VPN entre un W2KP et..

VPN entre un W2K Professional et un domaine W2K
Installation du Terminal Server.
Version 1.1
Définition du VPN
http://www.guill.net/reseaux/Vpn.html
But de la configuration
Ouvrir un VPN (Virtual Private Network) entre un domaine W2K connecté sur Internet
par un router Zyxel et un PC W2K Professional connecté en dial-up sur Internet.
Ceci permet d’ouvrir un tuyau virtuel entre ces 2 systèmes et de se connecter à distance
sur tous les PC du LAN afin de transférer des fichiers et, par exemple, permettre une
gestion à distance du serveur par le terminal Serveur (TS).
Les informations ci-dessous correspondent à une connection vers un Domaine 2000.
L’active Directory (AD) oblige le RAS serveur.Une connection vers un member
serveur 2000 sera différente et un peux plus simple..
Teste de la configuration
L’ensemble de ces explications, c’est à dire le VPN, le RAS, IPSEC peuvent-être
simulés sur le LAN sans avoir recours à Internet.
Sécurité
Pour une installation personnelle la sécurité du VPN peut-être jugée suffisante
l’encapsulation des data par L2TP par défaut sur W2K ou PPTP. Si nécessaire il est
possible d’ajouter IPSec (IP sécurité) sur touts les PC afin d’augmenter la sécurité
L’autentification se faisant par MS-CHAP v2 ou par MS-CHAP. Les data sont en plus
en cryptée à 128 bits en choisissant Stongest dans les Policy du RAS.
Configuration utilisée
W2K SP2 pour le serveur et professionnel.
W2K Serveur, Domain Controler (DC) 192.168.0.1 (fixe).
Range du LAN 192.168.0.1 – 192.168.0.99
Range alloué au VPN 192.168.0.100 – 192.168.0.110
Netmask 255.255.255.0
RAS sur le DC.
Router Zyxel 642r, sans adressage d’adresse par DHCP.
Ip provider dynamique.
Utilisation de http://www.dyndns.org/ et http://www.directupdate.net/ pour la création
d’un nom de domaine privé ayant l’adresse IP fournie par le Provider.
Le compte d’utilisateur, le mot de passe sont cryptés. Les data sont cryptées avec une
clef à 128 bits et compressées.
Autres PC
Internet
W2K DC
Server &
RAS
HUB
Zyxel 642
Provider X Provider Y
W2K
Prof.
Dial-Up
Configuration du router
Dans le menu 15 (SUA) configurer le port 1723 (PPTP) et l’adresse du serveur RAS.
Dans ce cas 192.168.0.1
Pour plus d’infos : http://regard.ca.tc/Documentation/Support_Notes/app/pptp.htm
Configuration de DirectUpDate
Afin de garantir une résolution du nom de domaine sans trop de problème ajuster cette
application pour quelle teste l’adresse Ip toutes les minutes.
Configuration du W2K DC pour l’installation du RAS
Start – Control Panel – Adminstrative Tools – Routing and Remote Acces.
Dans la fenêtre Routing and Remote Access click sur Serveur Status - click droit Add
server – choisir This computer.
Click droit sur le nouveau serveur Configure and Enable Routing and Remote Access.
Next.
Click Remote Access server.
Next.
Next
Click from a Specified range of IP adresses .
Click New et entrer pour le start Ip adress 192.168.0.100 et 10 dans Number of IP
adressses. (Le système allouera ces Ip adreeses aux stations se connectant via le VPN).
Next.
Click No, I don’t want to set up ….
Next.
Finish.
Click OK.
Dans la fenêtre Routing and Remote Acces.
Le nom du serveur doit avoir un petit signe vert.
Click sur Ports, il doit y avoir 4 ports PPTP et 4 ports L2TP.
Click sur Remote Access Policy.
2x click sur Allow access if dial-in permission is enabled.
Click sur Grant remote access permission.
Click Edit profile.
Click Authentification et s’assurer que Ms-Chap v2 et Ms-Chap sont activés.
