Windows Server 2012 R2 -...

Création d’un point d’accès VPN SSL – Windows Server 2012 R2 : POIRIER Johann Version 1.0

1 / 50

SPIE OUEST-CENTRE, DPT PROCESS

PROTECTION SYSTEMES & RESEAUX

DIFFUSION INTERDITE SANS AUTORISATION

Création d’un point d’accès VPN SSL – Windows

Server 2012 R2 POIRIER Johann

- Version 1.0 -

15/01/2016


2 / 50

TABLE DES MATIERES 1. INTRODUCTION ______________________________________________________________________________ 4

1.1. MISE EN PLACE D’UN SERVEUR VPN _____________________________________________________________ 4

1.2. CONFIGURATION VPN SOUS WINDOWS SERVER 2012 AVEC NPS _________________________________________ 4

1.3. PREREQUIS POUR LE TUTORIEL _________________________________________________________________ 4

2. INSTALLATION ET CONFIGURATION VPN DE BASE _______________________________________________________ 5

2.1. AJOUTER DES ROLES ET DES FONCTIONNALITES. _____________________________________________________ 5

2.2. INSTALLATION ET CONFIGURATION DU ROLE D’ACCES A DISTANCE _________________________________________ 6

2.2.1. Installation du service Accès à distance. 6

2.2.2. Configuration du service accès à distance. 7

2.3. INSTALLATION ET CONFIGURATION DE BASE NPS SOUS WINDOWS SERVER 2012 _______________________________ 9

2.3.1. Installation du service NPS. 9

2.3.2. Configuration du service NPS. 10

2.4. CONFIGURATION D'UNE CONNEXION VPN SUR LE CLIENT ______________________________________________ 14

2.4.1. Créé une nouvelle connexion. 14

2.4.2. Configuration d’un nouvel espace de travail (Connexion VPN) 14

3. AJOUTER UNE AUTORITE DE CERTIFICATION ET UN MODELE POUR LA DELIVRANCE DES CERTIFICATS. ___________________ 18

3.1. AJOUTER UNE AUTORITE DE CERTIFICATION _______________________________________________________ 18

3.1.1. Installation du rôle AD CS 18

3.1.2. Configuration du rôle AD CS. 19

3.1.3. Configuration de l’autorité de certification 23

3.1.4. Délivrer Le certificat créé 27

3.2. DELIVRE UN CERTIFICAT POUR SSTP VPN ________________________________________________________ 28

3.2.1. Demander un nouveau Certificat (Version n°1) 30

3.2.2. Demander un nouveau Certificat (Version n°2) 34

3.2.3. Appliquer ce nouveau certificat 36

3.3. CONFIGURATION D’UN CONNEXION VPN SUR LE CLIENT VIA SSTP ________________________________________ 38

3.3.1. Ajout du certificat sur le client avec une page WEB 38

3.3.2. Exportation d’un certificat via une clé USB ou TEAMVIEWER 38

3.4. INSTALLATION DES CERTIFICATS SUR NOTRE CLIENT __________________________________________________ 41

3.4.1. Ajouter une révocation. 42

4. RAJOUT DU NAT ____________________________________________________________________________ 43

4.1. CONFIGURATION DU NAT __________________________________________________________________ 43

4.2. SUITE DE LA CONFIGURATION (NAT) ___________________________________________________________ 47

4.3. CREER UN ITINERAIRE STATIQUE DANS LE RRAS ____________________________________________________ 48


3 / 50

5. RESOUDRE LES ERREURS _______________________________________________________________________ 49

5.1. ERREUR 720 (POSSIBILITE N°1) _______________________________________________________________ 49

6. PIECES JOINTES _____________________________________________________________________________ 50


4 / 50

1. INTRODUCTION

1.1. MISE EN PLACE D’UN SERVEUR VPN

Nous allons voir ici comment utiliser le rôle de serveur VPN sur un serveur Windows Server 2012.

Tout d’abord, sachez qu’il est nécessaire de disposer de deux interfaces réseaux pour installer le rôle de

serveur VPN. En effet, il faudra configurer une interface pour communiquer avec le réseau local (même

pool que le réseau local), et l’autre avec une adresse différente (qui sera le pool d’adressage à travers le

VPN).

