Les clés d un réseau privé virtuel (VPN) fonctionnel

Transcription

1 Les clés d un réseau privé virtuel (VPN) fonctionnel À quoi sert un «VPN»? Un «VPN» est, par définition, un réseau privé et sécurisé qui évolue dans un milieu incertain. Ce réseau permet de relier des personnes partout dans le monde à leurs bureaux, via le réseau public (Internet), et de partager des données et des logiciels : un avantage inestimable. Exemples d utilisations : - Intervention d un administrateur à distance sur un réseau. - Accès des employés au réseau à partir de n importe quel endroit dans le monde et d une simple connexion à Internet. Aucun obstacle ne vient empêcher le travail à domicile. - Constitution de réseaux entre amis pour s adonner à des jeux multijoueurs en ligne. En résumé, dès que vous devez relier deux PC/réseaux sans utiliser de câbles, le VPN est la solution qu il vous faut. Ce document présente les configurations de base de WinGate VPN. Dans tous les cas, le principe reste le même : vous connectez deux réseaux entre eux via Internet. Les seuls points de différence entre les divers scénarios possibles reposent sur l utilisation du client et quelques paramètres. Un seul bureau et des utilisateurs mobiles, distants Cette configuration permet à des utilisateurs à domicile, ou à des employés en déplacement, d accéder au réseau local de leur entreprise. Pour consulter le guide, reportez-vous à la section Un bureau et des clients distants. Deux bureaux reliés entre eux Cette configuration sert à créer un réseau local plus important en regroupant deux ou plusieurs bureaux. Elle permet aux utilisateurs de chaque bureau de partager des fichiers et des données. Pour consulter le guide, reportez-vous à la section Deux bureaux. Deux bureaux et des utilisateurs mobiles, distants Il s agit d un mélange des deux configurations précédentes. Pour consulter le guide, reportez-vous à la section Deux bureaux et des clients distants. Seule la configuration de WinGate VPN est traitée. Les problèmes internes tels que la configuration du réseau local, l authentification et la prise en charge des contrôleurs de domaine ne figurent pas dans le présent document. Document technique Watsoft Page 1 sur 24

2 Terminologie La terminologie suivante est utilisée tout au long du guide : Serveur VPN Client VPN Noeud VPN Membre VPN Machine qui héberge le réseau privé virtuel Machine reliée au réseau privé virtuel Serveur ou client VPN Machine installée sur le sous-réseau, derrière le client ou le serveur VPN Les licences La licence à acquérir dépend du nombre de membres sur chaque nœud VPN. Si vous connectez trois clients distants à un bureau, que chaque client distant correspond à un ordinateur portable et que le bureau comporte un serveur VPN et 10 PC sur le LAN, alors il vous faut : - 1 licence WinGate VPN 1 LAN-user pour chaque client distant - 1 licence WinGate VPN 12 LAN-user pour le bureau Si vous connectez deux bureaux ensemble, l un avec 10 PC sur le LAN, l autre avec 4, il vous faut : - 1 licence WinGate VPN 12 LAN-user pour le premier bureau - 1 licence WinGate VPN 6 LAN-user pour le second Document technique Watsoft Page 2 sur 24

3 Un bureau et des clients distants Tout d abord, configurez le serveur VPN. Il servira de point d accès au réseau privé auquel se connecteront vos utilisateurs distants. Le mieux est d installer ce serveur sur une machine équipée d une connexion Internet permanente et d une adresse IP fixe. Si vous ne disposez pas de ce type d adresse, l utilisation d un nom tiers simplifiera la configuration des connexions au VPN. Reportezvous à la section Que faut-il installer/configurer sur le serveur? pour connaître les étapes de la configuration du serveur VPN. D autres points sont à prendre en compte : - Le premier concerne les machines sur le LAN autres que le serveur VPN. Pour autoriser l accès à ces machines, vous devez procéder à une configurer spéciale. - Pour partager toutes les machines sur le réseau local du serveur VPN, vous devez activer le mode de participation «Local network». - De plus, vous devez vous assurer que vos utilisateurs disposent des droits nécessaires pour accéder aux ressources qu ils partagent avec vous. Une fois le serveur VPN configuré, vous devez distribuer le fichier de configuration exporté aux clients VPN puis les configurer. La section Que faut-il installer/configurer sur le client? vous explique les étapes de la configuration d un client VPN. D autres points sont à prendre en compte : - Si le client distant est installé sur l un de ses réseaux et qu il n est pas un PC autonome, assurez-vous que chaque client distant est bien installé sur un sous-réseau distinct. - Si le client distant est installé sur l un de ses réseaux et que vous souhaitez autoriser l accès à l ensemble des machines du réseau local, activez le mode de participation «Local network». - Selon le mode de gestion des données appliqué par les clients distants, vous devez autoriser ou refuser l ouverture de tunnels avec d autres clients distants. - Si, pour le lien entre le bureau et le client distant, vous souhaitez que le client distant puisse choisir quand se connecter/déconnecter du VPN, vous devez établir le lien VPN manuellement. L idéal est de demander au client VPN de se reconnecter. Une fois la connexion Internet établie, les clients distants se connecteront au VPN. Document technique Watsoft Page 3 sur 24