Click Encryption et s’assurer que Strongest est activé (128 bits).
Click sur Ip et s’assurer que Server settings define policy est activé.
Click sur Ok.
Laisser cette fenêtre ouverte.
Configuration des comptes utilisateurs voulant faire du VPN.
S’assurer que les comptes qui ont été créés pour faire du VPN au moyen de Active
Directory Users and Computer soient autorisés aux dial-in.
Ouvrir un compte – dial-in - Allow Access.
Utiliser un password compliqué pour ces comptes.
Configuration du PC W2K Professional appelant sur Internet
Une connection Internet doit être déjà établie avant de continuer. Dans le cas présent
j’ai utilisé une connection en mode Dial-Up.
L’adresse IP LAN de ce PC n’a aucune importance car le VPN va automatiquement lui
allouer une deuxième adresse selon le range défini plus haut.
Configuration du VPN sur le W2k Professional
Click droit sur My Network Place.
Properties.
Make a new connection.
Next.
Click sur Connect to a private network through the Internet
Click sur Automatically dial this initial connection (le nom de la connection de dialUp.
Next.
Entrer le nom de domaine donné par www.dyndns.org ou l’adresse Ip du router Zyxel.
Next.
Click sur For all users.
Next.
Entrer un nom pour cette connection VPN.
Click sur Finish.
Dans la nouvelle fenêtre Connect Virtual Privat Network connection click sur
Properties.
Click sur Security et s’assurer que Require data encryption est activé.
Entrer le compte et le password utilisé pour le VPN et click sur Connect.
Ouverture de la session VPN
Selon les cas il faut compter de 5 à 30 secondes pour cette connection.
Quelques informations lorsque la connection est établie
Sur le W2K professionnel ouvrir le status de la connection VPN puis Details. Apparaît
le type d’authentification, la clef de codage utilisée, l’adresse Ip etc…
Sur le W2k serveur le Routing and Remote access fourni des informations concernant
le nombre de connections ouvertes, les IP distribuées etc …
Depuis le W2K serveur faire un tracert de la W2K professionnel. Le Tracert retournera
qu’une seul ligne, ceci démontre l’utilisation d’un VPN.
Un Ip config /all fait apparaître le port VPN en plus avec son adresse IP.
Selon les configurations des DNS il ne sera pas possible d’ouvrir une connection en
utilisant le nom du PC. Dans ce cas il faudra utiliser l’adresse IP
Ouverture d’une session sur un share du serveur
L’on peut faire les même fonctions depuis la W2K que depuis un autre PC en local sur
le LAN. Si la connexion sur un share distant ne se fait pas il faut essayer de mettre
disabled la connection LAN du W2K Professional
Installation du Terminal Serveur (TS) sur le W2K serveur
Start –Control Panel – Add/Remove prg – Add/Remove windows components
Click sur Terminal Services.
Next
Click sur Remote administration mode.
Next, le serveur installe les fichiers depuis le CD.
Finished.
Redémarrer le serveur.
Click sur Start – Programs – Administrative Tools – Terminal Serveur Manager et
laissaer la fenêtre ouverte pour voir plus tard la session.
Installation du Terminal Service client sur le W2K professional
Créer les disquettes d’installation au moyen de Terminal Services Client creator ou,
Ouvrir une connection sur le serveur vers
winnt\system32\clients\tsclient\win32\disks\\disk1
Click setup.exe.
Et suivre les messages.
Click Start – Programms – Terminal Services Client – Client Connection manager
Click File - New Connection – Next .
Donner un nom – Entrer l’IP du serveur.
Next.
Next.
Choisir la définition d’écran.
Next.
Activer les 2 propositions.
3x Next.
Finish.
Click dans la fenêtre client Connection l’icône de votre connection.
La fenêtre de login du serveur s’ouvre et l’on peut administrer son serveur à distance.
Vos remarques et suggestions sont bien venues
Michel Regard
[email protected]
http://regard.ca.tc
Genève, octobre 2001