BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 1
TP VPN
Pré requis et Configuration initiale des machines
Utilisation de quatre machines, un client (Windows 7 pour simuler le client VPN), un serveur
(Windows Server 2008 => WS2008 pour le serveur VPN), un client (XP pour la prise en main
à distance) et un routeur (WS2003 qui servira à faire des captures de trame et à simuler une
« box » d’accès à Internet) ;
Attribuez une (des) adresse(s) IP fixe(s) à toutes les machines ;
Attribuez une adresse IP fixe au client ;
Vérifiez que la connectivité est bonne entre les deux machines ;
Désactivez, si nécessaire, le service Routage et accès distant (mis en œuvre dans un autre TP) ;
Vérifiez que le service d’annuaire Active Directory est installé (Normalement votre
SERVEUR est contrôleur de domaine et il est donc capable de gérer les utilisateurs du
domaine).
L’objectif du TP est de configurer les différents matériels et logiciels afin de simuler une prise en
main à distance d’une machine du réseau local par une autre machine située sur Internet grâce à une
liaison VPN.
Vous allez mettre en place l’architecture suivante (rajoutez et/ou modifiez, dans les zones surlignées
en jaune, les noms et adresses IP correspondant à votre environnement de travail). Les adresses IP
indiquées sur le schéma correspondent à l’environnement de travail de l’élève N°1 !!!
Dernier point important : Débranchez le câble qui vous connecte à Internet. D’après vous
pourquoi (analysez bien le schéma !)?
Car cela risque de crée de conflit d’adresse IP.
Attention, on simule un accès via Internet. Dans le TP, votre poste de travail Windows7 sera relié
directement à votre serveur ESX, comme c’est le cas habituellement!
Avant d’aller plus loin, testez le bon fonctionnement de vos 3 réseaux.
Vous allez mettre en œuvre deux types de VPN : PPTP et SSTP.
192.168.0. 179
Réseaux 3 (Local)
172.20.0.0 /16
Serveur_09
(Win2008)
Serveur ESXi Client
Win XP
192.168.0.151 172.10.0. 253
Réseaux 1 (Internet)
192.168.1.0 / 24
Serveur VPN
172.20.0.253
172.20.0.1
Switch
virtuel 3
Switch
virtuel 2
Internet
Internet Réseau local
Réseaux 2
172.10.0.0 /16
Switch
virtuel 1
Routeur
(Win2003)
192.168.0. 159 172.10.0. 254
Client 09
(Win 7) Votre
poste de
travail
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 2
Mise en œuvre d’une connexion VPN PPTP
Dans l’architecture proposée, le client Internet (ici le client01 ou votre client) ouvre une connexion
VPN vers le serveur VPN (ici serveur01 ou votre serveur 2008). Une fois la connexion établie, le
client Internet accèdera au bureau à distance du poste local (Win XP).
Pour cela, il faudra procéder de la façon suivante :
1. Configurer le serveur VPN (WS2008), notamment le service de routage et d’accès distant ;
2. Créer un compte utilisateur pour pouvoir établir la connexion VPN (authentification) ;
3. Configurer le client afin qu’il puisse ouvrir une connexion VPN ;
4. Autoriser l’accès à distance sur le client virtuel XP (client du réseau local) ;
5. Vérifier que la connexion VPN est établie et accéder au bureau à distance du client WinXP.
1) Configuration du routeur (W1indows server 2003)
Dans cette première partie, le routeur ne servira que pour faire des analyses de trames entre votre
poste de travail Windows Seven (poste qui va simuler une demande en provenance d’Internet), le
serveur VPN et le poste sur lequel vous allez prendre la main (poste que l’on considère être dans le
réseau local de l’entreprise).
Dans un premier temps, seul le routage sera activé afin de laisser passer tout type de trafic.
