VPN sous 2k advanced server

VPN sous 2k advanced server - Windows & Software

Marsh Posté le 14-02-2005 à 19:37:30    

hello !
 
voilà dans notre entreprise, nous possédons un serveur de domaine Windows 2000 advanced server avec des clients sous Windows XP. Sur le réseau se trouve un firewall qui est relié à un routeur ADSL.
L'attribution du droit de connexion se fait en fonction de l'IP du client par le biais du firewall.
Pour étendre nos possibilités de travail à l'extérieur de l'entreprise, nous souhaiterions pouvoir nous connecter au réseau par le biais de la connexion Internet en faisant du VPN. Notre firewall nous permet de faire du VPN.
Le problème qui se pose : lors de l'authentification depuis l'extérieur, un serveur radius présent sur le firewall s'occupe de laisser entrer la personne ou pas. Mais cela nous impose de devoir copier les utilisateurs (username et password) présents dans Active Directory sur le firewall dans le serveur radius. Je sais qu'il existe une possibilité pour pouvoir utiliser depuis le firewall l'annuaire d'un autre serveur radius. Donc la question est la suivante : comment configurer w2k en serveur radius ? Car depuis le serveur radius de w2k, il est possible de réutiliser l'Active Directory du domaine. Ceci faciliterait aussi au niveau des attributions des droits sur le réseau vu.... qu'elles sont déjà faites !! Ce qui ne serait pas le cas si on doit recréer les utlisateurs dans le serveur radius du firewall !!
 
merci d'avance pour vos réponses ou vos pistes :-)


Message édité par crying_freeman le 14-02-2005 à 19:55:28
Reply

Marsh Posté le 14-02-2005 à 19:37:30   

Reply

Marsh Posté le 14-02-2005 à 22:20:14    

j'ai jamais fait mais j'ai trouvé ça dans mes bouquins. je pense que ça devrait t'aider :   :)  
 
page1
page2
page3
page4


Message édité par i'm philou le 14-02-2005 à 22:28:57
Reply

Marsh Posté le 15-02-2005 à 08:27:03    

Hello !
 
merci beaucoup pour la doc : je vais matter ca.
 
Sinon, dernier point qui me chagrine : c'est que pour activer le routage et accès distant (pour utiliser IAS), il faut disposer d'une nouvelle connexion réseau. Alors ma question est la suivante : étant donné que le firewall est relié directement sur le switch, tout comme le serveur, la nouvelle connexion sur le serveur doit être directement relié sur le firewall ou alors elle peut l'être sur le réseau ?!
 
merci d'avance et bonne journée :-)

Reply

Marsh Posté le 15-02-2005 à 09:21:51    

i'm philou a écrit :

j'ai jamais fait mais j'ai trouvé ça dans mes bouquins. je pense que ça devrait t'aider :   :)  
 
page1
page2
page3
page4


 
et c'est quoi comme bouquin à tout hasard ?
 
car ici on a les 4 bouquins pour Windows 2000 éditer par Microsoft Press (kit de formation) et j'ai pas trouvé d'informations concernant le IAS. Par contre, y'en a plein pour le VPN !!

Reply

Marsh Posté le 16-02-2005 à 21:30:15    

je comprends pas trop ta question. Sur le bouquin, j'ai rien trouvé et ça fait longtemps que j'ai pas monté un RAS.
sinon, le bouquin en question, c'est celui-ci


Message édité par i'm philou le 16-02-2005 à 21:32:50
Reply

Marsh Posté le 21-02-2005 à 10:25:02    

nan c'est bon oublie pour la question...
 
bon, maintenant j'ai supprimé le firewall et utilise le service de routage et accès distant.
en gros, j'ai les clients qui obtiennent une IP par le serveur de domaine. Ce serveur possède l'adresse 172.168.10.1 sur la connexion du domaine. Sur l'autre carte réseau, il possède l'adresse 172.168.10.113 et est connecté sur le routeur qui lui possède l'adresse 172.168.10.112.
alors ma première question : comment configurer les paramètres du routage sur le serveur ?
 