4 Deux bureaux Vous devez choisir le bureau où installer le serveur VPN. Il est préférable de sélectionner celui qui possède une adresse IP fixe ou une connexion permanente à Internet. Tout d abord, configurez le serveur VPN. Il s agit du point d accès au réseau privé virtuel ; c est à lui que viendra se greffer le second bureau. (Reportez-vous à la section Que faut-il installer/configurer sur le serveur?) Une fois le serveur VPN configuré, exportez la configuration dans l autre bureau. Ensuite, reliez le client VPN au réseau distant. Reportez-vous à la section Que faut-il installer/configurer sur le client? pour plus d informations sur la configuration d un client VPN. D autres points sont à prendre en compte : - Le premier concerne les machines sur le réseau local autres que les nœuds VPN. Pour accéder à ces machines, vous devez procéder à une configuration spéciale. - Pour partager les machines installées sur le réseau local du nœud VPN, activez le mode de participation «local network». - Vous devez vous assurer que vos utilisateurs disposent des droits nécessaires pour accéder aux ressources qu ils partagent avec vous. - Pour autoriser chaque extrémité du VPN à se connecter, vous devez configurer un serveur VPN dans chaque bureau. Vous envoyez la configuration exportée dans l autre bureau puis vous l importer pour créer votre client VPN. - Souvent, les entreprises utilisent des périphériques de traduction d adresses réseau. Veuillez consulter la section J utilise un périphérique NAT avec un accès Internet en cas de problème. - Vous souhaitez établir une connexion permanente pour le lien «bureau à bureau»? Dans ce cas, le lien VPN doit être établi au démarrage de WinGate et se reconnecter automatiquement. Document technique Watsoft Page 4 sur 24

5 Deux bureaux et des clients distants La démarche est identique à celle des deux exemples précédents. Définissez le bureau dans lequel sera intégré le serveur VPN avant de démarrer l installation du logiciel. Une fois le serveur configuré, exportez sa configuration. Reportez-vous à la section Que faut-il installer/configurer sur le serveur? pour plus d informations. Le fichier de configuration exporté peut être envoyé au bureau dans lequel vous souhaitez créer un client VPN. Consultez la section Que faut-il installer/configurer sur le client? pour plus de d informations sur la configuration d un client VPN. Vous devez envoyer un fichier de configuration à chaque client distant qui souhaite accéder au VPN. Chacun devra installer le logiciel et importer la configuration de la même manière que celle adoptée par le client VPN. D autres points sont à prendre en compte : - Le premier concerne les machines du réseau local autres que les nœuds VPN. Pour accéder à ces machines, vous devez procéder à une configuration spéciale. - Pour partager les machines installées sur le réseau local du nœud VPN, activez le mode de participation «local network». - Vous devez vérifier que vos utilisateurs disposent des droits nécessaires pour accéder aux ressources qu ils partagent avec vous. - Pour autoriser chaque extrémité du VPN à se connecter, vous devez configurer un serveur VPN dans chaque bureau. Vous envoyez la configuration exportée dans l autre bureau puis vous l importer pour créer votre client VPN - Souvent, les entreprises utilisent des périphériques de traduction d adresses réseau. Veuillez consulter la section J utilise un périphérique NAT avec un accès Internet en cas de problème. - Si le client distant est installé sur l un de ses réseaux et qu il n est pas un PC autonome, assurez-vous que chaque client distant est bien installé sur un sous-réseau distinct. - Si le client distant est installé sur l un de ses réseaux et que vous souhaitez autoriser l accès à l ensemble des machines du réseau local, activez le mode de participation «Local network». - Selon le mode de gestion des données appliqué par les clients distants, vous devez autoriser ou refuser l ouverture de tunnels avec d autres clients distants. Document technique Watsoft Page 5 sur 24

