Mise en place d’un VPN SSTP (v4. 0) Tutorial conçu et rédigé par Michel de CREVOISIER SOURCES Laboratoire Microsoft : — Février 2011 http://www. labo-microsoft. org/articles/Windows-server-2008 -VPN-SSTP/ Step by step deployment guide by Microsoft : Cl http://technet. microsoft. com/en-us/library/cc731352(WS. 10) . aspx Dépannage des incidents VPN communs D http://blogs. techne ‘troubleshooting-co Dépannage des incid 12009/08/12 as px or 12 Sni* to View http://support. microsoft. com/kb/947031/fr http://blogs. echnet. com/b/rrasblog/archive/2007/09/26/how-to -debug-sstp-specific-connectionfailures. aspx Identification des évènements systèmes relatifs au RRAS-SSTP : http://technet. microsoft. com/en-us/library/cc733772(WS. 1 0). aspx Installation de la liste des certificats révoqués localement : Cl http://wvwA’. carbonwind. net/blog/post/Quickly-establish-a-SSTP -VPN-connection-from-a-Windows-7RC-VPN-client-without-a -published-CRL-distribution-point. aspx domaine 1. 1 1. 2 Compte utilisateur 6 1. 3 2.
Groupe de sécurité Attribution d’une IP statique Configuration d’Active Directory Certificate Services 2. 1 2. 2 Configuration d’Internet Explorer 2. 3 Activation du site de distribution des certlficats . 2. 4 Demande de certificat PAGF 12 8 . 14 14 . . 22 3. 2 Démarrage du serveur RRAS . 3. 3 Association du certificat . 25 3. 4 Configuration du firewall……….. 26 3. 5 Changement du port d’écoute 3. 6 Configuration des règles de filtrage . 4. Configuration de votre routeur/ box….. 19 24 31 à la valeur passée — — 42 6. La fonction de révocation n’a pas pu vérifier la révocation car le serveur était déconnecté42 6. 3 La connexion a été interdite par une stratégie… 43 6. 4 Le nom demandé est valide, mais aucune donnée du type requis n’a été trouvée 6. 5 La connexion n’a pas pu être établie, car le protocole ‘authentification utilisé par le serveur ne correspond pas aux paramètres… — 43 6. 6 une chaine de certificats a été traitée mais s’est terminée par un certificat racine qui n’est pas approuvé par le fournisseur d’approbation…. ?? 44 Conclusion 45 Préambule En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (? savoir Active Directory et anglais ici pour ne pas perdre le fil… Pour ce tuto, j’utiliserai deux serveurs et un client : C] DC 1 : Active Directory et DNS installés (non détaillé) VPNI (membre du domaine): RRAS et ADCA installées (détaillé) CLIENTI : poste client (Vista SPI ou Seven minimum).
Il n’est pas nécessaire que le client soit membre du domaine Enfin, sachez que ce tuto est destiné à être mis en place dans un environnement particulier ou PME. En effet, pour les grandes entreprises, il est recommandé de s’acquitter de certificats auprès d’une autorlté compétente, de disposer d’une DMZ, de rendre publique la liste des certificats révoquer et de posséder un serveur avec de deux cartes réseau placées dans des réseaux différents. 1 . Configuration du contrôleur de domaine . Groupe de sécurité Il est vivement recommandé de créer un groupe de sécurité afin de restreindre les accès au VPN à ce seul groupe. Par ailleurs, cela évite de devoir configurer individuellement chaque utilisateur souhaitant se connecter au VPN. Appelez ce groupe « GS VPN 1. 2 Compte utilisateur Créez un compte AD nommé « user-sttp » (un compte utilisateur normal suffit). Ensuite, ajutez ce compte au groupe « GS_VPN». 1 Attribution d’une IP statique Lorsqu’un utilisateur se connecte au VPN, il est indispensable qu’il dispose d’une IP dynamique ou statique.