Dans mon exemple par exemple, considérons que le réseau local est 192.168.1.0/24.

On paramétrera l’interface réseau pour le VPN en 192.168.2.0/24

Vous l’aurez compris, on devra rediriger le flux VPN sur le firewall en direction de l’interface adéquat sur le

serveur. Les clients sur le réseau ne feront donc pas parti du même réseau (pratique à plusieurs niveaux,

même si je ne me lancerais pas sur une explication réseau ici). Gardez simplement à l’esprit que le serveur

à “un pied” (une interface) sur chaque réseau (local et VPN distant).

1.2. CONFIGURATION VPN SOUS WINDOWS SERVER 2012 AVEC NPS

Ce tutoriel vous guide pour la configuration d'un VPN sous Windows Server 2012 R2.

L’installation suivante sera faite sur un serveur Windows Server 2012avec un serveur Active

Directory, et un DNS.

Nous allons non seulement voire comment mettre en place un accès VPN, mais en même temps

comment le sécuriser.

En effet, tout d’abord nous allons mettre en place le service d’accès à distance, puis nous allons

ensuite mettre en place un certificat de connexion avec Active Directory Certificates Server, puis utiliser le

serveur Network Policies Server, afin d’effectuer un control sur l’utilisateur qui demande la connexion.

Nous obtiendrons une connexion VPN parfaitement sécurisée.

1.3. PREREQUIS POUR LE TUTORIEL

- Un Active Directory (AD DS) o Avec un groupe d’utilisateur créé.

o Un Utilisateur (ex : admin) rattaché au groupe utilisateur.

- Un Serveur Windows 2012 r2 - Un Ordinateur client


5 / 50

2. INSTALLATION ET CONFIGURATION VPN DE BASE

2.1. AJOUTER DES ROLES ET DES FONCTIONNALITES.

Pour ajouter des rôles, ouvrez Gestionnaire de Serveurpuis, en haut à droite, cliquez sur Gérer, puis sur Ajouter des

rôles et fonctionnalités.


6 / 50

2.2. INSTALLATION ET CONFIGURATION DU ROLE D’ACCES A DISTANCE

2.2.1. Installation du service Accès à distance.

Une fois ceci-fait, ajoutez le rôle Accès à distance (Remote Access en anglais) puis sur Suivant.

Un fois arrivé sur Service de Rôle, sélectionnez DirectAccess et VPN (accès à distance) puis suivant et Terminez

l’installation de ce rôle.


7 / 50

2.2.2. Configuration du service accès à distance.

Une fois le rôle installé, cliquez sur le Drapeaux à coté de Gérer, et Ouvrir l’Assistant Mise en route.

Vous devriez obtenir une nouvelle fenêtre, choisissez Déployer VPN seulement.


8 / 50

A la suite de cette manipulation, une deuxième nouvelle fenêtre s’ouvre Routage et accès distant.

Clic Droit sur NomDeVotreServeur (local) puis sur Configurer et activer le routage et l’accès à distance.

Un Assistant d’installation s’ouvre, choisissez Configuration personnalisée.

Ensuite choisissez Accès VPN.

Puis Terminer l’installation. Alors une fenêtre s’ouvre pour le démarrage du service. Faite Démarrer le service.


9 / 50

2.3. INSTALLATION ET CONFIGURATION DE BASE NPS SOUS WINDOWS SERVER 2012

2.3.1. Installation du service NPS.

Ajouter le rôle Services de stratégie et d’accès réseau.

Puis Terminer l’installation de ce rôle en laissant les paramètre par défaut.


10 / 50

2.3.2. Configuration du service NPS.

Ouvrer l’utilitaire Outils d’administration et chercher dans la liste Serveur NPS (Network Policy Server). Vous allez

ouvrir ce service.

Une fois ceci fait, vous pouvez descendre dans l’arborescence à droite et allez dans Stratégie puis Stratégie réseau.

Commencer par Clic Droit sur Stratégie réseau puis Nouveau.

Donner à la politique un nom et choisissez Serveur d’accès à distance (VPN-Dial up) dans Type de serveur d'accès au réseau.


11 / 50

Cliquez sur Suivant puis sur Ajouter. Choisissez Groupe Utilisateurs. Ensuite ajouter un groupe d’accès utilisateurs

préalablement créé. Si cela n’est pas le cas, créé en un dans l’Active directory.

