> Tech > Conseils et techniques

Conseils et techniques

Tech - Par iTPro - Publié le 24 juin 2010
email

Si vous avez déjà configuré System i de manière à permettre les clients en accès distant avec Windows XP ou Windows 2000 (en utilisant la clé prépartagée) pour se connecter à lui, la même configuration ne fonctionnera pas forcément pour Windows Vista. C’est vrai quand la configuration précédente a utilisé des algorithmes plus faibles tels que DES avec MD5.

 

Vérifiez si la Data Policy Proposal de votre System i utilise le MD5 Authentication Algorithm et DES-CBC Encryption Algorithm. Comme Windows Vista utilise des algorithmes plus puissants, la Data Policy Proposal sur System i devrait avoir un protocole ESP dans la page Data Policy Transform avec SHA Authentication Algorithm et 3DES-CBC.

 

Si vous suivez les étapes de cet article pour créer la configuration System i pour autoriser les clients en accès distant pour Windows Vista (en utilisant la clé prépartagée) de se connecter à lui, la même configuration fonctionnera pour Windows XP. La configuration L2TP et VPN par défaut dans l’exemple i5/OS crée la Data Policy avec SHA Authentication Algorithm et 3DES-CBC Encryption Algorithm. Windows XP proposera et supportera SHA avec 3DES. (Remarque : Cette même configuration devrait aussi fonctionner pour Windows 2000. Mais nous n’avons pas eu le temps de trouver une version dans notre labo pour cet article. Par ailleurs, vous voulez aussi être certains que Diffie- Hellman perfect forward secrecy n’est pas utilisé. Poursuivez la lecture pour plus de détails.)

 

Pendant le test en laboratoire, nous avons constaté que Windows XP ou Windows Vista par défaut n’utilisait pas Diffie-Hellman perfect forward secrecy. Le wizard i5/OS VPN New Connection crée par défaut une stratégie de données utilisant Diffie-Hellman perfect forward secrecy. La connexion échouera avec l’erreur TCP870C dans le job log QTOKVPNIKE quand Diffie-Hellman perfect forward secrecy est sélectionné sur i5/OS.

 

A partir de l’erreur TCP870C, vous devriez voir le G1 dans la stratégie locale pour i5/OS (ESP,3DES,3600SEC,G1,X PORT, SHA). G1 indique que le Diffie-Hellman Group 1 (768- bit MODP) est proposé. Vous devriez changer la i5/OS Data Policy pour désélectionner « Use Diffie-Hellman perfect forward secrecy ».

 

Par défaut, les IKE et AuthIP IPsec Keying Modules devraient démarrer automatiquement sur Windows Vista. S’ils ne sont pas en action, l’erreur suivante apparaîtra quand vous tenterez de vous connecter : Error 789 : The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

 

Pour établir les connexions L2TP/IPsec avec Windows Vista, vous devez démarrer les IKE and AuthIP Ipsec Keying Modules. Pour vérifier que les modules sont démarrés, procédez ainsi :

 

1. Dans le Control Panel, sélectionnez Administrative Tools.

 

2. Double-cliquez sur Services pour étendre la liste de services et défilez jusqu’à IKE and AuthIP IPsec Keying Modules. Vérifiez que l’état est démarré. Dans la négative, faites un clic droit dessus et sélectionnez Start.

Une fois que la connexion VPN est démarrée et que vous vous êtes connectés correctement au System i, vous risquez de rencontrer le problème suivant : le navigateur sur Windows Vista ne peut plus accéder à Internet pendant la durée de la connexion VPN au System i. C’est parce que le réglage TCP/IP sur Windows Vista indique qu’il faut utiliser la passerelle par défaut sur le réseau distant.

 

Quand cette option est sélectionnée sur Windows Vista, une nouvelle route par défaut qui utilise la connexion vers le serveur d’accès distant est ajoutée à la table de routage IP et se voit attribuer la mesure la plus basse. Une fois que la nouvelle route par défaut avec la mesure la plus basse est ajoutée, les emplacements sur Internet accessibles en utilisant la route par défaut originale ne seront plus accessibles (sauf s’ils sont accessibles via votre System i).

A une invite de commande, tapez netstat -r. A noter que la route par défaut (0.0.0.0) est associée à la nouvelle interface avec System i (en utilisant l’exemple de scénario précédent : 192.168.10.10) et que tout le trafic s’écoulera sur l’interface L2TP/VPN. Cela signifie que vous ne pouvez pas consulter Internet par la connexion Internet de votre PC quand votre VPN est connecté. Vous pouvez changer cette situation en faisant ceci :

 

1. Cliquez sur Start puis sélectionnez Network. Choisissez Network and Sharing Center.

 

2. Sélectionnez « Manager network connections » dans le panneau Tasks.

 

3. Faites un clic droit sur le VPN Connection (WAN Miniport L2TP) et sélectionnez Properties.

 

4. Sur la page VPN Connection Properties, ouvrez l’onglet Networkings.

 

5. Sélectionnez Internet Protocol Version 4 (TCP/IPv4) puis cliquez sur Properties.

6. Sur la page Internet Protocol Version 4 (TCP/IPv4), cliquez sur Advanced.

7. Sur la page Advanced TCP/IP Settings, désélectionnez « Use default gateway on remote network ».

 

La clé prépartagée est sensible à la casse (majuscules/minuscules). Si votre clé prépartagée est spécifiée avec une casse incorrecte, la connexion échouera avec l’erreur suivante dans le job log QTOKVPNIKE : TCP8 703 Preshared key authentication failed with remote system.

 

Veillez à ce que la clé prépartagée pour l’authentification spécifiée dans Windows Vista ait la même casse que la clé prépartagée configurée dans l’onglet Associations de la stratégie i5/OS IKE.

 

Si votre System i est sous la protection d’un pare-feu NAT (Network Address Translation) et par conséquent n’a pas une adresse globalement routable pour terminer le VPN, vous pouvez quand même utiliser de configuration, il vous faudra en savoir plus. Vous trouverez les détails nécessaires dans l’article « How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server ‘Longhorn’ » à support.microsoft. com/kb/926179.

 

Vous pouvez instaurer un contrôle d’accès très granulaire vers différents utilisateurs ou groupes d’utilisateurs, en spécifiant des Group Access Policies qui permettent ou refusent la retransmission IP et permettent ou refusent l’accès à des ports et adresses spécifiques avec l’utilisation des règles de paquets IP. Pour plus de détails, voir le scénario « Managing remote user access to resources using group policies and IP filtering » à l’IBM Info Center.

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro - Publié le 24 juin 2010