creer une connexion VPN fiable avec Windows 2003

http://www.supinfo-projects.com/fr/2006/vpn_2003/

http://technet.microsoft.com/fr-fr/library/cc773153(WS.10).aspx liste des erreurs
http://support.microsoft.com/kb/824864/fr liste des erreurs
http://support.microsoft.com/kb/818026/fr probleme active X web browser
http://support.microsoft.com/kb/922706/fr correctif 2003

Resume

Apres avoir lu ce qui va suivre, vous saurez ce qu'est un VPN à quoi il sert et comment en mettre un en place de façon sure.

· Les clients distants seront authentifiés avant d’accéder au réseau interne
· Les clients distants obtiendront une adresse IP automatiquement
· L’adresse IP du 'directeur' serra la même à chaque connexion VPN
· La communication sera sécurisée à l’aide d’IP sec
· Les connexions VPN seront audités afin d’assurer un suivi
Sommaire

Introduction
1. Pré requis et Configuration initiale des machines (obligatoire)
1.0. Disposez de deux machines, un client (XP) un serveur (2003 SERVEUR)
1.1. Attribuez une adresse IP fixe au serveur [SERVEUR]
1.2. attribuez une adresse IP fixe au client[XP]
1. 3. Vérifiez que la connectivité est bonne entre les deux machines [XP]
1.4. Vérifiez que le service Routage et accès distant est désactivé [XP et SERVEUR]
1.5. Vérifiez que le service DNS et que le service WINS sont bien désinstallés [XP et SERVEUR]
1.6. Installez le service d’annuaire Active Directory [SERVEUR]
1.7. Configurez xp pour qu’il joigne le domaine du serveur [XP]
2.Configuration de connexions VPN clientes (obligatoire)
2.1. Créez une connexion au réseau privé virtuel pour tester le bon fonctionnement du serveur VPN de votre partenaire [XP]
2.2. Essayez d’établir la connexion VPN client en utilisant le compte Administrateur [XP] (falcultatif)
3. Installation du serveur VPN et configuration des options générales (obligatoire)
3.1. Activez et configurez le routage et l’accès distant [SERVEUR]
3.2. Configurer le serveur VPN pour attribuer des adresses IP aux clients parmi une plage d’adresses IP statiques. [SERVEUR]
3.3. Inscrivez le serveur VPN dans le service d’annuaire Active Directory [SERVEUR]
4. Implémentation d’un serveur VPN utilisant L2TP/IPSec (important)
4.1. Créez un compte nommé usr_vpn et autorisez-le à établir des connexions d’accès distant [SERVEUR]
4.2. Installez le serveur Web Internet Information Service (IIS) 6.0 sur le contrôleur de domaine [SERVEUR]
4.3. Installez le service de certificats [SERVEUR]
4.4. Créez et configurez une GPO permettant d’allouer automatiquement un certificat ordinateur à chaque ordinateur du domaine [SERVEUR]
4.5. Créez et configurez une GPO pour que toutes les machines membres du domaine fassent confiance à l’autorité de certification racine d’entreprise ROOT-CA [SERVEUR]
4.6. Liez et appliquez (option Ne pas passer outre) les deux GPOs précédemment crées au niveau du domaine à l’aide de la console GPMC [SERVEUR]
4.7. Rafraîchissez les paramètres de stratégies de groupe sur les deux machines à l’aide de la commande gpupdate.exe [XP et SERVEUR]
4.8. Configurez le serveur VPN pour qu’il accepte un maximum de 30 connexions via le protocole de tunneling L2TP/IPSec. [SERVEUR]
4.9. Configurez la connexion VPN cliente pour utiliser le protocole de tunneling L2TP/IPSec [XP]
4.10. Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn [XP]
5. Mise en place de stratégies d’accès distant pour filtrer l’accès au réseau (important)
5.1. Augmentez le niveau fonctionnel du domaine vers Windows 2000 natif [SERVEUR]
5.2. Autorisez l’utilisateur usr_vpn à se connecter au serveur VPN en fonction d’une stratégie d’accès distant [SERVEUR]
5.3. Créez un groupe global de sécurité nommé G_ utilisateurs VPN, puis ajoutez l’utilisateur usr_vpn en tant que membre de ce groupe [SERVEUR]
5.4. Créez une stratégie d’accès distant autorisant les membres du groupe G_ Utilisateurs VPN à établir une connexion VPN la plus sécurisée possible [SERVEUR]
5.5. Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn [XP]
6. Implémentation de l’utilisateur « directeur » à IP fixe (falcultatif)
6.1. Créez un compte nommé directeur et autorisez-le à établir des connexions d’accès distant [SERVEUR]
6.2. Ajoutez l’utilisateur directeur en tant que membre du groupe : G_ utilisateurs VPN [SERVEUR]
6.3. Vérifiez que le profil d’accès distant est bien entré en fonction [XP]
7. Configuration de l’enregistrement des évènements sur le serveur d’accès réseau (facultatif)
7.1. Effacez tous les évènements du journal Système à l’aide de l’observateur d’évènements [SERVEUR]
7.2. Configurez les évènements à auditer sur le serveur VPN [SERVEUR]
7.3. Vérifiez que les évènements sont bien enregistrés dans le journal Système [SERVEUR]
7.4. Configurez l’enregistrement de la gestion des comptes [SERVEUR]
7.5. Tentez d’établir la connexion VPN [XP]
7.6. Vérifiez que le fichier journal a bien été crée [SERVEUR]
8. Configuration de la journalisation pour les connexions L2TP/IPSec (facultatif)
8.1. Créez une stratégie de groupe activant l’audit des évènements liés à IPSec et aux connexions L2TP/IPSec [SERVEUR]
8.2. Liez et appliquez (option Ne pas passer outre) la GPO précédemment crée au niveau de l’unité d’organisation Domain Controllers à l’aide de la console GPMC [SERVEUR]
8.3. Rafraîchissez les paramètres de stratégies de groupe sur le serveur VPN à l’aide de la commande gpupdate.exe [SERVEUR]
8.4. Effacez tous les évènements du journal Sécurité à l’aide de l’observateur d’évènements [SERVEUR]
8.5. Tentez d’établir la connexion VPN [XP]
8.6. Vérifiez que des évènements en rapport avec la connexion L2TP/IPSec ont bien été enregistrés dans le journal Sécurité [SERVEUR]
8.7. Activez l’enregistrement Oakley sur le serveur VPN (tres optionnel => pour debug)[SERVEUR]
8.8. Relancez le service Routage et Accès Distant et vérifiez qu’un nouveau journal nommé oakley.log est apparut [SERVEUR]
Conclusion

