Installer un serveur de VPN Service de réseau privé virtuel
Les protocoles VPN Le réseau privé virtuel (VPN) est un accès à distance utilisant une technique de cryptage pour garantir la confidentialité des données. Différences entre PPTP et L2TP/IPSec Windows 2000 supporte deux protocoles VPN, le protocole PPTP (point to point tunneling protocol) et L2TP (layer 2 tunneling protocol). Le protocole PPTP utilise la méthode de chiffrement MPPE (Microsoft Point to point encryption) tandis que L2TP est basé sur IPSec. Par contre, pour avoir une communication chiffré avec le protocole PPTP il est nécessaire d'avoir utilisé l'une des methodes suivantes d'authentification: MS-CHAP v1 ou v2 et EAP/TLS pour les cartes à puces. IPSec ne requiert aucune méthode d'authentification particulière. La méthode MPPE permet de chiffrer sur 40, 56 et 128 bits ; pour pouvoir utiliser le cryptage sur 128 bits il est nécessaire d'avoir installer le high encryption pack (inclus dans le service pack3) et d'installer un patch correcteur pour les versions 95 et 98 de Windows. Voici un tableau des principales caractéristiques des protocoles PPTP et L2TP
Nous allons nous intéresser uniquement au protocole PPTP car il est plus facile à mettre en oeuvre et il permet d'avoir une compatibilité avec les plateformes Windows 9X. Contrôle du filtrage des paquets Tout bon établissement possède un firewall pour protéger son réseau C'est pourquoi il est nécessaire de comprendre les enjeux de l'installation de ce nouveau service. En ce qui concerne le filtrage, il va falloir autoriser le passage du trafic sur le port 1723 via TCP sur votre firewall vers votre serveur VPN et vice versa. Contrôle du routage des paquets D'autre part, il faut aussi autoriser le routage du protocole GRE (numero 47 sous unix) vers votre serveur VPN pour que les connexions fonctionnent.
Installation du service routage et accès distant Installation de base Ouvrez la MMC "Routage et accès distant" à partir des outils d'administration.
Faites un clic-droit sur le nom de votre serveur et choisissez "Configurer et activer le routage et l'accès à distance".
Page 1 / 8
Installer un serveur de VPN Service de réseau privé virtuel
Choisir "Serveur de réseau privé virtuel".
Cliquer sur suivant.
Si vous utilisez une carte spécifique pour vous connecter sur internet choisissez la sinon cliquez sur suivant.
Vous pouvez utiliser votre serveur DHCP ou spécifier une plage d’adresse particulière.
Page 2 / 8
Installer un serveur de VPN Service de réseau privé virtuel
Ici nous n'étudierons pas RADIUS, donc laissez le choix par défaut et cliquez suivant.
L'assistant d'installation est terminé et il va démarrer le service, assurez vous d'avoir un écran comme celui-ci maintenant
Optimisation pour le protocole PPTP Nous nous sommes basés uniquement sur le protocole PPTP, donc par mesure de sécurité nous allons désactiver l'utilisation de L2TP et nous allons rééquilibrer le nombre de ports disponibles pour le protocole PPTP sachant qu’un port est égal à une connexion. Pour cela afficher les propriétés des ports du serveur VPN dans la console routage et accès à distance.
Réduire à zéro le nombre de ports L2TP et désactiver tous les accès pour ce même protocole. D'autre part il faut dimensionner la valeur des ports qu'on laisse ouverts pour le protocole PPTP en fonction du nombre d'utilisateurs mais aussi en fonction du débit réseau et surtout de la fréquence du processeur car le cryptage sur 128 bits est très gourmand en ressource. Je vous conseille d'augmenter le nombre de ports libres au fur et à mesure tout en faisant des benchmarks via l'analyseur de performance.
Page 3 / 8
Installer un serveur de VPN Service de réseau privé virtuel Définir la plage d’adressage IP
Configuration de la sécurité Contrôler les modes d'authentification Pour pouvoir bénéficier du chiffrement des données avec le protocole PPTP il est nécessaire de faire attention au protocole d'authentification qu'on utilise. En effet, pour un maximum de sécurité il faut utiliser uniquement les protocoles MS-CHAP v1 et v2.
Faite un clic-droit sur le nom de votre serveur et choisissez "Configurer et activer le routage et l'accès à distance"
Une fois que vous voyez les propriétés du serveur configurer votre méthode d'authentification comme ci-dessous.
