Comment configurer votre ordinateur en tant que serveur VPN sous Windows:
Votre système d’exploitation Windows XP vous permet de créer en toute sécurité, via Internet, votre propre réseau privé virtuel. Voici une suite de manipulations pour configurer correctement votre ordinateur comme serveur pour une connexion VPN...
Il est nécessaire de régler le pare-feu (Comment désactiver le pare-feu ?) ; de mettre l'adresse IP locale du serveur VPN dans la DMZ ; de s'assurer que votre ordinateur faisant office de serveur dispose d'un pare-feu correctement configuré. Pour une utilisation fréquente de votre serveur VPN, nous vous conseillons de le configurer avec une adresse IP fixe (Comment configurer un ordinateur avec une adresse IP fixe ?). Comment configurer votre ordinateur en tant que serveur VPN sous Windows ?
1- Cliquez sur le bouton "Démarrer", choisissez "Paramètres" et "Panneau de configuration", puis sélectionnez "Connexions réseau".
2- La fenêtre "Connexions réseau" s’affiche. Cliquez sur "Créer une nouvelle connexion".
3- La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Suivant >".
4- La fenêtre "Type de connexion réseau" s’affiche. Sélectionnez la proposition "Configurer une connexion avancée", puis cliquez sur le bouton "Suivant >".
5- La fenêtre "Options de connexion avancées" s’affiche. Sélectionnez la proposition "Accepter les connexions entrantes", puis cliquez sur le bouton "Suivant >".
6- La fenêtre "Périphériques pour connexions entrantes" s’affiche. Ne cochez rien, puis cliquez sur le bouton "Suivant >".
7- La fenêtre "Connexion réseau privée virtuelle (VPN) entrante" s’affiche. Sélectionnez le choix "Autorisez les connexions privées virtuelles", puis cliquez sur le bouton "Suivant >".
8- La fenêtre "Autorisations des utilisateurs" s’affiche. Sélectionnez le(s) utilisateur(s) autorisé(s) à se connecter, puis cliquez sur le bouton "Suivant >".
Si l’utilisateur n’apparaît pas dans la liste, cliquez sur le bouton "Ajouter", renseignez les différents champs, puis cliquez sur le bouton "OK".
9- La fenêtre "logiciel de réseau" s’affiche. Sélectionnez les services, protocoles et clients que vous désirez activer. Par défaut, nous vous conseillons de ne rien modifier. Cliquez ensuite sur le bouton "Suivant >".
10- La fenêtre "Fin de l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Terminer".
11- Suite à cette dernière série de manipulations, pour configurer les propriétés de la connexion VPN créée, il vaut à présent retourner dans la fenêtre "Connexion réseau". Effectuez un clic droit sur la connexion VPN ainsi créée, puis sélectionnez dans le menu contextuel "Propriétés".
12- La fenêtre "Propriétés de Connexions entrantes" s’affiche. Cliquez sur l’onglet "Gestion de réseau". Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur "Propriétés".
13- La fenêtre "Propriétés TCP/IP entrantes" s’affiche... Une série d'options apparaissent:
L'option "Autoriser les correspondants appelant à accéder à mon réseau local" permet de configurer votre ordinateur comme routeur (si l'option est décochée, l'appelant n'aura accès qu'à votre ordinateur ; si l'option est cochée, l'appelant pourra accéder aux autres ordinateurs de votre réseau).
L’option "Attribuer les adresses TCP/IP automatiquement avec DCHP" permet d’assigner automatiquement les adresses TCP/IP.
L’option Spécifier des adresses TCP/IP permet d'indiquer une plage d'adresse à utiliser pour les appelants.Elle est utile lorsqu'il n'y a pas sur le réseau de serveur DHCP.
REMARQUE : le nombre d'adresses allouées, calculé en fonction des adresses tapées dans les zones "De" et "À", s'affiche dans la zone "Total".
L’option "Autoriser l'ordinateur appelant à spécifier sa propre adresse IP" inverse le processus d'attribution de l'adresse. Ce n'est plus votre ordinateur qui attribue une adresse mais l’ordinateur de l’appelant.
ATTENTION : cette option risque de provoquer des conflits d’adresses IP sur votre réseau.
Cliquez sur le bouton "OK".
Votre ordinateur est maintenant configuré correctement en tant que serveur pour un réseau virtuel via une connexion VPN.