Dans notre ca rons une IP statique : PAGF C Vous pouvez également opter pour une clef de 4096 et un hash en SHA512 (ne pas changer le type de CSP) 2. 2 Configuration d’Internet Explorer A exécuter en tant qu’administrateur si vous avez l’IJAC d’activé • clic droit sur IE > « Run as administrator Tools > Options > Security > Local intranet > LOW 2. 3 Activation du site de distribution des certlficats Lancer IIS Manager Cliquer sur Default Web Site Puis sur Directory Browsing Cliquer sur Enable (à droite) 2. 4 Demande de certificat Aller sur wvm. ocalhost/certsrv/en-US ou française Cliquer sur Request a certificate « en-FR » SI version Puis sur Advances certific PAGF 19 sélectionner votre certificat récemment installé Clic droit All tasks Export N ext Yes, export the private key > Next > [votre PSW] et [nom certlficat] > Next > Flnish Déroulez Certificate (Local computer) > Personal > Certificates Clic droit sur Certificates >AII tasks > Import [Emplacement certificat] > Next Votre mot de passe > Next > Next > Finish Notez qu’un copiez/collez entre les magasins de la MMC ne fonctionne pas.
Le certificat doit être exporté et importé avec ses attributs pour être reconnu comme tel. 3. Configuration de « Network Policy and Access services » . 1 Installation du rôle NPS 7 2 certificat SSI_ a bien été enregistré. Pour cela, ouvrez une fenêtre DOS en mode administrateur et tapez : D netsh http show sslcert 3. Configuration du firewall Ouvrez le gestionnaire de firewall avancé Bloquez les règles entrantes (inbound rules) existantes suivantes par sécurité (le seraice « Pare-feu / Windows Firewall » doit bien entendu être activé) : o GRE-in o L2TP-in o ppTp-in Double clic sur la règle > Bloquer 3. 5 Changement du port d’écoute Si vous êtes derrière un router NAT et que vous souhaltez modifier le port d’écoute de votre erveur VPN SSTP, modifiez la clef de registre suivante • HKEY LOCAL Modifiez ensuite la valeur ListenerPort avec le port souhaité.
Pensez également à modifier la règle firewall propre au SSTP afin qu’elle prenne en compte votre nouvelle configuration. Sachez que dans tous les cas le client cherchera à se connecter via le port [443]. Après la modification du registre, redémarrez votre PC pour prendre la nouvelle confieuration. Aller dans Policies > Network Policies Supprimer toutes les règles existantes (clic droit > Supprimer) Ensuite, créez une nouvelle règle : clic droit > Network Policies >
L’assistant suivant se lance : Ad d Ajoutez ensuite les règles suivantes dans la liste : o Users groups : ajoutez le groupe « GS VPN » dont VPN-user est membre o Day and time restrictions (optionnel) Répondez ensuite Next à toutes les options, puis sur terminer Pour terminer, redémarrer votre serveur RRAS pour prendre en compte la nouvelle considération : Lancer Routing and remote access Clic droit sur [nom_votre_serveur] > All tasks > Restart Cl Votre serveur NPS est dorénavant opérationnel. . Configuration de votre routeur/box pour vous connecter depuis l’extérieur, vous devez ouvrir le port 43 en TCP sur votre routeur et le redirigez vers l’IP interne du seweur VPNI . Je vous laisse chercher sur internet pour savoir comment ouvrir le port selon votre type de box/routeur. Vous devriez avoir quelqu droit > Coller 5. Importation de la liste des certificats révoqués (CRL) Avant tout, vous devez savoir qu’avant même de procéder ? l’établissement de la connexion VPN, votre poste client va obligatoirement vouloir accéder au site des certificats révoqués afin de vérifier que votre certificat est bien valide. Si vous ne souhaitez pas rendre publique votre ite web sur internet (pour des raisons de sécurité), vous devez télécharger la dernière version des CRL localement sur votre poste client.
Vous devez pour cela utillser la même MMC que dans le paragraphe précédent. Depuis votre poste client, aller sur http://nom_serveur VPNI /certsrv/en-LlS ou « enFR » si version française Download a CA certificate Download lastest base CRI_ Télécharger et indiquer l’endroit ou vous souhaitez l’enregistrer Ouvrez la MMC créait au point précédent Certificats (ordinateur local) > Autorités de certification intermédiaires > Toutes les tâches > Importer Attention !