Routage et serveur VPN sous Windows Server 2012

7. NPS (Network Policy Server)

NPS est un serveur permettant de créer des stratégies réseau et des filtres IP.

Pour lancer NPS, allez dans la console "Routage et accès distant", faites un clic droit sur "Connexion et stratégies d'accès à distance", puis cliquez sur "Lancer NPS".

Une version simplifiée du serveur NPS s'affichera.
Comme vous pouvez le voir, NPS est composé de 3 parties :

• Gestion (gestion du réseau, NAP, ...) : on ne l'utilisera pas dans ce tuto
• Stratégie réseau : permet de choisir qui peut et qui ne peut pas accéder au réseau, se connecter au serveur VPN, ... selon de nombreuses conditions.
• Filtres IP : permet d'autoriser et/ou bloquer certains protocoles et/ou certains ports.

7.1. Filtres IP

Pour commencer, nous allons créer un filtre permettant de bloquer l'accès aux serveurs FTP.
Pour cela, faites un clic droit sur "Filtres IP" et cliquez sur "Nouveau".
Notez que ces filtres serviront uniquement de modèles et pourront ensuite être liés aux stratégies réseau que vous créerez. Si ces filtres ne sont pas liés à une stratégie réseau, alors ils ne serviront à rien.

Note : ce filtre ne serait probablement pas utile en production, mais le but est simplement de vous donner un exemple de filtre pour que vous puissiez créer vos propres filtres plus tard.

Lorsque vous créez un nouveau modèle de filtre IP, vous pourrez créer des règles en entrée et en sortie en IPv4 et/ou en IPv6.

Etant donné que les serveurs FTP écoutent sur le port 21, lorsqu'un utilisateur tentera d'accéder à un serveur FTP via notre serveur VPN, sa requête passera via notre serveur.
Il s'agit donc d'un trafic entrant.

Pour bloquer l'accès aux serveurs FTP, nous allons bloquer le port 21 pour le trafic entrant.
Grâce à ce filtre, la requête sera bloquée sur notre serveur et n'en sortira pas.

Cliquez sur "Nouveau" pour ajouter une règle.

Comme vous pouvez le voir, NPS vous permet de choisir entre différents protocoles.
Et notamment :

• TCP : mode connecté (serveurs web, serveurs FTP, ...)
• UDP : mode déconnecté (serveurs DNS, jeux vidéo multi-joueurs, ...)
• ICMP : pour le ping

Dans notre cas, nous allons donc indiquer :

• Protocole : TCP
• Port de destination : 21 (port par défaut du protocole FTP)

Pour bloquer le trafic correspondant au filtre que nous venons d'ajouter, nous allons sélectionner "Ne pas autoriser les trafics sauf ceux listés ci-dessous".
Notez que la traduction française de cette option est incorrecte. En effet, dans la version anglaise, cette phrase est "Do not permit packets listed below". Ce qui signifie "Ne pas autoriser les paquets listés ci-dessous".

Attention : si vous souhaitez créer un filtre pour autoriser uniquement certains protocoles, n'oubliez pas d'autoriser les protocoles système (exemples : UDP 53 pour les DNS, ...).

N'oubliez pas de faire la même chose pour le trafic en IPv6 si vous supportez l'IPv6 dans votre réseau.
Pour finir, cliquez sur OK.

Pour le moment, nous avons notre nouveau modèle de filtres IP.
Néanmoins, celui-ci ne sera pas utilisé par NPS tant que nous ne l'aurons pas lié à au moins une stratégie réseau.

7.2. Stratégies réseau

Comme vous pouvez le voir, par défaut, il y a 2 stratégies de sécurité qui refuse l'accès.
Autrement dit, pour le moment, aucun de vos utilisateurs ne peut se connecter à votre serveur VPN (a moins de lui avoir accordé manuellement l'accès dans son compte utilisateur).

Pour autoriser les utilisateurs de l'Active Directory (ou d'un groupe spécifique) à se connecter à notre serveur VPN, nous allons créer une nouvelle stratégie réseau.
Pour cela, faites un clic droit sur "Stratégies réseau" et cliquez sur "Nouveau".