6 - Vous souhaitez établir une connexion permanente pour le lien «bureau à bureau»? Dans ce cas, le lien VPN doit être établi au démarrage de WinGate et se reconnecter automatiquement. - Si, pour le lien entre le bureau et le client distant, vous souhaitez que le client distant puisse choisir quand se connecter/déconnecter du VPN, vous devez établir le lien VPN manuellement. L idéal est de demander au client VPN de se reconnecter. Document technique Watsoft Page 6 sur 24

7 Que faut-il installer/configurer sur le serveur? Votre serveur doit être équipé d un accès Internet capable de recevoir des connexions entrantes. Parfois, cela passe par la configuration d un périphérique matériel qui autorise les connexions via le VPN. Si vous pensez disposer d un tel matériel, reportez-vous à la section requise pour plus d informations. Dans un premier temps, vous devez installer le logiciel approprié. Il peut s agir de WinGate (avec une licence VPN) ou de WinGate VPN. Une fois le logiciel installé et la machine redémarrée, vous devez configurer le VPN. Si vous utilisez WinGate, reportez-vous à la section J utilise WinGate. Si vous utilisez WinGate VPN, reportez-vous à J utilise WinGate VPN. Document technique Watsoft Page 7 sur 24

8 J utilise WinGate Si vous utilisez WinGate pour partager votre connexion Internet, vous devez vous procurer une licence VPN. Pour plus d informations sur les licences VPN, consultez la section Les licences. 1. Cliquez sur WinGate Engine Monitor dans la barre des tâches pour ouvrir Gatekeeper. 2. Dans l onglet System, double-cliquez sur un service VPN pour accéder à son interface de configuration. 3. Dans l onglet VPNs to host, cliquez sur le bouton Add pour ajouter une configuration VPN. La boîte de dialogue VPNs to host s ouvre. 4. Dans l onglet General, entrez les valeurs suivantes : 4.1 Name : nom simple à retenir pour votre VPN (ex. : le nom de votre réseau ou de votre emplacement). 4.2 Local participation : cette valeur détermine le mode partage de votre réseau pour le VPN. No Participation Local Machine Local Network Le réseau ne participe pas au VPN Seul ce PC participe au VPN Ce PC et d autres PC sur le réseau local participent au VPN 4.3 Encryption Schema : conservez la valeur «Strong» 5. Dans l onglet X509, cliquez sur Generate Certificate pour créer le certificat à associer au VPN. Un assistant de création de certificat X509 s ouvre. Document technique Watsoft Page 8 sur 24

9 5.1. Dans l onglet Encryption, conservez toutes les valeurs par défaut. Entrez et confirmez une phrase de passe. N hésitez pas à utiliser un mélange de chiffres et de lettres. Cette phrase n est pas à retenir Dans l onglet Certificate detail, entrez autant de valeurs que possible. Ces valeurs ne sont pas obligatoires mais elles permettent d avoir des certificats détaillés Cliquez sur OK pour confirmer ces détails. Le certificat ne sera pas généré immédiatement. Vous devez d abord cliquer sur OK pour accepter la configuration VPN. 6. Dans l onglet Policies, définissez les utilisateurs autorisés à se connecter au VPN. Cela permettra d établir un canal de contrôle pour la connexion entre le serveur et ses clients. Ce canal ne s applique pas aux opérations réseau normales exercées via le VPN. Document technique Watsoft Page 9 sur 24

10 7. Après avoir tout configuré, cliquez sur OK pour accepter la configuration VPN. Le certificat est créé et vous recevez un message système vous indiquant cette information. 8. À présent, vous devez exporter les informations dont vos clients auront besoin pour leur connexion au VPN. Pour cela, cliquez sur le bouton Export config. Un assistant s ouvre. 9. Entrez le nom ou l adresse IP qui permettra de localiser votre VPN sur Internet. Si vous utilisez une adresse IP dynamique ou que vous disposez d un nom DNS associé à votre PC, utilisez ce nom. Sinon, saisissez votre adresse IP. Lorsque vous cliquez sur OK, une invite vous demander d enregistrer ces informations. Enregistrez ce fichier dans un emplacement simple d accès, vous en aurez besoin pour la configuration client. Document technique Watsoft Page 10 sur 24

