Best of Trucs & Astuces : connexion VPN, ADM Template, DNS…

Q : Je veux créer une connexion VPN de site à site, de notre agence au datacenter, en utilisant RRAS sur notre serveur Windows. Notre pare-feu/routeur large bande laisse passer les connexions PPTP sortantes et je crois avoir bien configuré le VPN de site à site sur les serveurs RRAS de l’agence et du datacenter. Mais je ne sais pas comment faire pour que les PC de notre réseau d’agences utilisent le serveur RRAS pour communiquer avec les serveurs du datacenter, et le pare-feu pour accéder à Internet. Bien souvent, le serveur VPN est aussi le routeur connectant le LAN à Internet. Pour d’autres raisons stratégiques, je ne peux pas remplacer le routeur par un serveur Windows. Comment puis-je résoudre ce problème ?

R : Vous devez faire deux autres choses. Tout d’abord, configurer votre routeur/ pare-feu de manière à acheminer le trafic destiné au datacenter et au réseau d’agences locales, par l’intermédiaire de votre serveur RRAS local plutôt que directement par Internet. Pour cela, vous devez connaître les sous-réseaux du datacenter avec lesquels vos ordinateurs locaux doivent communiquer. Ensuite ajoutez quelques règles de routage au pare-feu afin qu’il envoie au serveur VPN les paquets adressés à ces subnets. Lors de la mise en place de votre VPN de site à site en utilisant l’aide Windows, vous devriez avoir déjà ajouté une ou plusieurs routes statiques pour les mêmes subnets qui acheminent un tel trafic sur la connexion VPN. La figure 1 montre une impression d’écran de la route définie sur mon pare-feu local qui achemine le trafic destiné à mon autre bureau par l’intermédiaire de 10.42.42.40 – l’adresse de mon serveur VPN local.

Cette règle étant configurée, chaque fois que le routeur verra un paquet destiné au datacenter, il le relaiera vers votre serveur RRAS local. Le serveur RRAS l’encapsule dans un paquet PPTP et le renvoie vers le pare-feu et vers l’extérieur par Internet. Sachez aussi que vous auriez pu reconfigurer votre serveur DHCP d’agence pour configurer des clients DHCP de manière à remplacer le routeur comme passerelle par défaut avec votre serveur RRAS. Dans ce cas, le serveur RRAS recevrait chaque paquet d’abord et l’acheminerait directement vers Internet via le pare-feu ou d’abord par la connexion VPN, selon le cas. Je préfère garder le routeur comme passerelle par défaut parce que si le serveur RRAS local tombe en panne, les utilisateurs peuvent continuer à accéder à Internet : ils ne le pourraient pas si le serveur RRAS était la passerelle par défaut.

Il vous faudra aussi probablement changer la manière dont les ordinateurs de l’agence résolvent les requêtes DNS. Actuellement, votre serveur DHCP configure sans aucun doute les ordinateurs pour utiliser le routeur comme leur serveur DNS primaire. Par conséquent, les requêtes DNS pour les serveurs de votre datacenter seront non résolues à moins de configurer le pare-feu pour essayer de résoudre les requêtes DNS d’abord par rapport à un serveur DNS interne du datacenter via votre VPN de site à site. Mais, plus probablement, vous devrez configurer le serveur RRAS local comme serveur DNS primaire pour votre LAN d’agence.

Après avoir installé DNS sur votre serveur RRAS, vous créerez deux entrées de retransmission afin que le serveur retransmette d’abord toutes les requêtes DNS vers un serveur DNS interne au datacenter, puis retransmette les éventuelles requêtes non résolues vers votre pare-feu. Il vous faudra aussi configurer le serveur DHCP de manière à spécifier votre pare-feu comme serveur DNS alterné pour le LAN d’agence. Après quoi, si le serveur RRAS tombe en panne, les ordinateurs de l’agence pourront continuer à obtenir des requêtes DNS pour les sites Internet résolus, préservant l’accès Internet.

Par Randy Franklin Smith