Test de la connexion VPN :
Ouvrez votre navigateur Web, puis saisissez dans la barre d’adresses l’IP du serveur VPN. Si vous affichez les dossiers partagés du serveur VPN, c’est que la connexion VPN fonctionne correctement.
Configuration :
Configuration du réseau sans cryptage :
SITE 1 :
router(config)# hostname site1
site1(config)# interface ethernet0/0
site1(config-if)# ip address 172.16.0.1 255.255.255.0
site1(config-if)# no shudown
site1(config-if)# exit
site1(config) # interface serial 0/0
site1(config-if) # ip address 10.1.1.2 255.255.255.252
site1(config-if) # no shutdown
site1(config-if) # exit
site1(config) # ip route 192.168.0.0 255.255.255.0 10.1.1.1
SITE 2 :
router(config)# hostname site2
site2(config)# interface ethernet0/0
site2(config-if)# ip address 192.168.0.1 255.255.255.0
site2(config-if)# no shudown
site2(config-if)# exit
site2(config) # interface serial 1/0
site2(config-if) # ip address 10.1.1.1 255.255.255.252
site2(config-if) # clock rate 64000
site2(config-if) # no shudown
site2(config-if) # exit
site2(config) # ip route 172.16.0.0 255.255.255.0 10.1.1.2
Configuration CA
SITE 1 :
site1# clock set 10:14:59 22 jul 2014
site1(config) # ip domain-name tri.ma
site1(config) # ip host vpnca 192.168.0.254
site1(config) # crypto key generate rsa usage-keys
site1(config) # crypto ca trustpoint vpnca
Site2(ca-trustpoint)# enrollment url http://vpnca/certsrv/mscep/mscep.dll
site1(ca-truspoint) # exit
site1(config) # crypto ca authenticate vpnca
SITE 2 :
site2# clock set 11:03:14 11 jul 2014
site2(config) # ip domain-name tri.ma
site2(config) # ip host vpnca 192.168.0.254
site2(config) # crypto key generate rsa usage-keys
site2(config) # crypto ca trustpoint vpnca
site2(ca-trustpoint)# enrollment url http://vpnca/certsrv/mscep/mscep.dll
site2(ca-truspoint) # exit
site2(config) # crypto ca authenticate vpnca
Configuration IKE
SITE 1 :
site1(config) # crypto isakmp policy 1
site1(config-isakmp) # encryption des
site1(config-isakmp) # hash sha
site1(config-isakmp) # authentication rsa-sig
site1(config-isakmp) # lifetime 86400
site1(config-isakmp) # end
site1(config) # crypto isakmp key key1700 address 10.1.1.2
SITE 2 :
site2(config) # crypto isakmp policy 1
site2(config-isakmp) # encryption des
site2(config-isakmp) # hash sha
site2(config-isakmp) # authentication rsa-sig
site2(config-isakmp) # lifetime 86400
site2(config-isakmp) # end
site2(config) # crypto isakmp key key1700 address 10.1.1.1
Configuration IPsec
SITE 1 :
site1(config)# crypto ipsec transform-set trs1 ah-sha-hmac esp-des
site1(config-crypto-trans)# mode tunnel
site1(cfg-crypto-trans)# exit
site1(config) # access-list 110 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
site1(config) # access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
site1(config)# crypto map map1 10 ipsec-isakmp
site1(cfg-crypto-map)# match address 110
site1(cfg-crypto-map)# set peer 10.1.1.2
site1(cfg-crypto-map) # exit
site1(config) # interface serial 0/0
site1(config-if) # crypto map map1
site1(config-if) # exit
SITE 2 :
site2(config)# crypto ipsec transform-set trs2 ah-sha-hmac esp-des
site2(config-crypto-trans)# mode tunnel
site2(cfg-crypto-trans)# exit
site2(config) # access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config) # access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config)# crypto map map1 10 ipsec-isakmp
site2(cfg-crypto-map)# match address 101
site2(cfg-crypto-map)# set peer 10.1.1.1
site2(cfg-crypto-map) # exit
site2(config) # interface serial 1/0
site2(config-if) # crypto map map1
site2(config-if) # exit
Test et Vérification :
Test et Vérification ( site1 ) :
ping 192.168.0.10 –t –l 1500
Test et Vérification ( site2 ) :
ping 172.16.0.10 –t –l 1500
Votre système d’exploitation Windows XP vous permet de créer en toute sécurité, via Internet, votre propre réseau privé virtuel. Voici une suite de manipulations pour configurer correctement votre ordinateur comme serveur pour une connexion VPN...