Vous verrez donc votre groupe ajouté sur l’écran.

Cliquez sur Suivant, puis choisissez Accès accordé.


12 / 50


13 / 50

Cliquez sur Suivant, et décocher Authentification chiffrée Microsoft (MS-CHAP)

Laissez les paramètres suivant par default, sauf si vous voulez modifier les configurations de contrainte de

connexion. Puis Terminer l’installation.

Votre politique NPS est créé. Vous obtenez donc ceci.

Votre stratégie créée précédemment remontez cette dernière en première position (visible dans Ordre de

traitement) pour cela Clic Droit puis Monter.


14 / 50

2.4. CONFIGURATION D'UNE CONNEXION VPN SUR LE CLIENT

2.4.1. Créé une nouvelle connexion.

Tout d’abord allumer votre PC distant.

Aller dans Panneau de Configuration, puis Réseau et Internet et Centre Réseau et Partage.

Choisissez l’option Configurer une nouvelle connexion ou un nouveau réseau.

Sélectionner Connexion à votre espace de travail.

2.4.2. Configuration d’un nouvel espace de travail (Connexion VPN)

Sélectionner Non, créer une nouvelle connexion.


15 / 50

Cliquez sur Suivant, puis Utiliser ma connexion Internet (VPN).

Entrez sous Adresse Internet l’adresse sous laquelle le serveur VPN est accessible. Utiliser UN seul moyen de

connexion.

Première méthode :

Pour connaître le nom (noté le quelque part nous allons nous en resservir plus bas dans le tutoriel) appuyer

simultanément sur la touche WINDOWS + Pause. Une fenêtre s’ouvre et cliquez sur Modifier les paramètres à côté

du nom de l’ordinateur.

Dans cette nouvelle fenêtre faite un copié/collé du nom complet de l’ordinateur, c’est cela qui vas nous servir à

nous connecter.

Deuxième méthode :

Ouvrez un navigateur internet et aller sur le site http://whatismyipaddress.com/fr/mon-ipa laquelle nous allons

récupérer l’adresse PUBLIC de connexion.

Entrez sous Nom de la destination le nom à laquelle vous allez identifier votre accès au VPN.

Cocher la case Ne pas me connecter maintenant, mais tout préparer pour une connexion ultérieure.

http://whatismyipaddress.com/fr/mon-ip


16 / 50

Cliquer sur Suivant, puis ajoutez le nom d’utilisateur et un mot de passe d’un groupe d’utilisateur créé sur l’active

directory précédemment.

À ce moment, nous sommes encore à un stade très basique.Nous avons actuellement, configuré VPN pour PPTP, qui

est non sécurisé. On va donc changer cette méthode de connexion pour la mettre en sécurisé c’est-à-dire en SSTP.

Ouvrez Réseau et Partagepuis Clic Droitsurla connexion créée précédemment et sélectionner Propriété.


17 / 50

Une nouvelle fenêtre s’ouvre, allez sur l’onglet Sécurité.

Sélectionner dans Type de Réseau VPN, le Protocole SSTP (Secure Socket Tunneling Protocol) et désélectionner le

Protocole CHAP (Challenge handshake authentification).

En ce qui concerne le Pc Client, pour le moment, on a fini avec lui.


18 / 50

3. AJOUTER UNE AUTORITE DE CERTIFICATION ET UN

MODELE POUR LA DELIVRANCE DES CERTIFICATS.

3.1. AJOUTER UNE AUTORITE DE CERTIFICATION

3.1.1. Installation du rôle AD CS

Tout d’abord, l’ajout d'une autorité de certification est la première étape pour rendre la connexion plus sécurisée.

Il faut donc, dans un premier temps, installer le rôle Services de certificats Active directory.

Dans le rôle AD CS, faite bien attention à cocher Autorité de certification ainsi qu’Inscription de l’autorité de

certification via le web.

Puis Terminer l’installation de ce rôle.


19 / 50

3.1.2. Configuration du rôle AD CS.

Dirigez-vous sur le rôle installé dans le Gestionnaire de serveur, donc cliquez sur AD CS, et dans la bannière jaune en

haut du rôle, cliquez sur Autres... Une nouvelle fenêtre s’ouvre.