Introduction

Beaucoup de sociétés disposent ou veulent disposer d'un VPN (Virtual Private Network ou réseau virtuel privé), nous allons voir ce qu'est un VPN, en quoi il peut être utile et comment en mettre un en place.

Qu'est-ce qu'un VPN ?

Un VPN est un lien virtuel créé entre un réseau d'entreprise et un utilisateur extérieur à ce réseau. Il se compose d’un serveur VPN (dans l’entreprise) et de clients VPN (les employées).

A quoi sert un VPN ?

Un VPN permet à des utilisateurs distants de se connecter au réseau d'une entreprise comme s’ils étaient sur place. Cela sert beaucoup pour le travail à distance ainsi grâce à cette technologie des employés peuvent travailler de chez eux sans avoir a ce déplacer. Beaucoup d'avantages peuvent en découler, exemple: éviter les retard du aux embouteillages, les employés sont dans un milieu familiers, limite les congés maladie, diminue la gestion de service de l'entreprise: crèche, station de travail, box, parking. Le meilleur exemple est encore celui de l'école SUPINFO qui permet aux étudiants d'accéder aux données privée de supinfo (mails, logiciel, cours) de chez eux.

Comment mettre le VPN en place ?

Le tutorial qui va suivre peut paraitre compliqué et long par rapport à ceux qu'on trouve ailleurs sur le net. Cependant 90%, voire plus, des tutoriaux sur le VPN sont incomplet, ils proposent juste une installation du serveur sans aucunes configuration et dans le meilleur des cas une configuration très mince est peu sécurisé. J’ai accordé un effort particulier à la simplicité de ce tutorial pour permettre aux moins expérimentés d’installer et de configurer serveur et clients VPN de façon propres et sécurisée. Merci de bien suivre ce pas à pas à la lettre si vous voulez être sur du résultat. Certaines parties ne sont pas indispensable au bon fonctionnement de la liaison VPN, elles seront marquées, cependant elles peuvent être utile suivant les besoins.

1. Pré requis et Configuration initiale des machines (obligatoire)


1.0. Disposez de deux machines, un client (XP) un serveur (2003 SERVEUR)


1.0.1. Ouvrez le menu démarrer, puis pointez sur Panneau de configuration
1.0.2. Cliquez sur Système.
1.0.3. Cliquez sur l’onglet : nom de l’ordinateur
1.0.4. Cliquez sur modifier
1.0.5. Sur le serveur mettre le nom : SERVEUR
1.0.6. Sur le client xp mettre le nom : XP
1.0.7. Appliquez les modifications et fermez ces fenêtres


1.1. Attribuez une adresse IP fixe au serveur [SERVEUR]


1.1.1. Ouvrez le menu démarrer, puis pointez sur Panneau de configuration
1.1.2. Faites un click droit sur Connexion réseau et sélectionnez Ouvrir
1.1.3. Faites un clic droit sur la carte réseau, puis sur propriétés
1.1.4. Sélectionnez Protocole internet (TCP/IP), puis cliquez sur propriétés
1.1.5. Cliquez sur Utiliser l’adresse IP suivante :
1.1.6. Entrez l’ip 172.16.1.1
1.1.7. Cliquez sur le Masque de sous-réseau (le masque par défaut apparaît)
1.1.8. Cliquez sur Utiliser l’adresse de serveur DNS suivante :
1.1.9. Dans serveur DNS préféré mettre 172.16.1.1
1.1.10. Cliquez sur ok et encore sur ok.


1.2. attribuez une adresse IP fixe au client[XP]


1.2.1. Ouvrez le menu démarrer, puis pointez sur Panneau de configuration
1.2.2. Faites un click droit sur Connexion réseau et sélectionnez Ouvrir
1.2.3. Faites un clic droit sur la carte réseau, puis sur propriétés
1.2.4. Sélectionnez Protocole internet (TCP/IP), puis cliquez sur propriétés
1.2.5. Cliquez sur Utiliser l’adresse IP suivante :
1.2.6. Entrez l’ip 172.16.1.2
1.2.7. Cliquez sur le Masque de sous-réseau (le masque par défaut apparaît)
1.2.8. Cliquez sur Utiliser l’adresse de serveur DNS suivante :
1.2.9. Dans serveur DNS préféré mettre 172.16.1.1 (adresse du serveur)
1.2.10. Cliquez sur ok et encore sur ok.