voici ma table de routage :  
 

===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 04 75 9a 69 f1 ...... 3Com EtherLink PCI
0x1000004 ...00 60 b0 b3 74 8d ...... AMD PCNET Family Ethernet Adapter
===========================================================================
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   172.168.10.113    172.168.10.1       1
          0.0.0.0          0.0.0.0   172.168.10.112  172.168.10.113       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      172.168.0.0      255.255.0.0     172.168.10.1    172.168.10.1       1
     172.168.10.1  255.255.255.255        127.0.0.1       127.0.0.1       1
   172.168.10.113  255.255.255.255        127.0.0.1       127.0.0.1       1
  172.168.255.255  255.255.255.255     172.168.10.1    172.168.10.1       1
  172.168.255.255  255.255.255.255   172.168.10.113  172.168.10.113       1
        224.0.0.0        224.0.0.0     172.168.10.1    172.168.10.1       1
        224.0.0.0        224.0.0.0   172.168.10.113  172.168.10.113       1
  255.255.255.255  255.255.255.255     172.168.10.1    172.168.10.1       1
Passerelle par défaut :    172.168.10.113
===========================================================================
Itinéraires persistants :
  Aucun


 
 
merci d'avance et bonne journée :-)


Message édité par crying_freeman le 21-02-2005 à 10:29:17
Reply

Marsh Posté le 21-02-2005 à 10:57:59    

slt,
je pige pas trop ton projet.
pourquoi ne pas monter un RAS pour beneficier du serveur radius mais sans te servir du service RAS lui même, en laissant donc la deuxieme connection reseau du serveur non branchée ?
 
actuellement, tu essaies de faire du routage entre deux reseaux identiques (172.168.0.0).
 
autre chose, pourquoi avoir choisi ce numero de reseau là (172.168.0.0) qui me semble t'il ne fait pas partie des adresses privées non routables sur le net ?


Message édité par i'm philou le 21-02-2005 à 10:59:20
Reply

Marsh Posté le 21-02-2005 à 13:27:10    

hello !
 
je comprends ton désarroi et j'en suis désolé !
 
en fait, depuis le premier post, y'a eu des évolutions.
la première, c'est qu'avant de mettre en place le firewall, je souhaitais utiliser le service de routage et accès distant pour "sécuriser" mon réseau et mettre un peu de piment dans tout ca. car l'avantage du firewall, c'est qu'il comprend une fonction qui permet de faire du VPN. donc, il n'y a quasi rien à faire sur le serveur W2K si ce n'est d'activer le serveur radius. et comme je ne dispose pas encore du firewall, il faut bien que je fasse sans :-)
donc mon objectif actuel et d'utiliser le servide de routage sur mon réseau avec mon serveur W2K. j'ai donc sur une carte réseau la connexion au domaine. et sur l'autre, la connexion au routeur ADSL. je précise que dans la partie d'administration du DNS, j'ai supprimé la racine (root). sinon, j'ai activé le service de routage. mais je capte pas vraiment comment le configurer. ma table ci-dessus correspond à celle une fois le service routage lancé et configuré. mais je ne sais vraiment pas comment faire !!
 
merci d'avance de ton (votre) aide :-)

Reply

Marsh Posté le 21-02-2005 à 16:24:59    

re,
 
petite précision : je ne peux pas modifier la plage d'adresse IP car elle est déjà définie comme ca.

