Vous êtes sur la page 1sur 14

www.phpmaroc.com

MA

…………………………………………………………………………….

AIT LAASRI M'HAND Webmaster http://www.phpmaroc.com
AIT LAASRI M'HAND Webmaster http://www.phpmaroc.com
AIT LAASRI M'HAND Webmaster http://www.phpmaroc.com
AIT LAASRI M'HAND Webmaster http://www.phpmaroc.com

AIT LAASRI M'HAND Webmaster http://www.phpmaroc.com

D'après www.commentcamarche.com Et www. microsoft.com

2005-2006

1

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Comprendre les protocoles VPN

Introduction

Objectifs

Ce document a pour but de vous aider à mettre rapidement une solution d'accès à distance VPN pour votre entreprise grâce à un serveur Windows 2000 et au protocole PPTP

L'accès distant

Aujourd'hui l'accès à distance a beaucoup évolué, notamment grâce aux nouvelles technologies mobiles et réseaux qui s'offrent à nous. Le facteur le plus important dans une strategie d'accès distant est de gérer l'intégrité et la confidentialité des données de l'entreprise. C'est pourquoi il y a quelques années les serveurs de call-backs sont arrivés,ils présentaient deux avantages majeurs: il permettait d'éviter au collaborateur de supporter les coûts de communications car c'est l'entreprise qui appel, ensuite cela permettait de contrôler les accès au réseau d'entreprise car la communication etait initiée par l'entreprise.

Le principe de la connexion VPN (Virtual Private Network) est de créer un tunnel sécurisé à travers un reseau peu sûr tel qu'Internet jusqu'au réseau de l'entreprise. Ainsi, le client bien que géographiquement éloigné, accède aux ressources de l'entreprise comme si il y était physiquement. Cela présente l'avantage de ne pas trop perturbé les utilisateurs itinérants et de générer beaucoup moins de travail pour l'administrateur.

Schéma

2

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Comprendre les protocoles VPN • Différences entre PPTP

Comprendre les protocoles VPN

Différences entre PPTP et L2TP/IPSec

Windows 2000 supporte deux protocoles VPN, le protocole PPTP (point to point tunneling protocol) et L2TP (layer 2 tunneling protocol). Le protocole PPTP utilise la methode de chiffrement MPPE (Microsoft Point to point encryption) tandis que L2TP est basé sur IPSec. Par contre, pour avoir une communication chiffré avec le protocole PPTP il est nécessaire d'avoir utilisé l'une des methodes suivantes d'authentification:

MS-CHAP v1 ou v2 et EAP/TLS pour les cartes à puces. IPSec ne requiert aucune methode d'authentification particulière.

La methode MPPE permet de chiffrer sur 40,56 et 128 bits; pour pouvoir utiliser le cryptage sur 128 bits il est nécessaire d'avoir installer le high encryption pack (inclus dans le service pack3) et d'installer un patch correcteur pour les versions 95 et 98 de Windows

Voici un tableau des principales caractéristiques des protocoles PPTP et L2TP

principales caractéristiques des protocoles PPTP et L2TP 3

3

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Dans cet article nous allons nous intéréssé uniquement au protocole PPTP car il est plus facile à mettre en oeuvre et il permet d'avoir une compatibilité avec les plateformes Windows 9X.

Contrôle du filtrage des paquets

Toute bonne entreprise possède un firewall pour protéger son réseau c'est pourquoi il est nécessaire de comprendre les enjeux de l'installation de ce nouveau service.

En ce qui concerne le filtrage, il va falloir autoriser le passage du traffic sur le port 1723 via TCP sur votre firewall vers votre serveur VPN et vice versa. Nous ne detaillerons pas comme on procède car étant donné le nombre important de firewall sur le marché, cependant la methode reste la même que celle d'un serveur web ou ftp.

Contrôle du routage des paquets

D'autre part, il faut aussi autoriser le routage du protocole GRE (numero 47 sous unix) vers votre serveur VPN pour que les connexions fonctionnent.

Intérêt d'un VPN

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.

