Windows Server 2012 - Routage Et Serveur VPN3

Windows Server 2012 - Routage et serveur VPN - Page 3 - InformatiW... https://www.informatiweb-pro.net/admin-systeme/win-server/24--win...
InformatiWeb Pro Administration système Windows Server Windows Server ... Page 3 / 4
Publié le : 03 décembre 2016 à 13:25
NPS est un serveur permettant de créer des stratégies réseau et des filtres IP.
Pour lancer NPS, allez dans la console "Routage et accès distant", faites un clic droit sur "Connexion et stratégies d'accès à distance", puis cliquez sur "Lancer NPS".
Une version simplifiée du serveur NPS s'affichera.

Comme vous pouvez le voir, NPS est composé de 3 parties :
Gestion (gestion du réseau, NAP, ...) : on ne l'utilisera pas dans ce tuto

Stratégie réseau : permet de choisir qui peut et qui ne peut pas accéder au réseau, se connecter au serveur VPN, ... selon de nombreuses conditions.
Filtres IP : permet d'autoriser et/ou bloquer certains protocoles et/ou certains ports.
Pour commencer, nous allons créer un filtre permettant de bloquer l'accès aux serveurs FTP.
Pour cela, faites un clic droit sur "Filtres IP" et cliquez sur "Nouveau".
Notez que ces filtres serviront uniquement de modèles et pourront ensuite être liés aux stratégies réseau que vous créerez. Si ces filtres ne sont pas liés à une
stratégie réseau, alors ils ne serviront à rien.
Note : ce filtre ne serait probablement pas utile en production, mais le but est simplement de vous donner un exemple de filtre pour que vous puissiez créer vos
propres filtres plus tard.
1 sur 22 27/03/2020 à 14:12

Lorsque vous créez un nouveau modèle de filtre IP, vous pourrez créer des règles en entrée et en sortie en IPv4 et/ou en IPv6.
Etant donné que les serveurs FTP écoutent sur le port 21, lorsqu'un utilisateur tentera d'accéder à un serveur FTP via notre serveur VPN, sa requête passera via
notre serveur.
Il s'agit donc d'un trafic entrant.
Pour bloquer l'accès aux serveurs FTP, nous allons bloquer le port 21 pour le trafic entrant.
Grâce à ce filtre, la requête sera bloquée sur notre serveur et n'en sortira pas.
Cliquez sur "Nouveau" pour ajouter une règle.
2 sur 22 27/03/2020 à 14:12

Comme vous pouvez le voir, NPS vous permet de choisir entre différents protocoles.
Et notamment :
TCP : mode connecté (serveurs web, serveurs FTP, ...)

UDP : mode déconnecté (serveurs DNS, jeux vidéo multi-joueurs, ...)
ICMP : pour le ping
Dans notre cas, nous allons donc indiquer :
Protocole : TCP
Port de destination : 21 (port par défaut du protocole FTP)
Pour bloquer le trafic correspondant au filtre que nous venons d'ajouter, nous allons sélectionner "Ne pas autoriser les trafics sauf ceux listés ci-dessous".
Notez que la traduction française de cette option est incorrecte. En effet, dans la version anglaise, cette phrase est "Do not permit packets listed below". Ce qui
signifie "Ne pas autoriser les paquets listés ci-dessous".
Attention : si vous souhaitez créer un filtre pour autoriser uniquement certains protocoles, n'oubliez pas d'autoriser les protocoles système (exemples : UDP 53 pour
les DNS, ...).
3 sur 22 27/03/2020 à 14:12

N'oubliez pas de faire la même chose pour le trafic en IPv6 si vous supportez l'IPv6 dans votre réseau.
Pour finir, cliquez sur OK.
Pour le moment, nous avons notre nouveau modèle de filtres IP.

