Seveur d'accès distant par VPN ? [Win2K Server] - Win NT/2K/XP - Windows & Software
Marsh Posté le 23-11-2002 à 12:54:13
Voila ce que j'ai trouvé dans la doc de WinRoute Pro mais je capte pas tout
VPN IPSEC
WinRoute Pro 4.2 supporte le mode IPSEC appelé "Mode tunnel". Le "Mode
tunnel" devrait supporter n'importe quel client IPSEC qui permet que l'adresse IP du transport soit changée.
Configurations de WinRoute:
Créer le port mapping pour ESP:
Protocol: Other 50
138 WinRoute Pro 4.2 Guide de Référence
Listen IP: <unspecified>
Destination IP: l'adresse IP privée du PC du client. Nous suggérons également de créer un port mapping pour IKE. Ce n'est pas nécessaire dans les cas où la transmission est initialisée de DERRIERE WinRoute vers l'Internet, toutefois certaines implémentation d'IPSEC peuvent exiger cette configuration:
Port mapping IKE:
Protocol: UDP
Listen IP: <Unspecified>
Listen port: 500
Destination IP: l'adresse IP privée du PC du client
Destination port: 500
Exemples de Configuration 139
Lancer plusieurs sessions IPSEC simultanément
S?il y a plusieurs clients IPSEC vous devez utiliser une adresse IP différente pour chaque client. Note - Le NAT de WinRoute laissera passer autant de clients simultanés que vous le voulez, du moment que la connexion est initialisé A PARTIR DU réseau local et que chaque client "utilise" une adresse IP attribuée à
l'interface externe deWinRoute.
Informations générales au sujet d'IPSEC
IPSec ou security encryption protocol est utilisé pour la communication sécurisée entre deux ordinateurs. IPSec utilise soit l?AH (Authentification Header) soit l'ESP (Encapsulating Security Payload). L'AH vérifie seulement l'identité de l'expéditeur et le contenue du paquet. Les données ne sont pas cryptées. L'ESP crypte les données. L'ESP permet l?utilisation du surnommé "mode tunnel" qui est semblable au protocole PPTP. Le paquet comprend alors l'en-tête d'IP (nécessaire pour le transport) qui n'est pas crypté et la partie des données qui
comprennent le paquet initial totalement crypté.
Le protocole IKE (parfois appelé ISAKMP) est utilisé pour l'authentification (échange de clefs de sécurisée). IKE utilise le protocole UDP sur le port 500 . Ce port est utilisé comme source et destination. L'AH utilise le port 51, l?ESP le port 50. IPSec peut aussi communiquer en utilisant d'autres protocoles qui ne gênent pas le NAT en maintenant le niveau de
certification. Nous incorporerons automatiquement le protocole 50 à WinRoute de sorte qu'il n'y ait pas besoin de port mapping. La seule condition pour établir la connexion automatique est l'initialisation de la connexion DEPUIS le réseau local.
La plupart des implémentation d'IPSec utilisent l'algorithme MD5 et SHA1 pour l'authentification et DES, 3DES et Blowfish pour le cryptage. IPSec n'est étroitement connecté à aucun algorithme spécifique, ainsi les implémentations de différents logiciels peuvent être incompatibles.
Marsh Posté le 23-11-2002 à 16:25:16
Il faut que tu installe le "routing and remote access" pour faire du VPN. Avec ca ton 2000 Server te servira de routeur et de serveur RAS en VPN, tu peut aussi en faire un pseudo firewall vu que tu peut configurer le filtrage sur chaque interface. Ca se configure tres bien, mais le probleme c'est qu'il n'y a pas de log.
C'est pour ca que j'avais voulu faire fonctionner le Routing and Remote Access et WinRoute Pro sur le meme serveur mais ca n'a jamais marche.
Finalement j'ai laisse le Routing and Remote Access seul, sans les logs, vu que c'etait juste pour quelques jours et qu'apres un routeur/firewall/VPN hardware a ete achete.
Marsh Posté le 23-11-2002 à 23:35:31
Laurent123 a écrit a écrit : C'est pour ca que j'avais voulu faire fonctionner le Routing and Remote Access et WinRoute Pro sur le meme serveur mais ca n'a jamais marche. |
Quelqu'un a t'il réussi à le faire marcher ?
PS: je sais comment mettre en place le serveur d'accès, le problème est pas là. En fait le problème c'est comment le faire cohabiter avec WinRoute Pro et le NAT ?
