Mise en place d un VPN PPTP-EAP (v2) Tutorial conçu et rédigé par Michel de CREVOISIER SOURCES Step by step deployement guide by Microsoft : http://technet.microsoft.com/en-us/library/cc787328%28ws.10%29.aspx Dépannage des incidents VPN communs : http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-relatederrors.aspx Commandes netsh pour l'accès distant : http://technet.microsoft.com/fr-fr/library/cc738607%28ws.10%29.aspx
Préambule En premier lieu, vous devez savoir qu il est nécessaire de maîtriser un minimum les fonctionnalités de base d un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas détaillée à la suite. Pensez donc à vérifier que votre serveur DNS fonctionne correctement et pensez à créer une zone de recherche inverse. Si vous ne disposez pas d une version de Windows Server 2008 R2 x64 SP1 Entreprise (j insiste sur Entreprise pour la gestion des certificats), vous pouvez télécharger une démo ici depuis le site officiel de Microsoft. Vous pouvez même le télécharger en VHD si vous utilisez Hyper-V ou Virtual PC. Notez par ailleurs qu il est recommandé de ne pas installer le VPN sur le serveur Active Directory. Attention, mes serveurs sont installés en anglais, donc je vous recommande d opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil En revanche, mon poste client sous Windows Seven est bien en français. Pour ce tuto, j utiliserai deux serveurs, le principal (avec Active Directory et DNS) nommé DC1 et celui où le VPN sera installé, nommé VPN1. Quant au poste client (Vista SP1 ou Seven minimum), il sera nommé CLIENT1. VPN1 devra obligatoirement être joint au domaine crée par DC1. En revanche, cela n est pas nécessaire pour le poste client VPN1. Enfin, sachez que ce tuto est destiné à être mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommandé de s acquitter des certificats auprès d une autorité compétente, de disposer d une DMZ et de posséder un serveur avec de deux cartes réseau placées dans des réseaux différents. Tout ceci pour des raisons de sécurité.
I. Installation de DC1 1. Rôles à installer (non détaillé) IP : 192.168.0.10 Les rôles à installer sur le serveur DC1 sont les suivants : Active Directory Domain Services (dcpromo) DNS avec zone de recherche inverse Si vous ne savez pas comment procéder ou si vous souhaitez plus d informations concernant l installation d un serveur DNS, vous pouvez lire mon tuto intitulé : «Serveur DNS redondants (tuto de A à Z)» disponible dans ma bibliothèque Scribd. 2. Création d un groupe de sécurité dédié au VPN Il est vivement recommandé de créer un groupe de sécurité afin de restreindre les accès au VPN à ce seul groupe. Par ailleurs, cela évite de devoir configurer individuellement chaque utilisateur souhaitant se connecter au VPN. Appelez ce groupe «GS_VPN». 3. Création d un compte utilisateur dédié au VPN Créez un compte AD nommé «user-pptp» (un compte utilisateur normal suffit). Ensuite, joignez ce compte au groupe «GS_VPN» créé préalablement. 4. Attribution d une IP statique Lorsqu un utilisateur se connecte au VPN, il est indispensable qu il dispose d une IP dynamique ou statique. Pour affecter une IP statique : Ouvrir la console Active Directory > clic droit sur [user-pptp] > Properties > Onglet Dial-in
Cochez la case Assign Static IP Addresses La fenêtre suivante s ouvre : Renseignez ensuite l IP à fournir pour cet utilisateur Attention à ne pas indiquer une IP faisant partie d une plage DHCP
II. Configuration de «Active Directory Certificate Services» IP : 192.168.0.20 Pensez à intégrer VPN1 au domaine de DC1 1. Ajout du rôle Active Directory Certificate Services : Pour ajouter ce rôle, cliquez sur le «Gestionnaire de serveur» Add roles (à droite)
Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP)
A vous d opter pour la durée de votre choix. 10 années me paraissent correctes.
