Académique Documents
Professionnel Documents
Culture Documents
InformatiWeb Pro Administration système Windows Server Windows Server ... Page 3 / 4
NPS est un serveur permettant de créer des stratégies réseau et des filtres IP.
Pour lancer NPS, allez dans la console "Routage et accès distant", faites un clic droit sur "Connexion et stratégies d'accès à distance", puis cliquez sur "Lancer NPS".
Pour commencer, nous allons créer un filtre permettant de bloquer l'accès aux serveurs FTP.
Pour cela, faites un clic droit sur "Filtres IP" et cliquez sur "Nouveau".
Notez que ces filtres serviront uniquement de modèles et pourront ensuite être liés aux stratégies réseau que vous créerez. Si ces filtres ne sont pas liés à une
stratégie réseau, alors ils ne serviront à rien.
Note : ce filtre ne serait probablement pas utile en production, mais le but est simplement de vous donner un exemple de filtre pour que vous puissiez créer vos
propres filtres plus tard.
Lorsque vous créez un nouveau modèle de filtre IP, vous pourrez créer des règles en entrée et en sortie en IPv4 et/ou en IPv6.
Etant donné que les serveurs FTP écoutent sur le port 21, lorsqu'un utilisateur tentera d'accéder à un serveur FTP via notre serveur VPN, sa requête passera via
notre serveur.
Il s'agit donc d'un trafic entrant.
Pour bloquer l'accès aux serveurs FTP, nous allons bloquer le port 21 pour le trafic entrant.
Grâce à ce filtre, la requête sera bloquée sur notre serveur et n'en sortira pas.
Comme vous pouvez le voir, NPS vous permet de choisir entre différents protocoles.
Et notamment :
Protocole : TCP
Port de destination : 21 (port par défaut du protocole FTP)
Pour bloquer le trafic correspondant au filtre que nous venons d'ajouter, nous allons sélectionner "Ne pas autoriser les trafics sauf ceux listés ci-dessous".
Notez que la traduction française de cette option est incorrecte. En effet, dans la version anglaise, cette phrase est "Do not permit packets listed below". Ce qui
signifie "Ne pas autoriser les paquets listés ci-dessous".
Attention : si vous souhaitez créer un filtre pour autoriser uniquement certains protocoles, n'oubliez pas d'autoriser les protocoles système (exemples : UDP 53 pour
les DNS, ...).
N'oubliez pas de faire la même chose pour le trafic en IPv6 si vous supportez l'IPv6 dans votre réseau.
Pour finir, cliquez sur OK.
Comme vous pouvez le voir, par défaut, il y a 2 stratégies de sécurité qui refuse l'accès.
Autrement dit, pour le moment, aucun de vos utilisateurs ne peut se connecter à votre serveur VPN (a moins de lui avoir accordé manuellement l'accès dans son
compte utilisateur).
Pour autoriser les utilisateurs de l'Active Directory (ou d'un groupe spécifique) à se connecter à notre serveur VPN, nous allons créer une nouvelle stratégie réseau.
Pour cela, faites un clic droit sur "Stratégies réseau" et cliquez sur "Nouveau".
Indiquez un nom pour cette nouvelle stratégie réseau et sélectionnez "Serveur d'accès à distance (VPN-Dial-up)" pour le type de serveur d'accès réseau.
La stratégie réseau sera appliquée aux ordinateurs et/ou utilisateurs qui correspondent aux conditions listées ci-dessous.
Pour l'instant, cette liste est vide.
Cliquez sur "Ajouter".
Pour ce tutoriel, nous allons simplement autoriser les utilisateurs de l'Active Directory à se connecter à notre serveur VPN.
Pour cela, nous sélectionnons "Groupes d'utilisateurs" et nous cliquons sur "Ajouter".
Pour autoriser les utilisateurs de notre Active Directory, nous allons ajouter le groupe "Utilisateurs du domaine".
Windows utilise EAP pour authentifier les connexions PPP (Point-to-Point Protocol) pour les accès réseau.
Pour le EAP-MSCHAP version 2, il s'agit d'un protocole d'authentification PPP.
Pour la partie contrainte, vous pourrez notamment définir un temps d'inactivité après lequel la connexion sera automatiquement fermée.
Vous pourrez aussi définir des restrictions relatives à la date et à l'heure.
Pour les paramètres, vous trouverez notamment l'onglet "Filtres IP" où vous pourrez utiliser un filtre créé auparavant.
Dans notre cas, nous allons utiliser notre filtre "Bloquage FTP". Ce qui bloquera l'accès aux serveurs FTP pour les utilisateurs se connectant à notre serveur VPN.
Attention :
- lorsque vous sélectionnez un filtre, vous pourrez consulter ses règles en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie", mais vous ne pourrez pas
en modifier ses règles. Ni en ajouter.
- si vous sélectionnez un filtre, puis que vous sélectionnez "Aucun", l'assistant gardera une copie des règles pour la stratégie réseau en cours de création ou de
modification. N'oubliez pas de les retirer manuellement en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie" si vous vouliez les enlever complètement.
- si vous souhaitez ajouter ou modifier des règles en utilisant un modèle de filtre IP, alors sélectionnez le filtre souhaité, puis sélectionnez "Aucun". Vous pourrez
ainsi ajouter, modifier et supprimer des règles via les boutons : "Filtres d'entrée" et "Filtres de sortie".
Comme vous pouvez le voir, en sélectionnant un filtre IP, vous pouvez consulter ses règles, mais pas les modifier.
Maintenant que notre serveur est entièrement configuré, nous allons tenter de nous connecter à notre serveur VPN.
Pour cela, sous Windows 7, faites un clic droit sur l'icône réseau présente dans la barre des tâches et cliquez sur "Ouvrir le Centre Réseau et partage".
