Introduction
Créer un serveur VPN sous Windows 2000 PRO / XP PRO
Le protocole VPN (Virtual Private Network) permet d’interconnecter deux ordinateurs à travers Internet en utilisant un protocole de cryptage.
Il en existe deux :
PPTP (Point to Point Tunneling Protocol) est le protocole de base du VPN. Il utilise généralement un cryptage MS-CHAP avec une compression MPPE 128 bits. PPTP encapsule les trames PPP (Point to Point Protocol) dans des paquets TCP/IP et permet d’en utiliser toutes les fonctionnalités telles que TCP/IP, IPX/SPX, NETBEUI et MPPE.
L2TP (Layer 2 Tunneling Protocol) est une solution plus sécurisée car il crée un véritable tunnel VPN en utilisant le cryptage IPSEC au lieu de MPPE. Plus complexe à mettre en œuvre car il faut que vos matériels réseaux (modem et routeur) autorisent les trames IPSEC et vous devez générer des certificats.
Dans notre cas, nous allons utiliser le protocole PPTP qui est géré par Windows 2000/XP en connexion entrante. Si vous voulez installer un serveur VPN avec L2TP, mieux vaut utiliser Windows 2000/2003 Server. Dans ce cas, consultez cet article.
Pour implémenter un VPN ou Réseau privé Virtuel sous Windows 2000/XP Pro, il faut mettre en place le service RAS (Routage et accès distant). Celui-ci n’est pas démarré par défaut.
Nb : vous devez être connecté en utilisateur membre du groupe Administrateurs.
Allez dans Panneau de configuration.
Ouvrez Outils d’administration.
Ouvrez Services.
Cherchez le service Routage et Accès Distant.
Faites un clic-droit, Propriétés.
Dans la boite de dialogue, choisissez, "Démarrage automatique" :
Puis cliquez sur Démarrer pour lancer le service.
Le service est désormais installé et se lancera à chaque démarrage de la machine.
Maintenant nous allons paramétrer le service.
Toujours dans le panneau de configuration, choisissez « connexions réseaux et accès distants ».
Une nouvelle interface apparaît "connexions entrantes" :
Cliquez-droit sur Connexions entrantes, Propriétés.
../..
Page 2
Une première fenêtre s’ouvre :L’onglet Général permet de spécifier les périphériques qui seront utilisés pour le VPN. Cochez le périphérique correspondant à votre connexion Internet, soit votre modem RTC/ADSL/CABLE.
La deuxième étape consiste à autoriser les connexions VPN. Il faut donc cocher la case correspondante pour l’autoriser.
Je vous conseille d’activer l’icône de la barre des tâches pour savoir quand une connexion VPN est initiée.
Passons à l’onglet Utilisateurs :
Il vous permet de spécifier quels utilisateurs auront le droit de se connecter. Par défaut le compte administrateur est autorisé, je vous le déconseille. Choisissez votre compte perso ou créez un compte spécifique à cette fonction. Si vous désirez offrir la possibilité à d’autres utilisateurs de se connecter sur votre PC, créez un compte à leur nom, vous pourrez ainsi mieux gérer les droits d’accès des dossiers partagés.
Je vous conseille également de cocher la case "demander que tous les utilisateurs s’assurent de la sécurité(…)" afin d’obliger le cryptage MSCHAP, sinon les mots de passe passeront en clair, ce qui est dangereux pour la sécurité.
Passons à l’onglet Gestion de réseau :
Ce menu va nous permettre de paramétrer les divers protocoles autorisés. Par défaut, TCP/IP, Partages de fichiers et imprimantes, Client pour les réseaux MS sont installés. Laissez tel quel.
Page 3
Editer les propriétés TCP/IP :Cochez "autoriser les appelants à accéder à mon réseau local", si vous désirez que les personnes connectées puissent accéder à d’autres ressources (ordinateurs, imprimantes) sur votre réseau local.
Pour l’attribution des adresses TCP/IP, si vous laissez en DHCP, votre ordinateur distribuera les adresses IP aux clients en utilisant la plage d’adresses APIPA, soit 169.254.x.x/255.255.255.0.
Si vous souhaitez mieux gérer cette connexion et surtout autoriser l’accès à d’autres ordinateurs sur votre réseau, indiquez plutôt une plage d’adresses correspondant à votre réseau , par exemple :
Il faut savoir que de toute façon l’ordinateur n’acceptera qu’une seule connexion à la fois.
Voilà votre serveur est prêt.
Reste à configurer votre client.
