ET DES FONCTIONNALITES.
Pour ajouter des rôles, ouvrez Gestionnaire de Serveurpuis, en haut à droite, cliquez sur Gérer, puis sur Ajouter des
rôles et fonctionnalités.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 5 / 50
2.2. INSTALLATION ET CONFIGURATION DU ROLE D’ACCES A DISTANCE
Un fois arrivé sur Service de Rôle, sélectionnez DirectAccess et VPN (accès à distance) puis suivant et Terminez
l’installation de ce rôle.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 6 / 50
2.2.2. Configuration du service accès à distance.
Une fois le rôle installé, cliquez sur le Drapeaux à coté de Gérer, et Ouvrir l’Assistant Mise en route.
Vous devriez obtenir une nouvelle fenêtre, choisissez Déployer VPN seulement.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 7 / 50
A la suite de cette manipulation, une deuxième nouvelle fenêtre s’ouvre Routage et accès distant.
Clic Droit sur NomDeVotreServeur (local) puis sur Configurer et activer le routage et l’accès à distance.
Puis Terminer l’installation. Alors une fenêtre s’ouvre pour le démarrage du service. Faite Démarrer le service.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 8 / 50
2.3. INSTALLATION ET CONFIGURATION DE BASE NPS SOUS WINDOWS SERVER 2012
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 9 / 50
2.3.2. Configuration du service NPS.
Ouvrer l’utilitaire Outils d’administration et chercher dans la liste Serveur NPS (Network Policy Server). Vous allez
ouvrir ce service.
Une fois ceci fait, vous pouvez descendre dans l’arborescence à droite et allez dans Stratégie puis Stratégie réseau.
Donner à la politique un nom et choisissez Serveur d’accès à distance (VPN-Dial up) dans Type de serveur d'accès
au réseau.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 10 / 50
Cliquez sur Suivant puis sur Ajouter. Choisissez Groupe Utilisateurs. Ensuite ajouter un groupe d’accès utilisateurs
préalablement créé. Si cela n’est pas le cas, créé en un dans l’Active directory.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 11 / 50
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 12 / 50
Cliquez sur Suivant, et décocher Authentification chiffrée Microsoft (MS-CHAP)
Laissez les paramètres suivant par default, sauf si vous voulez modifier les configurations de contrainte de
connexion. Puis Terminer l’installation.
Votre stratégie créée précédemment remontez cette dernière en première position (visible dans Ordre de
traitement) pour cela Clic Droit puis Monter.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 13 / 50
2.4. CONFIGURATION D'UNE CONNEXION VPN SUR LE CLIENT
Aller dans Panneau de Configuration, puis Réseau et Internet et Centre Réseau et Partage.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 14 / 50
Cliquez sur Suivant, puis Utiliser ma connexion Internet (VPN).
Entrez sous Adresse Internet l’adresse sous laquelle le serveur VPN est accessible. Utiliser UN seul moyen de
connexion.
Première méthode :
Pour connaître le nom (noté le quelque part nous allons nous en resservir plus bas dans le tutoriel) appuyer
simultanément sur la touche WINDOWS + Pause. Une fenêtre s’ouvre et cliquez sur Modifier les paramètres à côté
du nom de l’ordinateur.
Dans cette nouvelle fenêtre faite un copié/collé du nom complet de l’ordinateur, c’est cela qui vas nous servir à
nous connecter.
Deuxième méthode :
Ouvrez un navigateur internet et aller sur le site http://whatismyipaddress.com/fr/mon-ipa laquelle nous allons
récupérer l’adresse PUBLIC de connexion.
Entrez sous Nom de la destination le nom à laquelle vous allez identifier votre accès au VPN.
Cocher la case Ne pas me connecter maintenant, mais tout préparer pour une connexion ultérieure.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 15 / 50
Cliquer sur Suivant, puis ajoutez le nom d’utilisateur et un mot de passe d’un groupe d’utilisateur créé sur l’active
directory précédemment.