2) Configuration du serveur VPN (Windows server 2008)
2.1. Installation du serveur VPN et configuration des options générales
2.1.1. Activez et configurez le routage et l’accès distant [SERVEUR]
Avant de passez à la configuration du VPN effectuez les 2 opérations suivantes :
1. Si le service Routage et accès distant a déjà été installé (précédent TP), désactivez le.
2. indiquez les résultats des tests demandés ci-dessous :
Est-ce que le « Ping » entre le routeur et le serveur VPN fonctionne ? Oui
Est-ce que le « Ping » entre le serveur VPN et le client XP fonctionne ? Oui
Est-ce que le « Ping » entre le routeur et le client XP fonctionne ? Non
Est-ce que le « Ping » entre votre client Seven et le routeur fonctionne ? Oui
Est-ce que le « Ping » entre votre client Seven et le serveur fonctionne ? Non
Sur le serveur VPN
Pour configurer l’accès distant il faut que le rôle de serveur Services de stratégie et accès distant
soit installé. Normalement ce doit être le cas. Au besoin, allez dans le Outils d’administration puis
Gestionnaire de serveur et ajouter ce rôle. Vous devrez alors cocher l’option Services de routage
et d’accès distant puis installer ces services.
Relancez ensuite Configurer et activer le routage et l’accès distant.
Voir la suite en page suivante.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 3
Dans l’assistant Installation du serveur de routage et d’accès distant, suivre les étapes suivantes :
Dans la fenêtre Configuration, choisissez
Accès à distance [connexion à distance ou
VPN], puis cliquez sur Suivant.
Côchez ensuite la case VPN et cliquez sur le
bouton Suivant, puis sur le bouton Terminer
pour quitter l’assistant.
Choisissez l'interface correspondant à
votre connexion internet.
Veillez à ce que la case « Sécuriser
l’interface sélectionnée en … » soit
cochée.
Cliquez sur le bouton Suivant.
Choisissez comment le serveur VPN va
attribuer les adresses IP aux clients VPN :
Soit les clients VPN utilisent un
serveur DHCP du réseau local.
Soit vous spécifiez les adresses que
vous voulez utiliser
Choisissez une plage d’adresses qui n’est
pas utilisée habituellement :
De 10.10.10.10 à 10.10.10.20
Vous pourrez modifier plus tard ces adresses
dans la console Routage et accès distant, en
faisant un clic droit sur SERVEUR, puis en
sélectionnant Propriétés et IPv4 :
Vous devez ensuite choisir si vous voulez
ou non utiliser un serveur RADIUS pour
l’authentification des utilisateurs.
Sélectionner l’option NON.
L’authentification se fera à partir des
comptes utilisateurs d’Active Directory.
Cliquez ensuite sur le bouton Terminer.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 4
Une fois cet assistant terminé, WS2008 crée
automatiquement 128 ports pour chacune
des trois technologies de VPN. Chaque
connexion VPN requiert ensuite un port
unique.
Revenez dans la console de Routage et
accès distant, dans l’arborescence de votre
serveur allez sur ports. Vérifiez la présence
des ports.
En pratique, il faudrait désactiver les ports
inutiles pour une meilleure sécurité.
Faites un ping entre votre client Seven et le serveur VPN. Quel résultat obtenez-vous ?
Expliquez ce résultat (avec un peu de curiosité et de bon sens, la réponse est facile à obtenir !).
Le résultat du ping et défaillance général car il n’y pas de connexion VPN.
Remarque : Une fois configuré pour accepter les connexions VPN entrantes, WS2008 va
automatiquement bloquer tout le trafic entrant qui ne correspond pas au trafic VPN, sur
l’interface publique.
Pour visualiser les règles de filtrage rajoutées lors de
l’installation du serveur VPN, il faut :
Accéder à la console de Routage et accès distant,
dans l’arborescence de votre serveur allez sur IPv4
puis Général.
Faites un clic droit sur votre interface publique puis
sélectionnez Propriétés.
Cliquez sur filtres d’entrée puis sur filtres de sortie.
Analysez le contenu des tables de filtrage et recherchez à quoi correspondent les autorisations qui y
sont:
Protocole 47 : ni-ftp
Protocole 50 : re-mail-ck - Remote Mail Checking Protocol
Protocole 51 : la-maint - IMP Logical Address Maintenance
Port 500 sur UDP : ISAKMP (Internet Security Association and Key Management Protocol), un des composants d'IPsec
Port 1701 sur UDP : Layer 2 Forwarding Protocole (L2F) et Layer 2 Tunneling Protocol (L2TP)
Port 1723 sur TCP : PPTP
Port 4500 sur UDP : IPSec NAT Traversal ( RFC 3947 )
Port 443 sur TCP https
Faites vérifier par le Prof.
