Installer et configurer le VPN de Windows Server 2003
R:

Pour tous ceux et celles qui possède un serveur Windows 2003 à la maison ou en entreprise et qui on besoin d'une connexion VPN, par défaut Windows server 2003 en possède une. Voici la procédure que je vous propose afin de pouvoir installer et configurer le VPN de Windows Server 2003 ainsi que la sécurité s'y attachant.

N.B.: Veuillez prendre note que le VPN par défaut de Windows server 2003 n'est pas le VPN le plus sécuritaire qui existe, je veux dire en ce sens que ce n'est pas une passoire mais que ce n'est pas non plus la murale de Chine. C'est un bon compromis!

Mais avant de commencer, il y a certaines choses à savoir pour mener à bien cette installation.

1 - Tout d’abord votre serveur doit être équipé de deux cartes réseaux physique, une qui sert au réseau normal et l’autre qui va servir pour la communication VPN.

2 - Sur la carte qui va servir au VPN, vous devez la configurer avec une adresse IP fixe publique que normalement vous devez connaître.

3- Ensuite vous devez aller sur votre router pour configurer les accès de passage aux communications VPN.



INSTALLATION DU SERVICE DE CERTIFICAT ET DU SERVEUR RADIUS

Le service de certificat peut être installé sur n'importe quel serveur, même sur les contrôleurs de domaines.

Installation du Service de certificat

1 - Pour installer le service de certificat, il faut aller dans Add or Remove Programs et sélectionner Add/Remove Windows Components. Cochez la case Certificate Services et également le serveur Web IIS, puis cliquez sur Suivant..



2 - Sélectionnez Enterprise Root CA.



3 - Entrez un nom pour le certificat, et continuez l'installation.



4 - Une fois l'installation terminé, allez dans le gestionnaire d'utilisateurs Active Directory, et dans les propriétés de votre domaine.



5 - Dans l'onglet Group Policy, modifiez votre GPO.



6 - Allez dans Computer Configuration, Windows Settings, Security Settings, Public Key Policies, puis Automatic Certificate Request Settings. Faites un clique droit sur Automatic Certificate Request Settings, et allez dans New puis cliquez sur Automatic Certificate Request.



7 - Cliquez sur suivant et sélectionnez Computer.



8 - Puis, finissez l'installation.



Installation de Internet Authentication Service

9 - Pour installer Internet Authentication Service, il faut passer également par Add/Remove Windows Components. Dans les Details... de Networking Services, cochez Internet Authentication Service.



10 - Il faut maintenant enregistrer IAS dans Active Directory pour qu'il puisse communiquer. Pour ce faire, il faut aller dans le gestionnaire Internet Authentication Service et faire un clic droit sur Internet Authentication Service et cliquer sur Register Internet Authentication Service in Active Directory.



11 - Pour que le VPN puisse contacter IAS, il faut ajouter un client RADIUS. Faites un clic droit sur RADIUS Clients et sélectionnez New RADIUS Client.



Entrez un nom et l'adresse IP du serveur VPN.



12 - Dans Client-Vendor, On peut sélectionner Microsoft, sachant que le VPN sera un serveur Windows, et spécifier une clé partagée permettant de sécuriser les connections entre le VPN et le serveur RADIUS. Il est conseillé d'avoir une clé d'une longueur de 22 caractères et composée de chiffres, de lettres et de caractères sépciaux.



13 - Cliquez sur Finish et on peut vérifier que le client a bien été créé.



14 - Il faut maintenant autoriser les utilisateurs à se connecter au VPN. Faites un clic droit sur Remote Access Policies et cliquez sur New Remote Access Policy. Give a name for the polivy.



15 - Sélectionnez VPN.



16 - Sélectionnez vos utilisateurs ou groupes.



17 - Laissez cocher MS-CHAP2 pour une meilleure sécurité.



18 - Et ne laissez coché que le cryptage 128 bits.


CA et IAS étant bien installés, nous pouvons passer à l'installation du serveur VPN.