Ce procédé est utilisée par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :

Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades Partage de fichiers sécurisé Jeu en réseau local avec des machines distantes

Mise en place d'un VPN sous Windows XP

Windows XP permet de gèrer nativement des réseaux privés virtuels de petite taille, convenant pour des réseaux de petites entreprises ou familiaux (appelés SOHO, pour Small Office/Home Office). Ainsi pour mettre en place un réseau privé virtuel il suffit de mettre en place au niveau du réseau local un serveur d'accès distant (serveur VPN) accessible depuis Internet et de paramétrer chaque client pour lui permettre de s'y connecter.

Installation du serveur VPN sous Windows XP

Dans notre exemple nous admettrons que la machine destinée à faire office de serveur VPN sur le réseau local possède deux interfaces; une vers le réseau local (une carte réseau par exemple) et une vers Internet (une connexion ADSL ou une connexion par câble par exemple). C'est via son interface connectée à Internet que les clients VPN se connecteront au réseau local.

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

4

www.phpmaroc.com

MA

…………………………………………………………………………….

Afin de permettre à cette machine de gérer des réseaux privés virtuels, il suffit d'ouvrir l'élément Connexions réseau (Network Connection) dans le Panneau de configuration. Dans la fenêtre ainsi ouverte, double-cliquez sur Assistant de nouvelle connexion (New connection wizard) :

Assistant de nouvelle connexion (New connection wizard) : Appuyez ensuite sur la touche Suivant : Parmi

Appuyez ensuite sur la touche Suivant :

connection wizard) : Appuyez ensuite sur la touche Suivant : Parmi les trois choix proposés dans

Parmi les trois choix proposés dans la fenêtre, sélectionnez "Configurer une connexion avancée"

:

5

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Dans l'écran suivant sélectionnez "Accepter les

Dans l'écran suivant sélectionnez "Accepter les connexions entrantes" :

sélectionnez "Accepter les connexions entrantes" : L'écran suivant présente des périphériques à

L'écran suivant présente des périphériques à sélectionner pour une connexion directe. Il se peut qu'aucun périphérique ne soit proposé. Sauf besoin particulier vous n'aurez pas besoin d'en sélectionner :

vous n'aurez pas besoin d'en sélectionner : Dans la fenêtre suivante sélectionnez "Autoriser les

Dans la fenêtre suivante sélectionnez "Autoriser les connexions privées virtuelles" :

6

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Une liste des utilisateurs du système apparaît, il suffit

Une liste des utilisateurs du système apparaît, il suffit de sélectionner ou ajouter les utilisateurs autorisés à se connecter au serveur VPN :

les utilisateurs autorisés à se connecter au serveur VPN : Sélectionnez ensuite la liste des protocoles

Sélectionnez ensuite la liste des protocoles autorisés via le VPN :

ensuite la liste des protocoles autorisés via le VPN : Un clic sur le bouton Propriétés

Un clic sur le bouton Propriétés associé au protocole TCP/IP permet de définir les

7

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

adresses IP que le serveur affecte au client pour toute la durée de la session. Si le réseau local sur lequel se trouve le serveur ne possède pas d'adressage spécifique vous pouvez laissez le serveur déterminer automatiquement une adresse IP. Par contre si le réseau possède un plan d'adressage spécifique vous pouvez définir la plage d'adresse à affecter :

vous pouvez définir la plage d'adresse à affecter : La configuration du serveur VPN est désormais

La configuration du serveur VPN est désormais achevée, vous pouvez cliquer sur le bouton "Terminé" :

vous pouvez cliquer sur le bouton "Terminé" : Installation du client VPN sous Windows XP Afin

Installation du client VPN sous Windows XP

Afin de permettre à un client de se connecter à votre serveur VPN, il est nécessaire de

définir tous les paramétres de connexion (adresse du serveur, protocoles à utiliser,

L'assistant de nouvelle connexion disponible à partir de l'icône Connexions réseau du panneau de configuration permet cette configuration :

).