2.1.2. Création d’un compte utilisateur pour la connexion VPN. [SERVEUR]
Dans la console Utilisateurs et ordinateurs Active Directory, créez un compte d’utilisateur
que vous nommerez « usr_vpn » avec le mot de passe « vpn » qui n’expire jamais.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 5
Dans les propriétés de cet utilisateur, allez dans la section Appel entrant, sélectionnez
Autoriser l’accès, puis cliquez sur le bouton OK.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 6
3) Configuration du client VPN
Comme vous utilisez souvent un client sous Windows Seven ou sous Windows XP, les deux
méthodes sont décrites ci-dessous :
A) Création d’une connexion VPN pour un client Windows XP (si besoin)
Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic
droit sur Connexions réseau, puis choisissez Ouvrir.
Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle
connexion ou bien allez dans la partie de gauche intitulée Gestion du réseau et choisissez
Créer une nouvelle connexion.
Cliquez sur Suivant, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant
Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis
Suivant.
Saisissez « Connexion VPN » dans la zone de texte Nom de la société, puis cliquez sur
Suivant.
Dans la fenêtre intitulée « Réseau public » sélectionnez l’option Ne pas établir la connexion
initiale
Entrez l’adresse IP de votre serveur VPN dans le champ Nom d’hôte ou adresse IP, puis
validez ce choix en cliquant sur le bouton Suivant.
Cliquez sur le bouton Terminer pour quitter l’assistant.
B) Création d’une connexion VPN pour un client Windows 7
Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Sélectionnez ensuite
Réseau et Internet, puis Centre réseau et partage et enfin Configurer une nouvelle
connexion ou un nouveau réseau.
Dans la fenêtre Configurer une connexion ou un réseau sélectionnez Connexion à votre
espace de travail (configurer une connexion d’accès à distance ou VPN) puis
éventuellement l’option « Non, créer une nouvelle connexion ».
Choisissez ensuite le type de connexion Utiliser ma connexion Internet (VPN) puis «
Me laisser décider ultérieurement »
Indiquez l’adresse IP de votre serveur VPN et le nom de la destination (par défaut connexion
VPN). Les trois options proposées en plus ne sont pas nécessaires dans le cadre du TP.
Saisissez le nom d’utilisateur et le mot de passe créés précédemment. La connexion est
enregistrée.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 7
4) Configuration de l’accès à distance sur le client local
Comme nous pouvons utiliser aussi bien un client XP qu’un client Seven, vous trouverez les deux
procédures à suivre pour autoriser l’accès à distance sur la machine.
Pour autoriser l’accès à distance sur un Windows XP il faut aller dans Panneau de configuration /
Connexion réseau et Internet /Bureau à distance.
Cochez la case correspondant à « Autoriser les utilisateurs à se connecter à distance à cet
ordinateur ».
Remarque : 1 seul utilisateur peut accéder à la machine. Ce sera donc soit un utilisateur local (qui a
accès physiquement à la machine) soit un utilisateur distant, mais pas les deux en même temps !
Windows XP vous affiche un message chaque fois qu’un utilisateur tente de prendre la main sur la
machine alors qu’un autre utilisateur y est déjà connecté. Il faudra alors confirmer le changement
d’utilisateur.
Pour autoriser l’accès à distance sur un poste Windows 7 il faut :
- Ouvrez le menu Démarrer puis saisissez Autoriser accès dans le champ de recherche, ou
bien ouvrez les propriétés de l’ordinateur et choisissez Paramètres d’utilisation à distance
- Cliquez sur Autoriser l’accès à distance à votre ordinateur
- Cochez la case Autoriser les connexions d’assistance…
- Cochez surtout la case Autoriser la connexion des ordinateurs exécutant…
Remarque : si vous savez que vous n’utiliserez que des PC sous Vista ou sous Windows 7 pour
prendre le contrôle à distance, optez alors pour le mode le plus sécurisé en cochant l’option
"N’autoriser que la connexion des ordinateurs…"
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 8
5) Vérification de la connexion VPN et de l’accès à distance
5.1) Test de la connexion VPN
Avant de tester la connexion VPN, affichez les paramètres IP de votre client. Vous ne devez
donc voir que les paramètres standards de votre (vos) carte(s) réseau.
