Mise en place d’un

VPN PPTP-EAP (v2)

Tutorial conçu et rédigé par Michel de CREVOISIER

SOURCES

Step by step deployement guide by Microsoft :

 http://technet.microsoft.com/en-us/library/cc787328%28WS.10%29.aspx

Dépannage des incidents VPN communs :

 http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-
errors.aspx

Commandes netsh pour l'accès distant :

 http://technet.microsoft.com/fr-fr/library/cc738607%28WS.10%29.aspx
 Préambule
En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les
fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et
DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas
détaillée à la suite. Pensez donc à vérifier que votre serveur DNS fonctionne correctement et
pensez à créer une zone de recherche inverse.

Si vous ne disposez pas d’une version de Windows Server 2008 R2 x64 SP1 Entreprise
(j’insiste sur Entreprise pour la gestion des certificats), vous pouvez télécharger une démo ici
depuis le site officiel de Microsoft. Vous pouvez même le télécharger en VHD si vous utilisez
Hyper-V ou Virtual PC. Notez par ailleurs qu’il est recommandé de ne pas installer le VPN sur
le serveur Active Directory.
Attention, mes serveurs sont installés en anglais, donc je vous recommande d’opter pour
cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en
anglais ici pour ne pas perdre le fil… En revanche, mon poste client sous Windows Seven est
bien en français.

Pour ce tuto, j’utiliserai deux serveurs, le principal (avec Active Directory et DNS) nommé
DC1 et celui où le VPN sera installé, nommé VPN1. Quant au poste client (Vista SP1 ou Seven
minimum), il sera nommé CLIENT1. VPN1 devra obligatoirement être joint au domaine crée
par DC1. En revanche, cela n’est pas nécessaire pour le poste client VPN1.

Enfin, sachez que ce tuto est destiné à être mis en place dans un environnement particulier
ou PME. En effet, pour les grandes entreprises, il est recommandé de s’acquitter des
certificats auprès d’une autorité compétente, de disposer d’une DMZ et de posséder un
serveur avec de deux cartes réseau placées dans des réseaux différents. Tout ceci pour des
raisons de sécurité.
 I. Installation de DC1

IP : 192.168.0.10

1. Rôles à installer (non détaillé)

Les rôles à installer sur le serveur DC1 sont les suivants :

 Active Directory Domain Services (dcpromo)
 DNS avec zone de recherche inverse

Si vous ne savez pas comment procéder ou si vous souhaitez plus d’informations concernant
l’installation d’un serveur DNS, vous pouvez lire mon tuto intitulé : « Serveur DNS redondants
(tuto de A à Z) » disponible dans ma bibliothèque Scribd.

2. Création d’un groupe de sécurité dédié au VPN

Il est vivement recommandé de créer un groupe de sécurité afin de restreindre les accès au
VPN à ce seul groupe. Par ailleurs, cela évite de devoir configurer individuellement chaque
utilisateur souhaitant se connecter au VPN. Appelez ce groupe « GS_VPN ».

3. Création d’un compte utilisateur dédié au VPN

Créez un compte AD nommé « user-pptp » (un compte utilisateur normal suffit). Ensuite,
joignez ce compte au groupe « GS_VPN» créé préalablement.

4. Attribution d’une IP statique

Lorsqu’un utilisateur se connecte au VPN, il est indispensable qu’il dispose d’une IP

dynamique ou statique. Pour affecter une IP statique :
 Ouvrir la console Active Directory > clic droit sur [user-pptp] > Properties > Onglet
Dial-in
 Cochez la case Assign Static IP Addresses
 La fenêtre suivante s’ouvre :

 Renseignez ensuite l’IP à fournir pour cet utilisateur

 Attention à ne pas indiquer une IP faisant partie d’une plage DHCP
II. Configuration de « Active Directory Certificate Services »

IP : 192.168.0.20
Pensez à intégrer VPN1 au domaine de DC1

1. Ajout du rôle Active Directory Certificate Services :

 Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur »

 Add roles (à droite)
 Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne pas
changer le type de CSP)
 A vous d’opter pour la durée de votre choix. 10 années me paraissent correctes.
 2. Configuration d’Internet Explorer

A exécuter en tant qu’administrateur si vous avez l’UAC d’activé : clic droit sur IE > « Run
as administrator ».