Néanmoins, celui-ci ne sera pas utilisé par NPS tant que nous ne l'aurons pas lié à au moins une stratégie réseau.
Comme vous pouvez le voir, par défaut, il y a 2 stratégies de sécurité qui refuse l'accès.
Autrement dit, pour le moment, aucun de vos utilisateurs ne peut se connecter à votre serveur VPN (a moins de lui avoir accordé manuellement l'accès dans son
compte utilisateur).
Pour autoriser les utilisateurs de l'Active Directory (ou d'un groupe spécifique) à se connecter à notre serveur VPN, nous allons créer une nouvelle stratégie réseau.
Pour cela, faites un clic droit sur "Stratégies réseau" et cliquez sur "Nouveau".
4 sur 22 27/03/2020 à 14:12

Indiquez un nom pour cette nouvelle stratégie réseau et sélectionnez "Serveur d'accès à distance (VPN-Dial-up)" pour le type de serveur d'accès réseau.
La stratégie réseau sera appliquée aux ordinateurs et/ou utilisateurs qui correspondent aux conditions listées ci-dessous.
Pour l'instant, cette liste est vide.
Cliquez sur "Ajouter".
5 sur 22 27/03/2020 à 14:12

Pour ce tutoriel, nous allons simplement autoriser les utilisateurs de l'Active Directory à se connecter à notre serveur VPN.
Pour cela, nous sélectionnons "Groupes d'utilisateurs" et nous cliquons sur "Ajouter".
Parmi les conditions proposées, vous trouverez :
les groupes : Groupes Windows, groupes d'ordinateurs, groupes d'utilisateurs.

HCAP : les groupes d'emplacements et d'utilisateurs HCAP.
les restrictions horaires : jours et heures.
la connexion réseau : adresse IP du client (v4 et v6), type d'authentification, protocoles EAP autorisés, type de tunnel, ...
clients RADIUS : ID de la station appelante, nom ou IP du client, fournisseur client et fournisseur MS-RAS.
la passerelle : ID de la station appelante, ID NAS, IP NAS, type de port NAS.
Cliquez sur "Ajouter des groupes".
6 sur 22 27/03/2020 à 14:12

Pour autoriser les utilisateurs de notre Active Directory, nous allons ajouter le groupe "Utilisateurs du domaine".
Note : pour faire une recherche, cliquez "Avancé".
Maintenant, cette stratégie de sécurité s'appliquera aux utilisateurs du domaine.

Cliquez sur Suivant.
Sélectionnez "Accès accordé" et cliquez sur Suivant.
7 sur 22 27/03/2020 à 14:12

Pour les protocoles EAP, cliquez sur Ajouter.
Comme indiqué sur le Technet de Microsoft :
Windows utilise EAP pour authentifier les connexions PPP (Point-to-Point Protocol) pour les accès réseau.
Pour le EAP-MSCHAP version 2, il s'agit d'un protocole d'authentification PPP.
Ajoutez ces protocoles (PEAP et EAP-MSCHAP) un par un.
8 sur 22 27/03/2020 à 14:12

Ensuite, cliquez sur Suivant.
Pour la partie contrainte, vous pourrez notamment définir un temps d'inactivité après lequel la connexion sera automatiquement fermée.
Vous pourrez aussi définir des restrictions relatives à la date et à l'heure.
9 sur 22 27/03/2020 à 14:12

Pour les paramètres, vous trouverez notamment l'onglet "Filtres IP" où vous pourrez utiliser un filtre créé auparavant.
Dans notre cas, nous allons utiliser notre filtre "Bloquage FTP". Ce qui bloquera l'accès aux serveurs FTP pour les utilisateurs se connectant à notre serveur VPN.
Attention :
- lorsque vous sélectionnez un filtre, vous pourrez consulter ses règles en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie", mais vous ne pourrez pas
en modifier ses règles. Ni en ajouter.
- si vous sélectionnez un filtre, puis que vous sélectionnez "Aucun", l'assistant gardera une copie des règles pour la stratégie réseau en cours de création ou de
modification. N'oubliez pas de les retirer manuellement en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie" si vous vouliez les enlever complètement.
- si vous souhaitez ajouter ou modifier des règles en utilisant un modèle de filtre IP, alors sélectionnez le filtre souhaité, puis sélectionnez "Aucun". Vous pourrez
ainsi ajouter, modifier et supprimer des règles via les boutons : "Filtres d'entrée" et "Filtres de sortie".
Comme vous pouvez le voir, en sélectionnant un filtre IP, vous pouvez consulter ses règles, mais pas les modifier.
10 sur 22 27/03/2020 à 14:12