À ce moment, nous sommes encore à un stade très basique.Nous avons actuellement, configuré VPN pour PPTP, qui
est non sécurisé. On va donc changer cette méthode de connexion pour la mettre en sécurisé c’est-à-dire en SSTP.
Ouvrez Réseau et Partagepuis Clic Droitsurla connexion créée précédemment et sélectionner Propriété.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 16 / 50
Une nouvelle fenêtre s’ouvre, allez sur l’onglet Sécurité.
Sélectionner dans Type de Réseau VPN, le Protocole SSTP (Secure Socket Tunneling Protocol) et désélectionner le
Protocole CHAP (Challenge handshake authentification).
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 17 / 50
3. AJOUTER UNE AUTORITE DE CERTIFICATION ET UN
MODELE POUR LA DELIVRANCE DES CERTIFICATS.
3.1. AJOUTER UNE AUTORITE DE CERTIFICATION
Il faut donc, dans un premier temps, installer le rôle Services de certificats Active directory.
Dans le rôle AD CS, faite bien attention à cocher Autorité de certification ainsi qu’Inscription de l’autorité de
certification via le web.
Par la suite cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
Une nouvelle fenêtre s’ouvre, cliquez sur Suivant et cochez les deux cases non grisées, c’est-à-dire Autorité de
certification ainsi qu’inscription de l’autorité de certification via le web.
Cliquez sur Suivant et sélectionner l’Autorité de certification convenu pour votre espace de travail, pour ma part je
sélectionne l’Autorité de certification entreprise.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 19 / 50
Ensuite, cliquez sur Suivant, puis sélectionner Autorité de certification racine et cliquez de nouveau sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 20 / 50
Dans la fenêtre suivante, laissé les paramètres par default ce qui donne ceci puis cliquez sur Suivant.
Les valeurs prédéfinies pour l’AC devraient fonctionner correctement, mais vous pouvez la changer si vous le voulez
comme dans mon cas où je les trouve un peut longue. (Vous aurez des informations de noté, je les ai seulement
cachés pour ne pas les divulgué). Une fois ceci fait cliquez sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 21 / 50
Ensuite vous obtenez la page Spécifier la période de validité, laissez la tel quel ou changer la si vous voulez une date
de validation différente. Puis cliquez sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 22 / 50
3.1.3. Configuration de l’autorité de certification
Accédez au Outils d’administration, dirigez-vous sur le service Autorité de certification.
Développer votre Autorité de certification et cliquez sur Modèles de certificats et Clic Droit et Gérer.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 23 / 50
Rechercher IPSEC, et Clic Droit puis Dupliquer le modèle.
Vous obtenez cette fenêtre, dirigez-vous vers l’onglet Général et changer le nom du modèle pour ma part je le
nomme « SSTP ».
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 24 / 50
Dirigez-vous cette fois-ci vers l’onglet Traitement de la demande et cocher Autoriser l’exportation de la clé privée.
On continue, allez maintenant dans l’onglet Nom du Sujet et coché la case Fournir dans la demande. Une fenêtre
de prévention s’ouvre accepter la.
00
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 25 / 50
On se retrouve dans l’onglet Extensions, et allez sur Stratégies d’application et Modifier et enfin surAjouter.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 26 / 50
3.1.4. Délivrer Le certificat créé
Revenez dans la fenêtre Autorité de certification, et dans Modèles de certificats puis Nouveau et Modèle de
certificat à délivrer.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 27 / 50
3.2. DELIVRE UN CERTIFICAT POUR SSTP VPN
Créer un console MMC pour ce faire écrivez simplement MMC dans la barre de recherche Windows.
Dans cette fenêtre, cliquez sur Fichier puis Ajouter/Supprimer un composant logiciel enfichable… ou appuyez sur la
touche CTRL + M.