 Tools > Options > Security > Local intranet > LOW

3. Activation du site de distribution des certificats sous IIS 7.5

 Lancer IIS Manager

 Cliquer sur Default Web Site
 Puis sur Directory Browsing
 Cliquer sur Enable (à droite)

4. Demande de certificat

 Aller sur www.localhost/certsrv/en-US ou « en-FR » si version française

 Cliquer sur Request a certificate
 Puis sur Advances certificate request

 Cliquer sur Create and submit a request to this CA

 Acceptez les ActiveX
 En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com)
 Dans Type of certificate needed, mettre Server Authentification Certificate
 Cochez la case Mark key as exportable
 Vous pouvez augmenter la taille de clef jusqu’à 16384 !!!

 Cliquez sur Submit en bas à droite

 Votre demande est maintenant en attente de validation

5. Validation du certificat

 Ouvrir Certification Authority dans Administrative Tools du menu démarrer

 Cliquer sur Pending request
 Puis clic droit sur le certificat > All tasks > Issue
 Votre demande est maintenant validée

6. Installation du certificat

 Aller sur www.localhost/certsrv/en-US ou « en-FR » si version française

 Cliquer sur View the status…
 Cliquez sur Install the certificate

7. Copie du certificat dans un autre magasin

 Start > Run > MMC > OK

 File > Add/Remove Snap-in

 Certificates > Add > My user account > OK

 Certificates > Add > Computer account > Local computer > OK
 Ok
 Vous obtenez ceci :
 Déroulez Certificate – Current User > Personal afin de sélectionner votre certificat
récemment installé
 Clic droit All tasks > Export

 Next

 Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish
 Déroulez Certificate (Local computer) > Personal > Certificates
 Clic droit sur Certificates >All tasks > Import
 Next
 [Emplacement certificat] > Next
 Votre mot de passe > Next > Next > Finish
 On supprime le certificat commençant par le <nom_domaine><nom_machine>
III. Configuration de « Network Policy and Access services »

Sur VPN1

1. Installation du rôle

 Pour ajouter ce rôle, cliquez sur le « Gestionnaire de serveur »

 Add roles (à droite)
 2. Démarrage du serveur RRAS

Lors du déploiement d’un VPN, vous avez le choix d’utiliser 2 cartes réseaux. Cela implique
bien sûr d’avoir 2 sous-réseaux à disposition, et également de rajouter le rôle « Routage »
sur votre serveur VPN1. L’avantage de cette solution est que la carte réseau du réseau public
est totalement isolée par rapport à votre réseau interne.
Dans mon cas et dans ce tuto, n’ayant pas besoin d’une telle configuration (et surtout
n’ayant qu’un seul réseau), j’ai tout simplement utilisé une seule carte réseau (pas de
routage donc).

 Lancer Routing and remote access

 Clic droit sur [nom_votre_serveur] > Configure and enable

 L’assistant suivant apparaît :

3. Configuration du firewall

 Ouvrez le gestionnaire de firewall avancé

 Bloquez les règles entrantes (inbound rules) existantes suivantes par sécurité (le
service « Pare-feu / Windows Firewall » doit bien entendu être activé) :
o L2TP-in
o SSTP-in
 Double clic sur la règle > Bloquer
4. Configuration des règles de filtrage du serveur NPS

 Lancer la console NPS

 Aller dans Policies > Connection Requet Policies

 Supprimer toutes les règles existantes (clic droit > Supprimer)
 Ensuite, créez une nouvelle règle : clic droit > Connection Request Policies > New

 L’assistant suivant se lance :