2. Configuration d Internet Explorer A exécuter en tant qu administrateur si vous avez l UAC d activé : clic droit sur IE > «Run as administrator». Tools > Options > Security > Local intranet > LOW 3. Activation du site de distribution des certificats sous IIS 7.5 Lancer IIS Manager Cliquer sur Default Web Site Puis sur Directory Browsing
Cliquer sur Enable (à droite) 4. Demande de certificat Aller sur www.localhost/certsrv/en-us ou «en-fr» si version française Cliquer sur Request a certificate
Puis sur Advances certificate request Cliquer sur Create and submit a request to this CA
Acceptez les ActiveX En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com) Dans Type of certificate needed, mettre Server Authentification Certificate Cochez la case Mark key as exportable Vous pouvez augmenter la taille de clef jusqu à 16384!!! Cliquez sur Submit en bas à droite Votre demande est maintenant en attente de validation 5. Validation du certificat Ouvrir Certification Authority dans Administrative Tools du menu démarrer Cliquer sur Pending request
Puis clic droit sur le certificat > All tasks > Issue Votre demande est maintenant validée 6. Installation du certificat Aller sur www.localhost/certsrv/en-us ou «en-fr» si version française Cliquer sur View the status Cliquez sur Install the certificate 7. Copie du certificat dans un autre magasin Start > Run > MMC > OK File > Add/Remove Snap-in
Certificates > Add > My user account > OK Certificates > Add > Computer account > Local computer > OK Ok Vous obtenez ceci :
Déroulez Certificate Current User > Personal afin de sélectionner votre certificat récemment installé Clic droit All tasks > Export Next Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish Déroulez Certificate (Local computer) > Personal > Certificates
Clic droit sur Certificates >All tasks > Import Next [Emplacement certificat] > Next Votre mot de passe > Next > Next > Finish On supprime le certificat commençant par le <nom_domaine><nom_machine>
III. Configuration de «Network Policy and Access services» 1. Installation du rôle Sur VPN1 Pour ajouter ce rôle, cliquez sur le «Gestionnaire de serveur» Add roles (à droite)
2. Démarrage du serveur RRAS Lors du déploiement d un VPN, vous avez le choix d utiliser 2 cartes réseaux. Cela implique bien sûr d avoir 2 sous-réseaux à disposition, et également de rajouter le rôle «Routage» sur votre serveur VPN1. L avantage de cette solution est que la carte réseau du réseau public est totalement isolée par rapport à votre réseau interne. Dans mon cas et dans ce tuto, n ayant pas besoin d une telle configuration (et surtout n ayant qu un seul réseau), j ai tout simplement utilisé une seule carte réseau (pas de routage donc). Lancer Routing and remote access Clic droit sur [nom_votre_serveur] > Configure and enable L assistant suivant apparaît :
3. Configuration du firewall Ouvrez le gestionnaire de firewall avancé Bloquez les règles entrantes (inbound rules) existantes suivantes par sécurité (le service «Pare-feu / Windows Firewall» doit bien entendu être activé) : o L2TP-in o SSTP-in Double clic sur la règle > Bloquer
4. Configuration des règles de filtrage du serveur NPS Lancer la console NPS Aller dans Policies > Connection Requet Policies Supprimer toutes les règles existantes (clic droit > Supprimer) Ensuite, créez une nouvelle règle : clic droit > Connection Request Policies > New L assistant suivant se lance :
Tapez un nom pour votre stratégie : «Accès distant VPN-PPTP-EAP» Type of network > Remote Access Server (VPN-Dial up) Next Vous obtenez la page suivante : Add Ajoutez ensuite les règles suivantes dans la liste : o Framed Protocol : PPP o NAS port type : Virtual VPN o Tunnel Type : PPTP
Répondez ensuite Next à toutes les options, puis sur terminer Vous obtenez un résultat semblable à cela : Il faut maintenant créer une stratégie réseau: Aller dans Policies > Network Policies Supprimer toutes les règles existantes (clic droit > Supprimer) Ensuite, créez une nouvelle règle : clic droit > Network Policies > New L assistant suivant se lance : Add Ajoutez ensuite les règles suivantes dans la liste : o Users groups : groupe AD donc VPN-user est membre
o Day and time restrictions (optionnel) Répondez ensuite Next à toutes les options, puis sur terminer Vous obtenez un résultat semblable à cela : Une fois votre Network Policies créé, clic droit sur celle-ci, puis Propriétés Allez dans l onglet Constraints
Cliquez sur Add puis choisissez l option Protected EAP (PEAP) Cliquez sur OK, puis encore sur OK Lancer ensuite Routing and remote access Clic droit sur [nom_votre_serveur] > All tasks > Restart Votre serveur NPS est dorénavant opérationnel.