Un problème se pose tout de même, comment accéder à distance à votre ordinateur ' Plusieurs possibilités s’offrent à vous :
Vous possédez une IP fixe attribuée par votre FAI, donc votre PC est toujours accessible.
Vous êtes en IP dynamique, vous devez donc, soit connaître votre adresse IP en temps réel (pour cela utiliser MonIP 1.1), soit faire correspondre cette adresse à un nom de domaine.
Dans ce cas, vous pouvez soit souscrire un nom de domaine payant , soit un nom de domaine gratuit.
Voici deux sociétés qui le propose :
No-IP :
Consultez ce dossier pour paramétrer votre DNS dynamique avec no-ip.com.
DNS2Go :
Consultez ce dossier pour paramétrer votre DNS dynamique avec DNS2Go.
Supposons que vous avez souscrit un nom de domaine gratuit avec no-ip qui se nomme: monpc.no-ip.com.
Création de la connexion VPN cliente :
Sur l’ordinateur client, ouvrez "connexions réseaux et accès distant".
Cliquez sur "créer une nouvelle connexion". Une boite de dialogue s’ouvre :
Choisissez "connexion à un réseau privé virtuel".
../..
Page 4
Si vous possédez une connexion de type RAS (c’est à dire que vous vous connectez à Internet via un modem et non un routeur), choisissez "établir une connexion initiale" en sélectionnant la connexion Internet correspondante :En effet, si vous n’êtes pas connecté à Internet lorsque vous lancez votre connexion cliente VPN, il lancera d’abord la connexion à votre FAI. Si vous passez à travers un routeur, choisissez "Ne pas composer automatiquement la connexion initiale".
Faites Suivant :
Comme l’indique la boîte de dialogue, entrez ici votre nom de domaine ou votre adresse IP.
Choisissez si vous voulez que cette connexion soit autorisée pour vous uniquement ou pour tous les utilisateurs de l’ordinateur.
Donnez un nom à votre connexion.
../..
Page 5
Une nouvelle interface apparaît alors dans "connexions réseaux et accès à distance".Lancez la connexion VPN en double-cliquant dessus. Si votre connexion Internet n’est pas active, il vous demandera de la lancer. Sinon, une boite de dialogue s’ouvrira vous demandant de spécifier un nom d’utilisateur et le mot de passe correspondant.
Voilà, si tout se passe bien, vous serez connecté à votre ordinateur à distance. Vous pourrez accéder aux dossiers partagés mais aussi ( si vous utilisez XP Pro) prendre en main à distance votre machine. Pour ceux qui utilisent l’adsl ou le câble, la rapidité d’affichage est bluffante !!
Problèmes avec les pares-feu (firewall).
Il se peut que les connexions soient refusées à cause de votre pare-feu.
Tout dépend de votre configuration :
Vous utilisez un routeur :
vérifiez s’il prend en charge le VPN PPTP (généralement oui), une case à cocher devrait suffire. Sinon, ouvrez les ports 1723 et le protocole GRE 47 en « nattant » vers votre ordinateur.
Vous utilisez Zone Alarm (version gratuite) :
Ouvrez Zone Alarm, aller dans firewall, Zones :
Créez une zone sûre en spécifiant le nom d’hôte (votre nom de domaine ou votre adresse IP).
Allez ensuite dans l’onglet Général et désactivez le firewall sur la zone sûre :
Il est vrai qu’il est embêtant de désactiver complètement le firewall dans la zone sûre mais c’est le seul moyen sous ZA.
Dans la version Pro, dans la zone Internet, il existe un onglet "personnalisé" dans lequel vous pouvez spécifier des ports TCP entrants autorisés. Dans ce cas, spécifiez le port 1723.
../..
Suite et fin
Vous utilisez le pare-feu de Windows XP:Dans les propriétés de votre connexion Internet, allez dans l’onglet Avancé :
Cliquez sur Paramètres :
Vérifiez que la case "connexion entrante PPTP" est cochée.
Plus d’info sur le pare-feu de Windows XP dans ce dossier.
Perte de la connexion Internet lors de la connexion au VPN :
Lorsque vous vous connectez à votre VPN, votre client essaye d'utiliser votre serveur VPN pour accéder à Internet et du coup vous ne pouvez plus surfer. Pour remédier à cela, éditez les propriétés TCP/IP de votre connexion client VPN :
Cliquez sur Avancé...
Décochez la case "Utiliser la passerelle par défaut pour le réseau distant".
Voilà ! Votre serveur et votre client VPN sont paramétrés.
Profitez-en bien !!