11 J utilise WinGate VPN 1. Double-cliquez sur VPN monitor dans la barre des tâches pour ouvrir GateKeeper. 2. Dans l onglet VPN, cliquez sur Add a new VPN en dessous de la section VPNs to host pour ajouter une configuration. La boîte de dialogue VPNs to host s ouvre. 3. Dans l onglet General, entrez les valeurs suivantes : 3.1. Name : nom simple pour le VPN (ex. : le nom de votre réseau ou de votre emplacement) Local Participation : cette valeur détermine le mode partage de votre réseau pour le VPN. No Participation Local Machine Local Network Le réseau ne participe pas au VPN Seul ce PC participe au VPN Ce PC et d autres PC sur le réseau local participent au VPN 3.3. Encryption Schema : conservez la valeur Strong Document technique Watsoft Page 11 sur 24

12 4. Dans l onglet X509 Certificate, cliquez sur Generate Certificate pour créer le certificat associé au VPN. Un assistant de création de certificat X509 s ouvre. 4.1 Dans l onglet Encryption, conservez toutes les valeurs par défaut. Entrez et confirmez une phrase de passe. N hésitez pas à utiliser un mélange de chiffres et de lettres. Cette phrase n est pas à retenir. 4.2 Dans l onglet Certificate detail, entrez autant de valeurs que possible. Ces valeurs ne sont pas obligatoires mais elles permettent d avoir des certificats détaillés. 4.3 Cliquez sur OK pour confirmer ces détails. Le certificat ne sera pas généré immédiatement. Vous devez d abord cliquer sur OK pour accepter la configuration VPN. 5. Dans l onglet Policies, définissez les utilisateurs autorisés à se connecter au VPN. Cela permettra d établir un canal de contrôle pour la connexion entre le serveur et ses clients. Ce canal ne s applique pas aux opérations réseau normales exercées via le VPN. 6. Après avoir tout configuré, cliquez sur OK pour accepter la configuration VPN. Le certificat est créé et vous recevez un message système vous indiquant cette information. 7. À présent, vous devez exporter les informations dont vos clients auront besoin pour leur connexion au VPN. Pour cela, cliquez sur le bouton Export config. Un assistant s ouvre. Document technique Watsoft Page 12 sur 24

13 8. Entrez le nom ou l adresse IP qui permettra de localiser votre VPN sur Internet. Si vous utilisez une adresse IP dynamique ou que vous disposez d un nom DNS associé à votre PC, utilisez ce nom. Sinon, saisissez votre adresse IP. Lorsque vous cliquez sur OK, une invite vous demande d enregistrer ces informations. Enregistrez le fichier dans un emplacement simple d accès, vous en aurez besoin pour la configuration client. Document technique Watsoft Page 13 sur 24

14 Que faut-il installer/configurer sur le client? Votre client doit disposer d un accès Internet et être capable d initier des connexions sortantes à l aide des protocoles TCP et UDP. Il doit par ailleurs recevoir le trafic entrant depuis Internet sur un port UDP. Cela implique de configurer un périphérique matériel qui active la connexion via un nœud VPN. Si vous disposez d un tel périphérique, consultez la section requise de ce document pour plus d informations. Dans un premier temps, vous devez installer le logiciel approprié. Il peut s agir de WinGate (avec une licence VPN) ou de WinGate VPN. Une fois le logiciel installé et la machine redémarrée, vous devez configurer le VPN. Si vous utilisez WinGate, reportez-vous à la section J utilise WinGate. Si vous utilisez WinGate VPN, reportez-vous à la section J utilise WinGate VPN. Document technique Watsoft Page 14 sur 24