IV. Ouverture du port 1723 sur votre box/routeur Pour vous connecter depuis l extérieur, vous devez ouvrir les ports 1723 en TCP sur votre routeur et les rediriger vers l IP interne du serveur VPN1. Je vous laisse chercher sur internet pour savoir comment ouvrir le port selon votre type de box/routeur. V. Configuration du poste CLIENT1 1. Installation du certificat Depuis le poste CLIENT1, allez sur le site http://nom_serveur_vpn1/certsrv/en-us via IE Download a CA certificate Download a CA certificate
Ouvrir > Installer le certificat Suivant > Suivant > Terminer
2. Copie du certificat dans un autre magasin Start > Run > MMC > OK File > Add/Remove Snap-in Certificates > Add > My user account > OK Certificates > Add > Computer account > Local computer > OK
Ok Vous obtenez ceci : Certificats utilisateur local > Autorités de certification intermédiaire > Certificats Clic droit sur votre certificat > Copier Certificats (ordinateur local) > Autorités de certification racine de confiance > Certificats Clic droit > Coller 3. Problème avec IP dynamique Si vous avez la chance d avoir une IP fixe (vous avez tout compris ), alors l entrée de votre fichier HOST n aura besoin d être modifiée qu une seule fois. En revanche, si comme moi vous disposez d un serveur avec une IP dynamique vous allez vous heurter au problème suivant : Vous ne pourrez pas connaître votre IP à distance car celle-ci aura changée après le redémarrage de votre box/routeur Pour pallier à ce problème, j ai cherché sur le net et j ai trouvé un logiciel fournit par DynDNS que vous installez sur votre serveur et qui met à jour votre IP avec votre nom de domaine. Mais attention, cela n est pas gratuit et il existe plusieurs contraintes. Il faut : Créer un compte sur DynDNS (gratuit) ici
S abonner au service Custom DNS ici pour 30$ /an (active le service permettant de mettre à jour son IP dynamique) Déposer un nom de domaine ici pour 15 $ / an Déposer un nom de domaine gratuit DynDNS (domaine.dyndns.com) De plus vous devrez télécharger le logiciel DynDNS Update Client ici. Une fois l application installée sur votre serveur VPN, vous vous identifiez et automatiquement l application se chargera d associer votre nom de domaine avec votre IP dynamique. Pratique non? En voici un aperçu : Astuce Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de déposer un nom de domaine gratuit de type domaine.dyndns.com et le tour est joué. Votre routeur (et non plus votre serveur) se chargera d actualiser votre nom de domaine avec votre IP. 4. Création d une connexion VPN Depuis le Centre de réseau et partage, cliquez sur : Connexion à votre espace de travail
Utilisez ma connexion Internet (VPN)
Remplir les champs nom d utilisateur et mot de passe avec le compte AD «clientvpn» créé auparavant. Créer Revenez ensuite au Centre de réseau et partage, et cliquez en haut à gauche sur Modifier les paramètres de la carte
Clic droit sur la connexion VPN récemment créée (VPN PPTP EAP) > Propriétés Vérifiez que vous avez bien mis l IP public de votre serveur dans l onglet Général Dans le menu déroulant de l onglet Sécurité choisissez Protocole PPTP et dans l aparté Authentification du dessous choisissez «Microsoft : PEAP»
Toujours dans l onglet Sécurité cliqué sur Propriétés Cochez alors la case correspondant au nom de votre certificat
Cliquez sur OK puis encore sur OK Votre VPN PPTP-EAP est prêt PS : il n est pas nécessaire de saisir le domaine
VI. Erreurs et problèmes rencontrés Les erreurs suivantes sont celles que j ai pu rencontrer lors de l installation du VPN PPTP- EAP. Certaines m ont obligé à passer pas mal de temps sur internet à la recherche d une solution. J espère donc qu elles vous seront de grandes utilités. Si une erreur n est pas répertoriée ici, reportez-vous aux sites cités au début dans la partie «Sources». Attention la liste ci-dessous n est pas exhaustive. 1. La connexion a été interdite par une stratégie Erreur : 812 Votre stratégie NPS bloque la connexion. Référez-vous au paragraphe III.4. pour configurer vos règles de sécurités NPS correctement. 2. La connexion n a pas pu être établie, car le protocole d authentification utilisé par le serveur [ ] ne correspond pas aux paramètres Erreur : 919
La méthode d authentification de votre poste client ne correspond pas à celles à acceptées par le serveur Allez dans Routing and remote access > clic droit [serveur] > Properties > Security > Authentification Methods et sélectionnez la case appropriée. Pour informations le VPN SSTP utilise la méthode MS-CHAP v2 et le VPN PPTP-EAP la méthode Extensible authentification protocol (EAP) 3. La connexion de réseau [ ] n a pas pu être établie. Cet incident se produit [ ] lorsque votre serveur VPN n est configuré pour permettre les paquets du protocole GRE Erreur : 806
Erreur côté client Erreur côté serveur Le protocole GRE est bloqué par un pare-feu ou un routeur Vérifier que le firewall est bien configuré selon le point III.3 Vous essayé de vous connecter via votre téléphone en modem. Rien à faire, le protocole GRE est bloqué par les opérateurs téléphoniques Certains FAI bloquent également le protocole GRE 4. Les informations d identification fournies par le serveur
Vous n avez pas indiqué le bon certificat lors de la création du VPN Vérifiez que vous avez bien suivi les étapes du point V.4
VII. Conclusion Voilà, votre VPN PPTP-EAP est prêt. Vous pouvez dorénavant vous connectez chez vous depuis n importe quel endroit, du moment que vous avez un accès internet et que les ports [1723] pour PPTP et [43] pour GRE (échange de clefs) ne sont pas bloqués. Et n essayez pas de vous connecter via votre téléphone en tant que modem, les opérateurs bloquent le protocole GRE [43]. N hésitez pas à m envoyer vos commentaires ou retours à l adresse suivante : michel_de A-R-0-B-A-5 hotmail. com Soyez-en d ores et déjà remercié