locked
Création d'un VPN sur serveur avec 1 seule carte Réseau et dans un centre d'affaire RRS feed

  • Question

  • Bonjour,

    Je travaille dans une petite entreprise qui a des locaux à Caen et à Tours, avec 10 utilisateurs sur chaque site. J'ai installé Windows Server 2008 sur un nouveau serveur au siège, à Tours, et j'ai configuré Active Directory, le service DHCP, DNS, et jusqu'à présent, cela fonctionne plutôt bien (j'ai juste un petit soucis au niveau du DNS, mais ce sera l'objet d'un autre message ^^)

    Mais c'est maintenant que les soucis commencent, car je souhaite configurer une liaison VPN pour 2 choses :
    - Pouvoir répliquer les 2 serveurs (lorsque j'aurai installé celui de Caen)
    - Pouvoir me connecter à distance sur les 2 serveurs, pour pouvoir faire des opérations de maintance quand je suis sur un site distant, ou chez moi.

    J'ai donc installé le Rôle VPN, mais très rapidement, il m'a dit que ce n'était pas possible car mon serveur n'avait qu'une carte réseau. En effet, dans la configuration réseau que nous avons, nous avons un routeur en tête de pont, sur lequel sont branchés tous les postes de travail, et le serveur. Il m'a néanmoins dit que je pouvais opter pour l'installation personnalisée, ce que je me suis empressé de faire. Et là, curieusement, il ne m'a posé aucune question. Au final, il me dit que le service de stratégie et d'accès distant et d'accès réseau (Routage et accès distant) est opérationnel.

    Alors je ne demande qu'à le croire, mais j'aimerais tout de même tester la connexion à distance. Et là, c'est terrible, mais je n'ai pas la moindre idée de comment faire : qu'est-ce que je lance sur mon poste de travail chez moi ? Et quelles information dois-je lui donner pour qu'il se connecte sur le serveur ?

    Et question subsidiaire : sur le PC distant, dois-je forcément utiliser Vista Entreprise, ou puis-je utiliser Vista édition Familiale ?

    Sachant que je n'ai pas tout dit Smile 
    Les locaux de Caen sont dans un centre d'affaire. La connexion internet passe donc par les équipements réseau de ce centre. Ils ont une IP externe fixe, et notre routeur est branché en interne sur un switch qui nous attribue la classe d'adresse IP 192.168.70.XXX. Notre routeur utilise donc l'IP "externe" 192.168.70.254, et en interne, il distribue du 192.168.0.XXX

    Voilà, j'espère que c'est clair, et je vous remercie par avance de vos réponses.
    • Déplacé swapnilpBanned mercredi 3 février 2010 23:09 Forum Consolidation (Origine :Windows Server 2008 ''Longhorn'')
    mercredi 28 janvier 2009 16:58

Réponses

  • Bonjour,

    il faut se connecter via une IP public ... Les IP que tu donnes "192.168.70.x" est une adresse IP privée (réservée pour les réseaux d'entreprise, et donc pas presente sur internet) ...

    pour voir ton adresse public, tu peux par exemple aller sur whatismyip.com (Il faut esperer que tu es une adresses IP Fixe - à voir avec ton prestataire internet).

    il faut que tu ouvres (rediriges) le port 1723 (tcp) et le protocole GRE vers ton serveur VPN. Tu as aussi la possibilité de faire du SSTP (VPN over SSL) sur le port 443 (tcp) mais la configuration est un peu plus sportive (car il te faut un certificat machine avant d'installer le service RRAS), et il te faut du VISTA SP1 comme poste client.

    Bon Courage

     


    Eric Perromat - MVP Terminal Server
    jeudi 29 janvier 2009 08:19
  • Bonjour,

    Finalement, nous avons opté pour la solution "GRE" car plus simple à configurer. Nous n'avons eu qu'à changer un seul équipement, peu coûteux.

    J'ai configuré le VPN de la manière suivante :

    Le serveur de Tours (IP : 192.168.0.2 ; nom réseau: STOURS) est configuré en serveur VPN. Le modem routeur à Tours est configuré pour rediriger le port 1723 vers ce serveur.

    J'arrive à me connecter en VPN sur le serveur de Tours depuis mon serveur de Caen (IP : 192.168.1.1 ; nom réseau: SCAEN). Lorsque je crée un utilisateur AD à Tours, et que lje force la réplication AD à Caen, l'utilisateur est bien répliqué à Caen.