Sous Windows XP, dans la fenêtre Connexions réseau, lancer la connexion (double clic)
« Connexion VPN » créée précédemment.
Sous Windows 7, allez dans Réseau et Internet / Centre Réseau et partage. Dans la partie
inférieure de la fenêtre intitulée « Modifier vos paramètres réseau », sélectionnez Connexion à
un réseau. Une nouvelle fenêtre apparaît où il suffit de cliquer sur la connexion que l’on a
créée à l’étape précédente et qui doit se nommée « Connexion VPN ».
Dans les deux cas (XP et Seven), vous devez alors indiquer le nom et le mot de passe de
l’utilisateur (usr_vpn / vpn) créé dans Active Directory. La connexion VPN doit alors être
établie avec succès.
Refaite un « ipconfig » sur votre client et sur votre serveur VPN.
Une nouvelle interface doit apparaître avec un nom de la forme : « Carte PPP …… ». L’adresse IP
doit appartenir à la plage d’adresses que vous avez créée sur le serveur (10.10.10.10 à 10.10.10.20).
Client Serveur
Une fois que vous êtes sur du bon fonctionnement de la liaison VPN, déconnectez-vous. Sur votre
routeur, lancez une analyse de trame (peu importe l’interface car Trafic d’Entrée = Trafic de Sortie).
Rétablissez la connexion VPN. Arrêtez la capture de trames. Dans la zone « filtre », tapez
« gre » et validez.
Faites un copier/coller de la capture de trame.
Analysez attentivement les 15 premières lignes. Normalement vous devriez voir apparaître le
protocole PPP qui est associé avec d’autres protocoles vus en cours (c’est bon pour les
révisions !!).
On ne prendra pas en compte les protocoles CBCP, CCP, IPv6, IPCP.
Essayez de retrouver à quoi servent ces différents protocoles (infos présentes dans la capture de
trames) :
Sous Windows 7 la connexion
VPN apparaît dans la fenêtre
Centre réseau et partage
Pour lancer la
connexion VPN
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 9
PPP
_LCP___ Un protocole de contrôle de liaison (Link Control Protocol, LCP)
qui a pour rôle d'établir, de configurer, de tester et de fermer la
liaison de données.
PPP
_CHAP___
CHAP signifie Challenge Handshake Authentication Protocol est un protocole d’authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. Ce protocole est défini dans la RFC 1994. Il est aussi utilisé par le protocole iSCSI afin qu’Initiator et Target iSCSI s’authentifient éventuellement mutuellement.
L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejoué par un tiers à l’écoute. La contrainte est que chaque partie partage un « secret » (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte.
PPP
_Comp___
GRE
Maintenant que la connexion VPN est établie, allez sur le serveur VPN, dans Routage et accès
distant. Dans l’arborescence de votre serveur, sélectionnez Ports. Dans la liste des ports VPN
créés, recherchez et notez le port qui est actif :
Le port atif est Wan Miniport (PPTP) (VPN3-127)
La connexion VPN étant toujours établie, allez sur le serveur VPN, dans Routage et accès
distant. Dans l’arborescence de votre serveur, sélectionnez Clients d’accès distant.
Normalement vous devriez voir que l’utilisateur « usr_vpn » est connecté. Déconnectez-le à
partir de votre serveur.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 10
5.2) Test de l’accès distant
Relancez la connexion VPN. Vous pouvez maintenant accéder au réseau local. Vous allez donc
accéder au bureau à distance de la machine (supposée être dans le réseau local) depuis votre poste
client (en principe Windows 7) que l’on suppose être relié à Internet.
Pour cela, allez dans Démarrer / Tous les programmes / Accessoires / Connexion bureau à
distance.
Pouvez-vous prendre la main sur la machine distante ? Si vous rencontrez un problème notez-le :
Oui
Faites vérifier par le Prof.
Maintenant que vous avez pris la main à distance sur le client, relancez une capture de trames.
