• Windows Server
  • VPN, Routage
  • 1/3

Lorsque l'on possède des bureaux dans différents pays, il est parfois intéressant de pouvoir accéder aux données hébergées à un autre endroit dans le monde.
Pour cela, nous allons utiliser le système des passerelles VPN.

Info : en entreprise, il est possible d'utiliser des technologies IP VPN disponibles chez certains opérateurs : IP VPN chez Orange (schéma dispo ici) ou SD-WAN chez Interoute (GTT) par exemple.
Si vous consultez le WHOIS de l'adresse IP publique de votre entreprise dans le cas de l'IP VPN, vous verrez par exemple ceci "[nom du pays] [nom de la ville] Customer P2p Interface Addresses In [code à 2 lettres du pays]" pour la localisation de votre adresse IP.

Dans ce tutoriel, nous allons prendre l'exemple d'une société qui serait implémentée en Belgique (avec un bureau à Bruxelles) et qui possèderait aussi un autre bureau en France (à Paris).

Note : si vous souhaitez mieux connaitre la technologie VPN, consultez notre précédent tutoriel : Windows Server 2012 - Routage et serveur VPN

  1. Configuration réseau utilisée
  2. Configuration des pare-feu matériels
  3. Installation du serveur VPN et du routeur
  4. Configuration du serveur VPN et du routeur
  5. Création et configuration des passerelles VPN
    1. Création des utilisateurs
    2. Connexion du site 1 (Bruxelles) au site 2 (Paris)
    3. Connexion du site 2 (Paris) au site 1 (Bruxelles)
  6. Routage statique pour ordinateurs des réseaux locaux
    1. Routage statique en ligne de commandes
    2. Routage statique via les stratégies de groupe (GPO)
  7. Test des passerelles VPN
  8. Configuration des passerelles VPN pour utiliser L2TP/IKEv2
  9. Test des passerelles VPN (via L2TP/IKEv2)

1. Configuration réseau utilisée

Pour implémenter cette solution et correspondre au mieux à la configuration d'un réseau réel d'entreprise, voici la configuration réseau que nous avons utilisée :

  • 1 serveur Active Directory dans chaque réseau (le rôle Active Directory doit déjà être configuré sur ces serveurs)
  • 1 serveur dans chaque réseau avec les DHCP (déjà installé), VPN et routeur (ces serveurs possèdent donc 2 cartes réseau : 1 pour le réseau LAN et l'autre connecté à Internet)

Les serveurs VPN1 et VPN2 serviront de passerelles VPN, mais aussi de routeurs pour les machines de nos intranets (réseaux locaux).

Important : pour pouvoir accéder aux serveurs du réseau interne, ainsi qu'à ceux du réseau distant, il est recommandé d'utiliser des adresses IP différentes sur ces 2 réseaux. En effet, grâce à la connexion VPN, toutes les machines des 2 réseaux se retrouveront sur un même réseau.
Comme vous pouvez le voir sur l'image ci-dessous, chaque serveur possède une adresse IP LAN unique. Par exemple : 10.0.1.10 pour le contrôleur de domaine (Active Directory) du 1er réseau et 10.0.2.10 pour celui du réseau distant.

Pour la configuration des serveurs DHCP, voici leurs configurations :

  • le serveur DHCP du 1er réseau (serveur VPN1 sur l'image ci-dessus) distribue des adresses IP de 10.0.1.20 à 10.0.1.30 avec un masque de sous-réseau de 255.255.255.0
  • le serveur DHCP du 2ème réseau (serveur VPN2 sur l'image ci-dessus) distribue des adresses IP de 10.0.2.20 à 10.0.2.30 avec un masque de sous-réseau de 255.255.255.0

Pour les options de l'étendue, nous utiliserons les options / valeurs suivantes.

Pour le serveur DHCP du 1er réseau :

  • 003 Routeur : 10.0.1.11 (adresse IP du serveur VPN1)
  • 006 Serveur DNS : 10.0.1.10 (adresse IP du serveur Active Directory)
  • 015 Nom de domaine DNS : nom de domaine local choisi lors de la création de votre Active Directory.

Pour le serveur DHCP du 2ème réseau :

  • 003 Routeur : 10.0.2.11 (adresse IP du serveur VPN2)
  • 006 Serveur DNS : 10.0.2.10 (adresse IP du serveur Active Directory)
  • 015 Nom de domaine DNS : nom de domaine local choisi lors de la création de votre Active Directory.