L'assistant vous affiche un résumé de votre stratégie réseau.

Cliquez sur Terminer.
Notre stratégie réseau est créée.
11 sur 22 27/03/2020 à 14:12

Maintenant que notre serveur est entièrement configuré, nous allons tenter de nous connecter à notre serveur VPN.
Pour cela, sous Windows 7, faites un clic droit sur l'icône réseau présente dans la barre des tâches et cliquez sur "Ouvrir le Centre Réseau et partage".
Ensuite, cliquez sur le lien "Configurer une nouvelle connexion ou un nouveau réseau".
Sélectionnez "Connexion à votre espace de travail" et cliquez sur Suivant.
12 sur 22 27/03/2020 à 14:12

Cliquez sur "Utiliser ma connexion Internet (VPN)".
Note : l'option "Appeler directement" permet de créer une connexion réseau en appelant directement un numéro de téléphone via un modem, mais cela coûte très
cher.
Indiquer l'adresse IP externe de votre serveur VPN.
13 sur 22 27/03/2020 à 14:12

Utilisez les identifiants d'un utilisateur autorisé à se connecter à votre serveur VPN.
Dans notre cas, un utilisateur de l'Active Directory.
Notez que nous avons utilisé le format [Nom du domaine]\[Nom de l'utilisateur]
Ensuite, Windows va tenter de se connecter en essayant un par un les différents types de VPN existant (IKEv2, PPTP, L2TP et SSTP).
14 sur 22 27/03/2020 à 14:12

Si votre serveur est bien configuré, la connexion s'établira correctement.
Si vous regardez dans vos connexions réseau, vous verrez qu'une nouvelle connexion réseau a apparue.
Il s'agit de votre connexion VPN.
En consultant les détails de cette connexion réseau, vous verrez que nous avons bien reçu une adresse IP 10.0.0.x de notre serveur DHCP.
Et que ce PC utilisera le serveur DNS 10.0.0.10 du réseau de notre entreprise.
Si Windows vous demande de choisir un emplacement réseau, sélectionnez "Bureau".
15 sur 22 27/03/2020 à 14:12

Si vous regardez dans les propriétés de cette connexion réseau, vous pourrez modifier certaines options intéressantes.
Notamment, l'adresse IP du serveur VPN dans l'onglet Général.
Le type de réseau VPN à utiliser (dans l'onglet "Sécurité").
Notez que le protocole SSTP est le plus utilisé si vous vous déplacez souvent, car ce protocole ne nécessite pas d'ouverture de port ni de redirection de port dans le
routeur.
En effet, étant donné que le SSTP est un VPN sécurisé via SSL, il utilise le port 443 (port de destination). Port qui est ouvert par défaut dans tous les pare-feu, sinon
vous n'auriez pas accès aux sites en HTTPS.
16 sur 22 27/03/2020 à 14:12

Dans l'onglet "Gestion de réseau", vous trouverez la configuration TCP/IP (IPv4 et IPv6).
Cliquez sur "Propriétés".
Par défaut, vous recevez automatiquement une adresse IP et l'adresse des serveurs DNS depuis le serveur DHCP de votre entreprise.
Cliquez sur Avancé.
17 sur 22 27/03/2020 à 14:12

