Serveur d'impression

Configurer un réseau privé virtuel dans Windows Server 2012 R2 – Serveur d’impression

Le 26 juillet 2019 - 8 minutes de lecture

Le cas du VPN basé sur Windows

Historiquement, VPN a été mis en œuvre en utilisant des pare-feu ou des appliances VPN dédiées. Alors, pourquoi utiliser un serveur Windows pour VPN? Voici quelques trucs à prendre en compte.

  • Facile à mettre en œuvre – L'installation et la configuration d'un serveur VPN à l'aide de Windows Server 2012 R2 sont simples. En suivant les instructions de cet article, un serveur VPN peut être implémenté en quelques minutes seulement.
  • Facile à gérer – La gestion d'un serveur VPN exécutant Windows Server 2012 R2 n'est pas différente de tout autre serveur Windows. La gestion du système Windows est mature et bien comprise, et le serveur peut être maintenu à l'aide des plates-formes, outils et procédures existants.
  • Rentable – Un serveur VPN basé sur Windows Server 2012 R2 coûte beaucoup moins cher que le déploiement d'un matériel VPN dédié et propriétaire. Le serveur peut être déployé dans une infrastructure virtuelle existante et ne nécessite aucune licence par utilisateur. En outre, dans la plupart des cas, l’ajout de capacité est aussi simple que la génération de machines virtuelles supplémentaires.

Prérequis d'installation

Le serveur VPN doit être configuré avec deux interfaces réseau. un interne et un externe. Cette configuration permet une meilleure sécurité, l'interface de réseau externe pouvant avoir un profil de pare-feu plus restrictif que l'interface interne. Un serveur avec deux interfaces réseau nécessite une attention particulière à la configuration du réseau. Seule l'interface réseau externe est configurée avec une passerelle par défaut. Sans passerelle par défaut sur l'interface réseau interne, des routes statiques devront être configurées sur le serveur pour permettre la communication avec les sous-réseaux internes distants. Pour plus d'informations sur la configuration d'un serveur Windows multi-hébergé, cliquez ici.

Le serveur n'a pas besoin d'être associé à un domaine, mais il est recommandé de rationaliser le processus d'authentification pour les clients VPN et d'améliorer la gestion et la sécurité du serveur.

Préparer le serveur

Une fois le serveur mis en service et joint au domaine, l'installation du rôle VPN est simple et directe. Pour installer le rôle VPN, entrez la commande suivante dans une fenêtre de commande PowerShell élevée.

Installer-WindowsFeature DirectAccess-VPN -IncludeManagementTools

Image
Installez le rôle VPN à l'aide de la commande Install-WindowsFeature PowerShell.

Configurer l'accès à distance

Ouvrez la console de gestion Routage et accès distant. Cliquez avec le bouton droit sur le serveur VPN et choisissez Configurer et activer le routage et l'accès à distance.

Image
Configurez et activez le service Routage et accès distant.

Cliquez sur Suivant, choisir la Accès à distance (accès commuté ou VPN) option, et cliquez Suivant.

Image
Choisissez Accès à distance (accès commuté ou VPN).

Choisir VPN et cliquez Suivant.

Image
Choisissez un VPN.

Sélectionnez l'interface réseau faisant face à Internet. De plus, sélectionnez l’option pour Activer la sécurité sur l'interface sélectionnée en configurant des filtres de paquets statiques et cliquez Suivant.

Image
Sélectionnez l'interface réseau Internet.

Remarque:
Lors de la configuration du serveur, il est utile de renommer les interfaces réseau en utilisant des noms intuitifs tels que Interne et Externe, comme indiqué ci-dessus.

Les adresses IP peuvent être attribuées aux clients manuellement ou via DHCP. Pour faciliter la gestion, il est recommandé d’utiliser DHCP. Sélectionnez l'option d'attribution automatique d'adresses IP et cliquez sur Suivant.

Image
Choisissez l’affectation automatique d’adresses IP pour les clients distants.

Remarque:
Si le serveur VPN doit être déployé dans un cluster à charge équilibrée, les adresses IP doivent être attribuées manuellement aux clients.

Le serveur VPN peut authentifier les utilisateurs lui-même ou transférer des demandes d'authentification à un serveur RADIUS interne. Pour la portée de cet article, l'authentification Windows native à l'aide de RRAS sera configurée. Choisir Non, utilisez Routage et accès distant pour authentifier les demandes de connexion. et cliquez Suivant.

Image
Utilisez Routage et accès distant pour authentifier les demandes de connexion.

Vérifiez la configuration et cliquez sur terminer.