Marsh Posté le 24-11-2002 à 01:29:22
Webman a écrit a écrit : Quelqu'un a t'il réussi à le faire marcher ? |
moi
spa trop dur, voici une adresse si tu connaissais pas
http://www.adsl-facile.com/Dossier [...] ssierID=15
Marsh Posté le 24-11-2002 à 11:29:39
nono_le_terribl a écrit a écrit : moi spa trop dur, voici une adresse si tu connaissais pas http://www.adsl-facile.com/Dossier [...] ssierID=15 |
merci pour cette adresse, mais je crois que t'as pas compris ma question Je cherche comment installer un serveur d'accès distant par VPN sur un serveur où WinRoute Pro est installé pour faire du partage de connexion avec NAT.
Marsh Posté le 24-11-2002 à 14:33:33
Pourquoi utiliser winroute pro et pas les fonctions intégrées de 2k serveur ?
Marsh Posté le 24-11-2002 à 14:35:33
verdoux a écrit a écrit : Pourquoi utiliser winroute pro et pas les fonctions intégrées de 2k serveur ? |
Car j'ai un modem ADSL USB ECI qui ne fonctionne pas avec le RRAS de Windows 2000 Server.
Marsh Posté le 24-11-2002 à 14:54:48
et t sur ke ta besoin d un win2k serv ? car avec ton modem je doute de son utilité
Marsh Posté le 24-11-2002 à 15:00:22
-CouiLLe2CHieN- a écrit a écrit : et t sur ke ta besoin d un win2k serv ? car avec ton modem je doute de son utilité |
:lol: alors je vais t'expliquer
Si tu connais un autre OS de Microsoft qui fait contrôleur de domaine je veux bien . T'as qu'a faire une recherche sur mes 100 derniers posts tu verra que j'utilise pas Windows 2000 Server pour lire des DivX ou alors jouer a Counter Strike. Donc la réponse est OUI Windows 2000 Server est utile, il est même indipensable
Marsh Posté le 24-11-2002 à 15:02:48
ok dsl mais de + en + ca me fait rire ce type de gens ki utilise 2kserv ou .net pour surfer et jouer a cs ....
Marsh Posté le 24-11-2002 à 15:05:41
Je sais bien, le pire c'est qu'en utilisant de tels OS ils perdent des perfs car forcément ils sont plus lourds qu'un 2K Pro.
Sinon ma question est toujours d'actualité Si qq un a réussi a faire cela je suis preneur
Marsh Posté le 24-11-2002 à 17:01:08
de l'aprés midi
Marsh Posté le 25-11-2002 à 09:32:43
Webman a écrit a écrit : Car j'ai un modem ADSL USB ECI qui ne fonctionne pas avec le RRAS de Windows 2000 Server. |
Avec l'Alcatel USB ca marche, j'ai deja teste.
Le seul truc en utilisant que les fonctions standard de 2000 Server c'est que tu n'aura pas les logs de ce qui est filtre, si tu veut des logs faut mettre un ISA Server sur ton 2000. Sinon ca marche tres bien, meme avec un modem USB.
Marsh Posté le 25-11-2002 à 10:49:19
laurent123 a écrit a écrit : Avec l'Alcatel USB ca marche, j'ai deja teste. Le seul truc en utilisant que les fonctions standard de 2000 Server c'est que tu n'aura pas les logs de ce qui est filtre, si tu veut des logs faut mettre un ISA Server sur ton 2000. Sinon ca marche tres bien, meme avec un modem USB. |
Non je confirme ce que j'ai dis ca ne marche pas avec un modem ECI USB. En fait les drivers ne sont pas prévu pour.
Marsh Posté le 25-11-2002 à 12:07:36
Webman a écrit a écrit : Non je confirme ce que j'ai dis ca ne marche pas avec un modem ECI USB. En fait les drivers ne sont pas prévu pour. |
M'etonerai quand meme. Si tu va dans l'administration de "Routing and Remote Access", puis dans "Ports" tu fait "Properties" tu vois pas ton modem? C'est oblige que tu le vois, tu vois tout les modem ici et ils marchent tous avec la RAS.
Sinon tu vend ton ECI et tu rachete un Alcatel avec cet argent, ou tu ajoute un peu d'argent et tu achete un modem ethernet.