Indiquez un nom pour cette nouvelle stratégie réseau et sélectionnez "Serveur d'accès à distance (VPN-Dial-up)" pour le type de serveur d'accès réseau.

La stratégie réseau sera appliquée aux ordinateurs et/ou utilisateurs qui correspondent aux conditions listées ci-dessous.
Pour l'instant, cette liste est vide.
Cliquez sur "Ajouter".

Pour ce tutoriel, nous allons simplement autoriser les utilisateurs de l'Active Directory à se connecter à notre serveur VPN.
Pour cela, nous sélectionnons "Groupes d'utilisateurs" et nous cliquons sur "Ajouter".

Parmi les conditions proposées, vous trouverez :

• les groupes : Groupes Windows, groupes d'ordinateurs, groupes d'utilisateurs.
• HCAP : les groupes d'emplacements et d'utilisateurs HCAP.
• les restrictions horaires : jours et heures.
• la connexion réseau : adresse IP du client (v4 et v6), type d'authentification, protocoles EAP autorisés, type de tunnel, ...
• clients RADIUS : ID de la station appelante, nom ou IP du client, fournisseur client et fournisseur MS-RAS.
• la passerelle : ID de la station appelante, ID NAS, IP NAS, type de port NAS.

Cliquez sur "Ajouter des groupes".

Pour autoriser les utilisateurs de notre Active Directory, nous allons ajouter le groupe "Utilisateurs du domaine".

Note : pour faire une recherche, cliquez "Avancé".

Maintenant, cette stratégie de sécurité s'appliquera aux utilisateurs du domaine.
Cliquez sur Suivant.

Sélectionnez "Accès accordé" et cliquez sur Suivant.

Pour les protocoles EAP, cliquez sur Ajouter.

Comme indiqué sur le Technet de Microsoft :

• Windows utilise EAP pour authentifier les connexions PPP (Point-to-Point Protocol) pour les accès réseau.
• Pour le EAP-MSCHAP version 2, il s'agit d'un protocole d'authentification PPP.

Ajoutez ces protocoles (PEAP et EAP-MSCHAP) un par un.

Ensuite, cliquez sur Suivant.

Pour la partie contrainte, vous pourrez notamment définir un temps d'inactivité après lequel la connexion sera automatiquement fermée.
Vous pourrez aussi définir des restrictions relatives à la date et à l'heure.

Pour les paramètres, vous trouverez notamment l'onglet "Filtres IP" où vous pourrez utiliser un filtre créé auparavant.
Dans notre cas, nous allons utiliser notre filtre "Bloquage FTP". Ce qui bloquera l'accès aux serveurs FTP pour les utilisateurs se connectant à notre serveur VPN.

Attention :
- lorsque vous sélectionnez un filtre, vous pourrez consulter ses règles en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie", mais vous ne pourrez pas en modifier ses règles. Ni en ajouter.
- si vous sélectionnez un filtre, puis que vous sélectionnez "Aucun", l'assistant gardera une copie des règles pour la stratégie réseau en cours de création ou de modification. N'oubliez pas de les retirer manuellement en cliquant sur les boutons "Filtres d'entrée" et "Filtres de sortie" si vous vouliez les enlever complètement.
- si vous souhaitez ajouter ou modifier des règles en utilisant un modèle de filtre IP, alors sélectionnez le filtre souhaité, puis sélectionnez "Aucun". Vous pourrez ainsi ajouter, modifier et supprimer des règles via les boutons : "Filtres d'entrée" et "Filtres de sortie".

Comme vous pouvez le voir, en sélectionnant un filtre IP, vous pouvez consulter ses règles, mais pas les modifier.

L'assistant vous affiche un résumé de votre stratégie réseau.
Cliquez sur Terminer.

Notre stratégie réseau est créée.