Image

L'assistant de configuration RRAS indiquera que l'agent de relais DHCP doit être configuré pour les clients d'accès distant. Cliquez sur D'accord continuer.

"Pour prendre en charge le relais des messages DHCP à partir de clients d'accès distant, vous devez configurer les propriétés de l'agent de relais DHCP avec l'adresse IP de votre serveur DHCP."

Image
Rappel de configuration de l'agent de relais DHCP.

Configurer l'agent de relais DHCP

Pour permettre au serveur DHCP interne de fournir une attribution d’adresse IP aux clients d’accès distant, développez IPv4, puis cliquez avec le bouton droit de la souris. Agent de relais DHCP et choisir Propriétés.

Image
Configurez l'agent de relais DHCP.

Entrez l'adresse IP du serveur DHCP et cliquez sur Ajouter. Répétez cette procédure pour tous les serveurs DHCP supplémentaires et cliquez sur D'accord.

Image
Configurez l'agent de relais DHCP.

Configuration du serveur de stratégie réseau (NPS)

Le serveur VPN est configuré pour autoriser l'accès à distance uniquement aux utilisateurs dont les propriétés d'appel entrant du compte de domaine sont définies pour autoriser l'accès, par défaut. Un moyen plus efficace d’accorder l’accès à distance consiste à utiliser un groupe de sécurité Active Directory (AD). Pour configurer les autorisations d'accès à distance d'un groupe AD, cliquez avec le bouton droit de la souris. Journalisation d'accès à distance et choisir Lancer NPS.

Image
Lancer NPS.

Cliquez avec le bouton droit sur Réseau Politiques et choisir Nouveau. Donnez un nom descriptif à la politique, sélectionnez Type de serveur d'accès au réseau, puis choisissez Serveur d'accès distant (connexion VPN) dans la liste déroulante et cliquez sur Suivant.

Image
Créez une nouvelle stratégie réseau.

Cliquez sur Ajouter, sélectionnez Groupes Windowset cliquez Ajouter.

Image
Sélectionnez Groupes Windows.

Cliquez sur Ajouter des groupes, spécifiez le nom du groupe de sécurité AD comprenant les utilisateurs à autoriser pour un VPN d'accès distant, puis cliquez sur D'accord et Suivant.

Image
Spécifiez le groupe de sécurité AD pour l'accès à distance.

Choisir Accès autorisé et cliquez Suivant.

ImageSpécifiez l'autorisation d'accès.

Décocher la possibilité d'utiliser Authentification cryptée Microsoft (MS-CHAP). Cliquez sur Ajouter et sélectionnez Microsoft: mot de passe sécurisé (EAP-MSCHAP v2). Cliquez sur D'accord et Suivant trois fois puis cliquez sur terminer.

Image
Configurez les méthodes d'authentification.

Test de connectivité client

Le serveur VPN est maintenant configuré pour accepter les connexions clientes d'accès distant entrantes, mais uniquement de manière limitée. Seul le protocole PPTP VPN fonctionnera sans configuration supplémentaire. Malheureusement, PPTP souffre de graves failles de sécurité dans sa configuration par défaut et ne doit pas être utilisé tel que configuré dans un environnement de production. Cependant, il est rapide et efficace de valider le chemin de communication réseau et l'authentification fonctionne.

Pour tester la connectivité client sur un client Windows 10, cliquez sur l'icône de réseau dans la zone de notification du système, puis sur Paramètres réseau, Cliquez sur VPN, puis cliquez sur Ajouter une connexion VPN. Choisir Windows (intégré) pour le Fournisseur VPN, indiquez un nom descriptif pour la connexion, entrez le nom ou l’adresse IP du serveur VPN, puis cliquez sur sauvegarder.

Image
Ajouter une connexion VPN.

Cliquez sur la connexion de test VPN, puis cliquez sur Relier.

Image
Établissez une connexion VPN.

Entrez les informations d'identification du domaine lorsque vous y êtes invité, puis cliquez sur D'accord. Si tout fonctionne correctement, la connexion doit être établie avec succès.

Image
Connexion VPN réussie.

Résumé

L'implémentation d'une solution VPN basée sur le client pour un accès distant sécurisé à l'aide de Windows Server 2012 R2 présente de nombreux avantages par rapport aux appliances de sécurité dédiées et propriétaires. Les serveurs VPN basés sur Windows sont faciles à gérer, économiques et offrent une plus grande flexibilité de déploiement. Cependant, à ce stade, une configuration supplémentaire est nécessaire pour sécuriser correctement les connexions entrantes, ce qui sera traité dans mon prochain article.


Publier des vues:
86 013


signaler cette annonce


Lire la suite


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.