Réalisez une ou deux actions sur le client distant et analysez la capture. Indiquez quels sont les
interlocuteurs (adresses IP) du trafic (PPP uniquement) :
IP src 172.10.0.1 (client de la connection bureau accès à distance)
IP dest 172.10.0.253 ( IP de l’interface du serveur VPN et non pas du PC distant comme
on pourrai le pensé)
Pouvez-vous voir une quelconque information (Nom, adresse IP, etc.) concernant la machine du
réseau local sur laquelle vous êtes connecté à distance ?
Non impossible d’avoir une information sur le bureau distant.
PPTP est probablement le plus répandu en ce qui concerne l’accès distant des nomades. Facile à
mettre en place, il convient parfaitement aux infrastructures ne nécessitant pas de sécurité
particulière et nécessite peu de maintenance. Sa simplicité de mise en place se couple avec le très
large support des systèmes d’exploitation clients, pour la plupart, ne nécessiteront pas de client
logiciel tiers.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 11
On notera néanmoins des désavantages. L’établissement et le maintien de la session se fait en fait
via 2 liens persistants : 1 session GRE encapsulant une session PPP et 1 session TCP vers le port
1723 du serveur servant à gérer la session GRE. Utilisant le protocole d’encapsulation GRE, il n’est
pas évident qu’il puisse être mis en place partout. En effet, nombre de matériels ne gère pas GRE ce
qui rend impossible son implémentation, et notamment les routeurs basiques et les fameuses Box
des différents FAI. Autre point faible, l’authentification de l’utilisateur avant l’établissement de la
session. Bien qu’utilisant couramment le protocole MS-CHAPv2, cela laisse une place aux mots de
passe faibles des utilisateurs, lacune qui peut être comblée par l’emploi de certificats avec EAP-
TLS.
6) Connexion VPN avec mise en œuvre de la NAT sur le routeur
Le routeur va fonctionner de la même façon qu’un routeur d’accès à Internet (type « box » que vous
posséder à votre domicile).
En réalité, ce routeur doit donc avoir une adresse IP publique afin qu’on puisse y accéder depuis
Internet. Nous simulerons cette IP publique et vous utiliserez tous l’adresse « 192.168.0.254 » qui
fera office d’adresse publique.
Il faut ensuite configurer la redirection de port afin que le trafic VPN (provenant de votre poste
client Seven) puisse être redirigé vers le serveur VPN.
Voir « Configuration de la redirection de ports »
Apportez toutes les modifications nécessaires et testez si la connexion VPN est toujours
opérationnelle.
192.168.0. 131
Réseaux 3 (Local)
172.20.0.0 /16
Serveur_01
(Win2008)
Serveur ESXi Client
Win XP
192.168.0.151 172.10.0. 253
Réseaux 1 (Internet)
192.168.1.0 / 24
Serveur VPN
172.20.0.253
172.20.0.1
Switch
virtuel 3
Switch
virtuel 2
Internet
Internet Réseau local
Réseaux 2
172.10.0.0 /16
Switch
virtuel 1
Routeur
(Win2003)
IP « publique »
192.168.0. 254 172.10.0. 254
Client 01
(Win 7) Votre
poste de
travail
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 12
Mise en œuvre d’une connexion VPN SSTP
SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et
établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère en outre une très large
compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le
port 443. Cette solution de SSL VPN est implémentée nativement sur Windows Server 2008 depuis
sa RC0 ce qui évite tout investissement dans une solution tierce. Prévue pour une utilisation des
clients nomades uniquement, son support est uniquement fourni par Windows Vista SP1 et
Windows 7, ce qui n’est pas le cas pour le Service Pack 3 de Windows XP.
Le routeur ne fera que du routage, comme dans la première partie. On supprime la NAT car 2003 ne
sait pas rediriger le trafic SSTP.
Principe de fonctionnement de SSTP :
192.168.0. 131
Réseaux 3 (Local)
172.20.0.0 /16
Serveur_01
(Win2008)
Serveur ESXi Client
Win XP
192.168.0.151 172.10.0. 253
Réseaux 1 (Internet)
192.168.1.0 / 24
Serveur VPN
172.20.0.253
172.20.0.1
Switch
virtuel 3
Switch
virtuel 2
Internet
Internet Réseau local
Réseaux 2
172.10.0.0 /16
Switch
virtuel 1
Routeur
(Win2003)
192.168.0. 254
172.10.0. 254
Client 01
(Win 7) Votre
poste de
travail
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 13
1) Configuration du serveur
SSTP nécessite Windows Server 2008 sur lequel doivent être installés Active Directory Domain
Services (AD DS) et le DNS, ce qui a déjà été fait dans les TP précédents. Un utilisateur de test
dont on aura autorisé l’accès distant dans ses propriétés est également requis (ce qui est également
fait => usr_vpn ; vpn).