Par la suite cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.

Une nouvelle fenêtre s’ouvre, cliquez sur Suivant et cochez les deux cases non grisées, c’est-à-dire Autorité de

certification ainsi qu’inscription de l’autorité de certification via le web.

Cliquez sur Suivant et sélectionner l’Autorité de certification convenu pour votre espace de travail, pour ma part je

sélectionne l’Autorité de certification entreprise.


20 / 50

Ensuite, cliquez sur Suivant, puis sélectionner Autorité de certification racine et cliquez de nouveau sur Suivant.

Sélectionner Créer une clé privée puis Suivant.


21 / 50

Dans la fenêtre suivante, laissé les paramètres par default ce qui donne ceci puis cliquez sur Suivant.

Les valeurs prédéfinies pour l’AC devraient fonctionner correctement, mais vous pouvez la changer si vous le voulez

comme dans mon cas où je les trouve un peut longue. (Vous aurez des informations de noté, je les ai seulement

cachés pour ne pas les divulgué). Une fois ceci fait cliquez sur Suivant.


22 / 50

Ensuite vous obtenez la page Spécifier la période de validité, laissez la tel quel ou changer la si vous voulez une date

de validation différente. Puis cliquez sur Suivant.

Enfin Terminer la configuration de ce rôle.

Vous devriez obtenir un résultat comme celui -ci.


23 / 50

3.1.3. Configuration de l’autorité de certification

Accédez au Outils d’administration, dirigez-vous sur le service Autorité de certification.

Développer votre Autorité de certification et cliquez sur Modèles de certificats et Clic Droit et Gérer.


24 / 50

Rechercher IPSEC, et Clic Droit puis Dupliquer le modèle.

Vous obtenez cette fenêtre, dirigez-vous vers l’onglet Général et changer le nom du modèle pour ma part je le

nomme « SSTP ».


25 / 50

Dirigez-vous cette fois-ci vers l’onglet Traitement de la demande et cocher Autoriser l’exportation de la clé privée.

On continue, allez maintenant dans l’onglet Nom du Sujet et coché la case Fournir dans la demande. Une fenêtre

de prévention s’ouvre accepter la.

00


26 / 50

On se retrouve dans l’onglet Extensions, et allez sur Stratégies d’application et Modifier et enfin surAjouter.

On obtient donc cette page ou l’on va chercher Authentification du serveur.

Vous obtenez ceci.

Appuyer sur OK puis cliquez sur Appliquer et OK pour fermer la fenêtre.


27 / 50

3.1.4. Délivrer Le certificat créé

Revenez dans la fenêtre Autorité de certification, et dans Modèles de certificats puis Nouveau et Modèle de

certificat à délivrer.

Sélectionner le modèle créé précédemment.

Vous obtenez ceci.


28 / 50

3.2. DELIVRE UN CERTIFICAT POUR SSTP VPN

Créer un console MMC pour ce faire écrivez simplement MMC dans la barre de recherche Windows.

Dans cette fenêtre, cliquez sur Fichier puis Ajouter/Supprimer un composant logiciel enfichable… ou appuyez sur la

touche CTRL + M.

Cette fenêtre s’ouvre double cliquer sur Certificats dans la fenêtre de gauche.


29 / 50

Une nouvelle fenêtre s’ouvre et choisissez Un compte d’ordinateur puis Suivant.

Cliquez sur Terminer puis cliquez sur Ok.

Vous obtenez ceci.


30 / 50

3.2.1. Demander un nouveau Certificat (Version n°1)

Développer Certificats (ordinateur local) puis Personnel puis de nouveau Certificats et Clic Droit sélectionner Toute

les tâches et Demander un nouveau certificat…

Cliquez sur Suivant.



31 / 50

Cherchez votre certificat créé précédemment mais ne l’ajouté pas directement nous devons en amont finir de le

paramétrer.

Cliquez sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour

configurer les paramètres qui se situe en dessous du certificat que nous venons de créer.

Vous obtenez cette fenêtre.

Changer le Type dans Nom du sujet choisissez la ligne Nom Commun.


32 / 50

Dans Valeurinscrivez l’adresse ip et/ou le nom du serveur VPN (qu’on a noté précédemment dans le tutoriel) auquel

vous voudrez vous connecter et cliquez sur OK.