    Cependant, j'ai 2 problèmes / questions :

    1) La connexion VPN ne dure que le temps de la session : quand je ferme la session dans laquelle j'ai lancé ma connexion VPN, la connexion VPN s'interrompt. Existe-t-il un moyen d'avoir cette connexion permanente ?

    2) Lorsque la connexion VPN est active,  j'arrive à voir tout le réseau de Tours depuis le serveur de Caen, mais la réciproque n'est pas vraie. Depuis le serveur de Tours, je ne vois aucun PC en 192.168.1.X. Je peux tout juste voir le serveur de Caen, mais uniquement via l'adresse IP que le serveur DHCP de Tours lui a donné à la connexion (192.168.0.65, en l'occurence). Comment faire pour que le serveur de Tours (serveur VPN) voie les ordinateurs du réseau du client VPN ?

    Merci d'avance pour vos réponses.
    lundi 9 mars 2009 14:39

Toutes les réponses

  • Bonjour,

    il faut se connecter via une IP public ... Les IP que tu donnes "192.168.70.x" est une adresse IP privée (réservée pour les réseaux d'entreprise, et donc pas presente sur internet) ...

    pour voir ton adresse public, tu peux par exemple aller sur whatismyip.com (Il faut esperer que tu es une adresses IP Fixe - à voir avec ton prestataire internet).

    il faut que tu ouvres (rediriges) le port 1723 (tcp) et le protocole GRE vers ton serveur VPN. Tu as aussi la possibilité de faire du SSTP (VPN over SSL) sur le port 443 (tcp) mais la configuration est un peu plus sportive (car il te faut un certificat machine avant d'installer le service RRAS), et il te faut du VISTA SP1 comme poste client.

    Bon Courage

     


    Eric Perromat - MVP Terminal Server
    jeudi 29 janvier 2009 08:19
  • Bonjour,

    Merci pour ta réponse. Cela m'aide beaucoup. Il va falloir que je pèse le pour et le contre des 2 solution, car je ne suis pas sûr de pouvoir faire ce que je veux au niveau du switch du centre d'affaire.

    Sinon, concernant l'IP publique, il n'y a pas de soucis, car le centre d'affaire a en tête de pont une IP fixe.

    Mais ce qui m'inquiète, c'est comment ma connexion VPN va être acheminée jusqu'à mon serveur. Car depuis le poste client, je dois taper l'adresse IP publique. Mais entre cette IP publique et mon serveur, il faut traverser : le routeur d'Oleane, le switch du centre d'affaire (qui nous attribue le fameux VLAN en 192.168.70.x, puis mon routeur. Et si ça se trouve, il y a d'autres clients du centre d'affaire qui ont leur propre VPN. Comment spécifier à Windows, lors de la connexion, que c'est sur mon serveur qu'il faut aller se connecter ?

     

     

    jeudi 29 janvier 2009 10:56
  • Justement c'est le jeu des redirections qui fait sont  oeuvres aprés, c'est à dire que si le TCP 1723 et le GRE sont dirigées vers l'IP interne de ton serveur VPN, cela fonctionnera ...

    Tant que tu ne connaitras pas reellement ce qui rentre sur le reseau depuis internet cela s'averera compliqué de t'aider.

     


    Eric Perromat - MVP Terminal Server
    jeudi 29 janvier 2009 13:20
  • Bonjour,

    Finalement, nous avons opté pour la solution "GRE" car plus simple à configurer. Nous n'avons eu qu'à changer un seul équipement, peu coûteux.

    J'ai configuré le VPN de la manière suivante :

    Le serveur de Tours (IP : 192.168.0.2 ; nom réseau: STOURS) est configuré en serveur VPN. Le modem routeur à Tours est configuré pour rediriger le port 1723 vers ce serveur.

    J'arrive à me connecter en VPN sur le serveur de Tours depuis mon serveur de Caen (IP : 192.168.1.1 ; nom réseau: SCAEN). Lorsque je crée un utilisateur AD à Tours, et que lje force la réplication AD à Caen, l'utilisateur est bien répliqué à Caen.

    Cependant, j'ai 2 problèmes / questions :

    1) La connexion VPN ne dure que le temps de la session : quand je ferme la session dans laquelle j'ai lancé ma connexion VPN, la connexion VPN s'interrompt. Existe-t-il un moyen d'avoir cette connexion permanente ?