 Tapez un nom pour votre stratégie : « Accès distant VPN-PPTP-EAP»
 Type of network > Remote Access Server (VPN-Dial up)
 Next
 Vous obtenez la page suivante :

 Add
 Ajoutez ensuite les règles suivantes dans la liste :
o Framed Protocol : PPP
o NAS port type : Virtual VPN
o Tunnel Type : PPTP
  Répondez ensuite Next à toutes les options, puis sur terminer
 Vous obtenez un résultat semblable à cela :

Il faut maintenant créer une stratégie réseau:

 Aller dans Policies > Network Policies

 Supprimer toutes les règles existantes (clic droit > Supprimer)
 Ensuite, créez une nouvelle règle : clic droit > Network Policies > New
 L’assistant suivant se lance :

 Add
 Ajoutez ensuite les règles suivantes dans la liste :
o Users groups : groupe AD donc VPN-user est membre
 o Day and time restrictions (optionnel)

 Répondez ensuite Next à toutes les options, puis sur terminer

 Vous obtenez un résultat semblable à cela :

 Une fois votre Network Policies créé, clic droit sur celle-ci, puis Propriétés
 Allez dans l’onglet Constraints
 Cliquez sur Add puis choisissez l’option Protected EAP (PEAP)

 Cliquez sur OK, puis encore sur OK

 Lancer ensuite Routing and remote access

 Clic droit sur [nom_votre_serveur] > All tasks > Restart

 Votre serveur NPS est dorénavant opérationnel.

 IV. Ouverture du port 1723 sur votre box/routeur
Pour vous connecter depuis l’extérieur, vous devez ouvrir les ports 1723 en TCP sur votre
routeur et les rediriger vers l’IP interne du serveur VPN1. Je vous laisse chercher sur internet
pour savoir comment ouvrir le port selon votre type de box/routeur.

V. Configuration du poste CLIENT1

1. Installation du certificat

 Depuis le poste CLIENT1, allez sur le site http://nom_serveur_VPN1/certsrv/en-US via

IE
 Download a CA certificate…

 Download a CA certificate
 Ouvrir > Installer le certificat

 Suivant > Suivant > Terminer

2. Copie du certificat dans un autre magasin

 Start > Run > MMC > OK

 File > Add/Remove Snap-in

 Certificates > Add > My user account > OK

 Certificates > Add > Computer account > Local computer > OK
  Ok

 Vous obtenez ceci :

 Certificats – utilisateur local > Autorités de certification intermédiaire > Certificats

 Clic droit sur votre certificat > Copier
 Certificats (ordinateur local) > Autorités de certification racine de confiance >
Certificats
 Clic droit > Coller

3. Problème avec IP dynamique

Si vous avez la chance d’avoir une IP fixe (vous avez tout compris…), alors l’entrée de votre
fichier HOST n’aura besoin d’être modifiée qu’une seule fois.

En revanche, si comme moi vous disposez d’un serveur avec une IP dynamique vous allez
vous heurter au problème suivant :
 Vous ne pourrez pas connaître votre IP à distance car celle-ci aura changée après le
redémarrage de votre box/routeur

Pour pallier à ce problème, j’ai cherché sur le net et j’ai trouvé un logiciel fournit par
DynDNS que vous installez sur votre serveur et qui met à jour votre IP avec votre nom de
domaine.

Mais attention, cela n’est pas gratuit et il existe plusieurs contraintes. Il faut :
 Créer un compte sur DynDNS (gratuit) ici
  S’abonner au service Custom DNS ici pour 30$ /an (active le service permettant de
mettre à jour son IP dynamique)
 Déposer un nom de domaine ici pour 15 $ / an
 Déposer un nom de domaine gratuit DynDNS (domaine.dyndns.com)

De plus vous devrez télécharger le logiciel DynDNS Update Client ici. Une fois l’application
installée sur votre serveur VPN, vous vous identifiez et automatiquement l’application se
chargera d’associer votre nom de domaine avec votre IP dynamique. Pratique non ? En voici
un aperçu :

Astuce
Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur
configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de déposer un nom
de domaine gratuit de type domaine.dyndns.com et le tour est joué. Votre routeur (et non
plus votre serveur) se chargera d’actualiser votre nom de domaine avec votre IP.

