Mise en Place D Un VPN PPTP-EAP (v2)
Mise en Place D Un VPN PPTP-EAP (v2)
Mise en Place D Un VPN PPTP-EAP (v2)
SOURCES
Si vous ne disposez pas d’une version de Windows Server 2008 R2 x64 SP1 Entreprise
(j’insiste sur Entreprise pour la gestion des certificats), vous pouvez télécharger une démo ici
depuis le site officiel de Microsoft. Vous pouvez même le télécharger en VHD si vous utilisez
Hyper-V ou Virtual PC. Notez par ailleurs qu’il est recommandé de ne pas installer le VPN sur
le serveur Active Directory.
Attention, mes serveurs sont installés en anglais, donc je vous recommande d’opter pour
cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en
anglais ici pour ne pas perdre le fil… En revanche, mon poste client sous Windows Seven est
bien en français.
Pour ce tuto, j’utiliserai deux serveurs, le principal (avec Active Directory et DNS) nommé
DC1 et celui où le VPN sera installé, nommé VPN1. Quant au poste client (Vista SP1 ou Seven
minimum), il sera nommé CLIENT1. VPN1 devra obligatoirement être joint au domaine crée
par DC1. En revanche, cela n’est pas nécessaire pour le poste client VPN1.
Enfin, sachez que ce tuto est destiné à être mis en place dans un environnement particulier
ou PME. En effet, pour les grandes entreprises, il est recommandé de s’acquitter des
certificats auprès d’une autorité compétente, de disposer d’une DMZ et de posséder un
serveur avec de deux cartes réseau placées dans des réseaux différents. Tout ceci pour des
raisons de sécurité.
I. Installation de DC1
IP : 192.168.0.10
Si vous ne savez pas comment procéder ou si vous souhaitez plus d’informations concernant
l’installation d’un serveur DNS, vous pouvez lire mon tuto intitulé : « Serveur DNS redondants
(tuto de A à Z) » disponible dans ma bibliothèque Scribd.
Il est vivement recommandé de créer un groupe de sécurité afin de restreindre les accès au
VPN à ce seul groupe. Par ailleurs, cela évite de devoir configurer individuellement chaque
utilisateur souhaitant se connecter au VPN. Appelez ce groupe « GS_VPN ».
Créez un compte AD nommé « user-pptp » (un compte utilisateur normal suffit). Ensuite,
joignez ce compte au groupe « GS_VPN» créé préalablement.
IP : 192.168.0.20
Pensez à intégrer VPN1 au domaine de DC1
A exécuter en tant qu’administrateur si vous avez l’UAC d’activé : clic droit sur IE > « Run
as administrator ».
Tools > Options > Security > Local intranet > LOW
4. Demande de certificat
5. Validation du certificat
6. Installation du certificat
Certificates > Add > Computer account > Local computer > OK
Ok
Vous obtenez ceci :
Déroulez Certificate – Current User > Personal afin de sélectionner votre certificat
récemment installé
Clic droit All tasks > Export
Next
Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish
Déroulez Certificate (Local computer) > Personal > Certificates
Clic droit sur Certificates >All tasks > Import
Next
[Emplacement certificat] > Next
Votre mot de passe > Next > Next > Finish
On supprime le certificat commençant par le <nom_domaine><nom_machine>
III. Configuration de « Network Policy and Access services »
Sur VPN1
1. Installation du rôle
Lors du déploiement d’un VPN, vous avez le choix d’utiliser 2 cartes réseaux. Cela implique
bien sûr d’avoir 2 sous-réseaux à disposition, et également de rajouter le rôle « Routage »
sur votre serveur VPN1. L’avantage de cette solution est que la carte réseau du réseau public
est totalement isolée par rapport à votre réseau interne.
Dans mon cas et dans ce tuto, n’ayant pas besoin d’une telle configuration (et surtout
n’ayant qu’un seul réseau), j’ai tout simplement utilisé une seule carte réseau (pas de
routage donc).
Add
Ajoutez ensuite les règles suivantes dans la liste :
o Framed Protocol : PPP
o NAS port type : Virtual VPN
o Tunnel Type : PPTP
Répondez ensuite Next à toutes les options, puis sur terminer
Vous obtenez un résultat semblable à cela :
Add
Ajoutez ensuite les règles suivantes dans la liste :
o Users groups : groupe AD donc VPN-user est membre
o Day and time restrictions (optionnel)
Une fois votre Network Policies créé, clic droit sur celle-ci, puis Propriétés
Allez dans l’onglet Constraints
Cliquez sur Add puis choisissez l’option Protected EAP (PEAP)
1. Installation du certificat
Download a CA certificate
Ouvrir > Installer le certificat
Si vous avez la chance d’avoir une IP fixe (vous avez tout compris…), alors l’entrée de votre
fichier HOST n’aura besoin d’être modifiée qu’une seule fois.
En revanche, si comme moi vous disposez d’un serveur avec une IP dynamique vous allez
vous heurter au problème suivant :
Vous ne pourrez pas connaître votre IP à distance car celle-ci aura changée après le
redémarrage de votre box/routeur
Pour pallier à ce problème, j’ai cherché sur le net et j’ai trouvé un logiciel fournit par
DynDNS que vous installez sur votre serveur et qui met à jour votre IP avec votre nom de
domaine.
Mais attention, cela n’est pas gratuit et il existe plusieurs contraintes. Il faut :
Créer un compte sur DynDNS (gratuit) ici
S’abonner au service Custom DNS ici pour 30$ /an (active le service permettant de
mettre à jour son IP dynamique)
Déposer un nom de domaine ici pour 15 $ / an
Déposer un nom de domaine gratuit DynDNS (domaine.dyndns.com)
De plus vous devrez télécharger le logiciel DynDNS Update Client ici. Une fois l’application
installée sur votre serveur VPN, vous vous identifiez et automatiquement l’application se
chargera d’associer votre nom de domaine avec votre IP dynamique. Pratique non ? En voici
un aperçu :
Astuce
Certains routeurs permettent de renseigner directement les identifiants DynDNS dans leur
configuration. Dans ce cas, inutile de payer quoi que ce soit. Il suffit juste de déposer un nom
de domaine gratuit de type domaine.dyndns.com et le tour est joué. Votre routeur (et non
plus votre serveur) se chargera d’actualiser votre nom de domaine avec votre IP.
Créer
Revenez ensuite au Centre de réseau et partage, et cliquez en haut à gauche sur
Modifier les paramètres de la carte
Clic droit sur la connexion VPN récemment créée (VPN PPTP EAP) > Propriétés
Vérifiez que vous avez bien mis l’IP public de votre serveur dans l’onglet Général
Erreur : 812
Erreur : 919
La méthode d’authentification de votre poste client ne correspond pas à celles à
acceptées par le serveur
Allez dans Routing and remote access > clic droit [serveur] > Properties >
Security > Authentification Methods et sélectionnez la case appropriée.
Pour informations le VPN SSTP utilise la méthode MS-CHAP v2 et le VPN
PPTP-EAP la méthode Extensible authentification protocol (EAP)
Erreur : 806
Erreur côté client