Installation du rôle « services de certificats d’Active Directory (AD CS) »
SSTP étant basé sur SSL et à fortiori sur l’authentification du serveur par certificat, nous préférons,
pour la suite, créer notre propre autorité de certification (CA) plutôt que d’engager des frais dans
l’obtention d’un certificat validé par une entité reconnue.
Dans le Gestionnaire de serveur, ajoutez le rôle Services de certificats Active Directory. Pour
cela, vous devez suivre les étapes suivantes :
Sélectionnez le service Autorité de certification ;
Spécifiez ensuite le type d’installation Autonome ;
Indiquez le type d’autorité de certification Autorité de certification racine ;
Configurez la clé privée en choisissant Créer une nouvelle clé privée ;
Configurez le chiffrement avec RSA en 1024 bits et l’algorithme de hachage SHA1 ;
Configurez le nom de l’autorité de certification. Le Nom commun de votre serveur est
proposé par défaut, par exemple domaine01-SERVEUR01-ca ;
Sélectionnez la période de validité du certificat : 1 an ;
Validez l’emplacement (par défaut) des fichiers correspondant à la base de données et au
journal ;
Vérifiez toutes les informations que vous venez de saisir et lancez l’installation
Remarque : Il se peut que l’installation du service de certificats vous oblige à installer aussi IIS
(Internet Information Service). Comme vous déjà installé ce service, l’installation devrait se
dérouler telle que décrite ci-dessus. A vérifier !
Toujours dans le Gestionnaire de serveur, sélectionnez le rôle Services de certificats Active
Directory.que vous venez d’installer. Dans la partie de droite du gestionnaire, allez sur Services de
rôle (qui doit contenir Autorité de certification) et sélectionnez Ajouter des services de rôle. Dans
l’assistant d’installation, cochez le service de rôle Inscription de l’autorité de certification via le
web et poursuivez l’installation.
Ceci nécessite IIS (Internet Information Service) sur le serveur hébergeant l’autorité de
certification, les composants requis vous sont donc proposés. Laissez les éléments par défaut.
Créer et installer le certificat d'authentification du serveur
Le certificat d'authentification du serveur est utilisé par le client pour authentifier le serveur VPN.
Avant d'installer le certificat, vous devez configurer Internet Explorer pour autoriser la publication
du certificat.
Configuration d’Internet Explorer :
1. Sur le serveur VPN, cliquez sur Démarrer, clic droit sur Internet Explorer, puis sélectionnez sur
Exécuter en tant qu'administrateur.
2. Si une alerte de filtre anti-hameçonnage s'affiche, cliquez sur Désactiver automatiquement Filtre
anti-hameçonnage, puis cliquez sur OK.
3. Cliquez sur le menu Outils, puis cliquez sur Options Internet.
4. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 14
5. Sélectionnez une zone pour afficher ou modifier les paramètres de sécurité, cliquez sur Intranet
local.
6. Cliquez sur Personnaliser le niveau de sécurité Intranet local et passer de moyenne-basse à
basse, puis cliquez sur OK.
Demander un certificat d'authentification du serveur
1. Sur le serveur VPN, dans la barre d'adresses d'Internet Explorer, entrez http://localhost/certsrv,
puis appuyez sur ENTRER. Cette opération ne peut fonctionner que si vous avez bien installé le
service de rôle Inscription de l’autorité de certification via le web comme indiqué plus haut.
2. Dans la zone Sélectionner une tâche, cliquez sur Demander un certificat.
3. Vous devez ensuite sélectionner le type de certificat, cliquez sur Demande de certificat
avancée.
4. Cette demande avancée propose deux options, choisissez Créer et soumettre une demande de
requête auprès de cette autorité de certification.
5. Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX
6. Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web.
7. Complétez le formulaire :
Informations d’identification :
Nom : c’est le FQDN, nom complet, utilisé par les clients. Ce nom devrait être de la forme
serveur01.domaine01.net (serveur01.domaineperso.net à la maison).
