> Tech > Mettre en place le serveur VPN

Mettre en place le serveur VPN

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Après avoir configuré CA et IAS, vous pouvez mettre en place le serveur VPN. Il doit avoir deux adaptateurs réseau. Connectez un adaptateur à  l'intranet et laissez l'autre déconnecté - pour des raisons de sécurité, nous ne connecterons le second adaptateur à  Internet qu'après l'avoir verrouillé. Installez Windows 2003 avec

les paramètres par
défaut (nous les ajusterons plus tard)
et entrez un mot de passe long et difficile
à  deviner pour le compte Administrator
local. Pendant la mise en
place, laissez le serveur obtenir une
adresse DHCP, puis joignez l’ordinateur
à  votre domaine. Une fois l’installation
terminée, connectez-vous comme
un administrateur de domaine.
Ouvrez le dossier Network Connections
et renommez les adaptateurs réseau
de manière à  pouvoir facilement
distinguer les connexions Internet et
intranet. Ensuite, configurez les
connexions intranet avec une adresse
IP statique et le subnet approprié,
DNS, et la passerelle par défaut. Vous
pouvez utiliser DHCP pour votre serveur
VPN sur l’intranet, mais la configuration
est plus complexe et Microsoft recommande d’utiliser une
adresse statique. Ensuite, configurez la
connexion Internet avec l’adresse IP, le
subnet, et la passerelle par défaut appropriés,
tels que votre FAI (ISP) vous
les a fournis. Si vous le voulez, vous
pouvez connecter un hub au côté
Internet du serveur VPN, puis connecter
un autre ordinateur pour simuler
Internet. Si vous donnez à  l’ordinateur
une adresse dans le même subnet que
votre serveur VPN, vous pourrez utiliser
cet ordinateur comme client de test
et effectuer des balayages de ports ou
appliquer des scanners de vulnérabilité
à  votre serveur VPN après avoir verrouillé
le serveur, à  titre de dernière vérification
avant de le connecter à 
Internet.
Après avoir configuré les adaptateurs
réseau, il faut établir Routing and
Remote Access. Ouvrez le snap-in
Routing and Remote Access, faites un
clic droit sur le serveur que vous voulez
utiliser pour Routing and Remote
Access, puis sélectionnez Configure
and Enable Routing and Remote
Access pour démarrer le
Routing and Remote Access
Server Setup Wizard. Sélectionnez
Remote access (dialup
or VPN) puis cliquez sur
Next. Sur l’écran Remote
Access, cochez la case VPN,
décochez la case Dial-up, puis
cliquez sur Next. Sur l’écran
VPN Connection, illustré figure
3, sélectionnez la connexion
Internet, cochez la
case Enable security on the selected
interface by setting up
static packet filters puis cliquez
sur Next. Sur l’écran IP
Address Assignment, spécifiez
comment le serveur VPN attribuera
les adresses IP à  partir de votre
intranet aux clients VPN. Deux choix
sont possibles : le serveur peut louer
une adresse à  partir de votre serveur
DHCP pour votre compte, ou le serveur
VPN peut attribuer une adresse IP
à  partir d’une plage d’adresses que
vous réservez sur votre réseau pour les
clients VPN. L’utilisation de DHCP est
la méthode la plus simple. Toutefois, il
peut être intéressant d’utiliser une
plage d’adresses réservée pour deux
raisons. Premièrement, vous pourrez
identifier aisément tout trafic client
VPN sur votre intranet, simplement par
l’adresse IP source (tandis que si vous
utilisez DHCP, vos adresses client VPN
seront mélangées avec vos clients LAN
locaux). Deuxièmement, si vous voulez
protéger mieux encore certains serveurs
sensibles du réseau, pour les
mettre hors d’atteinte des utilisateurs
distants entrant dans le réseau au
moyen du VPN, vous pouvez configurer
des filtres de paquets sur ces ordinateurs,
qui bloquent les paquets provenant
de la plage de clients VPN.
Ainsi, si quelqu’un utilise votre serveur
VPN pour s’introduire dans votre intranet,
il ne pourra pas attaquer directement
vos serveurs sensibles. Après
avoir fait votre choix, cliquez sur Next.
Si vous choisissez d’attribuer une
plage d’adresses, le wizard vous invitera
à  entrer celle-ci. Sinon, il vous demandera
si vous voulez authentifier en
utilisant Routing and Remote Access
ou un serveur RADIUS. Pendant que je
préparais cet article, j’ai choisi initialement
d’utiliser Routing and Remote
Access pour éviter d’ajouter un autre
composant au mix. Mais le choix a provoqué
quelques erreurs d’authentification
qui ont disparu quand j’ai opté
pour un serveur RADIUS. Choisissez
RADIUS puis cliquez sur Next. Le wizard
vous demande le nom DNS de
votre serveur RADIUS et le secret partagé.
Dans notre exemple, j’ai utilisé le
nom DC, ad1.ad.local, qui est la machine
sur laquelle j’ai installé IAS, et le
secret partagé que j’avais entré auparavant
sur le serveur IAS. Si vous voulez
vous prémunir contre les pannes de
VPN consécutives à  celles d’un DC,
vous pouvez installer et configurer IAS
sur un autre DC et y spécifier le DC
comme le serveur Alternate RADIUS.
Cliquez sur Next et examinez le résumé
du wizard. Quand vous cliquerez sur
Finish, Win2K démarrera le Routing
and Remote Access.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010