15 J utilise WinGate Si vous utilisez WinGate pour le partage de votre connexion Internet, vous devez vous procurer une licence VPN. Pour plus d informations sur les licences VPN, consultez la section Les licences. 1. Double-cliquez sur le fichier de configuration envoyé par l administrateur du serveur. 2. GateKeeper s ouvre automatiquement et demande si vous souhaitez enregistrer cette configuration dans votre système. Si la réponse est oui, cliquez sur Yes. La boîte de dialogue de configuration s ouvre. 3. La plupart des champs sont déjà remplis. Nous vous conseillons cependant de les contrôler. Dans la section Remote Server, vérifiez les valeurs suivantes : 3.1. Server IP or DNS Name : il s agit du nom ou de l adresse IP qui servira à accéder au serveur. Cette valeur doit être visible depuis Internet Server Port : il s agit du port sur lequel votre serveur VPN écoute (port TCP 809 par défaut). Document technique Watsoft Page 15 sur 24

16 3.3. Name of Remote VPN : nom simple pour le VPN. Il doit correspondre à celui attribué au VPN par l administrateur Server SSL Fingerprint : cette valeur générée par le serveur est utilisée par le client distant pour s assurer que la connexion est établie avec le bon serveur VPN. 4. Dans la section User Authentication, entrez les valeurs suivantes : 4.1. Username : nom de l utilisateur WinGate autorisé à accéder au VPN dans les paramètres policies Password : mot de passe de l utilisateur WinGate configuré ci-dessus. Ces valeurs ne sont jamais transmises avec la configuration (vous devrez contacter l hôte du serveur VPN pour savoir quelles valeurs utiliser). 5. Dans la section Connection Options, vérifiez les valeurs suivantes : 5.1. When to Join VPN : ce paramètre indique quand WinGate VPN doit se connecter au VPN distant. On Engine Start Manually Disabled Connexion lorsque le moteur WinGate démarre L utilisateur établit la connexion dans GateKeeper Ce VPN ne peut pas se connecter 5.2. Reconnect : cette option reconnecte le VPN si la connexion VPN ou Internet est perdue Local Participation : cette valeur indique le type de partage appliqué par le réseau. No Participation Local Machine Local Network Ce réseau ne participe pas au VPN Seul ce PC participe au VPN Ce PC et d autres PC sur le réseau local participant au VPN 5.4. Tunnel Creation : indique les nœuds autorisés à établir des tunnels avec le VPN. To/from all nodes Tous les clients qui se connectent au serveur peuvent créer un tunnel de données avec ce nœud, et potentiellement accéder à toutes les ressources publiées par le VPN. Cela s ajoute au tunnel de données établi avec le serveur VPN. Only with Master Cette option interdit les autres clients qui se connectent au serveur d ouvrir des tunnels avec le client. Le tunnel vers le serveur est créé normalement. 6. Après avoir vérifié tous ces paramètres, cliquez sur OK pour fermer la boîte de dialogue. Vous êtes maintenant redirigé sur l interface GateKeeper à partir de laquelle vous pouvez connecter le VPN. 1 Ne confondez pas le nom du VPN avec son adresse (nom DNS) Document technique Watsoft Page 16 sur 24

17 J utilise WinGate VPN Pour configurer le VPN, vous devez vous servir du fichier de configuration exporté à partir du serveur VPN. Ce fichier sert à vérifier l identité du serveur VPN. 7. Double-cliquez sur le fichier de configuration VPN envoyé par l administrateur du serveur. 8. GateKeeper s ouvre automatiquement et vous demande d enregistrer la configuration VPN sur le système. Cliquez sur Yes pour l enregistrer et accéder à la boîte de dialogue de configuration. 9. La plupart des champs sont déjà remplis. Nous vous conseillons cependant de les contrôler. Dans la section Remote server, vérifiez les valeurs suivantes : 9.1. Server IP or DNS Name : nom ou adresse IP qui servira à accéder au serveur. Cette valeur doit être visible depuis Internet Server Port : port sur lequel le serveur VPN écoute (port TCP 809 par défaut). Document technique Watsoft Page 17 sur 24

18 9.3. Name of Remote VPN : nom simple pour le VPN. Il doit correspondre à celui attribué au VPN par l administrateur Server SSL Fingerprint : cette valeur générée par le serveur est utilisée par le client distant pour s assurer que la connexion est établie avec le bon serveur VPN. 2 Ne confondez pas le nom du VPN avec son adresse (nom DNS) Document technique Watsoft Page 18 sur 24