Il est nécessaire de régler le pare-feu (Comment désactiver le pare-feu ?) ; de mettre l'adresse IP locale du serveur VPN dans la DMZ ; de s'assurer que votre ordinateur faisant office de serveur dispose d'un pare-feu correctement configuré. Pour une utilisation fréquente de votre serveur VPN, nous vous conseillons de le configurer avec une adresse IP fixe (Comment configurer un ordinateur avec une adresse IP fixe ?). Comment configurer votre ordinateur en tant que serveur VPN sous Windows ?
1- Cliquez sur le bouton "Démarrer", choisissez "Paramètres" et "Panneau de configuration", puis sélectionnez "Connexions réseau".
2- La fenêtre "Connexions réseau" s’affiche. Cliquez sur "Créer une nouvelle connexion".
3- La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Suivant >".
4- La fenêtre "Type de connexion réseau" s’affiche. Sélectionnez la proposition "Configurer une connexion avancée", puis cliquez sur le bouton "Suivant >".
5- La fenêtre "Options de connexion avancées" s’affiche. Sélectionnez la proposition "Accepter les connexions entrantes", puis cliquez sur le bouton "Suivant >".
6- La fenêtre "Périphériques pour connexions entrantes" s’affiche. Ne cochez rien, puis cliquez sur le bouton "Suivant >".
7- La fenêtre "Connexion réseau privée virtuelle (VPN) entrante" s’affiche. Sélectionnez le choix "Autorisez les connexions privées virtuelles", puis cliquez sur le bouton "Suivant >".
8- La fenêtre "Autorisations des utilisateurs" s’affiche. Sélectionnez le(s) utilisateur(s) autorisé(s) à se connecter, puis cliquez sur le bouton "Suivant >".
Si l’utilisateur n’apparaît pas dans la liste, cliquez sur le bouton "Ajouter", renseignez les différents champs, puis cliquez sur le bouton "OK".
9- La fenêtre "logiciel de réseau" s’affiche. Sélectionnez les services, protocoles et clients que vous désirez activer. Par défaut, nous vous conseillons de ne rien modifier. Cliquez ensuite sur le bouton "Suivant >".
10- La fenêtre "Fin de l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Terminer".
11- Suite à cette dernière série de manipulations, pour configurer les propriétés de la connexion VPN créée, il vaut à présent retourner dans la fenêtre "Connexion réseau". Effectuez un clic droit sur la connexion VPN ainsi créée, puis sélectionnez dans le menu contextuel "Propriétés".
12- La fenêtre "Propriétés de Connexions entrantes" s’affiche. Cliquez sur l’onglet "Gestion de réseau". Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur "Propriétés".
13- La fenêtre "Propriétés TCP/IP entrantes" s’affiche... Une série d'options apparaissent:
L'option "Autoriser les correspondants appelant à accéder à mon réseau local" permet de configurer votre ordinateur comme routeur (si l'option est décochée, l'appelant n'aura accès qu'à votre ordinateur ; si l'option est cochée, l'appelant pourra accéder aux autres ordinateurs de votre réseau).
L’option "Attribuer les adresses TCP/IP automatiquement avec DCHP" permet d’assigner automatiquement les adresses TCP/IP.
L’option Spécifier des adresses TCP/IP permet d'indiquer une plage d'adresse à utiliser pour les appelants.Elle est utile lorsqu'il n'y a pas sur le réseau de serveur DHCP.
REMARQUE : le nombre d'adresses allouées, calculé en fonction des adresses tapées dans les zones "De" et "À", s'affiche dans la zone "Total".
L’option "Autoriser l'ordinateur appelant à spécifier sa propre adresse IP" inverse le processus d'attribution de l'adresse. Ce n'est plus votre ordinateur qui attribue une adresse mais l’ordinateur de l’appelant.
ATTENTION : cette option risque de provoquer des conflits d’adresses IP sur votre réseau.
Cliquez sur le bouton "OK".
Votre ordinateur est maintenant configuré correctement en tant que serveur pour un réseau virtuel via une connexion VPN.