8. Client VPN

8.1. Configuration

Maintenant que notre serveur est entièrement configuré, nous allons tenter de nous connecter à notre serveur VPN.
Pour cela, sous Windows 7, faites un clic droit sur l'icône réseau présente dans la barre des tâches et cliquez sur "Ouvrir le Centre Réseau et partage".

Ensuite, cliquez sur le lien "Configurer une nouvelle connexion ou un nouveau réseau".

Sélectionnez "Connexion à votre espace de travail" et cliquez sur Suivant.

Cliquez sur "Utiliser ma connexion Internet (VPN)".

Note : l'option "Appeler directement" permet de créer une connexion réseau en appelant directement un numéro de téléphone via un modem, mais cela coûte très cher.

Indiquer l'adresse IP externe de votre serveur VPN.

Utilisez les identifiants d'un utilisateur autorisé à se connecter à votre serveur VPN.
Dans notre cas, un utilisateur de l'Active Directory.

Notez que nous avons utilisé le format [Nom du domaine]\[Nom de l'utilisateur]

Ensuite, Windows va tenter de se connecter en essayant un par un les différents types de VPN existant (IKEv2, PPTP, L2TP et SSTP).

Si votre serveur est bien configuré, la connexion s'établira correctement.

Si vous regardez dans vos connexions réseau, vous verrez qu'une nouvelle connexion réseau a apparue.
Il s'agit de votre connexion VPN.

En consultant les détails de cette connexion réseau, vous verrez que nous avons bien reçu une adresse IP 10.0.0.x de notre serveur DHCP.
Et que ce PC utilisera le serveur DNS 10.0.0.10 du réseau de notre entreprise.

Si Windows vous demande de choisir un emplacement réseau, sélectionnez "Bureau".

8.2. Propriétés

Si vous regardez dans les propriétés de cette connexion réseau, vous pourrez modifier certaines options intéressantes.

Notamment, l'adresse IP du serveur VPN dans l'onglet Général.

Le type de réseau VPN à utiliser (dans l'onglet "Sécurité").

Notez que le protocole SSTP est le plus utilisé si vous vous déplacez souvent, car ce protocole ne nécessite pas d'ouverture de port ni de redirection de port dans le routeur.
En effet, étant donné que le SSTP est un VPN sécurisé via SSL, il utilise le port 443 (port de destination). Port qui est ouvert par défaut dans tous les pare-feu, sinon vous n'auriez pas accès aux sites en HTTPS.

Dans l'onglet "Gestion de réseau", vous trouverez la configuration TCP/IP (IPv4 et IPv6).
Cliquez sur "Propriétés".

Par défaut, vous recevez automatiquement une adresse IP et l'adresse des serveurs DNS depuis le serveur DHCP de votre entreprise.
Cliquez sur Avancé.

Pour finir, dans l'onglet "Paramètres IP", vous verrez que Windows utilisera la passerelle par défaut pour le réseau distant.
Comme indiqué dans le texte de cette fenêtre, cela signifie qu'en cochant cette case, vous aurez accès à Internet via la passerelle du réseau de votre entreprise.

Autrement dit, quand vous serez connecté au réseau de votre entreprise via votre connexion VPN, vous bénéficierez aussi des stratégies réseau, des pare-feu matériels, ... du réseau de votre entreprise. Comme c'est le cas, lorsque vous êtes physiquement dans votre entreprise.

8.3. Test

Si votre serveur est correctement configuré, vous aurez accès à Internet.

Vous aurez aussi accès aux sites de l'intranet de votre entreprise.

Note : si vous n'y avez pas accès, c'est que votre serveur DHCP n'est pas configuré pour envoyer l'adresse IP de votre serveur DNS (présent sur le même serveur que votre Active Directory) aux ordinateurs de votre réseau (et donc aussi aux clients de votre serveur VPN).

Pour les serveurs FTP, vous n'y aurez pas accès si vous avez créé le même filtre que nous.

Mais à partir d'un ordinateur normal, vous verrez que ce serveur FTP existe bien.
Note : il s'agit d'un serveur FTP public utilisé par SpeedTest pour tester le débit de votre connexion Internet.