Vous pouvez désormais ajouté le certificat, donc sélectionner le Certificat créé (pour moi c’est SSTP) puis finalisez en

cliquant sur Inscription etTerminer.

Vous obtenez ceci.


33 / 50

Vous pouvez fermer la console MMC en l’enregistrant ou vous voulez.


34 / 50

3.2.2. Demander un nouveau Certificat (Version n°2)

3.2.2.1. Configuration Internet Explorer

Sur le Serveur VPN, ouvrez Internet Explorer, puis ouvrez les Options afin de diminuer la sécurité de l’intranet.

Pour cela allez dans l’onglet Sécurité puis allez sur le sous-onglet Intranet, puis abaissez la sécurité au minimum.


35 / 50

3.2.2.2. Demande de certificat

Sur Internet Explorer, dans la Bare de recherche, veuillez saisir http://localhost/certsrv, et cliquez sur Entrer.

Ensuite sous Sélectionnez une tâche , cliquez sur Demander un certificat, une fois fait, poursuivez sur Demander un

certificat , cliquez sur demande de certificat avancée, puis sur Créer et soumettre une demande à ce CA. Cliquez sur

Oui pour permettre le contrôle ActiveX .

Ensuite configurez votre session comme tel :

Under Information d’indentification, dans l’onglet Nom, remplissez le nom de connexion a votre vpn (ex :

plateforme.com), et pour Pays/Région choisissez le type FR.


36 / 50

3.2.3. Appliquer ce nouveau certificat

Ouvrer Routage et accès distant.

Déployer avec le Clic Droit les Propriétés de votre serveur VPN.


37 / 50

Une nouvelle fenêtre s’ouvre, rendez-vous sur l’onglet Sécurité et choisissez dans Liaison de certificat SSL le

certificat créé précédemment.

Ce message apparait, pour vous prévenir que le serveur doit redémarrer, Accepter cette fenêtre.


38 / 50

3.3. CONFIGURATION D’UN CONNEXION VPN SUR LE CLIENT VIA SSTP

3.3.1. Ajout du certificat sur le client avec une page WEB

Pour des fins de test, vous devez importer le certificat SSL et de la chaîne de certificats sur chaque client dans le

magasin de l'ordinateur.

Vous pouvez télécharger ce certificat à partir de http://NomDeVotreServeur/certsrv(exemple : http://srv-

ad/certsrv)

3.3.2. Exportation d’un certificat via une clé USB ou TEAMVIEWER

Si vous utilisé une clé USB ou bien TEAMVIEWER voici comment faire.

Rendez-vous sur votre serveur VPN et ouvrez la CCM qu’on a créé plus haut dans le tutoriel.

Dépliez le dossier Personnel dans Autorités de certification racines de confiance vous allez donc retrouver le

certificat que nous avons créé précédemment. Faite un Clic Droit sur ce dernier puis allez sur Toute les tâches puis

Exporter.

Vous obtenez cette fenêtre, cliquez sur Suivant.


39 / 50

Cochez la case Oui, exporter la clé privée puis cliquez sur Suivant.



40 / 50

Ajoutez un Mot de Passe pour plus de sécurité et cliquez sur Suivant.

Enregistré la sur le bureau pour plus de rapidité avec le nom que vous voulez pour moi ce sera « CertDeploy » puis

cliquez sur Suivant et Terminer.

Fermer la fenêtre et copier l’exportation sur la clé USB ou via le TEAMVIEWER.


41 / 50

3.4. INSTALLATION DES CERTIFICATS SUR NOTRE CLIENT

Ici il suffit seulement d’ajouter le Certificat Racine a l’emplacement Autorités de certification racines de confiance.

Pour cela, rechercher MMC sur la barre de recherche Windows de votre pc client.

Alors, allez dans Fichier, puis Ajouter/Supprimer un composant logiciel enfichable… Choisissez le mode Certificats

puis Un Compte Ordinateur.

Ensuite développez dans l’arborescence de droite Certificats (ordinateur local) et développez Autorités de

certification racines de confiance. Clic Droit sur Certificats et Toute les tâches puis Importer. Une fois ceci fait aller

chercher le certificat nommé « CertDeploy » puis terminer l’importation.