8

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Appuyez ensuite sur la touche Suivant : Parmi les trois

Appuyez ensuite sur la touche Suivant :

Appuyez ensuite sur la touche Suivant : Parmi les trois choix proposés dans la fenêtre,

Parmi les trois choix proposés dans la fenêtre, sélectionnez "Connexion au réseau d'entreprise" :

9

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Dans l'écran suivant sélectionnez "Connexion

Dans l'écran suivant sélectionnez "Connexion réseau privé virtuel" :

sélectionnez "Connexion réseau privé virtuel" : Entrez ensuite un nom décrivant au mieux le nom du

Entrez ensuite un nom décrivant au mieux le nom du réseau privé virtuel auquel vous souhaitez vous connecter :

privé virtuel auquel vous souhaitez vous connecter : L'écran suivant permet d'indiquer si une connexion

L'écran suivant permet d'indiquer si une connexion doit être établie préalablement à la connexion au réseau privé virtuel. La plupart du temps (si vous êtes sur une

10

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

…………………………………………………………………………….

connexion permanente, un accès ADSL ou câble) il ne sera pas nécessaire d'établir la connexion puisque l'ordinateur est déjà connecté à internet, dans le cas contraire sélectionnez la connexion à établir dans la liste :

MA

sélectionnez la connexion à établir dans la liste : MA Afin d'accéder au serveur d'accès distant

Afin d'accéder au serveur d'accès distant (serveur VPN ou hôte) il est indispensable de spécifier son adresse (adresse IP ou nom d'hôte). Si celui-ci ne possède pas une adresse IP fixe, il sera nécessaire de l'équiper d'un dispositif de nommage dynamique (DynDNS) capable de lui affecter un nom de domaine et de spécifier ce nom dans le champ ci-dessous :

domaine et de spécifier ce nom dans le champ ci-dessous : Une fois la définition de

Une fois la définition de la connexion VPN terminée, une fenêtre de connexion demandant un nom d'utilisateur (login) et un mot de passe s'ouvre à vous :

11

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Avant de se connecter il est nécessaire de procéder à

Avant de se connecter il est nécessaire de procéder à quelques réglages en cliquant sur le bouton Propriétés en bas de fenêtre. Une fenêtre comportant un certain nombre d'onglet permet ainsi de paramétrer plus finement la connexion. Dans l'onglet Gestion de réseau sélectionnez le protocole PPTP dans la liste déroulante, sélectionnez le protocole Internet (TCP/IP) et cliquez sur Propriétés :

le protocole Internet (TCP/IP) et cliquez sur Propriétés : La fenêtre s'affichant permet de définir l'adresse

La fenêtre s'affichant permet de définir l'adresse IP que la machine cliente aura lors de la connexion au serveur d'accès distant. Celà permet d'avoir un adressage cohérent avec l'adressage distant. Ainsi le serveur VPN est capable de faire office de serveur DHCP, c'est-à-dire de fournir automatiquement une adresse valide au client VPN. Pour ce faire il suffit de sélectionner l'option obtenir une adresse automatiquement. :

12

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Dans le cas où le client utilise le DHCP, si le serveur

Dans le cas où le client utilise le DHCP, si le serveur affecte une adresse IP interne, le client sera connecté au réseau d'entreprise et bénéficiera des services de celui-ci mais n'aura plus accès à Internet via l'interface utilisée car l'adresse IP n'est pas routable. Afin de permettre au client d'être connecté au VPN tout en ayant accès à Internet à travers cette connexion il faut que le serveur VPN soit configuré de telle manière à partager sa connexion à Internet ! Ainsi le bouton Avancé permet de faire en sorte que le client utilise la passerelle du serveur VPN dans le cas où ce dernier partage sa connexion :

VPN dans le cas où ce dernier partage sa connexion : Afin de pouvoir mettre en

Afin de pouvoir mettre en place la liaison VPN, il est nécessaire que les firewalls intermédiaires, notamment le pare-feu natif de XP, soient configurés de manière à laisser s'établir la connexion. Ainsi, il est nécessaire de désactiver le pare-feu natif de Windows XP de la façon suivante :

dans le panneau de configuration cliquez sur Connexions réseau,

cliquez avec le bouton droit sur la connexion que vous utilisez,

sélectionnez l'onglet Paramètres avancés,

13

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

www.phpmaroc.com

MA

…………………………………………………………………………….

Assurez-vous que l'option Pare-feu de connexion Internet est désactivée.

EN CA DE QUESTION VEUILLEZ ME CONTACTER SUR hlehbil@yahoo.fr info@phpmaroc.com

www.phpmaroc.com

14

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