Ensuite, cliquez sur le lien "Configurer une nouvelle connexion ou un nouveau réseau".
Note : l'option "Appeler directement" permet de créer une connexion réseau en appelant directement un numéro de téléphone via un modem, mais cela coûte très
cher.
Utilisez les identifiants d'un utilisateur autorisé à se connecter à votre serveur VPN.
Dans notre cas, un utilisateur de l'Active Directory.
Ensuite, Windows va tenter de se connecter en essayant un par un les différents types de VPN existant (IKEv2, PPTP, L2TP et SSTP).
Si vous regardez dans vos connexions réseau, vous verrez qu'une nouvelle connexion réseau a apparue.
Il s'agit de votre connexion VPN.
En consultant les détails de cette connexion réseau, vous verrez que nous avons bien reçu une adresse IP 10.0.0.x de notre serveur DHCP.
Et que ce PC utilisera le serveur DNS 10.0.0.10 du réseau de notre entreprise.
Si vous regardez dans les propriétés de cette connexion réseau, vous pourrez modifier certaines options intéressantes.
Notez que le protocole SSTP est le plus utilisé si vous vous déplacez souvent, car ce protocole ne nécessite pas d'ouverture de port ni de redirection de port dans le
routeur.
En effet, étant donné que le SSTP est un VPN sécurisé via SSL, il utilise le port 443 (port de destination). Port qui est ouvert par défaut dans tous les pare-feu, sinon
vous n'auriez pas accès aux sites en HTTPS.
Dans l'onglet "Gestion de réseau", vous trouverez la configuration TCP/IP (IPv4 et IPv6).
Cliquez sur "Propriétés".
Par défaut, vous recevez automatiquement une adresse IP et l'adresse des serveurs DNS depuis le serveur DHCP de votre entreprise.
Cliquez sur Avancé.
Pour finir, dans l'onglet "Paramètres IP", vous verrez que Windows utilisera la passerelle par défaut pour le réseau distant.
Comme indiqué dans le texte de cette fenêtre, cela signifie qu'en cochant cette case, vous aurez accès à Internet via la passerelle du réseau de votre entreprise.
Autrement dit, quand vous serez connecté au réseau de votre entreprise via votre connexion VPN, vous bénéficierez aussi des stratégies réseau, des pare-feu
matériels, ... du réseau de votre entreprise. Comme c'est le cas, lorsque vous êtes physiquement dans votre entreprise.
Note : si vous n'y avez pas accès, c'est que votre serveur DHCP n'est pas configuré pour envoyer l'adresse IP de votre serveur DNS (présent sur le même serveur
que votre Active Directory) aux ordinateurs de votre réseau (et donc aussi aux clients de votre serveur VPN).
Pour les serveurs FTP, vous n'y aurez pas accès si vous avez créé le même filtre que nous.
Mais à partir d'un ordinateur normal, vous verrez que ce serveur FTP existe bien.
Note : il s'agit d'un serveur FTP public utilisé par SpeedTest pour tester le débit de votre connexion Internet.
Tweeter
10 Commentaires InformatiWeb Pro - Administration système et virtualisation Règles de confidentialité de Disqus S'identifier
Participer à la discussion…
Macou gueye •
Bonjour,
Merci de la clarté du tuto
mais néanmoins je veux une précision de mon cas de figure
j ai deux serveur sur deux site différent chacun est installé un active directory et un serveur DHCP avec des utilisateur locaux
maintenant je veux une liaison permanente VPN entre les deux site en fin que tous les user se trouve une le même domaine local
Si je me réfère de votre tuto
l'un des serveur doit etre un client VPN et l'autre un serveur VPN?
• •
InformatiWeb Webmaster •
Pour être exact, il devra y avoir 1 serveur VPN dans chaque réseau, et ceux-ci seront connectés l'un à l'autre.
Nous posterons un tutoriel concernant ce système de passerelles VPN.
• •
Macou gueye •
ok merci encore une fois
Donc j attend encore ce tuto
je suis développeur dans une boite commerciale mais je veux ce systeme pour me facilité l'accées a mes applications
intranet de la boite
merci
• •
InformatiWeb Webmaster •
Bonsoir, voici le tutoriel concernant la mise en place des passerelles VPN : http://www.informatiweb-pro...
• •
decool •
bonjour. merci pour ce tuto. j exécute minutieusement ce tuto. mais je cherche surtout a faire de la supervision de mes équipements sur
sites distants. ainsi, je me demande si avec cette architecture et cette configuration je pourrais mettre en place mon serveur de supervision
nagios et ainsi avoir des remontées d alertes. le VPN dont il est question aura t il le comportement qu 'une interconnexion de site distant?
• •
InformatiWeb Webmaster •
Bonsoir,
nous n'utilisons pas nagios (bien qu'il soit connu), donc, nous ne pourrons pas répondre à votre question.
Désolé.
• •
Denis90 •
Bonsoir,
Merci pour ce tuto, c'est vraiment très important pour moi, car je travaile sur le même sujet pour mon projet de fin d'études. Sinon ma
préoccupation réside sur la configuration du 2e serveur où l'on doit configuer le routeur et serveur VPN,j'ai un peu petit souci,car mon
serveur n'a qu'une seule carte réseau ! on peut intégrer une autre dans Windows server 12 ou bien il ya une autre alternative pour un cas
comme le mien ?
Merci d'avance
• •
InformatiWeb Webmaster •
Bonjour,
Pour le 2ème serveur, si vous n'installez que le serveur VPN, 1 carte réseau suffira.
Mais si vous souhaitez installer les 2 (routage et VPN)), il vous faudra 2 cartes réseau physiques.
• •
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants
du Code de la propriété intellectuelle.