ATTENTION !!!

Si les deux certificats (Certificat Racine & Certificat Client) son importer veuillez faire attention a bien supprimer le

Certificat Client de la tâche Personnel de la MMC.


42 / 50

3.4.1. Ajouter une révocation.

Vous devez définir également NoCertRevocationCheck dans l’Editeur de registre.

Cela sert à ce que votre liste de révocation privé soit accessible depuis l’externe sans configuration supplémentaire.

Maintenant vous devriez être en mesure de vous connecter en VPN.

Pour ci rendre appuyez sur les touches Windows ( ) + R ou recherchez puis ouvrez exécuter et tapez regedit.

Ensuite rendez-vous dans HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ SstpSvc \ Parameters

Puis Clic Droitsur Parameters,Nouveau et choisissez Valeur DWORD 32bits et vous devez définir son nom en

NoCertRevocationCheck et enfin mettre son paramètre a 1.

Pour faire cela Double cliquez sur la nouvelle valeur créée précédemment vous obtenez donc ceci.

N’oublier pas de configurer la redirection et d’accepter le port 443 sur la boxe internet coté serveur, c’est très

important.

Et voilà vous avez terminez de configurer votre VPN.

Vous n’avez plus qu’à vous connectez et tester la connexion avec un service Bureau à distance.


43 / 50

4. RAJOUT DU NAT

4.1. CONFIGURATION DU NAT

Allez sur la console Routage et accès Distant, puis Désactiver le routage et l’accès a distance.

Ensuite Clic Droit sur le nom de votre serveur puis Configurer et activer le routage et l’accès a distance. Vous

obtenez donc cette fenêtre, cliquez sur Suivant.

Choisissez Accès VPN (Virtual Private Network) et NAT. Puis cliquez sur Suivant.


44 / 50

A cette endrois, choisissez l’interface Réseau sur lequel vous voulez que le VPN « TAPE ».

Ici, choisissez la façon dont vous voulez donnez votre plage d’adressage, pour moi, cela sera une plage spécifiée pour

le moment. Cliquez ensuite sur Suivant.

Si vous avez choisis la plage d’adressage spécifiée, vous devrez renseigner cette derniere. Pour cela cliquez sur

Nouveau.


45 / 50

Vous obtiendrez donc ceci :

Ici, très important, il vous faut choisir si vous utilisez un serveur Radius ou non, dans notre cas, nous n’allons pas en

utiliser. Cliquez sur Suivant.

Enfin cliquez sur Terminer, pour finir l’installation.


46 / 50


47 / 50

4.2. SUITE DE LA CONFIGURATION (NAT)

Dirigez-vous sur l’onglet IPV4 puis clic droit puis choisissez Nouveau Protocol de Routage.

Vous avez deux choix, prenez NAT, et OK.

Ensuite dirigez-vous sur l’onglet NAT, puis Clic Droit, Nouvelle Interface.


48 / 50

Il vous propose une fenêtre avec les differents choix, choisissez toutes les interfaces dont vous aurez besoin.

4.3. CREER UN ITINERAIRE STATIQUE DANS LE RRAS

Pour créer un itinéraire statique de routage pour le RRAS, dirigez-vous sur l’onglet IPV4 puis sur Itinéraire Statique.

Ensuite, faites un clic droit, Nouvelle Itinéraire statique.

Vous obtenez donc cette fenêtre, ou il vous faudra renseigner l’interface sur lequel vous voulez que la connexion

renvoie, la destination (le réseau sur lequel renvoyer la requête) etc.…

Et voilà vous avez créé un itinéraire statique.


49 / 50

5. RESOUDRE LES ERREURS

5.1. ERREUR 720 (POSSIBILITE N°1)

Dans mon cas, cette méthode à fonctionner, il se peut par contre que votre erreur vienne d’autre part)

Dans les propriétés de la connexion VPN client, allez dans l’onglet sécuritéet cochez la case Protocole CHAP

(Challenge Handshake Autentification Protocol).


50 / 50

6. PIECES JOINTES

Certificat racine : CErtif.cer

Date post:	12-Sep-2018
Category:	Documents
Upload:	vuongduong
View:	214 times
Download:	0 times

Windows Server 2012 R2 -...

Documents