1. 3. Vérifiez que la connectivité est bonne entre les deux machines [XP]


1.3.1. Ouvrez une session en tant qu’Administrateur local avec le mot de passe password.
1.3.2. Ouvrez le menu Démarrer, puis cliquez sur Exécuter.
1.3.3. Tapez cmd dans la boite de dialogue Exécuter, puis cliquez sur le bouton OK.
1.3.4. Utilisez la commande ipconfig /all pour afficher les paramètres TCP/IP.
1.3.5. Vérifiez que votre ordinateur est bien dans le même sous-réseau que celle de votre partenaire.
1.3.6. Testez la connectivité entre les deux machines avec la commande ping 172.16.1.1


1.4. Vérifiez que le service Routage et accès distant est désactivé [XP et SERVEUR]


1.4.1. Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant.
1.4.2. Dans la console MMC, cliquez sur Etat du serveur.
1.4.3. Si le serveur est dans l’état Démarré, faites un clic droit sur nom_ordinateur, puis cliquez sur Désactiver le routage et l’accès distant. Cliquez ensuite sur le bouton Oui pour confirmer.
1.4.4. Quittez la console Routage et accès distant.





1.5. Vérifiez que le service DNS et que le service WINS sont bien désinstallés [XP et SERVEUR]


1.5.1. Ouvrez le menu Démarrer, pointez sur Panneau de configuration puis cliquez sur Ajout/Suppression de programmes.
1.5.2. Dans la fenêtre Ajouter ou supprimer des programmes, cliquez sur le bouton Ajouter ou supprimer des composants Windows.
1.5.3. Dans l’assistant Composants de Windows, sélectionnez Services de mise en réseau et cliquez sur le bouton Détails…
1.5.4. Décochez les cases Système DNS (Domain Name System) et Service WINS (Windows Internet Name Service) si elles sont activées.
1.5.5. Cliquez sur le bouton OK, puis sur le bouton Suivant >.
1.5.6. Une fois la configuration terminée, cliquez sur le bouton Terminer.


1.6. Installez le service d’annuaire Active Directory [SERVEUR]


1.6.1. Ouvrez le menu Démarrer puis sélectionnez Exécuter .
1.6.2. Tapez dcpromo puis validez.
1.6.3. Cliquez deux fois sur le bouton Suivant >.
1.6.4. Dans la page Type de contrôleur de domaine, vérifiez que l’option Contrôleur de domaine pour un nouveau domaine est sélectionnée, puis cliquez sur Suivant.
1.6.5. Dans la page Créer un nouveau domaine, vérifiez que l’option Domaine dans une nouvelle forêt est sélectionnée, puis cliquez sur Suivant.
1.6.6. Dans la zone Nom DNS complet pour le nouveau domaine, tapez entreprise.lan puis Suivant.
1.6.7. Validez les pages suivantes avec leurs arguments par défaut jusqu'à la page Diagnostics des inscriptions DNS.
1.6.8. Sélectionnez l’option Installer et configurer le serveur DNS sur cet ordinateur et définir cet ordinateur pour utiliser le serveur DNS comme serveur DNS de préférence, puis cliquez deux fois sur le bouton Suivant >.
1.6.9. Pour le mot de passe de l’administrateur de restauration des services d’annuaires entrez P@ssw0rd, puis Suivant >.
1.6.10. Validez le résumé afin que le processus d’installation d’Active Directory démarre.
1.6.11. Une fois l’installation d’Active Directory terminée, redémarrez votre ordinateur.


1.7. Configurez xp pour qu’il joigne le domaine du serveur [XP]


1.7.1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration et sélectionnez Système.
1.7.2. Dans l’onglet Nom de l’ordinateur, cliquez sur le bouton Modifier…
1.7.3. Dans l’encadré Membre de, cliquez sur domaine, saisissez entreprise.lan dans le champ approprié, puis cliquez sur le bouton OK.
1.7.4. Saisissez les informations d’identification (login/password) du compte Administrateur du serveur, puis cliquez sur le bouton OK.
1.7.5. Redémarrez impérativement votre ordinateur lorsque l’on vous le demande.

2.Configuration de connexions VPN clientes (obligatoire)


2.1. Créez une connexion au réseau privé virtuel pour tester le bon fonctionnement du serveur VPN de votre partenaire [XP]


2.1.1. Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic droit sur Connexions réseau, puis choisissez Ouvrir.
2.1.2. Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle connexion.
2.1.3. Cliquez sur Suivant >, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant>.
2.1.4. Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis cliquez sur le bouton Suivant >.
2.1.5. Saisissez Connexion de test au serveur VPN dans la zone de texte Nom de la société, puis cliquez sur le bouton Suivant >.
2.1.6. Entrez 172.16.1.1 dans le champ Nom d’hôte ou adresse IP, puis validez ce choix en cliquant sur le bouton Suivant >.
2.1.7. Cliquez sur le bouton Suivant >, puis sur le bouton Terminer pour quitter l’assistant.