Reply

Marsh Posté le 21-02-2005 à 19:54:34    

voilà un petit schéma repris sur ce post pour voir ce à quoi ressemble un peu près le réseau.
 
http://img13.exs.cx/img13/8555/rseau0ob.jpg
 
faut juste se dire que le modem ADSL et le routeur ne font qu'un et que "derrière" Internet, y'a le client VPN qui se connecte au réseau de l'entreprise par le biais de l'assistant réseau de Windows par exemple.
mais ceci n'est qu'un schéma et à priori, ca ne fonctionne pas. le problème vient de la table de routage je présume qui n'est pas écrite correctement. alors si qqun a un petit cours là dessus ou autre, je suis partant !
sinon, à part l'adresse IP du serveur qui est 172.168.10.1 je crois et le masque de sous-réseau 255.255.0.0, tout est modifiable. j'ai pris 172.168.10.112 pour le modem et 172.168.10.113 pour la carte réseau reliée au modem pour faire plus simple. mais on peut très bien changer si ca pose pas de problème...
les adresses des clients du domaine sont attribués par DHCP.
 
voilà merci et bonne soirée :-)

Reply

Marsh Posté le 21-02-2005 à 19:54:34   

Reply

Marsh Posté le 21-02-2005 à 20:56:16    

Salut!
 
Apparement tu as mis 2 cartes réseau dans ton serveur W2K rien que pour la VPN mais tu n'est pas obligé, tu peux très bien avoir une architecture comme celle-ci :  
 
http://cyberfg.free.fr/vpn.jpg
 
Tu créé ton serveur VPN sur le serveur W2K en écoute sur le réseau local, dans la table NAT de ton routeur tu rediriges tout ce qui rentre sur le port 1723 vers ton serveur VPN (il faut que ton routeur soit VPN Passtrought mais il doit l'etre) et ca marche très bien. Tu pourra ainsi utiliser le serveur raduis de W2K en plus... j'utilise tous les jours une architecture de ce type.
 
Voila voila j'espère que j'ai été clair!

Reply

Marsh Posté le 21-02-2005 à 20:59:29    

Question, est-ce que depuis l'extérieur t'arrive au moins à te connecter sur le serveur ? Si non, oublie la table de routage ! Ca vient de ton routeur qui se trouve devant ta station, t'as peut-être oublié de translater un port ! Si, oui, tu peux l'oublier aussi, tu n'as pas routeur, derrière ton serveur !
 
Par contre, pour pouvoir accéder au partage des machines depuis l'extérieur, il faut cocher la case "activer le routage" dans connexions et accés distant et éventuellement activer le NAT pour rentrer directement sur les machines sans passer par le serveur...pour le coup, je ne sais pas comment on fait ! :)


Message édité par cvb le 21-02-2005 à 21:01:08
Reply

Marsh Posté le 21-02-2005 à 21:01:44    

Cybergiloo a écrit :

Salut!
 
Apparement tu as mis 2 cartes réseau dans ton serveur W2K rien que pour la VPN mais tu n'est pas obligé, tu peux très bien avoir une architecture comme celle-ci :  
 
http://cyberfg.free.fr/vpn.jpg
 
Tu créé ton serveur VPN sur le serveur W2K en écoute sur le réseau local, dans la table NAT de ton routeur tu rediriges tout ce qui rentre sur le port 1723 vers ton serveur VPN (il faut que ton routeur soit VPN Passtrought mais il doit l'etre) et ca marche très bien. Tu pourra ainsi utiliser le serveur raduis de W2K en plus... j'utilise tous les jours une architecture de ce type.
 
Voila voila j'espère que j'ai été clair!


 
Question, combien de port son utilisé par le VPN ? à part le 1723 ?

Reply

Marsh Posté le 21-02-2005 à 21:12:14    

ben une fois la connection établie plusieurs ports sont ouverts dynamiquement entre le client et le serveur, lesquel je ne sais pas car ce n'est pas toujours les memes. En tout cas il n'y a besoin que de router le 1723 pour que ca marche, le reste se fait dynamiquement après.

Reply

Marsh Posté le 21-02-2005 à 21:13:47    

Cybergiloo a écrit :

ben une fois la connection établie plusieurs ports sont ouverts dynamiquement entre le client et le serveur, lesquel je ne sais pas car ce n'est pas toujours les memes. En tout cas il n'y a besoin que de router le 1723 pour que ca marche, le reste se fait dynamiquement après.


 
ok, merci

Reply

Marsh Posté le 22-02-2005 à 18:23:43    

[quote=1934909,0,11,202589]Salut!
 
