Solutions informatiques Procédure Sur Comment installer et configurer un accès VPN sur un serveur 2003
Solutions informatiques Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But 3 2. Configuration..3 3. Installation du Service de Certificat 3 4. Internet Authentication Service...8 5. Configuration du Serveur VPN..14 6. Sécurité.19 7. Propriétés des Ports 21 8. NAT/Basic Firewall..24 9. Conclusion 26 2
Comment installer et configurer un accès VPN sur un serveur 2003 1. But Ce tutoriel n a pour but que de vous montrer les étapes à suivre pour installer et configurer un accès VPN sur un serveur Windows 2003, il n assure pas la résolution de problème. Si vous avez des questions suite à ce tutoriel, veuillez communiquer avec nous. Pour tous ceux et celles qui possède un serveur Windows 2003 à la maison ou en entreprise et qui ont besoin d'une connexion VPN, par défaut Windows server 2003 en possède une. Voici la procédure que je vous propose afin de pouvoir installer et configurer le VPN de Windows Server 2003 ainsi que la sécurité s'y attachant. N.B.: Veuillez prendre note que le VPN par défaut de Windows server 2003 n'est pas le VPN le plus sécuritaire qui existe, je veux dire en ce sens que ce n'est pas une passoire mais que ce n'est pas non plus la murale de Chine. C'est un bon compromis! Installation du Service de Certificats et du serveur RADIUS 1- Installation du Service de Certificats Le service de certificat peut être installé sur n'importe quel serveur, même sur les contrôleurs de domaines. Mais il y a certaines choses à savoir pour mener à bien cette installation. 1a - Tout d abord votre serveur doit être équipé de deux cartes réseaux physique, une qui sert au réseau normal et l autre qui va servir pour la communication VPN. 2a- Sur la carte qui va servir au VPN, vous devez la configurer avec une adresse IP fixe publique que normalement vous devez connaître. 3a- Ensuite vous devez aller sur votre router pour configurer les accès de passage aux communications VPN. 1.1- Pour installer le service de certificat, il faut aller dans Add or Remove Programs et sélectionner Add/Remove Windows Components. 1.2- Cochez la case Certificate Services et également le serveur Web IIS, puis cliquez sur Suivant. 3
1.3- Sélectionnez Enterprise Root CA. 4
1.4- Entrez un nom pour le certificat, et continuez l'installation. 1.5- Une fois l'installation terminé, allez dans le gestionnaire d'utilisateurs Active Directory, et dans les propriétés de votre domaine. 5
1.6- Dans l'onglet Group Policy, modifiez votre GPO. 1.7- Allez dans Computer Configuration, Windows Settings, Security Settings, Public Key Policies, puis Automatic Certificate Request Settings. 1.8- Faites un clic droit sur Automatic Certificate Request Settings, et allez dans New puis cliquez sur Automatic Certificate Request. 6
1.9- Cliquez sur suivant et sélectionnez Computer. 1.10- Puis, finissez l'installation. 7
2- Internet Authentication Service Internet Authentication Service 2.1- Pour installer Internet Authentication Service, il faut passer également par Add/Remove Windows Components. 2.2- Dans les Details... de Networking Services, cochez Internet Authentication Service. 8
2.3- Il faut maintenant enregistrer IAS dans Active Directory pour qu'il puisse communiquer. Pour ce faire, il faut aller dans le gestionnaire Internet Authentication Service et faire un clic droit sur Internet Authentication Service et cliquer sur Register Internet Authentication Service in Active Directory. 2.4- Pour que le VPN puisse contacter IAS, il faut ajouter un client RADIUS. Faites un clic droit sur RADIUS Clients et sélectionnez New RADIUS Client. 2.5- Entrez un nom ou l'adresse IP du serveur VPN. 9
2.6- Dans Client-Vendor, On peut sélectionner Microsoft, sachant que le VPN sera un serveur Windows, et spécifier une clé partagée permettant de sécuriser les connections entre le VPN et le serveur RADIUS. Il est conseillé d'avoir une clé d'une longueur de 22 caractères et composée de chiffres, de lettres et de caractères spéciaux. 10