19 10. Dans la section User Authentication, remplissez les champs suivants : Username : nom de l utilisateur WinGate autorisé à accéder au VPN dans les paramètres policies Password : mot de passe de l utilisateur WinGate configuré ci-dessus. Ces valeurs ne sont jamais transmises avec la configuration (vous devez contacter l hôte du serveur VPN pour savoir quelles valeurs utiliser). 11. Dans la section Connection Options, vérifiez les valeurs suivantes : When to Join VPN : ce paramètre indique quand WinGate VPN doit se connecter au VPN distant. On Engine Start Manually Disabled Connexion lorsque le moteur WinGate démarre Connexion établie par l utilisateur dans GateKeeper Ce VPN ne peut pas se connecter Reconnect : cette option reconnecte le VPN si la connexion VPN ou Internet est perdue Local Participation : cette valeur indique le type de partage appliqué par le réseau. No Participation Local Machine Local Network Ce réseau ne participe pas au VPN Seul ce PC participe au VPN Ce PC et d autres PC sur le LAN participent au VPN Tunnel Creation : indique les nœuds autorisés à établir des tunnels avec le VPN. To/from all Nodes Only with Master Tous les clients qui se connectent au serveur peuvent créer un tunnel de données avec ce nœud, et potentiellement accéder à toutes les ressources publiées par le VPN. Cela s ajoute au tunnel de données établi avec le serveur VPN. Avec cette option, les autres clients qui se connectent au même serveur d ouvrir des tunnels vers ces clients. Le tunnel vers le serveur est créé normalement. 12. Après avoir vérifié tous ces paramètres, cliquez sur OK pour fermer la boîte de dialogue. Vous êtes maintenant redirigé sur l interface de GateKeeper à partir de laquelle vous pouvez connecter le VPN. Document technique Watsoft Page 19 sur 24

20 Dépannage D une manière générale : Vérifiez que vous pouvez établir une connexion avec le serveur VPN. Pour cela, vous devez disposer d une connexion Internet active et d un serveur VPN fonctionnel. Ce serveur doit être capable de recevoir des connexions depuis Internet sur le port VPN (809 par défaut). Si la connexion est bien établie, les deux nœuds VPN doivent pouvoir échanger des informations. Cette connexion de contrôle repose sur le protocole TCP. L étape suivante consiste à vérifier que les routes n affichent pas l état Désactivé ou En conflit. Ce problème survient généralement lorsque plusieurs nœuds VPN sont installés sur le même sousréseau. Si un serveur VPN est enregistré sur le sous-réseau ***, et que le client VPN est sur ce même sous-réseau, aucune extrémité ne pourra déterminer où envoyer un paquet pour une machine dont l adresse IP est , puisque cette machine peut se situer sur chaque extrémité. Si aucune route n affiche d erreur, vérifiez le tunnel en procédant comme suit : exécutez une commande ping sur l adresse IP interne du serveur VPN à partir du client VPN, et vice versa. Si la commande réussit, le tunnel de données est opérationnel. Sinon, il se peut qu ii y ait un problème avec un périphérique NAT intermédiaire. Si la commande ping réussit, mais que vos membres VPN ne sont toujours pas accessibles, le problème est soit lié à la navigation, soit à la configuration des postes client. Les machines du réseau reliées au serveur VPN ou au client doivent croire qu elles peuvent accéder aux machines de l autre réseau. Pour accéder à ces machines, elles utilisent soit leur route par défaut, soit des routes particulières que vous avez configurées. Sinon, elles refusent de renvoyer des paquets même si elles viennent d en recevoir. J utilise un périphérique NAT avec un accès Internet Si vous utilisez un périphérique NAT ou un pare-feu, il se peut qu il interfère avec le tunnel de données VPN. Le tunnel de données VPN utilise le protocole UDP pour transférer les informations d un réseau à l autre. Ce protocole ne nécessite pas de connexion, ce qui signifie que les pare-feu, etc. doivent recevoir l ordre explicite d autoriser le trafic ou de le router vers un serveur VPN spécifique. Par défaut, WinGate VPN utilise le port 809 pour le tunnel de données. Vous retrouverez le numéro de port configuré dans l onglet General de l interface de configuration WinGate VPN. Je visualise tous les lecteurs réseau, mais je ne peux ni naviguer, ni ouvrir de fichier Avec certains types de connexions, on assiste à une réduction du MTU (Unité de transmission maximale ; mesure la charge maximale d un paquet qui peut être envoyée sur une interface réseau ou un lien de point à point). Par exemple, les connexions PPPoE réduisent le MTU de 8 octets. Le MTU standard pour Ethernet est de 1500 octets, ce qui signifie que vous pouvez utiliser une charge allant jusqu à 1500 octets avec Ethernet. La trame Ethernet comporte elle-même un en-tête de 14 octets, la taille maximale des paquets est donc (en comparaison avec le MTU) de 1514 octets. WinGate VPN réduit également le MTU, puisque le cryptage et l envoi de données par tunnel nécessitent environ 50 à 60 octets par paquet. En cas de problème de MTU, certains grands paquets (taille maximale) peuvent se perdre. Des effets étranges peuvent se produire : possibilité de se connecter à un lecteur réseau après avoir donné un mot de passe, etc. mais impossibilité de naviguer dans des répertoires volumineux ou de transférer des fichiers. Le mappage de lecteurs réseau est déconnecté et, en général, peu fiable. Document technique Watsoft Page 20 sur 24