Marsh Posté le 25-11-2002 à 14:07:05
laurent123 a écrit a écrit : M'etonerai quand meme. Si tu va dans l'administration de "Routing and Remote Access", puis dans "Ports" tu fait "Properties" tu vois pas ton modem? C'est oblige que tu le vois, tu vois tout les modem ici et ils marchent tous avec la RAS. Sinon tu vend ton ECI et tu rachete un Alcatel avec cet argent, ou tu ajoute un peu d'argent et tu achete un modem ethernet. |
Oui le modem n'est pas visible... Si tu veux plus de détails fait une recherche sur mes anciens posts, tu verra que meme en modifiant certaines entrées dans la BDR ca ne marche pas, j'ai vraiment tout testé... Mais je t'assure ca ne marche pas avec ce modem là.
J'envisage depuis queqlues temps de changer mon modem mais je me demande si quelqu'un va vouloir acheter un modem USB ECI
De plus ce que je voudrais savoir c'est si en faisant du partage NAT avec le RRAS je pourrais également faire un accès distant par VPN.
Marsh Posté le 25-11-2002 à 14:18:51
Webman a écrit a écrit : Oui le modem n'est pas visible... Si tu veux plus de détails fait une recherche sur mes anciens posts, tu verra que meme en modifiant certaines entrées dans la BDR ca ne marche pas, j'ai vraiment tout testé... Mais je t'assure ca ne marche pas avec ce modem là. J'envisage depuis queqlues temps de changer mon modem mais je me demande si quelqu'un va vouloir acheter un modem USB ECI Ouai vu qu'ils rembourssent le modem en ce moment ca va etre dur. De plus ce que je voudrais savoir c'est si en faisant du partage NAT avec le RRAS je pourrais également faire un accès distant par VPN. Ben oui c'est fait pour ca. |
Marsh Posté le 25-11-2002 à 14:21:33
laurent123 a écrit a écrit : De plus ce que je voudrais savoir c'est si en faisant du partage NAT avec le RRAS je pourrais également faire un accès distant par VPN. Ben oui c'est fait pour ca. |
Oui mais j'ai entendu dire que le VPN et le NAT ca marche pas trop ensemble...
Marsh Posté le 25-11-2002 à 15:27:05
Webman a écrit a écrit : Oui mais j'ai entendu dire que le VPN et le NAT ca marche pas trop ensemble... |
C'est les PC derriere le serveur qui sont en NAT, et c'est le serveur qui fait la connexion VPN.
Marsh Posté le 25-11-2002 à 15:37:11
laurent123 a écrit a écrit : C'est les PC derriere le serveur qui sont en NAT, et c'est le serveur qui fait la connexion VPN. |
Ok je vois, il faut donc exclure le serveur lui même de "la zone" de NAT sur le réseau. Ainsi le serveur pourra faire le VPN et assurer ne même temps le NAT pour le reste du réseau ? j'ai juste ?
Marsh Posté le 25-11-2002 à 15:42:31
Moi ce ki m'inquieterait plutot, c l'IP dynamique. Je suis pas sur kil apprecie bocoup dyndns, no-ip et Cie ...
Maintenant, dites moi si je me trompe. Le topic m'interesse grandement
Marsh Posté le 25-11-2002 à 15:47:07
Webman a écrit a écrit : Ok je vois, il faut donc exclure le serveur lui même de "la zone" de NAT sur le réseau. Ainsi le serveur pourra faire le VPN et assurer ne même temps le NAT pour le reste du réseau ? j'ai juste ? |
???
Le serveur sort avec son adresse, les PC sortent en NAT avec l'adresse du serveur.
Marsh Posté le 25-11-2002 à 15:53:01
jkley a écrit a écrit : Moi ce ki m'inquieterait plutot, c l'IP dynamique. Je suis pas sur kil apprecie bocoup dyndns, no-ip et Cie ... Maintenant, dites moi si je me trompe. Le topic m'interesse grandement |
Pas un problème l'IP dynamique. Puisque le VPN peut avoir l'IP comme adresse mais aussi un nom d'hote, donc si t'as une adresse chez No-IP ou DynDNS (ou un truc du genre) je pense que ca doit marcher. Sinon on est bon pour reconfigurer la connexion distante a chaque fois ! Mais je pense que ca doit marcher avec un redirecteur du style No-IP.
Marsh Posté le 25-11-2002 à 15:55:43
laurent123 a écrit a écrit : ??? Le serveur sort avec son adresse, les PC sortent en NAT avec l'adresse du serveur. |
Oui je pense... mais le problème n'est pas là Ce qu'on m'as dis c'est que il existe des difficultés a faire fonctionner un VPN et la partage par NAT sur un même serveur... C'était quand même pas un rêve ??!! Que celui qui m'a raconté ca se dénonce immédiatement !!!!