Cette fenêtre s’ouvre double cliquer sur Certificats dans la fenêtre de gauche.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 28 / 50
Une nouvelle fenêtre s’ouvre et choisissez Un compte d’ordinateur puis Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 29 / 50
3.2.1. Demander un nouveau Certificat (Version n°1)
Développer Certificats (ordinateur local) puis Personnel puis de nouveau Certificats et Clic Droit sélectionner Toute
les tâches et Demander un nouveau certificat…
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 30 / 50
Cherchez votre certificat créé précédemment mais ne l’ajouté pas directement nous devons en amont finir de le
paramétrer.
Cliquez sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour
configurer les paramètres qui se situe en dessous du certificat que nous venons de créer.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 31 / 50
Dans Valeurinscrivez l’adresse ip et/ou le nom du serveur VPN (qu’on a noté précédemment dans le tutoriel) auquel
vous voudrez vous connecter et cliquez sur OK.
Vous pouvez désormais ajouté le certificat, donc sélectionner le Certificat créé (pour moi c’est SSTP) puis finalisez en
cliquant sur Inscription etTerminer.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 32 / 50
Vous pouvez fermer la console MMC en l’enregistrant ou vous voulez.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 33 / 50
3.2.2. Demander un nouveau Certificat (Version n°2)
3.2.2.1. Configuration Internet Explorer
Sur le Serveur VPN, ouvrez Internet Explorer, puis ouvrez les Options afin de diminuer la sécurité de l’intranet.
Pour cela allez dans l’onglet Sécurité puis allez sur le sous-onglet Intranet, puis abaissez la sécurité au minimum.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 34 / 50
3.2.2.2. Demande de certificat
Sur Internet Explorer, dans la Bare de recherche, veuillez saisir http://localhost/certsrv, et cliquez sur Entrer.
Ensuite sous Sélectionnez une tâche , cliquez sur Demander un certificat, une fois fait, poursuivez sur Demander un
certificat , cliquez sur demande de certificat avancée, puis sur Créer et soumettre une demande à ce CA. Cliquez sur
Oui pour permettre le contrôle ActiveX .
Under Information d’indentification, dans l’onglet Nom, remplissez le nom de connexion a votre vpn (ex :
plateforme.com), et pour Pays/Région choisissez le type FR.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 35 / 50
3.2.3. Appliquer ce nouveau certificat
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 36 / 50
Une nouvelle fenêtre s’ouvre, rendez-vous sur l’onglet Sécurité et choisissez dans Liaison de certificat SSL le
certificat créé précédemment.
Ce message apparait, pour vous prévenir que le serveur doit redémarrer, Accepter cette fenêtre.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 37 / 50
3.3. CONFIGURATION D’UN CONNEXION VPN SUR LE CLIENT VIA SSTP
Si vous utilisé une clé USB ou bien TEAMVIEWER voici comment faire.
Rendez-vous sur votre serveur VPN et ouvrez la CCM qu’on a créé plus haut dans le tutoriel.
Dépliez le dossier Personnel dans Autorités de certification racines de confiance vous allez donc retrouver le
certificat que nous avons créé précédemment. Faite un Clic Droit sur ce dernier puis allez sur Toute les tâches puis
Exporter.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 38 / 50
Cochez la case Oui, exporter la clé privée puis cliquez sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 39 / 50
Ajoutez un Mot de Passe pour plus de sécurité et cliquez sur Suivant.
Enregistré la sur le bureau pour plus de rapidité avec le nom que vous voulez pour moi ce sera « CertDeploy » puis
cliquez sur Suivant et Terminer.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 40 / 50
3.4. INSTALLATION DES CERTIFICATS SUR NOTRE CLIENT
Ici il suffit seulement d’ajouter le Certificat Racine a l’emplacement Autorités de certification racines de confiance.
Pour cela, rechercher MMC sur la barre de recherche Windows de votre pc client.