Apparement tu as mis 2 cartes réseau dans ton serveur W2K rien que pour la VPN mais tu n'est pas obligé, tu peux très bien avoir une architecture comme celle-ci :  
 
http://cyberfg.free.fr/vpn.jpg
 
Tu créé ton serveur VPN sur le serveur W2K en écoute sur le réseau local, dans la table NAT de ton routeur tu rediriges tout ce qui rentre sur le port 1723 vers ton serveur VPN (il faut que ton routeur soit VPN Passtrought mais il doit l'etre) et ca marche très bien. Tu pourra ainsi utiliser le serveur raduis de W2K en plus... j'utilise tous les jours une architecture de ce type.
 
Voila voila j'espère que j'ai été clair![/quote]
 
merci ! j'ai fait comme tu dis pour finir car j'ai pas envie de me prendre la tête maintenant avec ce que je voulais faire. mais ce n'est que partie remise !
sinon, j'ai bien activer le routage et accès distant et ai lancé l'assistant pour configurer un réseau VPN. j'ai aussi créé un user pour les besoins de la cause et l'ai autorisé à faire du VPN.
mon problème est le suivant : depuis mon réseau interne, j'arrive bien à contacter l'ip fixe de la connexion internet et à me loguer avec un username/mot de passe. par contre, depuis une connexion autre que celle que j'tulilise, il m'est impossible d'ouvrir une session. la connexion se fait bien. mais au moment de donner le username/mot de passe, la fenêtre de connexion reste la même pendant une minute environ et me met le message d'erreur qu'il est impossible d'ouvrir une session. pourtant l'utilisateur est bien autorisé à ouvrir la session !!
 
sinon, quelqu'un aurait-il un bouquin/site(s) Internet qui contient de la doc suffisamment claire et précise mais sans trop rester basique sur le fonctionnement du routage et du VPN ?! parce que après faudrait que je fasse une doc là dessus sans employer un vocabulaire trop complexe et sans oublier les trucs importants...
 
merci d'avance et bonne soirée ;-)

Reply

Marsh Posté le 22-02-2005 à 19:12:35    

Ton soucis, c'est une histoire de port que tu n'as pas forwarder, mais je suis incapable de dire lequel :/

Reply

Marsh Posté le 22-02-2005 à 19:34:06    

[quote=1936339,0,17,75229]Ton soucis, c'est une histoire de port que tu n'as pas forwarder, mais je suis incapable de dire lequel :/[/quote]
 
ben d'après Cybergiloo, y'a que le port 1723 à forwarder ce que g fais dans mon firewall zywall :-|

Reply

Marsh Posté le 22-02-2005 à 20:33:48    

[quote=1936371,0,18,184561]ben d'après Cybergiloo, y'a que le port 1723 à forwarder ce que g fais dans mon firewall zywall :-|[/quote]non, il y en n'as d'autre, ceux qui servent à l'authentification ! En fonction du crypthage que tu utilise, d'autres se rajoute. Je les ai vu sur ce forum, mais je sais plus où :/  

Reply

Marsh Posté le 23-02-2005 à 14:03:36    

cvb a écrit :

non, il y en n'as d'autre, ceux qui servent à l'authentification ! En fonction du crypthage que tu utilise, d'autres se rajoute. Je les ai vu sur ce forum, mais je sais plus où :/


 
ca fonctionne ! enfin pour l'instant...
alors mon problème vient du fait que depuis l'autre connexion, il y'a un firewall et que je pense que le port 1723 ne doit pas être activé. sinon, sur mon réseau, en paramétrant mon firewall de manière à ce qu'il laisse rentrer/sortir tout ce qui se passe sur le port 1723 et uniquement celui-là, ben je n'ai pas de problème. j'ai pu tester depuis chez moi en copiant un fichier et cela fonctionne !
par contre, y'a-t-il un moyen pour que au moment de l'ouverture de session à travers le réseau vpn, un script s'exécute pour connecter des disque logiques et autres ?!
 
merci d'avance et bonne journée :-)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed