VPN entre un W2KP et..
Transcription
VPN entre un W2KP et..
VPN entre un W2K Professional et un domaine W2K Installation du Terminal Server. Version 1.1 Définition du VPN http://www.guill.net/reseaux/Vpn.html But de la configuration Ouvrir un VPN (Virtual Private Network) entre un domaine W2K connecté sur Internet par un router Zyxel et un PC W2K Professional connecté en dial-up sur Internet. Ceci permet d’ouvrir un tuyau virtuel entre ces 2 systèmes et de se connecter à distance sur tous les PC du LAN afin de transférer des fichiers et, par exemple, permettre une gestion à distance du serveur par le terminal Serveur (TS). Les informations ci-dessous correspondent à une connection vers un Domaine 2000. L’active Directory (AD) oblige le RAS serveur.Une connection vers un member serveur 2000 sera différente et un peux plus simple.. Teste de la configuration L’ensemble de ces explications, c’est à dire le VPN, le RAS, IPSEC peuvent-être simulés sur le LAN sans avoir recours à Internet. Sécurité Pour une installation personnelle la sécurité du VPN peut-être jugée suffisante l’encapsulation des data par L2TP par défaut sur W2K ou PPTP. Si nécessaire il est possible d’ajouter IPSec (IP sécurité) sur touts les PC afin d’augmenter la sécurité L’autentification se faisant par MS-CHAP v2 ou par MS-CHAP. Les data sont en plus en cryptée à 128 bits en choisissant Stongest dans les Policy du RAS. Configuration utilisée W2K SP2 pour le serveur et professionnel. W2K Serveur, Domain Controler (DC) 192.168.0.1 (fixe). Range du LAN 192.168.0.1 – 192.168.0.99 Range alloué au VPN 192.168.0.100 – 192.168.0.110 Netmask 255.255.255.0 RAS sur le DC. Router Zyxel 642r, sans adressage d’adresse par DHCP. Ip provider dynamique. Utilisation de http://www.dyndns.org/ et http://www.directupdate.net/ pour la création d’un nom de domaine privé ayant l’adresse IP fournie par le Provider. Le compte d’utilisateur, le mot de passe sont cryptés. Les data sont cryptées avec une clef à 128 bits et compressées. Autres PC Internet W2K DC Server & RAS HUB Zyxel 642 Provider X Provider Y W2K Prof. Dial-Up Configuration du router Dans le menu 15 (SUA) configurer le port 1723 (PPTP) et l’adresse du serveur RAS. Dans ce cas 192.168.0.1 Pour plus d’infos : http://regard.ca.tc/Documentation/Support_Notes/app/pptp.htm Configuration de DirectUpDate Afin de garantir une résolution du nom de domaine sans trop de problème ajuster cette application pour quelle teste l’adresse Ip toutes les minutes. Configuration du W2K DC pour l’installation du RAS Start – Control Panel – Adminstrative Tools – Routing and Remote Acces. Dans la fenêtre Routing and Remote Access click sur Serveur Status - click droit Add server – choisir This computer. Click droit sur le nouveau serveur Configure and Enable Routing and Remote Access. Next. Click Remote Access server. Next. Next Click from a Specified range of IP adresses . Click New et entrer pour le start Ip adress 192.168.0.100 et 10 dans Number of IP adressses. (Le système allouera ces Ip adreeses aux stations se connectant via le VPN). Next. Click No, I don’t want to set up …. Next. Finish. Click OK. Dans la fenêtre Routing and Remote Acces. Le nom du serveur doit avoir un petit signe vert. Click sur Ports, il doit y avoir 4 ports PPTP et 4 ports L2TP. Click sur Remote Access Policy. 2x click sur Allow access if dial-in permission is enabled. Click sur Grant remote access permission. Click Edit profile. Click Authentification et s’assurer que Ms-Chap v2 et Ms-Chap sont activés. Click Encryption et s’assurer que Strongest est activé (128 bits). Click sur Ip et s’assurer que Server settings define policy est activé. Click sur Ok. Laisser cette fenêtre ouverte. Configuration des comptes utilisateurs voulant faire du VPN. S’assurer que les comptes qui ont été créés pour faire du VPN au moyen de Active Directory Users and Computer soient autorisés aux dial-in. Ouvrir un compte – dial-in - Allow Access. Utiliser un password compliqué pour ces comptes. Configuration du PC W2K Professional appelant sur Internet Une connection Internet doit être déjà établie avant de continuer. Dans le cas présent j’ai utilisé une connection en mode Dial-Up. L’adresse IP LAN de ce PC n’a aucune importance car le VPN va automatiquement lui allouer une deuxième adresse selon le range défini plus haut. Configuration du VPN sur le W2k Professional Click droit sur My Network Place. Properties. Make a new connection. Next. Click sur Connect to a private network through the Internet Click sur Automatically dial this initial connection (le nom de la connection de dialUp. Next. Entrer le nom de domaine donné par www.dyndns.org ou l’adresse Ip du router Zyxel. Next. Click sur For all users. Next. Entrer un nom pour cette connection VPN. Click sur Finish. Dans la nouvelle fenêtre Connect Virtual Privat Network connection click sur Properties. Click sur Security et s’assurer que Require data encryption est activé. Entrer le compte et le password utilisé pour le VPN et click sur Connect. Ouverture de la session VPN Selon les cas il faut compter de 5 à 30 secondes pour cette connection. Quelques informations lorsque la connection est établie Sur le W2K professionnel ouvrir le status de la connection VPN puis Details. Apparaît le type d’authentification, la clef de codage utilisée, l’adresse Ip etc… Sur le W2k serveur le Routing and Remote access fourni des informations concernant le nombre de connections ouvertes, les IP distribuées etc … Depuis le W2K serveur faire un tracert de la W2K professionnel. Le Tracert retournera qu’une seul ligne, ceci démontre l’utilisation d’un VPN. Un Ip config /all fait apparaître le port VPN en plus avec son adresse IP. Selon les configurations des DNS il ne sera pas possible d’ouvrir une connection en utilisant le nom du PC. Dans ce cas il faudra utiliser l’adresse IP Ouverture d’une session sur un share du serveur L’on peut faire les même fonctions depuis la W2K que depuis un autre PC en local sur le LAN. Si la connexion sur un share distant ne se fait pas il faut essayer de mettre disabled la connection LAN du W2K Professional Installation du Terminal Serveur (TS) sur le W2K serveur Start –Control Panel – Add/Remove prg – Add/Remove windows components Click sur Terminal Services. Next Click sur Remote administration mode. Next, le serveur installe les fichiers depuis le CD. Finished. Redémarrer le serveur. Click sur Start – Programs – Administrative Tools – Terminal Serveur Manager et laissaer la fenêtre ouverte pour voir plus tard la session. Installation du Terminal Service client sur le W2K professional Créer les disquettes d’installation au moyen de Terminal Services Client creator ou, Ouvrir une connection sur le serveur vers winnt\system32\clients\tsclient\win32\disks\\disk1 Click setup.exe. Et suivre les messages. Click Start – Programms – Terminal Services Client – Client Connection manager Click File - New Connection – Next . Donner un nom – Entrer l’IP du serveur. Next. Next. Choisir la définition d’écran. Next. Activer les 2 propositions. 3x Next. Finish. Click dans la fenêtre client Connection l’icône de votre connection. La fenêtre de login du serveur s’ouvre et l’on peut administrer son serveur à distance. Vos remarques et suggestions sont bien venues Michel Regard [email protected] http://regard.ca.tc Genève, octobre 2001