Pour les autres informations, voir l’exemple ci-dessous.
Type de certificat requis :
Sélectionnez Certificat d’authentification serveur.
Options de la clé :
Cochez l’option Créer un nouveau jeu de clés (option par défaut) ;
Fournisseur de service de chiffrement : Microsoft Enhanced RSA and AES cryptographic
provider ;
Utilisation de la clé : sélectionnez Les deux ;
Taille de la clé : 1024 ;
Sélectionnez ensuite Nom de conteneur de clé automatique ;
Cochez l’option Marquer les clés comme étant exportables ;
Options supplémentaires :
Sélectionnez CMC ;
Pour l’algorithme de hachage choisissez sha1 ;
On peut attribuer un nom convivial à ce certificat, par exemple Certificat SSTP.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 15
Validez la demande de certificat en appuyant sur Envoyer.
Un message (dans Internet Explorer) vous informe que le certificat est en attente. La demande a
bien été reçue, il faut que l’administrateur émette le certificat demandé.
Emission du certificat d'authentification du serveur
Sur votre serveur VPN, revenez dans la console de gestion de l’autorité de certification (Outils
d’administration / autorité de certification).
Faites un double clic sur l’autorité correspondant à votre serveur (du type domaine01-
SERVEUR01-CA), puis ouvrez le dossier Demandes en attente. Vous devriez voir, dans la partie
de droite, la demande de certificat que vous venez de faire.
Normalement l’opération à réussi et la demande est en attente de traitement
Faites un clic droit sur le certificat en attente, choisissez l’option Toutes les tâches puis Délivrer.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 16
Si vous allez maintenant dans le dossier Certificats délivrés, vous devez voir votre certificat avec
toutes les informations que vous avez précédemment indiqué dans le formulaire (Internet Explorer).
Revenez dans Internet Explorer, dans le bandeau en haut de la page (Services certificats Microsoft
….) vous avez un lien vers l’Accueil. Exécutez ce lien (retour à http://localhost/certsrv/).
Dans la zone Sélectionner une tâche, choisissez Afficher le statut d’une requête de
certificat en attente.
Sélectionnez ensuite le certificat d’authentification du serveur que vous venez de créer.
Un message s’affiche, cliquez sur Oui pour autoriser l’action du contrôle ActiveX
Un autre message s’affiche, cliquez sur Oui pour confirmer l’accès au web
Cliquez sur le lien pour Installer ce certificat.
Le certificat d’authentification du serveur est maintenant prêt à être utilisé.
2) Configuration du client
Important : Le client VPN doit obligatoirement fonctionner sous Windows Seven (ou Vista) qui
supporte nativement le protocole SSTP. C’est impossible à réaliser avec un poste XP qui ne gère
pas SSTP !!!!
SSL est basé sur l’authentification du serveur. Celui-ci envoie donc son certificat lors de la
négociation de la connexion ; dès lors, comment garantir que ce certificat est valable ? En faisant
rentrer en jeu l’autorité de certification racine de confiance que l’on suppose intègre. L’ordinateur
doit faire confiance à cette autorité et pour cela posséder son certificat dans son magasin d’autorité
racine de confiance.
Nativement, seules des autorités reconnues internationalement sont présentes. Il faut donc intégrer à
ce magasin le certificat de l’autorité racine que vous avez créé dans l’étape précédente. Pour se
faire, deux solutions s’offrent à nous : soit par téléchargement et installation du certificat via
l’interface Web, soit par déploiement via une GPO. Nous utiliserons la première solution.
Pour contacter le serveur en utilisant son nom (FQDN), il va falloir réaliser une résolution
de nom. Le serveur DNS actif ne connait pas cette machine, il ne pourra donc pas faire de
correspondance entre ce nom et l’adresse IP de serveur.
Pour que le poste client puisse joindre le serveur, vous allez modifier le fichier « hosts » du
client, situé sous c:/windows/system32/drivers/etc, et rajouter la ligne comportant l’adresse
IP et le FQDN du serveur : par exemple 192.168.0.x serveurx.domainex.net. (sur la pate ou
on doit prendre le connection a distance)
Sur le poste client, ouvrez le navigateur. Tapez l’URL correspondant à l’autorité de
certification (dans notre cas c’est aussi le serveur VPN) :
http://serveur01.domaine01.net/certsrv.
