Mise en place d’un VPN sous Windows XP

Posté par ribur le 15 octobre 2008

Le concept de réseau privé virtuel

Les réseaux locaux d’entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c’est-à-dire que les liaisons entre machines appartiennent à l’organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l’intermédiaire d’équipements d’interconnexion. Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignées via internet.

Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu’elles circulent sur un réseau interne à une organisation car le chemin emprunté n’est pas défini à l’avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n’est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n’est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l’organisation ou l’entreprise.

La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l’aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d’utiliser Internet comme support de transmission.

Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d’ »encapsulation » (en anglais tunneling, d’où l’utilisation impropre parfois du terme « tunnelisation »), c’est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux « physiques » (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d’autre du VPN peuvent « voir » les données.

Le système de VPN permet donc d’obtenir une liaison sécurisée à moindre coût, si ce n’est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d’assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

Fonctionnement d’un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), c’est-à-dire un protocole permettant aux données passant d’une extrémité du VPN à l’autre d’être sécurisées par des algorithmes de cryptographie.

Réseau privé virtuel (VPN)

Le terme de « tunnel » est utilisé pour symboliser le fait qu’entre l’entrée et la sortie du VPN les données sont chiffrées (cryptées) et donc incompréhensible pour toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un tunnel. Dans le cas d’un VPN établi entre deux machines, on appelle client VPN l’élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d’accès distant) l’élément chiffrant et déchiffrant les données du côté de l’organisation.

De cette façon, lorsqu’un utilisateur nécessite d’accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l’intermédiaire d’une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L’ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l’utilisateur, les données seront déchiffrées, puis transmises à l’utilisateur …

Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont les suivants :

  • PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
  • L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète
  • L2TP (Layer Two Tunneling Protocol) est l’aboutissement des travaux de l’IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de niveau 2 s’appuyant sur PPP.
  • IPSec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de transporter des données chiffrées pour les réseaux IP.

Le protocole PPTP

Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP.

Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés par une connexion point à point (comprenant un système de chiffrement et d’authentification, et le paquet transite au sein d’un datagramme IP.

le protocole PPTP

De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l’en-tête du message) sont encapsulées dans un message PPP, qui est lui-même encapsulé dans un message IP.

Le protocole L2TP

Le protocole L2TP est un protocole standard de tunnelisation (standardisé dans un RFC) très proche de PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant elles-mêmes d’autres protocoles (tels que IP, IPX ou encore NetBIOS).

Le protocole IPSec

IPSec est un protocole défini par l’IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s’agit en fait d’un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l’intégrité et l’authentification des échanges.

Le protocole IPSec est basé sur trois modules :

  • IP Authentification Header (AH) concernant l’intégrité, l’authentification et la protection contre le rejeu. des paquets à encapsuler
  • Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la confidentialité, l’intégrité, l’authentification et la protection contre le rejeu.
  • Security Assocation (SA) définissant l’échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l’ensemble des informations sur le traitement à appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clés utilisées,…). L’échange des clés se fait soit de manière manuelle soit avec le protocole d’échange IKE (la plupart du temps), qui permet aux deux parties de s’entendre sur les SA.

Intérêt d’un VPN

La mise en place d’un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d’une liaison non fiable (Internet), comme s’ils étaient sur le même réseau local.

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d’entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d’applications possibles :

  • Accès au réseau local (d’entreprise) à distance et de façon sécurisée pour les travailleurs nomades
  • Partage de fichiers sécurisés
  • Jeu en réseau local avec des machines distantes

Mise en place d’un VPN sous Windows XP

Windows XP permet de gérer nativement des réseaux privés virtuels de petite taille, convenant pour des réseaux de petites entreprises ou familiaux (appelés SOHO, pour Small Office/Home Office). Ainsi pour mettre en place un réseau privé virtuel il suffit d’installer au niveau du réseau local un serveur d’accès distant (serveur VPN) accessible depuis Internet et de paramétrer chaque client pour lui permettre de s’y connecter.

Installation du serveur VPN sous Windows XP

Dans notre exemple nous admettrons que la machine destinée à faire office de serveur VPN sur le réseau local possède deux interfaces; une vers le réseau local (une carte réseau par exemple) et une vers Internet (une connexion ADSL ou une connexion par câble par exemple). C’est via son interface connectée à Internet que les clients VPN se connecteront au réseau local.

Afin de permettre à cette machine de gérer des réseaux privés virtuels, il suffit d’ouvrir l’élément Connexions réseau (Network Connection) dans le Panneau de configuration. Dans la fenêtre ainsi ouverte, double-cliquez sur Assistant de nouvelle connexion (New connection wizard) :

assistant nouvelle connexion

Appuyez ensuite sur la touche Suivant :

assistant nouvelle connexion

Parmi les trois choix proposés dans la fenêtre, sélectionnez « Configurer une connexion avancée »  :

configurer une connexion avancée

Dans l’écran suivant sélectionnez « Accepter les connexions entrantes »  :