2.2. Essayez d’établir la connexion VPN client en utilisant le compte Administrateur [XP] (falcultatif)


2.2.1. Dans la fenêtre Connexion à Connexion de test au serveur VPN, entrez le mot de passe du compte Administrateur, puis cliquez sur le bouton Connexion.
2.2.2. Vérifiez que l’erreur 800 apparaisse.
2.2.3. Cliquez sur le bouton Fermer pour quitter la fenêtre.

3. Installation du serveur VPN et configuration des options générales (obligatoire)


3.1. Activez et configurez le routage et l’accès distant [SERVEUR]


3.1.1. Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant.
3.1.2. Dans la console MMC, faites un clic droit sur SERVEUR, puis cliquez sur Configurer et activer le routage et l’accès distant.
3.1.3. Dans l’assistant Installation du serveur de routage et d’accès distant, cliquez sur le bouton Suivant >.
3.1.4. Dans la fenêtre Configuration, choisissez Configuration personnalisée, puis cliquez sur le bouton Suivant >.
3.1.5. Côchez ensuite la case Accès VPN et cliquez sur le bouton Suivant >, puis sur le bouton Terminer pour quitter l’assistant.
3.1.6. Cliquez sur le bouton Oui pour démarrer le service.


3.2. Configurer le serveur VPN pour attribuer des adresses IP aux clients parmi une plage d’adresses IP statiques. [SERVEUR]


3.2.1. Dans la console Routage et accès distant, faites un clic droit sur SERVEUR, puis sélectionnez Propriétés.
3.2.2. Dans la section Attribution d’adresses IP de l’onglet IP, sélectionnez Pool d’adresses statiques, puis cliquez sur le bouton Ajouter…
3.2.3. Saisissez 172.16.1.4 dans le champ Adresse IP de début et 172.16.1.32 dans le champ Adresse IP de fin.
3.2.4. Cliquez deux fois sur le bouton OK pour valider la modification.





3.3. Inscrivez le serveur VPN dans le service d’annuaire Active Directory [SERVEUR]


3.3.1. Lancez une invite de commande (vous pouvez saisir cmd dans la boite de dialogue Exécuter)
3.3.2. Saisissez netsh, puis appuyez sur la touche Entrée.
3.3.3. Saisissez RAS, puis appuyez sur la touche Entrée.
3.3.4. Saisissez add registeredserver, puis appuyez sur la touche Entrée.
3.3.5. Vérifiez que l’inscription s’est correctement terminée, puis quittez l’invite de commande.

4. Implémentation d’un serveur VPN utilisant L2TP/IPSec (important)


4.1. Créez un compte nommé usr_vpn et autorisez-le à établir des connexions d’accès distant [SERVEUR]


4.1.1. Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
4.1.2. Développez entreprise.lan dans la console Utilisateurs et ordinateurs Active Directory.
4.1.3. Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur.
4.1.4. Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère usr_vpn dans la zone de texte Nom complet et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant >.
4.1.5. Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe.
4.1.6. Cliquez sur les boutons Suivant >, puis Terminer pour valider la création de l’utilisateur.
4.1.7. Faites un clic droit sur l’utilisateur nommé usr_vpn à l’intérieur du conteneur Users, puis sélectionnez Propriétés.
4.1.8. Cliquez sur l’onglet nommé Appel entrant.
4.1.9. Dans la section Autorisation d’accès distant (appel entrant ou VPN), choisissez Autoriser l’accès. Cliquez ensuite sur le bouton OK pour valider la modification..



4.2. Installez le serveur Web Internet Information Service (IIS) 6.0 sur le contrôleur de domaine [SERVEUR]


4.2.1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes.
4.2.2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
4.2.3. Dans la fenêtre Assistant de Composants Windows, côchez la case serveur d’applications, puis cliquez sur le bouton Suivant >.
4.2.4. Lorsque le programme vous le demande, insérez le CD-ROM de Windows Server 2003.
4.2.5. Une fois l’installation arrivée à son terme, cliquez sur le bouton Terminer.


4.3. Installez le service de certificats [SERVEUR]


4.3.1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes.
4.3.2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
4.3.3. Dans la fenêtre Assistant de Composants Windows, côchez la case services de certificats.
4.3.4. Si une fenêtre vous avertissant qu’une modification de l’appartenance au domaine entraînera l’invalidité des certificats, cliquez sur le bouton Oui.
4.3.5. Cliquez sur le bouton Suivant >, vérifiez que l’option Autorité racine d’entreprise est côchée, puis cliquez de nouveau sur le bouton Suivant >.
4.3.6. Entrez ROOT-CA dans le champ Nom commun de cette autorité de certification et 10 dans le champ Période de validité, puis cliquez deux fois sur le bouton Suivant >.
4.3.7. Si un message vous demande de remplacer une clé qui existe déjà, cliquez sur Oui.
4.3.8. Si un message vous averti que le service IIS va être temporairement arrêté, cliquez sur le bouton Oui.
4.3.9. Lorsque le programme vous le demande, insérez l’image ISO ou le CD-ROM de Windows Server 2003.
4.3.10. Si une boite de dialogue vous demande d’activer le support de l’ASP sur le serveur Web, cliquez sur le bouton Oui.
4.3.11. Cliquez sur le bouton Terminer pour quitter l’assistant Composants de Windows.