2.7- Cliquez sur Finish et on peut vérifier que le client a bien été créé. 2.8- Il faut maintenant autoriser les utilisateurs à se connecter au VPN. Faites un clic droit sur Remote Access Policies et cliquez sur New Remote Access Policy. Entrez un nom pour la politique. 11
2.9- Sélectionnez VPN. 2.10- Sélectionnez vos utilisateurs ou groupes. 12
2.11- Laissez cocher MS-CHAP2 pour une meilleure sécurité. 2.12- Et ne laissez coché que le cryptage 128 bits. 13
2.13- CA et IAS étant bien installés, nous pouvons passer à l'installation du serveur VPN. Configuration du serveur VPN 3. Installation du serveur VPN Pour activer le serveur VPN, il faut aller dans les outils d'administration et sélectionner Routing and Remote Access. 3.1- Faites un clic droit sur votre serveur et cliquez sur Configure and Enable Routing and Remote Access. 3.2- Sélectionnez Remote access (dial-up or VPN). 14
3.3- Cochez VPN. 15
3.4- Choisissez l'interface correspondant à votre connexion internet. Veillez à ce que la case Enable security soit cochée. 3.5- Vous pouvez choisir entre, que vos clients VPN utilise la même plage d'adresse IP que vos clients locaux, ou leur en spécifier une. La deuxième solution est préférable afin de distinguer rapidement les utilisateurs VPN des internes. 16
3.6- Pour une gestion plus souple nous allons utiliser un serveur RADIUS (celui configurer précédemment). 17
3.7- Entrer le nom du serveur ainsi que la clé partagée. Votre serveur est maintenant activé. Si vous avez optez pour spécifiez une plage d'adresse particulière à vos utilisateurs VPN, vous obtiendrez le message suivant : 3.8- Il faut donc spécifiez l'adresse de votre serveur DHCP pour rediriger les requêtes vers lui. Pour se faire, allez dans IP Routing, et faites un clic droit sur DHCP Relay Agent, et sélectionnez Properties. 18
4. Sécurité Le serveur est en état de fonctionner, mais nous pouvons faire quelques réglages en plus pour peaufiner sa sécurité. 4.0- Propriétés du serveur 4.1- Dans la console Routing and Remote Access, faites un clic droit sur le serveur et aller dans Properties. Onglet General : Décochez la case Router, en effet, le serveur n'est pas utilisé comme routeur. 19
4.2- Onglet Security : Cliquez sur Configure à côté de Authentication Provider. Sélectionnez votre serveur RADIUS, cliquez sur Edit et cochez la case Always use message authenticator. Cela signifie que le serveur VPN utilisera obligatoirement la clé partagé pour toutes ses communications avec le serveur RADIUS. 20
Propriétés des ports 4.3- Faites un clic droit sur le dossier Ports dans la console Routing and Remote Access, et sélectionnez Properties. 4.4- Etant donné que nous n'utiliserons que le L2TP, il va falloir désactiver tout le reste : WAN Miniport (PPPOE), WAN Miniport (PPTP), Direct Parallel 21
4.5- Il faut également décocher Demand-dial routing connections dans WAN Miniport (L2TP). Vous pouvez dans un même temps spécifier le nombre de connexions maximales simultanées que vous souhaitez. 22
On arrive donc au résultat suivant : 23
5. NAT/Basic Firewall Nous pouvons utiliser un firewall pour limiter le nombre de ports ouverts. Routing and Remote Access fournit un firewall permettant de faire cela. 5.1- Dans IP Routing, faites un clic droit sur General et cliquez sur New Routing Protocol. Sélectionnez NAT/Basic Firewall puis cliquez sur OK. 5.2- Faites un clic droit sur NAT/Basic Firewall et cliquez sur New Interface". Sélectionnez votre connexion Internet dans la liste puis cliquez sur OK. 24
5.3- Dans Network Address Translation Properties, sélectionnez Basic firewall only, puis cliquez sur Inbound Filters et ne gardez que les filtres utilisant les ports utilisés par le L2TP/IPSec : 500, 1701 et 4500. 5.4- De même pour Outbound Filters. 25
5.5- Allez dans l'onglet Services and Ports et cochez la case VPN Gateway (L2TP/IPSec running on this server) puis entrez l'adresse interne du serveur VPN dans Edit Service. Voilà pour la partie Serveur, maintenant il vous reste la partie client, qui est dans un autre tutoriel dans la foire aux questions. En espérant que celui-ci aura pu vous aider. 26