Page 4 / 8
Installer un serveur de VPN Service de réseau privé virtuel Contrôler la puissance de chiffrement Nous allons ensuite spécifier à notre serveur qu'il n'acceptera des connexions entrantes uniquement si le chiffrement est négocié sur 128 bits. Il va falloir tout d'abord établir une stratégie d'accès distant ; la stratégie par défaut permet de restreindre les horaires d'accès au serveur. Une fois qu'on a ajoute notre stratégie on indique quel comportement doit adopter le serveur lorsqu'un client qui tente de se connecter remplit les conditions de la dite stratégie, il peut soit la refuser soit l'autoriser.
Attention! Si vous êtes dans un environnement hétérogène, c'est à dire avec un contrôleur de domaine NT4.0 vous devez tout de même autoriser l'accès entrant pour chaque utilisateur via la console de gestion des utilisateurs. Auquel cas les utilisateurs se verront systématiquement l'accès refusé.
Ensuite il faut cliquer sur "Modifier le profil" pour pouvoir definir le niveau de chiffrement minimum autorisé par le serveur, après il faut aller dans l'onglet "Cryptage" et on coche uniquement la case "Maximal".
Page 5 / 8
Installer un serveur de VPN Service de réseau privé virtuel Autorisation d'accès distant
Si vous avez installé votre serveur VPN Windows 2000 dans un environnement Active Directory vous avez la possibilité de contrôler l'accès distant individuellement ou bien via les stratégies d'accès distant, pour cela il faut aller dans les propriétés de l'utilisateur comme cicontre ou bien il faut le configurer via une GPO.
Si vous êtes dans un environnement Windows NT 4.0 vous pouvez contrôler l'autorisation d'accès uniquement via la console de gestion des utilisateurs du contrôleur de domaine. Une fois que le droit d'accès a été donné, vous pouvez mettre en place une strategie d'accès distant dans le service de routage et d'accès distant. Vous pouvez contrôler les horaires d'accès, les protocoles utilisés, etc...
Poledit permet aussi de configurer quelques options telles que le nombre de tentatives par exemple.
Page 6 / 8
Installer un serveur de VPN Service de réseau privé virtuel
Configuration des clients Clients sous Windows 95 Tout d'abord vous devez installer un patch pour le cryptage sur 128 bits, si vous avez Windows 95 il faut télécharger le patch suivant http://www.projet-java.com/dun14-95.exe et suivez la procédure suivante: · Installation de la connexion VPN · Ouvrez le "Poste de travail" · Ouvrez l'Accès réseau à distance · Double-cliquez sur l'icône "Nouvelle connexion" · Cliquez sur "Suivant" · Entrez l'adresse IP du point d'accès · Cliquez sur "Terminer" · Rendez-vous sur l'icône de votre connexion VPN · Cliquez avec le bouton droit sur l'icône · Allez dans "Propriétés" · Cochez les options d'encryption comme sur l'illustration suivante Clients sous Windows 98 Tout d'abord vous devez installer un patch pour le cryptage sur 128 bits, si vous avez Windows 98 il faut télécharger le patch suivant http://www.projet-java.com/dun14-98.exe ou http://www.projetjava.com/dun14-se.exe si vous avez 98SE et suivez la procédure suivante: Installation du protocol VPN de Windows 98 · Aller dans le "Panneau de configuration" de Windows 98 · Double-cliquez sur l'icône "Ajout/Suppression de programmes" · Cliquez sur l'onglet "Installation de Windows" · Double-cliquez sur "Communications" · Cochez l'option "Réseau privé virtuel (VPN)" · Cliquez sur "Ok" et ensuite sur "Appliquer" · Assurez-vous d'avoir votre CD de Windows 98 à portée de main · Une fois ces étapes terminées, redémarrez Windows · Installation de la connexion VPN · Ouvrez le "Poste de travail" · Ouvrez l'"Accès réseau à distance" · Cliquez sur "Suivant" · Entrez l'adresse IP du point d'accès · Cliquez sur "Terminer"
Page 7 / 8
Installer un serveur de VPN Service de réseau privé virtuel Clients sous Windows 2000/XP Pour créer une connexion VPN sous Windows 2000 ou XP on utilise les procédures habituelles via l'assistant de connexion réseau.
Le paramètre le plus important: l'IP du serveur VPN!
Selon la source : http://www.supinfo-projects.com/fr/2003/vpn_2000/0/
Page 8 / 8