Marsh Posté le 25-11-2002 à 16:02:10
jkley a écrit a écrit : Moi ce ki m'inquieterait plutot, c l'IP dynamique. Je suis pas sur kil apprecie bocoup dyndns, no-ip et Cie ... Maintenant, dites moi si je me trompe. Le topic m'interesse grandement |
En IP dynamique avec un dyndns ou un truc du genre un VPN en PPTP ca doit pouvoir se faire, c'est juste un peu chiant.
En IPsec par contre je sais pas trop. Je n'avais utilise l'IPsec qu'entre deux serveurs, mais sans certificats en modifiant la stategie IPsec pour utiliser des cles pre partagees. Dans les parametres de la strategie tu rentre les IP, mais je sais pas si on peut mettre des adresses dyndns.
Les stations par contre sont obligees d'utiliser les certificats, j'ai jamais essaye je sais pas si l'IP dynamique est genante.
Marsh Posté le 25-11-2002 à 16:05:02
Webman a écrit a écrit : Pas un problème l'IP dynamique. Puisque le VPN peut avoir l'IP comme adresse mais aussi un nom d'hote, donc si t'as une adresse chez No-IP ou DynDNS (ou un truc du genre) je pense que ca doit marcher. Sinon on est bon pour reconfigurer la connexion distante a chaque fois ! Mais je pense que ca doit marcher avec un redirecteur du style No-IP. |
Si c'est du RAS VPN entre un PC et un serveur oui. Si c'est pour relier deux sites en VPN ca va etre plus chiant.
Marsh Posté le 25-11-2002 à 16:05:42
Webman a écrit a écrit : Oui je pense... mais le problème n'est pas là Ce qu'on m'as dis c'est que il existe des difficultés a faire fonctionner un VPN et la partage par NAT sur un même serveur... C'était quand même pas un rêve ??!! Que celui qui m'a raconté ca se dénonce immédiatement !!!! |
J'ai jamais eu de probleme.
Marsh Posté le 25-11-2002 à 16:10:26
laurent123 a écrit a écrit : En IP dynamique avec un dyndns ou un truc du genre un VPN en PPTP ca doit pouvoir se faire, c'est juste un peu chiant. En IPsec par contre je sais pas trop. Je n'avais utilise l'IPsec qu'entre deux serveurs, mais sans certificats en modifiant la stategie IPsec pour utiliser des cles pre partagees. Dans les parametres de la strategie tu rentre les IP, mais je sais pas si on peut mettre des adresses dyndns. Les stations par contre sont obligees d'utiliser les certificats, j'ai jamais essaye je sais pas si l'IP dynamique est genante. |
C pour ca en effet ke je posais la question. QQ'un m'a dit qu'on ne pouvait rentrer ke l'ip et pas un nom de domaine.
Si qq'un pouvait confirmer ou pas de maniere certaine ... ce serait un
Marsh Posté le 25-11-2002 à 16:16:40
jkley a écrit a écrit : C pour ca en effet ke je posais la question. QQ'un m'a dit qu'on ne pouvait rentrer ke l'ip et pas un nom de domaine. Si qq'un pouvait confirmer ou pas de maniere certaine ... ce serait un |
Commence par expliquer exactement ce que tu veut faire, ca serait deja un bon debut.
Marsh Posté le 25-11-2002 à 16:20:49
laurent123 a écrit a écrit : J'ai jamais eu de probleme. |
Alors c'est une bonne nouvelle pour moi
Bon @+ j'ai du boulot
Marsh Posté le 25-11-2002 à 16:43:09
laurent123 a écrit a écrit : Commence par expliquer exactement ce que tu veut faire, ca serait deja un bon debut. |
C kler ke je ne maitrise pas toutes les notions de vpn.
Je precise ke c pas du tout pro, c pour ma culture personnelle.
Ma config à l'heure actuelle :
- modem ethernet
- routeur
- 3 machines reliées par le switch
Donc je voulais monter un serveur VPN sur l'une des machines (update de l'ip par no-ip), router les ports adequates sur le routeur vers ce serveur, et donc de l'exterieur se connecter sur ce serveur et avoir acces à toutes les autres machines.