Test de la connexion VPN :
Ouvrez votre navigateur Web, puis saisissez dans la barre d’adresses l’IP du serveur VPN. Si vous affichez les dossiers partagés du serveur VPN, c’est que la connexion VPN fonctionne correctement.
Configuration :
Configuration du réseau sans cryptage :
SITE 1 :
router(config)# hostname site1
site1(config)# interface ethernet0/0
site1(config-if)# ip address 172.16.0.1 255.255.255.0
site1(config-if)# no shudown
site1(config-if)# exit
site1(config) # interface serial 0/0
site1(config-if) # ip address 10.1.1.2 255.255.255.252
site1(config-if) # no shutdown
site1(config-if) # exit
site1(config) # ip route 192.168.0.0 255.255.255.0 10.1.1.1
SITE 2 :
router(config)# hostname site2
site2(config)# interface ethernet0/0
site2(config-if)# ip address 192.168.0.1 255.255.255.0
site2(config-if)# no shudown
site2(config-if)# exit
site2(config) # interface serial 1/0
site2(config-if) # ip address 10.1.1.1 255.255.255.252
site2(config-if) # clock rate 64000
site2(config-if) # no shudown
site2(config-if) # exit
site2(config) # ip route 172.16.0.0 255.255.255.0 10.1.1.2
Configuration CA
SITE 1 :
site1# clock set 10:14:59 22 jul 2014
site1(config) # ip domain-name tri.ma
site1(config) # ip host vpnca 192.168.0.254
site1(config) # crypto key generate rsa usage-keys
site1(config) # crypto ca trustpoint vpnca
Site2(ca-trustpoint)# enrollment url http://vpnca/certsrv/mscep/mscep.dll
site1(ca-truspoint) # exit
site1(config) # crypto ca authenticate vpnca
SITE 2 :
site2# clock set 11:03:14 11 jul 2014
site2(config) # ip domain-name tri.ma
site2(config) # ip host vpnca 192.168.0.254
site2(config) # crypto key generate rsa usage-keys
site2(config) # crypto ca trustpoint vpnca
site2(ca-trustpoint)# enrollment url http://vpnca/certsrv/mscep/mscep.dll
site2(ca-truspoint) # exit
site2(config) # crypto ca authenticate vpnca
Configuration IKE
SITE 1 :
site1(config) # crypto isakmp policy 1
site1(config-isakmp) # encryption des
site1(config-isakmp) # hash sha
site1(config-isakmp) # authentication rsa-sig
site1(config-isakmp) # lifetime 86400
site1(config-isakmp) # end
site1(config) # crypto isakmp key key1700 address 10.1.1.2
SITE 2 :
site2(config) # crypto isakmp policy 1
site2(config-isakmp) # encryption des
site2(config-isakmp) # hash sha
site2(config-isakmp) # authentication rsa-sig
site2(config-isakmp) # lifetime 86400
site2(config-isakmp) # end
site2(config) # crypto isakmp key key1700 address 10.1.1.1
Configuration IPsec
SITE 1 :
site1(config)# crypto ipsec transform-set trs1 ah-sha-hmac esp-des
site1(config-crypto-trans)# mode tunnel
site1(cfg-crypto-trans)# exit
site1(config) # access-list 110 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
site1(config) # access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
site1(config)# crypto map map1 10 ipsec-isakmp
site1(cfg-crypto-map)# match address 110
site1(cfg-crypto-map)# set peer 10.1.1.2
site1(cfg-crypto-map) # exit
site1(config) # interface serial 0/0
site1(config-if) # crypto map map1
site1(config-if) # exit
SITE 2 :
site2(config)# crypto ipsec transform-set trs2 ah-sha-hmac esp-des
site2(config-crypto-trans)# mode tunnel
site2(cfg-crypto-trans)# exit
site2(config) # access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config) # access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config)# crypto map map1 10 ipsec-isakmp
site2(cfg-crypto-map)# match address 101
site2(cfg-crypto-map)# set peer 10.1.1.1
site2(cfg-crypto-map) # exit
site2(config) # interface serial 1/0
site2(config-if) # crypto map map1
site2(config-if) # exit
Test et Vérification :
Test et Vérification ( site1 ) :
ping 192.168.0.10 –t –l 1500
Test et Vérification ( site2 ) :
ping 172.16.0.10 –t –l 1500
Aucun commentaire:
Enregistrer un commentaire