Alors, allez dans Fichier, puis Ajouter/Supprimer un composant logiciel enfichable… Choisissez le mode Certificats
puis Un Compte Ordinateur.
Ensuite développez dans l’arborescence de droite Certificats (ordinateur local) et développez Autorités de
certification racines de confiance. Clic Droit sur Certificats et Toute les tâches puis Importer. Une fois ceci fait aller
chercher le certificat nommé « CertDeploy » puis terminer l’importation.
ATTENTION !!!
Si les deux certificats (Certificat Racine & Certificat Client) son importer veuillez faire attention a bien supprimer le
Certificat Client de la tâche Personnel de la MMC.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 41 / 50
3.4.1. Ajouter une révocation.
Vous devez définir également NoCertRevocationCheck dans l’Editeur de registre.
Cela sert à ce que votre liste de révocation privé soit accessible depuis l’externe sans configuration supplémentaire.
Pour ci rendre appuyez sur les touches Windows ( ) + R ou recherchez puis ouvrez exécuter et tapez regedit.
Puis Clic Droitsur Parameters,Nouveau et choisissez Valeur DWORD 32bits et vous devez définir son nom en
NoCertRevocationCheck et enfin mettre son paramètre a 1.
Pour faire cela Double cliquez sur la nouvelle valeur créée précédemment vous obtenez donc ceci.
N’oublier pas de configurer la redirection et d’accepter le port 443 sur la boxe internet coté serveur, c’est très
important.
Vous n’avez plus qu’à vous connectez et tester la connexion avec un service Bureau à distance.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 42 / 50
4. RAJOUT DU NAT
4.1. CONFIGURATION DU NAT
Allez sur la console Routage et accès Distant, puis Désactiver le routage et l’accès a distance.
Ensuite Clic Droit sur le nom de votre serveur puis Configurer et activer le routage et l’accès a distance. Vous
obtenez donc cette fenêtre, cliquez sur Suivant.
Choisissez Accès VPN (Virtual Private Network) et NAT. Puis cliquez sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 43 / 50
A cette endrois, choisissez l’interface Réseau sur lequel vous voulez que le VPN « TAPE ».
Ici, choisissez la façon dont vous voulez donnez votre plage d’adressage, pour moi, cela sera une plage spécifiée pour
le moment. Cliquez ensuite sur Suivant.
Si vous avez choisis la plage d’adressage spécifiée, vous devrez renseigner cette derniere. Pour cela cliquez sur
Nouveau.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 44 / 50
Vous obtiendrez donc ceci :
Ici, très important, il vous faut choisir si vous utilisez un serveur Radius ou non, dans notre cas, nous n’allons pas en
utiliser. Cliquez sur Suivant.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 45 / 50
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 46 / 50
4.2. SUITE DE LA CONFIGURATION (NAT)
Dirigez-vous sur l’onglet IPV4 puis clic droit puis choisissez Nouveau Protocol de Routage.
Ensuite dirigez-vous sur l’onglet NAT, puis Clic Droit, Nouvelle Interface.
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 47 / 50
Il vous propose une fenêtre avec les differents choix, choisissez toutes les interfaces dont vous aurez besoin.
Vous obtenez donc cette fenêtre, ou il vous faudra renseigner l’interface sur lequel vous voulez que la connexion
renvoie, la destination (le réseau sur lequel renvoyer la requête) etc.…
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 48 / 50
5. RESOUDRE LES ERREURS
5.1. ERREUR 720 (POSSIBILITE N°1)
Dans mon cas, cette méthode à fonctionner, il se peut par contre que votre erreur vienne d’autre part)
Dans les propriétés de la connexion VPN client, allez dans l’onglet sécuritéet cochez la case Protocole CHAP
(Challenge Handshake Autentification Protocol).
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 49 / 50
6. PIECES JOINTES
CErtif.cer
Certificat racine :
Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann
Version 1.0 50 / 50