Professional Documents
Culture Documents
0)
Tutorial conu et rdig par Michel de CREVOISIER Fvrier 2011
SOURCES
Laboratoire Microsoft : http://www.labo-microsoft.org/articles/Windows-server-2008-VPN-SSTP/ Step by step deployment guide by Microsoft : http://technet.microsoft.com/en-us/library/cc731352(WS.10).aspx Dpannage des incidents VPN communs : http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-relatederrors.aspx
http://technet.microsoft.com/en-us/library/cc733772(WS.10).aspx
INDEX
SOURCES.................................................................................................................................................. 2 INDEX....................................................................................................................................................... 3 Prambule ............................................................................................................................................... 5 1. Configuration du contrleur de domaine ....................................................................................... 6 1.1 1.2 1.3 2. Groupe de scurit .................................................................................................................. 6 Compte utilisateur ................................................................................................................... 6 Attribution dune IP statique ................................................................................................... 6
Configuration dActive Directory Certificate Services ..................................................................... 8 2.1 2.2 2.3 2.4 2.5 2.6 2.7 Ajout du rle ADCS .................................................................................................................. 8 Configuration dInternet Explorer ......................................................................................... 14 Activation du site de distribution des certificats ................................................................... 14 Demande de certificat ........................................................................................................... 15 Validation du certificat .......................................................................................................... 17 Installation du certificat ........................................................................................................ 18 Copie du certificat ................................................................................................................. 18
3.
Configuration de Network Policy and Access services ............................................................ 22 3.1 3.2 3.3 3.4 3.5 3.6 Installation du rle NPS ......................................................................................................... 22 Dmarrage du serveur RRAS ................................................................................................. 24 Association du certificat ........................................................................................................ 25 Configuration du firewall....................................................................................................... 26 Changement du port dcoute .............................................................................................. 26 Configuration des rgles de filtrage ...................................................................................... 26
4. 5.
Configuration de votre routeur/box.............................................................................................. 31 Configuration du poste client ........................................................................................................ 32 5.1 5.2 5.3 5.4 5.5 Installation du certificat ........................................................................................................ 32 Copie du certificat ................................................................................................................. 33 Importation de la liste des certificats rvoqus (CRL)........................................................... 35 Configuration du fichier HOST ............................................................................................... 37 Cration dune connexion VPN ............................................................................................. 38
6.
Le nom CN ne correspond pas la valeur passe ................................................................. 42 La fonction de rvocation na pas pu vrifier la rvocation car le serveur tait dconnect42 La connexion a t interdite par une stratgie .................................................................. 43 Le nom demand est valide, mais aucune donne du type requis na t trouve ............. 43
6.5 La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le serveur [] ne correspond pas aux paramtres ............................................................................. 43 6.6 Une chaine de certificats a t traite mais sest termine par un certificat racine qui nest pas approuv par le fournisseur dapprobation................................................................................ 44 Conclusion ............................................................................................................................................. 45
Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et pensez crer une zone de recherche inverse. Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis le site officiel de Microsoft. Vous pouvez mme la tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC. Attention, mes serveurs sont installs en anglais, je vous recommande donc dopter pour cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en anglais ici pour ne pas perdre le fil Pour ce tuto, jutiliserai deux serveurs et un client : DC1 : Active Directory et DNS installs (non dtaill) VPN1 (membre du domaine): RRAS et ADCA installes (dtaill) CLIENT1 : poste client (Vista SP1 ou Seven minimum). Il nest pas ncessaire que le client soit membre du domaine Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter de certificats auprs dune autorit comptente, de disposer dune DMZ, de rendre publique la liste des certificats rvoquer et de possder un serveur avec de deux cartes rseau places dans des rseaux diffrents.
Renseignez ensuite lIP fournir pour cet utilisateur Attention ne pas indiquer une IP faisant partie dune plage DHCP
Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP)
Acceptez les ActiveX En Name, mettre le FQDN de VPN1 (nom_machine.domaine.com) Dans Type of certificate needed, mettre Server Authentification Certificate Cochez la case Mark key as exportable Vous pouvez augmenter la taille de clef jusqu 16384 !!!
Cliquez sur Submit en bas droite Votre demande est maintenant en attente de validation
Puis clic droit sur le certificat > All tasks > Issue Votre demande est maintenant valide
Certificates > Add > Computer account > Local computer > OK Ok
Droulez Certificate Current User > Personal afin de slectionner votre certificat rcemment install Clic droit All tasks > Export
Next
Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish Droulez Certificate (Local computer) > Personal > Certificates
Clic droit sur Certificates >All tasks > Import Next [Emplacement certificat] > Next Votre mot de passe > Next > Next > Finish
Notez quun copiez/collez entre les magasins de la MMC ne fonctionne pas. Le certificat doit tre export et import avec ses attributs pour tre reconnu comme tel.
Avant de continuer, vous devez vrifier que le certificat SSL a bien t enregistr. Pour cela, ouvrez une fentre DOS en mode administrateur et tapez : netsh http show sslcert
Modifiez ensuite la valeur ListenerPort avec le port souhait. Pensez galement modifier la rgle firewall propre au SSTP afin quelle prenne en compte votre nouvel le configuration. Sachez que dans tous les cas le client cherchera se connecter via le port [443]. Aprs la modification du registre, redmarrez votre PC pour prendre la nouvelle configuration.