Accepter les connexions entrantes

L’écran suivant présente des périphériques à sélectionner pour une connexion directe. Il se peut qu’aucun périphérique ne soit proposé. Sauf besoin particulier vous n’aurez pas besoin d’en sélectionner :

choix des périphériques

Dans la fenêtre suivante sélectionnez « Autoriser les connexions privées virtuelles »  :

autoriser les connexions privées virtuelles

Une liste des utilisateurs du système apparaît, il suffit de sélectionner ou ajouter les utilisateurs autorisés à se connecter au serveur VPN :

choisir les utilisateurs

Sélectionnez ensuite la liste des protocoles autorisés via le VPN :

nouvelle connexion

Un clic sur le bouton Propriétés associé au protocole TCP/IP permet de définir les adresses IP que le serveur affecte au client pour toute la durée de la session. Si le réseau local sur lequel se trouve le serveur ne possède pas d’adressage spécifique vous pouvez laissez le serveur déterminer automatiquement une adresse IP. Par contre si le réseau possède un plan d’adressage spécifique vous pouvez définir la plage d’adresse à affecter :

propriétés TCP/IP

La configuration du serveur VPN est désormais achevée, vous pouvez cliquer sur le bouton Terminer :

Terminer

Installation du client VPN sous Windows XP

Afin de permettre à un client de se connecter à votre serveur VPN, il est nécessaire de définir tous les paramètres de connexion (adresse du serveur, protocoles à utiliser, …). L’assistant de nouvelle connexion disponible à partir de l’icône Connexions réseau du panneau de configuration permet cette configuration :

assistant nouvelle connexion

Appuyez ensuite sur la touche Suivant :

assistant nouvelle connexion

Parmi les trois choix proposés dans la fenêtre, sélectionnez « Connexion au réseau d’entreprise »  :

connexion au réseau d'entreprise

Dans l’écran suivant sélectionnez « Connexion réseau privé virtuel »  :

connexion réseau privé virtuel

Entrez ensuite un nom décrivant au mieux le nom du réseau privé virtuel auquel vous souhaitez vous connecter :

nom de la connexion au réseau privé virtuel

L’écran suivant permet d’indiquer si une connexion doit être établie préalablement à la connexion au réseau privé virtuel. La plupart du temps (si vous êtes sur une connexion permanente, un accès ADSL ou câble) il ne sera pas nécessaire d’établir la connexion puisque l’ordinateur est déjà connecté à Internet, dans le cas contraire sélectionnez la connexion à établir dans la liste :

connexion initiale

Afin d’accéder au serveur d’accès distant (serveur VPN ou hôte) il est indispensable de spécifier son adresse (adresse IP ou nom d’hôte). Si celui-ci ne possède pas une adresse IP fixe, il sera nécessaire de l’équiper d’un dispositif de nommage dynamique (DynDNS) capable de lui affecter un nom de domaine et de spécifier ce nom dans le champ ci-dessous :

nom de l'hôte

Une fois la définition de la connexion VPN terminée, une fenêtre de connexion demandant un nom d’utilisateur (login) et un mot de passe s’ouvre à vous :

Invite de connexion au réseau privé virtuel

Avant de se connecter il est nécessaire de procéder à quelques réglages en cliquant sur le bouton Propriétés en bas de fenêtre. Une fenêtre comportant un certain nombre d’onglets permet ainsi de paramétrer plus finement la connexion. Dans l’onglet Gestion de réseau sélectionnez le protocole PPTP dans la liste déroulante, sélectionnez le protocole Internet (TCP/IP) et cliquez sur Propriétés :

Onglet gestion de réseau - protocole PPTP

La fenêtre s’affichant permet de définir l’adresse IP que la machine cliente aura lors de la connexion au serveur d’accès distant. Cela permet d’avoir un adressage cohérent avec l’adressage distant. Ainsi le serveur VPN est capable de faire office de serveur DHCP, c’est-à-dire de fournir automatiquement une adresse valide au client VPN. Pour ce faire il suffit de sélectionner l’option « Obtenir une adresse automatiquement »  :

propriétés d'adressage - DHCP

Dans le cas où le client utilise le DHCP, si le serveur affecte une adresse IP interne, le client sera connecté au réseau d’entreprise et bénéficiera des services de celui-ci mais n’aura plus accès à Internet via l’interface utilisée car l’adresse IP n’est pas routable. Afin de permettre au client d’être connecté au VPN tout en ayant accès à Internet à travers cette connexion il faut que le serveur VPN soit configuré de telle manière à partager sa connexion à Internet ! Ainsi le bouton Avancé permet de faire en sorte que le client utilise la passerelle du serveur VPN dans le cas où ce dernier partage sa connexion :

propriétés d'adressage - DHCP

Afin de pouvoir mettre en place la liaison VPN, il est nécessaire que les firewalls intermédiaires, notamment le pare-feu natif de XP, soient configurés de manière à laisser s’établir la connexion. Ainsi, il est nécessaire de désactiver le pare-feu natif de Windows XP de la façon suivante :

  1. Dans le panneau de configuration cliquez sur Connexions réseau,
  2. Cliquez avec le bouton droit sur la connexion que vous utilisez,
  3. Sélectionnez l’onglet Paramètres avancés,
  4. Assurez-vous que l’option Pare-feu de connexion Internet est désactivée.

    Plus d’informations

    Pour plus d’informations sur les réseaux privés virtuels, n’hésitez pas à consulter la page dédiée à ce sujet. Pour toute question, vous pouvez utiliser le forum de CCM.

    Article écrit par Jean-François PILLOU Ce document intitulé « Fiche pratique – Installer un VPN sous XP » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

    window.google_render_ad();

Laisser un commentaire

 

haythamhaggui |
المد... |
daryl2 |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | brezhoneger
| Mairie Semur-en-Brionnais I...
| CETTE ANNEE LA ...