Sauf ke je viens de m'apercevoir kil serait plus intelligent d'intercaler le serveur entre le modem et le routeur (voir de supprimer le routeur, mais ca me fait chier il est tout neuf )
Marsh Posté le 25-11-2002 à 17:07:33
jkley a écrit a écrit : C kler ke je ne maitrise pas toutes les notions de vpn. Je precise ke c pas du tout pro, c pour ma culture personnelle. Ma config à l'heure actuelle : - modem ethernet - routeur - 3 machines reliées par le switch Donc je voulais monter un serveur VPN sur l'une des machines (update de l'ip par no-ip), router les ports adequates sur le routeur vers ce serveur, et donc de l'exterieur se connecter sur ce serveur et avoir acces à toutes les autres machines. Sauf ke je viens de m'apercevoir kil serait plus intelligent d'intercaler le serveur entre le modem et le routeur (voir de supprimer le routeur, mais ca me fait chier il est tout neuf ) |
Pourquoi un modem et un routeur? On peut bidouiller un SpeedTouch Home et l'utiliser comme routeur. A moins que ton SpeedTouch soit un serie K et que ton routeur te serve aussi de firewall, sinon je vois pas l'utilite mais bon.
Si tu laisse le serveur derriere le routeur tu pourra faire ton VPN qu'en PPTP pas en IPsec, bon ca tu t'en fout un peu en fait. Sinon le debit sur ton VPN ca sera 128k (enfin ton upload) c'est pas enorme, faut voir ce que tu veut en faire.
Marsh Posté le 25-11-2002 à 17:22:59
laurent123 a écrit a écrit : Pourquoi un modem et un routeur? On peut bidouiller un SpeedTouch Home et l'utiliser comme routeur. A moins que ton SpeedTouch soit un serie K et que ton routeur te serve aussi de firewall, sinon je vois pas l'utilite mais bon. Si tu laisse le serveur derriere le routeur tu pourra faire ton VPN qu'en PPTP pas en IPsec, bon ca tu t'en fout un peu en fait. Sinon le debit sur ton VPN ca sera 128k (enfin ton upload) c'est pas enorme, faut voir ce que tu veut en faire. |
J'ai pas vraiment confiance, en plus il est neuf et le routeur je l'ai pas payé cher.
a part ca, je me posais une kestion :
Est-ce ke tous les protocoles sont "tunnelés" dans celui du vpn ?
Je m'explique : si je laisse le serveur derriere le routeur, je dois router les ports vpn vers le serveur. ok !
Admettons ke je veuille utiliser un logiciel de prise en main à distance (utilisant un port bien precis) a partir d'un client exterieur sur une machine de mon rezo : comment ca marche ? le client vpn va en quelque sorte encapsuler le vnc pour le faire utiliser ses propres ports et le faire ressortir à l'autre bout, c bien ca ?
Je sais c pas tres kler, desolé
Marsh Posté le 25-11-2002 à 18:15:02
Voila ce que je viens de lire :
Oui l'IPSEC s'entend assez mal avec le NAT.
En fait cela vient du fait que les headers IP servent "d'authentification" et donc s'ils sont NATés cela plait pas trop au serveur VPN.
En pratique, pratiquement tous les routeurs matériels récents ont la fonction "nat passthrough" qui permet de laisser passer du vpn sans le casser (tout comme le H323 d'ailleurs).
Pour les routeurs softs je pense qu'il doit exister une fonction similaire
C'est cela qui me pose problème... alors qui croire ?
Je rappelle que je veux créer un serveur d'accés distant pour ls clients distant de mon domaine en utilisant un VPN.
Sachant que j'utilise WinRoute Pro pour le partage NAT de l'ADSL sur mon réseau.
Marsh Posté le 23-11-2002 à 09:59:13
Salut,
Tout d'abord il y a pas mal de post sur le VPN mais pas vraiment sur ce problème là.
Bon alors voila mon problème: je veux créer un serveur d'accès distant sur mon serveur Windows 2000 Server. Je veux créer un un VPN, pas une connexion directe par modem. Mais je crois savoir que le VPN n'aime pas trop le NAT. Et sur ce serveur j'utilise WinRoute Pro pour le partage de l'ADSL sur le réseau. Donc en fait je voudrais savoir si il est possible de faire un serveur d'accés distant par VPN sur un serveur qui utilise WinRoute Pro (et donc du NAT) ? Y a t'il des ports à mapper ou autre ! Si vous avez des liens qui concernent VPN + NAT je suis preneur.