Routage et passerelles VPN sous Windows Server 2012

  • Windows Server
  • VPN, Routage
  • 3/3

6. Routage statique pour ordinateurs des réseaux locaux

Maintenant que nos 2 passerelles VPN sont configurées pour pouvoir accéder au réseau local du réseau distant, nos 2 serveurs VPN pourront accéder chacun à leur réseau local, ainsi qu'au réseau distant.
En effet, chaque serveur VPN connait déjà le chemin pour accéder au réseau distant grâce à la configuration de l'itinéraire distant.

Néanmoins, si la connexion à la demande n'est pas encore établie, les autres ordinateurs du réseau ne seront pas capables d'accéder aux machines du réseau distant, car ils ne sauront pas comment y accéder.
Pour résoudre ce problème, il suffira d'ajouter une route statique sur les ordinateurs de votre réseau local pour que ceux-ci sachent pour où ils devront passer.

Etant donné que votre serveur VPN (qui fait aussi office de routeur) sait qu'il doit utiliser sa connexion à la demande pour accéder au réseau distant, il suffira de dire aux ordinateurs du réseau qu'il suffit de lui demander.
Autrement dit, lorsqu'un ordinateur du réseau souhaitera accéder au réseau distant, il enverra ses paquets à votre routeur pour que celui-ci les envoie via la connexion à la demande.

Sur les ordinateurs du 1er réseau (qui possèdent des adresses IP commençant par 10.0.1), il suffira d'ajouter une route avec ces informations :

  • ID réseau : 10.0.2.0 (ID réseau du réseau distant / Réseau de Paris dans ce cas-ci)
  • masque de sous-réseau : 255.255.255.0 (car toutes les adresses IP commencent par 10.0.2)
  • l'adresse IP local (LAN) de votre routeur / serveur VPN : 10.0.1.11

Pour ajouter une route statique sur un ordinateur Windows, il y a plusieurs possibilités. Et notamment en ligne de commandes et via les stratégies de groupe de l'Active Directory.

6.1. Routage statique en ligne de commandes

Pour créer une route statique en ligne de commandes, il suffit d'utiliser la commande "route ADD" comme ceci :

Batch

route -p ADD 10.0.2.0 MASK 255.255.255.0 10.0.1.11

Note : le paramètre "-p" permet de conserver cette route, même après le redémarrage de l'ordinateur.

6.2. Routage statique via les stratégies de groupe (GPO)

Etant donné que l'utilisation d'un Active Directory et des stratégies de groupe sont incontournables en entreprise, nous allons configurer notre route statique via les stratégies de groupe (GPO).
Pour cela, lancez le programme "Gestion de stratégie de groupe", puis faites un clic droit "Modifier" sur la ligne "Default Domain Policy".

Ensuite, allez dans : Configuration ordinateur -> Stratégies -> Paramètres Windows -> Scripts (démarrage/arrêt).
Faites un double-clic sur "Démarrage".

Cliquez sur Ajouter.

Cliquez sur "Parcourir".

Par défaut, vous arriverez dans un dossier "Startup" vide.
Dans ce dossier, créez un fichier "add_route.bat" et collez la commande "route -p ADD ..." dans ce fichier.

Ensuite, sélectionnez ce fichier et cliquez sur "Ouvrir".

Cliquez sur OK.

Le script est ajouté.

Redémarrez les machines du réseau local en commençant par le serveur Active Directory.
A chaque démarrage de Windows, la commande sera automatiquement exécutée.

Si vous tapez la commande "route print" dans un invite de commandes, vous verrez que la route apparaitra dans la section "Itinéraires persistants".
Maintenant, Windows sait qu'il devra passer par le routeur (la passerelle) 10.0.1.11 pour accéder aux machines du réseau 10.0.2.0

Sur le serveur Active Directory du 2ème réseau, la commande sera un peu différente : route -p ADD 10.0.1.0 MASK 255.255.255.0 10.0.2.11

7. Test des passerelles VPN

Comme expliqué précédemment, il s'agit de connexion à la demande. Ce qui signifie que, par défaut, la connexion VPN n'est pas établie entre vos 2 sites distants (Bruxelles et Paris dans notre cas).

Pour que la connexion s'établisse, il suffit de tenter d'accéder à un serveur du réseau distant.
Pour cela, vous pouvez envoyer un ping au serveur distant ou tenter d'accéder à un serveur web installé sur un serveur du réseau distant.

Si vous testez ceci avec la commande ping, sachez que le ping est désactivé par défaut sous Windows Server.
Pour l'activer sur le serveur distant, allez sur ce serveur distant -> Panneau de configuration -> Système et sécurité -> Pare-feu Windows -> Paramètres avancés.

Ensuite, dans les règles de trafic entrant, activez les règles "Partage de fichiers et d'imprimantes (Demande d'écho - ICMPv4 entrant)" pour l'IPv4 et "Partage de fichiers et d'imprimantes (Demande d'écho - ICMPv6 entrant)" pour l'IPv6.