Vous devez accéder à la page d’accueil de l’autorité de certification (que nous avons déjà
utilisé pour la configuration du serveur).
Dans la zone Sélectionner une tâche, choisissez Télécharger un certificat d’autorité de
certification …
Vous avez ensuite le choix entre Ouvrir ou Télécharger le certificat. Choisissez OUVRIR.
Choisissez ensuite Installer le certificat …. ce qui permettra d’approuver les certificats
émis par cette autorité de certification (CA par la suite).
Pour vérifier si le certificat est bien installé, allez dans les OUTILS du navigateur.
Pour Internet Explorer choisissez Options Internet. Allez ensuite dans Contenu puis
Certificats. Sélectionnez l’onglet Autorité de certification intermédiaires et vérifiez que
le certificat est bien présent (domaineX-SERVEURx-CA).
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 17
Pour Mozilla Firefox choisissez Options. Allez ensuite dans Avancé puis Chiffrement.
Sélectionnez l’onglet Afficher les certificats puis Autorités et vérifiez que le certificat est
bien présent (domaineX-SERVEURx-CA).
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 18
3) Configuration de la connexion VPN
Il faut créer une nouvelle connexion réseau, spécifique au VPN. Pour cela, suivre les étapes
suivantes :
Allez dans Centre Réseau et Partage puis choisissez Configurer une nouvelle connexion
…
Choisissez ensuite l’option Connexion à votre espace de travail (configurer une connexion
d’accès à distance ou VPN).
Sélectionnez l’option Non, créer une nouvelle connexion.
Sélectionnez ensuite Utiliser ma connexion Internet (VPN). Une boite de dialogue vous
propose de configurer une connexion Internet, choisissez Je configurerai une connexion
ultérieurement.
Vous devez ensuite indiquer l’adresse Internet à laquelle vous souhaitez vous connecter.
Vous pouvez indiquez le nom (FQDN) du serveur VPN ou son adresse IP. Pour utiliser le
nom il faut que le fichier « Hosts » ait été modifié correctement.
Vous devez également donner un Nom de la destination : tapez « Connexion VPN SSTP »
Vous devez enfin préciser le Nom d’utilisateur (usr_vpn) et le mot de passe (vpn) avec
lesquels vous allez établir la connexion.
Terminez en appuyant sur le bouton Créer.
Dernière opération, toujours dans Centre Réseau et Partage, sélectionnez Connexion à un
réseau. Dans la fenêtre qui s’ouvre, vous devez voir la connexion VPN que vous venez de créer.
Faites un clic droit puis Propriétés de cette connexion.
Ouvrez l’onglet Sécurité. Dans Type de réseau VPN, choisissez Protocole SSTP à la place
d’automatique.
4) Test de la connexion
Message d’erreur possible (que la connexion utilise le Nom ou l’IP):
Erreur 0x80072746 : une connexion existante a du être fermée par l’hôte distant.
BTS SIO2: module SISR5 TP VPN sous Windows server 2008
Alexa STROZZI / Georges ESQUIROL Page 19
Configuration de la redirection de port
Si ce n’est pas encore fait, ajouter un « nouveau protocole de routage » dans ROUTAGE IP puis
GENERAL. Choisir le protocole PARE-FEU DE BASE /NAT sous 2003 et NAT à partir de 2008.
Allez dans PARE-FEU DE BASE /NAT ou NAT et choisissez Nouvelle Interface et sélectionnez
la carte réseau qui est reliée à Internet.
Dans l’onglet Pare-feu de base / NAT (2003) ou NAT (2008 et +):
Sélectionnez Interface publique connectée à Internet ;
Activer la NAT sur cette interface du routeur ;
Dans l’onglet Services et Ports :
Sélectionnez le(s) service(s) qui vous intéresse(nt). Attention, avec 2003 vous n’avez
comme choix que « Passerelle VPN PPTP » et « Passerelle VPN L2TP/IPsec »;
Indiquez l’adresse IP de la machine vers laquelle le routeur doit rediriger le trafic concerné
(le serveur VPN, 172.10.0.253 dans le TP) ;
RETOUR TP