2. Configuration des pare-feu matériels

Etant donné que le système de passerelles VPN vous permettra de relier plusieurs réseaux distants en un seul réseau, il sera peut-être nécessaire de configurer les pare-feu matériels qui seraient présent entre votre réseau et Internet. C'est le cas notamment dans les grosses sociétés.

Attention : ceci ne concerne pas le pare-feu de Windows qui est, par défaut, configuré correctement pour autoriser les connexions VPN PPTP et L2TP que nous utiliserons dans ce tutoriel.

Pour connaitre les ports à débloquer (selon votre configuration), consultez la page "Which ports to unblock for VPN traffic to pass-through ?" créée par Samir Jain sur le Technet de Microsoft.

3. Installation du serveur VPN et du routeur

Pour installer le serveur VPN et le routeur, lancez l'assistant d'ajout de rôles et de fonctionnalités et sélectionnez "Installation basée sur un rôle ou une fonctionnalité".

Important : ceci est à effectuer sur vos 2 serveurs (VPN1 et VPN2).

Sélectionnez votre serveur et cliquez sur "Suivant".

Cochez la case "Accès à distance" et cliquez sur Suivant.

Cochez les cases "DirectAccess et VPN (accès à distance)" pour l'installation de la passerelle VPN et "Routage" pour le routeur.

Cliquez sur Installer.

L'installation s'effectue.

A la fin de l'installation, cliquez sur le lien "Ouvrir l'Assistant de Mise en route".

4. Configuration du serveur VPN et du routeur

Cliquez sur "Déployer VPN uniquement".

Important : ceci est à effectuer sur vos 2 serveurs (VPN1 et VPN2).

Faites un clic droit sur le nom de votre serveur et cliquez sur "Configurer et activer le routage et l'accès à distance".

L'assistant d'installation d'un serveur Routage et accès distant s'affiche.

Sélectionnez "Accès VPN (Virtual Private Network) et NAT" et cliquez sur "Suivant".

Sélectionnez l'interface (la carte réseau) de votre serveur connectée à Internet.

Note : comme vous pouvez le voir, nous avions déjà renommé nos cartes réseau en LAN et WAN pour savoir quelle carte réseau est connectée à Internet et quelle carte réseau est connectée au réseau interne.

Sélectionnez "Automatiquement" pour que votre serveur DHCP distribue les adresses IP aux clients du serveur VPN.

Choisissez "Non, utiliser Routage et accès distant pour authentifier les demandes de connexion".
En choisissant cette option, ce serveur utilisera votre Active Directory pour authentifier vos utilisateurs.

L'assistant vous affiche un résumé de la configuration.

Windows vous affichera un message concernant la configuration de l'agent de relais DHCP.
Cliquez sur OK.

Le serveur initialise le serveur de routage et d'accès distant, puis démarrera les services nécessaires.

Pour terminer la configuration, allez dans IPv4 et faites un clic droit "Propriétés" sur "Agent de relais DHCP".

Indiquez l'adresse de votre serveur DHCP et cliquez sur Ajouter, puis OK.
Dans notre cas, pour notre serveur VPN1, il s'agit de l'adresse IP : 10.0.1.11

Pour notre serveur VPN2, il s'agit de l'adresse IP : 10.0.2.11

A voir également

Commentaires

  • macougueye
    Merci Beaucoup pour le tuto
    vraiment merci
    En fait chez nous nous utilisons une adresse IP Publique Dynamique avec la FAI
    est que y'a une alternative pour ça entre temps que boite négocie une Adresse Publique Statique????

    merci encore une fois
  • InformatiWeb
    Oui, vous pouvez utiliser le service gratuit noip comme expliqué sur cette page : Nom de domaine gratuit pour résoudre les problèmes d'adresses IP dynamiques
    Ensuite, pour mettre à jour automatiquement l'adresse IP de votre nom de domaine noip gratuit, il suffira d'utiliser le programme gratuit pour Windows (comme expliqué dans notre tuto cité ci-dessus) ou configurer votre routeur pour qu'il le fasse automatiquement (si votre routeur gère la mise à jour automatique des noms de domaines dynamiques).

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.