Pour finir, dans l'onglet "Paramètres IP", vous verrez que Windows utilisera la passerelle par défaut pour le réseau distant.
Comme indiqué dans le texte de cette fenêtre, cela signifie qu'en cochant cette case, vous aurez accès à Internet via la passerelle du réseau de votre entreprise.
Autrement dit, quand vous serez connecté au réseau de votre entreprise via votre connexion VPN, vous bénéficierez aussi des stratégies réseau, des pare-feu
matériels, ... du réseau de votre entreprise. Comme c'est le cas, lorsque vous êtes physiquement dans votre entreprise.
Si votre serveur est correctement configuré, vous aurez accès à Internet.
18 sur 22 27/03/2020 à 14:12

Vous aurez aussi accès aux sites de l'intranet de votre entreprise.
Note : si vous n'y avez pas accès, c'est que votre serveur DHCP n'est pas configuré pour envoyer l'adresse IP de votre serveur DNS (présent sur le même serveur
que votre Active Directory) aux ordinateurs de votre réseau (et donc aussi aux clients de votre serveur VPN).
Pour les serveurs FTP, vous n'y aurez pas accès si vous avez créé le même filtre que nous.
19 sur 22 27/03/2020 à 14:12

Mais à partir d'un ordinateur normal, vous verrez que ce serveur FTP existe bien.
Note : il s'agit d'un serveur FTP public utilisé par SpeedTest pour tester le débit de votre connexion Internet.
Tweeter
20 sur 22 27/03/2020 à 14:12

10 Commentaires InformatiWeb Pro - Administration système et virtualisation Règles de confidentialité de Disqus S'identifier
Recommander 1 Tweet Partager Les plus anciens
Participer à la discussion…
Macou gueye •
Bonjour,
Merci de la clarté du tuto
mais néanmoins je veux une précision de mon cas de figure
j ai deux serveur sur deux site différent chacun est installé un active directory et un serveur DHCP avec des utilisateur locaux
maintenant je veux une liaison permanente VPN entre les deux site en fin que tous les user se trouve une le même domaine local
Si je me réfère de votre tuto
l'un des serveur doit etre un client VPN et l'autre un serveur VPN?
• •
InformatiWeb Webmaster •
Pour être exact, il devra y avoir 1 serveur VPN dans chaque réseau, et ceux-ci seront connectés l'un à l'autre.
Nous posterons un tutoriel concernant ce système de passerelles VPN.
• •
Macou gueye •
ok merci encore une fois
Donc j attend encore ce tuto
je suis développeur dans une boite commerciale mais je veux ce systeme pour me facilité l'accées a mes applications
intranet de la boite
merci
• •
Bonsoir, voici le tutoriel concernant la mise en place des passerelles VPN : http://www.informatiweb-pro...
• •
decool •
bonjour. merci pour ce tuto. j exécute minutieusement ce tuto. mais je cherche surtout a faire de la supervision de mes équipements sur
sites distants. ainsi, je me demande si avec cette architecture et cette configuration je pourrais mettre en place mon serveur de supervision
nagios et ainsi avoir des remontées d alertes. le VPN dont il est question aura t il le comportement qu 'une interconnexion de site distant?
• •
Bonsoir,
nous n'utilisons pas nagios (bien qu'il soit connu), donc, nous ne pourrons pas répondre à votre question.
Désolé.
• •
Denis90 •
Bonsoir,
Merci pour ce tuto, c'est vraiment très important pour moi, car je travaile sur le même sujet pour mon projet de fin d'études. Sinon ma
préoccupation réside sur la configuration du 2e serveur où l'on doit configuer le routeur et serveur VPN,j'ai un peu petit souci,car mon
serveur n'a qu'une seule carte réseau ! on peut intégrer une autre dans Windows server 12 ou bien il ya une autre alternative pour un cas
comme le mien ?
Merci d'avance
• •
Bonjour,
Pour le 2ème serveur, si vous n'installez que le serveur VPN, 1 carte réseau suffira.
Mais si vous souhaitez installer les 2 (routage et VPN)), il vous faudra 2 cartes réseau physiques.
• •
Brice Romain Hountonon •
21 sur 22 27/03/2020 à 14:12