4.4. Créez et configurez une GPO permettant d’allouer automatiquement un certificat ordinateur à chaque ordinateur du domaine [SERVEUR]


4.4.1. Basculez vers la console Gestion des stratégies de groupe (GPMC) en utilisant la combinaison de touches Alt + Tab.
4.4.2. Si GPMC n’est pas installé, récupérez le package gpmc.msi dans l’image ISO MS_ISO_70-291.iso.
4.4.3. Développez Forêt : entreprise.lan, Domaines, puis cliquez sur entreprise.lan.
4.4.4. Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau.
4.4.5. Dans la zone de texte Nom, entrez GPO_ Allocation de certificats ordinateur, puis cliquez sur le bouton OK.
4.4.6. Faites un clic droit sur l’objet stratégie de groupe nommé GPO_ Allocation de certificats ordinateur, puis sélectionnez Modifier.
4.4.7. Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité, puis Stratégies de clé publique.
4.4.8. Faites un clic droit sur Paramètres de demande automatique de certificat, puis sélectionnez Nouveau / Demande automatique de certificat…
4.4.9. Dans l’assistant Création de demandes automatiques de certificats, cliquez sur le bouton Suivant >.
4.4.10. Dans la page Modèle de certificat, sélectionnez Ordinateur, puis cliquez sur le bouton Suivant >.
4.4.11. Cliquez sur le bouton Terminer pour quitter l’assistant.
4.4.12. Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.


4.5. Créez et configurez une GPO pour que toutes les machines membres du domaine fassent confiance à l’autorité de certification racine d’entreprise ROOT-CA [SERVEUR]


4.5.1. Basculez vers la console Gestion des stratégies de groupe (GPMC) en utilisant la combinaison de touches Alt + Tab.
4.5.2. Développez Forêt : entreprise.lan, Domaines, puis cliquez sur entreprise.lan.
4.5.3. Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau.
4.5.4. Dans la zone de texte Nom, entrez GPO_Configuration CA, puis cliquez sur le bouton OK.
4.5.5. Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Configuration CA, puis sélectionnez Modifier.
4.5.6. Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité, puis Stratégies de clé publique.
4.5.7. Faites un clic droit sur Autorités de certification racines de confiance, puis sélectionnez Importer…
4.5.8. Dans l’assistant Importation de certificats, cliquez sur le bouton Suivant >.
4.5.9. Dans la page Fichier à Importer, cliquez sur le bouton Parcourir…
4.5.10. Sélectionnez le fichier de certificat correspondant à l’autorité de certification racine d’entreprise de votre domaine.(SERVEUR.entreprise.lan_ROOT-CA.crt)
Ce fichier est présent dans C:\WINDOWS\system32\certsrv\CertEnroll.
4.5.11. Une fois cette opération effectuée, cliquez deux fois sur le bouton Suivant >, puis sur le bouton Terminer pour quitter l’assistant Importation de certificat.
4.5.12. Si une boite de dialogue vous avertissant que l’importation s’est terminée correctement apparaît, cliquez sur le bouton OK.
4.5.13. Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.


4.6. Liez et appliquez (option Ne pas passer outre) les deux GPOs précédemment crées au niveau du domaine à l’aide de la console GPMC [SERVEUR]


4.6.1. Dans la console GPMC, faites un clic droit sur entreprise.lan, puis sélectionnez Lier un objet de stratégie de groupe existant…
4.6.2. Dans la liste des GPOs de votre domaine, sélectionnez GPO_ Configuration CA, puis cliquez sur le bouton OK.
4.6.3. Faites un clic droit sur le lien qui vient d’apparaître à côté de Default Domain Policy, puis sélectionnez Appliqué.
4.6.4. Répétez l’opération pour la stratégie de groupe GPO_ Allocation de certificat ordinateur.
4.6.5. Quittez la console GPMC.


4.7. Rafraîchissez les paramètres de stratégies de groupe sur les deux machines à l’aide de la commande gpupdate.exe [XP et SERVEUR]


4.7.1. Ouvrez le menu Démarrer puis sélectionnez Exécuter .
4.7.2. Saisissez la commande gpupdate.exe /force , puis cliquez sur le bouton OK.


4.8. Configurez le serveur VPN pour qu’il accepte un maximum de 30 connexions via le protocole de tunneling L2TP/IPSec. [SERVEUR]


4.8.1. Dans la console Routage et accès distant, développez SERVER.
4.8.2. Faites un clic droit sur Ports, puis choisissez Propriétés.
4.8.3. Sélectionnez Miniport réseau étendu WAN (L2TP), puis cliquez sur le bouton Configurer.
4.8.4. Saisissez 30 dans le champ Nombre maximum de port, puis cliquez sur le bouton OK.
4.8.5. Une fois que vous avez terminé, cliquez sur le bouton Oui, puis sur le bouton OK pour quitter la fenêtre Propriétés de Ports.


4.9. Configurez la connexion VPN cliente pour utiliser le protocole de tunneling L2TP/IPSec [XP]


4.9.1. Faites un clic droit sur la connexion nommée Connexion de test au serveur VP, puis sélectionnez Propriétés.
4.9.2. Dans l’onglet Gestion de réseau, modifiez la valeur du paramètre Type de réseau VPN de automatique en VPN L2TP/IPSec.
4.9.3. Cliquez sur le bouton OK pour appliquer la modification.