21 Avec la commande Ping, vous pouvez envoyer des paquets de différentes tailles. WinGate VPN les fragmente lorsqu il les transfère sur le VPN. Vous pouvez donc envoyer de gros paquets sur le VPN si tout fonctionne correctement. Sinon, lorsqu ils atteignent une certaine taille, leur transfert s interrompt. Pour envoyer un paquet d une certaine taille, utilisez l option «I» dans la commande Ping. Exemple : ping l 1422 Dans ce cas, un paquet Ping d une charge ICMP de 1422 octets est envoyé. Veuillez noter que la véritable taille du paquet comporte 28 octets de plus puisque les en-têtes IP et ICMP utilisent 26 octets. Par conséquent, il s agit d un paquet de 1450 octets (en-tête Ethernet exclu). L en-tête Ethernet n est pas pris en car il n est pas transmis sur le VPN. En calculant la taille de la commande Ping qui fonctionne et celle qui ne fonctionne pas, vous définissez la valeur exacte du MTU. Pour les connexions à numérotation et certaines interfaces réseau, vous pouvez modifier le MTU afin que les machines client ne puissent plus envoyer de gros paquets. J ai un problème d accès aux ordinateurs La navigation réseau via le Voisinage réseau est un processus client-serveur. Le navigateur client doit être capable de communiquer avec un navigateur serveur (Master browser) ou avec une machine équipée d une liste de navigation, comme un contrôleur de domaine ou un serveur Active Directory. Si cette machine est située derrière le nœud VPN, vous devez vérifier qu elle peut répondre aux requêtes de navigation requises. Je ne peux pas accéder aux machines derrière le client ou le serveur Si vous ne pouvez pas accéder aux machines, l indication Not accessible est affichée dans GateKeeper. Tout d abord, vérifiez si vous avez bien configuré la machine sur le VPN. Le VPN de Qbik est une solution basée sur le routage. Pour qu il fonctionne, chaque extrémité et l ensemble des participants doivent savoir comment accéder aux réseaux distants. Trois méthodes sont possibles. Passerelle par défaut Dans l écran de configuration TCP/IP du système d exploitation, configurez la passerelle par défaut du membre VPN comme nœud VPN (serveur ou client). Ainsi, le trafic du réseau que le membre VPN ignore où router sera transmis au noeud VPN, qui l acheminera vers le réseau distant requis. Écoute RIP WinGate VPN peut mettre la table de routage à jour dès qu il apprend que de nouveaux VPN sont disponibles. Si vous installez un client RIP v2 sur le membre VPN, il recevra ces diffusions RIP et sera capable de router le trafic destine au sous-réseau distant vers le nœud VPN. Si le nœud VPN n est pas votre passerelle Internet, il est possible que la passerelle accepte RIP v2 (la plupart des boîtes DSL/NAT intègrent un client RIP V 2). Si c est le cas, activez-le pour la passerelle. Route statique En ajoutant une route statique, vous expliquez à chaque membre comment router vers le sous-réseau distant. Par exemple, le LAN du serveur VPN utilise la plage d adresses IP ***. Le serveur VPN correspond à l adresse Le LAN du client VPN utilise la plage ***. Pour ajouter une route statique à un participant derrière le client VPN, vous devez indiquer : Document technique Watsoft Page 21 sur 24