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants
du Code de la propriété intellectuelle.
22 sur 22 27/03/2020 à 14:12

Windows Server 2012 - Routage Et Serveur VPN3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2012 - Routage Et Serveur VPN3

Transféré par

Droits d'auteur :

Formats disponibles

Windows Server 2012 - Routage et serveur VPN - Page 3 - InformatiW... https://www.informatiweb-pro.net/admin-systeme/win-server/24--win...

Publié le : 03 décembre 2016 à 13:25

Une version simplifiée du serveur NPS s'affichera.

Gestion (gestion du réseau, NAP, ...) : on ne l'utilisera pas dans ce tuto

1 sur 22 27/03/2020 à 14:12

Cliquez sur "Nouveau" pour ajouter une règle.

2 sur 22 27/03/2020 à 14:12

TCP : mode connecté (serveurs web, serveurs FTP, ...)

Dans notre cas, nous allons donc indiquer :

3 sur 22 27/03/2020 à 14:12

Pour le moment, nous avons notre nouveau modèle de filtres IP.

4 sur 22 27/03/2020 à 14:12

5 sur 22 27/03/2020 à 14:12

Parmi les conditions proposées, vous trouverez :

les groupes : Groupes Windows, groupes d'ordinateurs, groupes d'utilisateurs.

Cliquez sur "Ajouter des groupes".

6 sur 22 27/03/2020 à 14:12

Note : pour faire une recherche, cliquez "Avancé".

Maintenant, cette stratégie de sécurité s'appliquera aux utilisateurs du domaine.

Sélectionnez "Accès accordé" et cliquez sur Suivant.

7 sur 22 27/03/2020 à 14:12

Pour les protocoles EAP, cliquez sur Ajouter.

Comme indiqué sur le Technet de Microsoft :

Ajoutez ces protocoles (PEAP et EAP-MSCHAP) un par un.

8 sur 22 27/03/2020 à 14:12

Ensuite, cliquez sur Suivant.

9 sur 22 27/03/2020 à 14:12

10 sur 22 27/03/2020 à 14:12

L'assistant vous affiche un résumé de votre stratégie réseau.

Notre stratégie réseau est créée.

11 sur 22 27/03/2020 à 14:12

Sélectionnez "Connexion à votre espace de travail" et cliquez sur Suivant.

12 sur 22 27/03/2020 à 14:12

Cliquez sur "Utiliser ma connexion Internet (VPN)".

Indiquer l'adresse IP externe de votre serveur VPN.

13 sur 22 27/03/2020 à 14:12

Notez que nous avons utilisé le format [Nom du domaine]\[Nom de l'utilisateur]

14 sur 22 27/03/2020 à 14:12

Si votre serveur est bien configuré, la connexion s'établira correctement.

Si Windows vous demande de choisir un emplacement réseau, sélectionnez "Bureau".

15 sur 22 27/03/2020 à 14:12

Notamment, l'adresse IP du serveur VPN dans l'onglet Général.

Le type de réseau VPN à utiliser (dans l'onglet "Sécurité").

16 sur 22 27/03/2020 à 14:12

17 sur 22 27/03/2020 à 14:12

Si votre serveur est correctement configuré, vous aurez accès à Internet.

18 sur 22 27/03/2020 à 14:12

Vous aurez aussi accès aux sites de l'intranet de votre entreprise.

19 sur 22 27/03/2020 à 14:12

20 sur 22 27/03/2020 à 14:12

Recommander 1 Tweet Partager Les plus anciens

Brice Romain Hountonon •

21 sur 22 27/03/2020 à 14:12

22 sur 22 27/03/2020 à 14:12

Vous aimerez peut-être aussi