Aller dans Policies > Connection Requet Policies Supprimer toutes les rgles existantes (clic droit > Supprimer) Ensuite, crez une nouvelle rgle : clic droit > Connection Request Policies > New
Tapez un nom pour votre stratgie : Accs distant VPN-SSTP Type of network > Remote Access Server (VPN-Dial up) Next
Add Ajoutez ensuite les rgles suivantes dans la liste : o Framed Protocol : PPP o NAS port type : Virtual VPN o Tunnel Type : SSTP
Rpondez ensuite Next toutes les options, puis sur terminer Vous obtenez un rsultat semblable cela :
Il faut maintenant crer une stratgie rseau: Aller dans Policies > Network Policies Supprimer toutes les rgles existantes (clic droit > Supprimer) Ensuite, crez une nouvelle rgle : clic droit > Network Policies > New Lassistant suivant se lance :
Add Ajoutez ensuite les rgles suivantes dans la liste : o Users groups : ajoutez le groupe GS_VPN dont VPN-user est membre o Day and time restrictions (optionnel)
Pour terminer, redmarrer votre serveur RRAS pour prendre en compte la nouvelle considration : Lancer Routing and remote access Clic droit sur [nom_votre_serveur] > All tasks > Restart Votre serveur NPS est dornavant oprationnel.
Download a CA certificate
Certificates > Add > My user account > OK Certificates > Add > Computer account > Local computer > OK
Ok
Certificats utilisateur local > Autorits de certification intermdiaire > Certificats Clic droit sur votre certificat > Copier Certificats (ordinateur local) > Autorits de certification racine de confiance > Certificats Clic droit > Coller
Tlcharger et indiquer lendroit o vous souhaitez lenregistrer Ouvrez la MMC crait au point prcdent Certificats (ordinateur local) > Autorits de certification intermdiaires > Toutes les tches > Importer
Attention !
Linconvnient majeur de ne pas publier votre liste de rvocations est que vous devrez rpter cette procdure tous les 7 jours tout au plus. En effet, au-del de cette priode votre fichier CRL arrivera chance et vous ne pourrez plus vous connecter.
Remplir les champs nom dutilisateur et mot de passe avec le compte AD clientvpn cr auparavant.
Crer Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur Modifier les paramtres de la carte
Clic droit sur la connexion VPN rcemment cre (VPN SSTP) > Proprits
Vrifiez que vous avez bien mis le FQDN de VPN1 dans longlet Gnral
Cliquez sur OK Votre VPN SSTP est prt. Il ne vous reste donc plus qu saisir les identifiants de lutilisateur user-sstp pour vous connecter
Vous avez mis lIP de VPN1 (ou votre IP public) au lieu de son FQDN lors de la cration du VPN via lassistant Windows : Mettez le FQDN au lieu de lIP dans les proprits du VPN cr, comme indiqu dans le point 5.5 Vous avez mis le FQDN mais mal renseign le fichier host Modifiez le fichier HOST comme indiqu dans le point 5.4
6.2 La fonction de rvocation na pas pu vrifier la rvocation car le serveur tait dconnect
Erreur : 80092013
Vous navez pas tlcharg et install localement la liste des certificats rvoqus. Reportez-vous au point 5.3 et vrifiez que vous avez correctement tlcharg et install la liste des certificats rvoqus La liste de rvocation des certificats est prime. Tlchargez-la sur votre poste client selon le point 5.3
Votre stratgie NPS bloque la connexion. Rfrez-vous au paragraphe 3.6 pour configurer vos rgles de scurits NPS correctement.
6.4 Le nom demand est valide, mais aucune donne du type requis na t trouve
Erreur : 80072AFC
Le nom saisit lors de la cration du VPN est erron (attention, vrifier !) : Vrifiez que le nom dhte correspond bien nom_pc.nom_domaine , comme indiqu dans le point 5.5
6.5 La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le serveur [] ne correspond pas aux paramtres
Erreur : 919
La mthode dauthentification de votre poste client ne correspond pas celles acceptes par le serveur Allez dans Routing and remote access > clic droit [serveur] > Properties > Security > Authentification Methods et slectionnez la case approprie. Pour information le VPN SSTP utilise la mthode MS-CHAP v2 et le VPN PPTPEAP la mthode Extensible authentification protocol (EAP)
6.6 Une chaine de certificats a t traite mais sest termine par un certificat racine qui nest pas approuv par le fournisseur dapprobation.
Erreur : 800B0109
Vous navez pas install correctement le certificat sur votre poste client : Rfrez-vous au paragraphe V.1. pour ajouter le certificat Le certificat SSL a mal t associ votre VPN. Rendez-vous au point 3.3 pour corriger ce point
Conclusion
Voil, votre VPN SSTP est prt. Vous pouvez dornavant vous connectez chez vous depuis nimporte quel endroit, du moment que vous avez un accs internet et que le port [443] nest pas bloqu.
Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante : m.decrevoisier A-R-0-B-A-5 outlook . com