Ensuite, utilisez la commande ping en spécifiant l'adresse IP d'un serveur se trouvant sur le réseau distant.
Par exemple, depuis un serveur de notre 1er réseau, nous allons pinguer le serveur Active Directory de notre 2ème réseau (dont l'adresse IP est : 10.0.2.10).

Note : comme vous pouvez le voir sur l'image ci-dessous, les 2 premiers paquets ont été perdus, mais le reste des paquets ont été envoyés correctement au serveur distant.
En effet, étant donné que nous utilisons une connexion à la demande, il y a un délai pour l'établissement de cette connexion. Mais une fois la connexion établie, ce problème disparait.
Notez qu'il est aussi possible d'utiliser une connexion permanente comme vous le verrez plus tard dans ce tutoriel.

Maintenant, si vous retournez dans la console "Routage et accès distant" de votre serveur VPN, vous verrez que votre connexion à la demande est actuellement connectée.
Donc : le serveur VPN situé à Bruxelles est actuellement connecté au serveur VPN de Paris.

Sur le serveur distant, vous verrez qu'un client est actuellement connecté sur un port PPTP de votre serveur VPN

Sur votre serveur VPN distant, vous verrez que la connexion s'est effectuée aussi.
Donc : le serveur VPN situé à Paris est aussi connecté au serveur VPN de Bruxelles.

Si vous regardez sur votre serveur VPN1, vous verrez qu'il y a aussi un client connecté à un port PPTP de votre serveur VPN.

Pour le moment, vos 2 réseaux sont donc connectés l'un à l'autre via le protocole VPN PPTP.

8. Configuration des passerelles VPN pour utiliser L2TP/IKEv2

Etant donné que des informations sensibles transiteront via cette connexion VPN, il est préférable d'utiliser le protocole L2TP/IKEv2 pour mieux sécuriser la connexion.
En effet, grâce à IKEv2, vous pourrez sécuriser la connexion grâce à un mot de passe (une clé prépartagée) ou grâce à un certificat numérique (qui techniquement ne peut pas être piraté, à moins que le certificat ait été volé par un pirate).

Néanmoins, comme indiqué au début du tutoriel, cela nécessitera :

  • d'ouvrir les ports nécessaires (côté client et côté serveur) dans le ou les pare-feu matériels qui se trouveraient entre votre serveur VPN et Internet
  • ainsi que de rediriger les ports nécessaires (coté client et coté serveur) dans le ou les routeurs qui se trouveraient eux aussi entre votre serveur VPN et Internet

Bref, pour utiliser L2TP/IKEv2 au lieu du PPTP utilisé précédemment, faites un clic droit "Propriétés" sur votre interface de connexion à la demande.

Important : ceci est à effectuer sur vos 2 serveurs (VPN1 et VPN2).

Dans l'onglet "Sécurité", sélectionnez "Protocole L2TP (Layer 2 Tunneling Protocol) avec IPsec (L2TP/IPsec)".

Ensuite, cliquez sur le bouton "Paramètres avancés".

Pour utiliser un mot de passe, sélectionnez "Utiliser une clé prépartagée pour l'authentification" et tapez un mot de passe sécurisé (minuscules, majuscules, chiffres et caractères spéciaux).
Pour ce tutoriel, nous utiliserons le mot de passe "toto".

Ensuite, faites un clic droit sur le nom de votre serveur VPN et cliquez sur "Propriétés".

Dans l'onglet "Sécurité", cochez la case "Autoriser la stratégie IPsec personnalisée pour les connexions L2TP/IKEv2" et indiquez le même mot de passe.
Ensuite, cliquez sur OK.

Un avertissement s'affichera et vous demandera de redémarrer le serveur de Routage et accès à distance.

Faites un clic droit sur votre serveur et cliquez sur : Toutes les tâches -> Redémarrer.

Le serveur redémarre.

Maintenant, les connexions à la demande sont de nouveau déconnectées.

Note : si vous souhaitez que la connexion soit permanente, il suffit d'aller dans les propriétés de votre connexion à la demande.
Dans "Type de connexion", il vous suffira de sélectionner "Connexion permanente". Ainsi, la connexion restera connectée et sera automatiquement connectée après le démarrage du service Routage et accès distant.

9. Test des passerelles VPN (via L2TP/IKEv2)

Pour tester la connexion, le principe est le même.
Il suffit de pinguer un serveur du réseau distant.

Si votre configuration est correcte et que tout est configuré correctement (pare-feu matériels et routeurs), la connexion s'établira sans problème.

Sur le serveur VPN distant, vous verrez qu'un client est maintenant connecté sur un port L2TP de votre serveur VPN.

A voir également

Commentaires

Afficher les 2 commentaires

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.