CONFIGURATION DU SERVEUR VPN

Installation du serveur VPN

19 - Pour activer le serveur VPN, il faut aller dans les Outils d'administration et sélectionner Routing and Remote Access. Faites un clic droit sur votre serveur et cliquez sur Configure and Enable Routing and Remote Access.



20 - Sélectionnez Remote access (dial-up or VPN).



21 - Cochez VPN.



22 - Choisissez l'interface correspondant à votre connexion internet. Veillez à ce que la case Enable security soit cochée.



23 - Vous pouvez choisir entre, que vos clients VPN utilise la même plage d'adresse IP que vos clients locaux, ou leur en spécifier une. La deuxième solution est préférable afin de distinguer rapidement les utilisateurs VPN des internes.





24 - Pour une gestion plus souple nous allons utiliser un serveur RADIUS (celui configurer précédemment).



25 - Entrer le nom du serveur ainsi que la clé partagée.



Votre serveur est maintenant activé. Si vous avez optez pour spécifiez une plage d'adresse particulire à vos utilisateurs VPN, vous obtiendrez le message suivant :



26 - Il faut donc spécifiez l'adresse de votre serveur DHCP pour rediriger les requêtes vers lui. Pour se faire, allez dans IP Routing, et faites un clic droit sur DHCP Relay Agent, et sélectionnez Properties.



SÉCURITÉ

Le serveur est en état de fonctionner, mais nous pouvons faire quelques réglages en plus pour peaufiner sa sécurité.

Propiétées du serveur

27 - Dans la console Routing and Remote Access , faites un clic droit sur le serveur et aller dans Properties. Onglet General : Décochez la case Router. En effet, le serveur n'est pas utilisé comme routeur.



28 - Onglet Security : Cliquez sur Configure à côté de Authentication Provider. Sélectionnez votre serveur RADIUS, cliquez sur Edit et cochez la case Always use message authenticator. Cela signifie que le serveur VPN utilisera obligatoirement la clé partagé pour toute ses communications avec le serveur RADIUS.



Propiétées des ports

29 - Faites un clic droit sur le dossier Ports dans la console Routing and Remote Access, et sélectionnez Properties.



Etant donné que nous n'utiliserons que le L2TP, il va falloir désactiver tout le reste : WAN Miniport (PPPOE):


WAN Miniport (PPTP):


Direct Parallel:


Il faut également décocher Demand-dial routing connections dans WAN Miniport (L2TP). Vous pouvez dans un même temps spécifier le nombre de connexions maximales simultanées que vous souhaitez.


On arrive donc au résultat suivant :




NAT/Basic Firewall

Nous pouvons utiliser un firewall pour limiter le nombre de ports ouverts. Routing and Remote Access fournit un firewall permettant de faire cela.

30 - Dans IP Routing, faites un clic droit sur General et cliquez sur New Routing Protocol. Sélectionnez NAT/Basic Firewall puis cliquez sur OK.



31 - Faites un clique droit sur NAT/Basic Firewall et cliquez sur New Interface. Sélectionnez votre connexion Internet dans la liste puis cliquez sur OK.



32 - Dans Network Address Translation Properties, sélectionnez Basic firewall only, puis cliquez sur Inbound Filters et ne gardez que les filtres utilisant les ports utilisés par le L2TP/IPSec: 500, 1701 et 4500.



33 - De même pour Outbound Filters.



34 - Allez dans l'onglet Services and Ports et cochez la case VPN Gateway (L2TP/IPSec running on this server) puis entrez l'adresse interne du serveur VPN dans Edit Service.

Voilà pour ce qui est de la partie Serveur, il vous reste maintenant la partie Client. Veuillez vous référé à mon tutoriel sur l'installation VPN client, vous aurez toute la procédure pour mener à bien l'opération.

Si vous êtes embêté ou que vous avez des questions sur le sujet, n'hésitez pas à communiquer avec moi, il me fera plaisir de vous aidez.


Version  PDF Cinquième image cliquez ici.


Retour au haut de la page