    2) Lorsque la connexion VPN est active,  j'arrive à voir tout le réseau de Tours depuis le serveur de Caen, mais la réciproque n'est pas vraie. Depuis le serveur de Tours, je ne vois aucun PC en 192.168.1.X. Je peux tout juste voir le serveur de Caen, mais uniquement via l'adresse IP que le serveur DHCP de Tours lui a donné à la connexion (192.168.0.65, en l'occurence). Comment faire pour que le serveur de Tours (serveur VPN) voie les ordinateurs du réseau du client VPN ?

    Merci d'avance pour vos réponses.
    lundi 9 mars 2009 14:39
  •  Bonjour,
    En gros ce que tu veux faire c'est interconnecté les 2 sites tout le temps, c'est bien cela ?

    Sans passer par un réseau opérateur, tu peux utiliser un serveur monté en tant que routeur qui ouvre une session VPN sur le serveur VPN ... de l'utre coté ton serveur VPN doit aussi être routeur et connaitre l'adresse du réseau distant (en adressage privée - l'adressage public ne sert que pour l'ouverture du tunnel VPN) ...

    Eric Perromat - MVP Terminal Server
    mardi 10 mars 2009 08:08
  • Bonjour,

    Merci pour ta réponse.

    Effectivement, je souhaite que les 2 sites soient interconnectés en permanence.

    Coté "client" ou plutôt "serveur à l'initiative de la connexion", est-ce obligatoire d'avoir un serveur dédié en tant que routeur, ou puis-je utiliser mon serveur principal ?

    Et quand tu dis "en tant que routeur" parles-tu du rôle "routeur" ? Car je l'ai installé, mais je n'arrive pas à trouver de paramètres.

    Merci d'avance
    mardi 10 mars 2009 08:35
  • Tu peux utiliser ton serveur principal ... En revanche il faudrait 2 serveurs (un par site), et paramétrer sur chacun d'eux une interface de connexion à la demande dans le service de routage et accés réseau à distance ...

    Mais dans ton cas le plus simple serait de passer par un réseau d'opérateur ....


    Eric Perromat - MVP Terminal Server
    mardi 10 mars 2009 11:39
  • Oui, effectivement, on passera à terme par un réseau d'opérateur, lorsqu'on aura déménagé, dans un peu moins d'un an. Mais pour l'instant, on ne peut pas à cause de ce maudit centre d'affaire entre notre réseau de Caen et Internet...

    Alors ça me rassure de savoir que techniquement on peut voir les réseaux de chaque côté, et je te remercie pour ta réponse.

    Mais mon problème n°1 actuellement, c'est cette connexion VPN qui ne tient pas. Alors il est probable que je n'utilise pas la bonne méthode. Voilà comment je fais :

    J'ai créé un utilisateur "VPN". Je me connecte avec ce compte sur le serveur depuis un posrte fixe, en utilisant la commande "Bureau à distance". Je lance la connexion VPN vers l'autre serveur. Ensuite, je déconnecte la session en utilisant la croix dans le bandeau jaune en haut. Il m'informe que les programmes continuent de tourner (et c'est exactement ce que je veux).

    En me connectant avec un autre compte sur le serveur distant, je vois bien que la connexion VPN est maintenue. Mais quand je regarde les logs quelques heures plus tard, je vois que la connexion a été interrompue 1, 2 ou 3 heures plus tard. Parfois j'ai le message "L’utilisateur <NOM DE NOMAINE>\<utilisateur VPN>, connecté au port VPN2-127, a été déconnecté, car aucun protocole réseau n’a été négocié avec succès." dans les logs, parfois rien du tout.

    Cette méthode de connexion n'est donc pas satisfaisante du tout, d'autant plus que si l'un des serveurs redémarre à la suite d'une panne EDF ou d'une mise à jour, la connexion sera perdue également.

    Ce qui je cherche, c'est une méthode qui permette de lancer la connexion VPN depuis un serveur vers l'autre automatiquement au démarrage, un peu comme un service ou un rôle. Il faudrait que ce mécanisme teste régulièrement la connexion VPN pour la relancer le cas éhéant.

    Sais-tu comment faire ?

    Merci d'avance
    vendredi 13 mars 2009 10:35
  • Bonjour,

    Je me permets de remonter le sujet, car je suis toujours à la recherche d'une solution pour qu'un serveur Windows serveur 2008 puisse se connecter automatiquement à un VPN au démarrage, ainsi qu'une solution pour qu'un processus teste cette connexion toutes les heures (par exemple) et la relance le cas échéant.

    Merci d'avance pour votre aide.

    jeudi 26 mars 2009 15:21