4.10. Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn [XP]


4.10.1. Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab.
4.10.2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion.
4.10.3. Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion.
4.10.4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.

En cas d'erreur 781 vous pouvez demander un certificat au serveur en suivant l'explication ici
http://support.microsoft.com/?id=253498

5. Mise en place de stratégies d’accès distant pour filtrer l’accès au réseau (important)


5.1. Augmentez le niveau fonctionnel du domaine vers Windows 2000 natif [SERVEUR]


5.1.1. Lancez la console Domaines et Approbations Active Directory (vous pouvez utiliser le raccourci domain.msc dans la boite de dialogue Exécuter).
5.1.2. Faites un clic droit sur entreprise.lan puis sélectionnez Augmenter le niveau fonctionnel du domaine…
5.1.3. Vérifiez que le niveau fonctionnel de domaine Windows 2000 natif est bien sélectionné, puis cliquez sur le bouton Augmenter.
5.1.4. Lisez l’avertissement, puis cliquez sur le bouton OK.
5.1.5. Cliquez sur le bouton OK une fois la modification effectuée, puis quittez la console Domaines et Approbations Active Directory.


5.2. Autorisez l’utilisateur usr_vpn à se connecter au serveur VPN en fonction d’une stratégie d’accès distant [SERVEUR]


5.2.1. Lancez la console Utilisateurs et Ordinateurs Active Directory (vous pouvez utiliser le raccourci dsa.msc dans la boite de dialogue Exécuter).
5.2.2. Développez entreprise.lan, puis Users.
5.2.3. Faites un clic droit sur le compte d’utilisateur nommé usr_vpn, puis sélectionnez Propriétés.
5.2.4. Dans l’onglet Appel entrant, côchez la case Contrôler l’accès via la stratégie d’accès distant, puis cliquez sur le bouton OK.


5.3. Créez un groupe global de sécurité nommé G_ utilisateurs VPN, puis ajoutez l’utilisateur usr_vpn en tant que membre de ce groupe [SERVEUR]


5.3.1. Dans la console Utilisateurs et Ordinateurs Active Directory, développez entreprise.lan.
5.3.2. Faites un clic droit sur le conteneur Users, puis sélectionnez Nouveau / Groupe.
5.3.3. Dans la fenêtre Nouvel Objet configurez les options suivantes :
- Etendue du groupe : globale
- Type du groupe : Sécurité
- Nom du groupe : G_ utilisateurs VPN
5.3.4. Cliquez sur le bouton OK pour valider la création du groupe.
5.3.5. Faites un clic droit sur le groupe G_ utilisateurs VPN, puis sélectionnez Propriétés.




5.3.6. Dans l’onglet Membres, cliquez sur le bouton Ajouter…
5.3.7. Recherchez l’utilisateur nommé usr_vpn, puis cliquez deux fois sur le bouton OK pour l’ajouter au groupe.
5.3.8. Quittez ensuite la console Utilisateurs et Ordinateurs Active Directory.


5.4. Créez une stratégie d’accès distant autorisant les membres du groupe G_ Utilisateurs VPN à établir une connexion VPN la plus sécurisée possible [SERVEUR]


5.4.1. Dans la console Routage et Accès distant, développez SERVEUR, puis Stratégies d’accès distant.
5.4.2. Supprimez les deux stratégies prédéfinies.
5.4.3. Faites un clic droit sur Stratégies d’accès distant, puis choisissez Nouvelle stratégie d’accès distant.
5.4.4. Dans l’assistant de création de stratégie, cliquez sur le bouton Suivant >.
5.4.5. Côchez la case Installer une stratégie personnalisée, nommez la stratégie Accès VPN sécurisé, puis cliquez sur le bouton Suivant >.
5.4.6. Dans la page Conditions de la stratégie cliquez sur le bouton Ajouter…
5.4.7. Dans la page Sélection d’un attribut, choisissez Authentification-Type, puis cliquez sur le bouton Ajouter…
5.4.8. Ajouter uniquement le protocole d’authentification MS-CHAP V2, puis cliquez sur le bouton OK.
5.4.9. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…
5.4.10. Dans la page Sélection d’un attribut, choisissez Tunnel-Type, puis cliquez sur le bouton Ajouter…
5.4.11. Ajouter uniquement le protocole de tunneling Layer Two Tunneling Protocol (L2TP), puis cliquez sur le bouton OK.
5.4.12. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…
5.4.13. Dans la page Sélection d’un attribut, choisissez Windows-Group, puis cliquez sur le bouton Ajouter…
5.4.14. Ajouter uniquement le groupe global de sécurité G_ Utilisateurs VPN, puis cliquez sur le bouton OK.
5.4.15. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Suivant >.
5.4.16. Dans la page Autorisations, côchez la case Accorder l’autorisation d’accès distant, puis cliquez sur le bouton Suivant >.
5.4.17. Cliquez sur le bouton Suivant >, puis sur le bouton Terminer pour créer la stratégie d’accès distant.
5.4.18. remarque :
La stratégie d’accès distant Accès VPN sécurisé autorise uniquement les clients respectant certains paramètres à se connecter au réseau de l’entreprise. Voici les conditions que doivent remplir les clients pour pouvoir se connecter :
• Utilisation du protocole d’authentification MS-CHAP V2
• Utilisation du protocole de tunneling L2TP/IPSec
• Appartenance au groupe G_ Utilisateurs VPN
Toutes les demandes ne correspondant pas à ces critères seront rejetées !