4. Création d’une connexion VPN

Depuis le Centre de réseau et partage, cliquez sur :

 Connexion à votre espace de travail

 Utilisez ma connexion Internet (VPN)
 Remplir les champs nom d’utilisateur et mot de passe avec le compte AD « client-
vpn » créé auparavant.

 Créer
 Revenez ensuite au Centre de réseau et partage, et cliquez en haut à gauche sur
Modifier les paramètres de la carte
 Clic droit sur la connexion VPN récemment créée (VPN PPTP EAP) > Propriétés
 Vérifiez que vous avez bien mis l’IP public de votre serveur dans l’onglet Général

 Dans le menu déroulant de l’onglet Sécurité choisissez Protocole PPTP et dans

l’aparté Authentification du dessous choisissez « Microsoft : PEAP… »
 Toujours dans l’onglet Sécurité cliqué sur Propriétés
 Cochez alors la case correspondant au nom de votre certificat
  Cliquez sur OK puis encore sur OK
 Votre VPN PPTP-EAP est prêt

PS : il n’est pas nécessaire de saisir le domaine

 VI. Erreurs et problèmes rencontrés
Les erreurs suivantes sont celles que j’ai pu rencontrer lors de l’installation du VPN PPTP-
EAP. Certaines m’ont obligé à passer pas mal de temps sur internet à la recherche d’une
solution. J’espère donc qu’elles vous seront de grandes utilités. Si une erreur n’est pas
répertoriée ici, reportez-vous aux sites cités au début dans la partie « Sources ». Attention la
liste ci-dessous n’est pas exhaustive.

1. La connexion a été interdite par une stratégie…

Erreur : 812

 Votre stratégie NPS bloque la connexion.

 Référez-vous au paragraphe III.4. pour configurer vos règles de sécurités NPS
correctement.

2. La connexion n’a pas pu être établie, car le protocole d’authentification

utilisé par le serveur […] ne correspond pas aux paramètres…

Erreur : 919
  La méthode d’authentification de votre poste client ne correspond pas à celles à
acceptées par le serveur
 Allez dans Routing and remote access > clic droit [serveur] > Properties >
Security > Authentification Methods et sélectionnez la case appropriée.
 Pour informations le VPN SSTP utilise la méthode MS-CHAP v2 et le VPN
PPTP-EAP la méthode Extensible authentification protocol (EAP)

3. La connexion de réseau […] n’a pas pu être établie. Cet incident se

produit […] lorsque votre serveur VPN n’est configuré pour permettre les
paquets du protocole GRE…

Erreur : 806
 Erreur côté client

Erreur côté serveur

 Le protocole GRE est bloqué par un pare-feu ou un routeur

 Vérifier que le firewall est bien configuré selon le point III.3
 Vous essayé de vous connecter via votre téléphone en modem. Rien à faire, le
protocole GRE est bloqué par les opérateurs téléphoniques…
 Certains FAI bloquent également le protocole GRE

4. Les informations d’identification fournies par le serveur …

 Vous n’avez pas indiqué le bon certificat lors de la création du VPN
 Vérifiez que vous avez bien suivi les étapes du point V.4
 VII. Conclusion
Voilà, votre VPN PPTP-EAP est prêt. Vous pouvez dorénavant vous connectez chez vous
depuis n’importe quel endroit, du moment que vous avez un accès internet et que les ports
[1723] pour PPTP et [43] pour GRE (échange de clefs) ne sont pas bloqués. Et n’essayez pas
de vous connecter via votre téléphone en tant que modem, les opérateurs bloquent le
protocole GRE [43].

N’hésitez pas à m’envoyer vos commentaires ou retours à l’adresse suivante :

michel_de A-R-0-B-A-5 hotmail . com

Soyez-en d’ores et déjà remercié