5.5. Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn [XP]


5.5.1. Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab.
5.5.2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion.
5.5.3. Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion.
5.5.4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.

6. Implémentation de l’utilisateur « directeur » à IP fixe (falcultatif)


6.1. Créez un compte nommé directeur et autorisez-le à établir des connexions d’accès distant [SERVEUR]


6.1.1. Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
6.1.2. Développez entreprise.lan dans la console Utilisateurs et ordinateurs Active Directory.
6.1.3. Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur.
6.1.4. Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère directeur dans la zone de texte Nom complet et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant >.
6.1.5. Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe.
6.1.6. Cliquez sur les boutons Suivant >, puis Terminer pour valider la création de l’utilisateur.
6.1.7. Faites un clic droit sur l’utilisateur nommé directeur à l’intérieur du conteneur Users, puis sélectionnez Propriétés.
6.1.8. Cliquez sur l’onglet nommé Appel entrant.
6.1.9. Côchez la case Contrôler l’accès via la stratégie d’accès distant, puis cliquez sur le bouton OK.
6.1.10 Cochez la case Attribution d’une adresse IP statique.
6.1.11 Entrez l’adresse 172.16.1.3.




6.2. Ajoutez l’utilisateur directeur en tant que membre du groupe : G_ utilisateurs VPN [SERVEUR]


6.2.1. Dans la console Utilisateurs et Ordinateurs Active Directory, développez entreprise.lan.
6.2.2. Faites un clic droit sur le groupe G_ utilisateurs VPN, puis sélectionnez Propriétés.
6.2.3. Dans l’onglet Membres, cliquez sur le bouton Ajouter…
6.2.4. Recherchez l’utilisateur nommé directeur, puis cliquez deux fois sur le bouton OK pour l’ajouter au groupe.
6.2.5. Quittez ensuite la console Utilisateurs et Ordinateurs Active Directory.


6.3. Vérifiez que le profil d’accès distant est bien entré en fonction [XP]


6.3.1. Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab.
6.3.2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion.
6.3.3. Saisissez directeur dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion.
6.3.4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.
6.3.5 Double-cliquez sur la connexion.
6.3.6 Cliquez sur l’onglet Détails
6.3.7. Vérifiez que l’adresse IP du directeur est bien 172.16.1.3

7. Configuration de l’enregistrement des évènements sur le serveur d’accès réseau (facultatif)


7.1. Effacez tous les évènements du journal Système à l’aide de l’observateur d’évènements [SERVEUR]


7.1.1. Lancez l’Observateur d’évènements (Démarrer / Outils d’administration)
7.1.2. Faites un clic droit sur le journal Système, puis sélectionnez Effacer tous les évènements.
7.1.3. Cliquez sur le bouton Non pour ne pas enregistrer le journal Système.


7.2. Configurez les évènements à auditer sur le serveur VPN [SERVEUR]


7.2.1. Lancez la console Routage et Accès Distant (vous pouvez utiliser le raccourci rrasmgmt.msc dans la boite de dialogue Exécuter)
7.2.2. Faites un clic droit sur SERVEUR, puis sélectionnez Propriétés.
7.2.3. Dans l’onglet Enregistrement, côchez la case Enregistrer tous les évènements, puis cliquez sur le bouton OK.
7.2.4. Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer.


7.3. Vérifiez que les évènements sont bien enregistrés dans le journal Système [SERVEUR]


7.3.1. Basculez vers l’Observateur d’évènements, puis visualisez le journal Système.
7.3.2. Vérifiez que des évènements concernant le redémarrage du service Routage et Accès Distant ont bien été enregistrés.
7.3.3. Quittez l’Observateur d’évènements.



7.4. Configurez l’enregistrement de la gestion des comptes [SERVEUR]


7.4.1. Lancez la console Routage et Accès Distant (vous pouvez utiliser le raccourci rrasmgmt.msc dans la boite de dialogue Exécuter)
7.4.2. Développez SERVEUR, puis Connexion par accès distant.
7.4.3. Faites un clic droit sur Fichier local, puis sélectionnez Propriétés.
7.4.4. Dans l’onglet Paramètres, côchez les cases Requêtes de gestion de comptes et Statut périodique.
7.4.5. Dans l’onglet Fichier journal, côchez la case Tous les jours, saisissez c:\vpnlog dans la zone de texte Répertoire, puis cliquez sur le bouton OK.
7.4.6. Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer.


7.5. Tentez d’établir la connexion VPN [XP]


7.5.1. Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab.
7.5.2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion.
7.5.3. Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion.
7.5.4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.
7.5.5. Faites un clic droit sur la connexion nommée Connexion de test au serveur VPN, puis sélectionnez Déconnecter.


7.6. Vérifiez que le fichier journal a bien été crée [SERVEUR]


7.6.1. Lancez l’Explorateur Windows
7.6.2. Vérifiez que le fichier journal a bel et bien été crée dans le répertoire c:\vpnlog.
7.6.3. Quittez l’Explorateur Windows.

8. Configuration de la journalisation pour les connexions L2TP/IPSec (facultatif)


8.1. Créez une stratégie de groupe activant l’audit des évènements liés à IPSec et aux connexions L2TP/IPSec [SERVEUR]


8.1.1. Lancez la console Gestion des stratégies de groupe (GPMC) en utilisant la combinaison de touches Alt + Tab.
8.1.2. Développez Forêt : entreprise.lan, Domaines, puis cliquez sur entreprise.lan.
8.1.3. Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau.
8.1.4. Dans la zone de texte Nom, entrez GPO_Audit des connexions L2TP, puis cliquez sur le bouton OK.
8.1.5. Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Audit des connexions L2TP, puis sélectionnez Modifier.
8.1.6. Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales, puis Stratégie d’audit.
8.1.7. Faites un clic droit sur Auditer les évènements de connexion, puis sélectionnez Propriétés.
8.1.8. Côchez les cases Définir ces paramètres de stratégie, Réussite et Echec, puis cliquez sur le bouton OK.
8.1.9. Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.


8.2. Liez et appliquez (option Ne pas passer outre) la GPO précédemment crée au niveau de l’unité d’organisation Domain Controllers à l’aide de la console GPMC [SERVEUR]


8.2.1. Dans la console GPMC, faites un clic droit sur l’OU Domain Controllers, puis sélectionnez Lier un objet de stratégie de groupe existant…
8.2.2. Dans la liste des GPOs de votre domaine, sélectionnez GPO_ Audit des connexions L2TP, puis cliquez sur le bouton OK.
8.2.3. Faites un clic droit sur le lien qui vient d’apparaître à côté de Default Domain Policy, puis sélectionnez Appliqué.
8.2.4. Quittez la console GPMC.


8.3. Rafraîchissez les paramètres de stratégies de groupe sur le serveur VPN à l’aide de la commande gpupdate.exe [SERVEUR]


8.3.1. Ouvrez le menu Démarrer puis sélectionnez Exécuter .
8.3.2. Saisissez la commande gpupdate.exe /force , puis cliquez sur le bouton OK.


8.4. Effacez tous les évènements du journal Sécurité à l’aide de l’observateur d’évènements [SERVEUR]


8.4.1. Lancez l’Observateur d’évènements (Démarrer / Outils d’administration)
8.4.2. Faites un clic droit sur le journal Sécurité, puis sélectionnez Effacer tous les évènements.
8.4.3. Cliquez sur le bouton Non pour ne pas enregistrer le journal Système.


8.5. Tentez d’établir la connexion VPN [XP]


8.5.1. Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab.
8.5.2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion.
8.5.3. Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion.
8.5.4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.


8.6. Vérifiez que des évènements en rapport avec la connexion L2TP/IPSec ont bien été enregistrés dans le journal Sécurité [SERVEUR]


8.6.1. Basculez vers l’Observateur d’évènements, puis visualisez le journal Sécurité (actualisez).
8.6.2. Vérifiez qu’un certain nombre d’évènements concernant la négociation de l’association de sécurité IPSec, l’établissement de la connexion L2TP et la demande d’authentification de l’utilisateur sont bien apparus !
8.6.3. Quittez l’Observateur d’évènements.


8.7. Activez l’enregistrement Oakley sur le serveur VPN (tres optionnel => pour debug)[SERVEUR]


8.7.1. Ouvrez le menu Démarrer, puis cliquez sur Exécuter .
8.7.2. Tapez regedit dans la boite de dialogue Exécuter, puis cliquez sur le bouton OK.
8.7.3. Dans l’Editeur de registre, développez HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley.
8.7.4. Faites un clic droit sur Oakley, pointez sur Nouveau/Valeur DWORD, nommez la EnableLogging.
8.7.5. Faites un clic droit sur la valeur DWORD EnableLogging, puis sélectionnez Modifier.
8.7.6. Entrez 1 dans la zone de texte Données de la valeur, puis cliquez sur le bouton OK.
8.7.7. Utilisez le menu Fichier / Quitter pour fermer l’Editeur de registre.
8.7.8. Ouvrez la console de Routage et Accès distant, cliquez droit sur SERVEUR, puis sélectionnez Propriétés.
8.7.9. Dans l’onglet Enregistrement cochez la case Enregistrer les information d’Accès à distance et routage supplémentaires (utilisées pour le débogage).



8.8. Relancez le service Routage et Accès Distant et vérifiez qu’un nouveau journal nommé oakley.log est apparut [SERVEUR]


8.8.1. Basculez vers la console Routage et Accès distant.
8.8.2. Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer.
8.8.3. A l’aide de l’Explorateur Windows visualisez le contenu du dossier %SYSTEMROOT%\Debug.
8.8.4. Quittez l’Explorateur Windows

Conclusion

Ce tutorial a été testé et marche parfaitement, si vous avez rencontré des problèmes veuillez reprendre la configuration au début (je sais que cela peut paraitre très fastidieux), sinon si vous n'y arrivez pas vous pouvez aller sur le forum du labo Microsoft http://www.forum-microsoft.org/ ou m'envoyé un mail à parpins@supinfo.com. Notez que grâce à ce tutorial vous pourrez aussi éviter d'avoir à créer un tunnel SSH de l'entreprise à chez vous pour palier au problème de fermeture de port (service internet indisponible ex: jeux, ftp, warez, vnc, bureau à distance)

Merci ca roxx !