SIO/SISR Mission 7 PPE
LMD 1
CONTEXTE GSB - MISSION NUMERO SEPT
CONFIGURER UN ACCES DISTANT SECURISE A UNE
RESSOURCE LOCALE DE GSB
Préambule
GSB veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs nomades.
Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes leurs
ressources locales.
Vous êtes chargés d'élaborer le prototype de la solution.
Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant sur le
poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN.
Objectifs de la 7ème
mission
Il y a 3 grandes étapes dans la mission :
mise en place de l'infrastructure actifs et adressage du prototype
mise en place des services (serveur VPN, client VPN, bureau à distance)
validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse
de trames montrant le tunnel)
Le prototype est simplifié par rapport à la réalité et au plan d’adressage de GSB. Ainsi par exemple
le serveur VPN qui est dans la DMZ fait aussi office de serveur AD, or si un serveur VPN se trouve
généralement dans une DMZ, un serveur AD ne s’y trouvera jamais.
Compte rendu : Un compte rendu sous Word montrant les différentes étapes commentées
(imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières questions
doit être rédigées il doit intégrer les analyses de trames commentées.
SIO/SISR Mission 7 PPE
LMD 2
Schéma du prototype
Matériel nécessaire :
1 switch 2960 ou 2950 côté local (GSB) : la connexion au poste distant peut se faire directement le routeur distant 2911 qui croisera électroniquement
2 routeurs : routeur 1841 côté local, 2911 côté distant
1 câble croisé (ou pas) entre les 2 routeurs : le routeur 2911 est capable de croiser électroniquement
3 PC sous Windows seven (PC accès distant, PC Intranet, PC Analyseur)
1 Serveur 2008 R2 (serveur AD + VPN).
SIO/SISR Mission 7 PPE
LMD 3
Travail à faire
1. Mise en place de l'infrastructure actifs et adressage
Sur le commutateur local, il faut déclarer les 2 VLAN DMZ et Intranet et le lien trunk.
Sur le routeur local, il faut déclarer les interfaces mais aussi le NAT/PAT et la redirection vers le
serveur VPN (port 1723).
Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des adresses
privées.
Après avoir procédé au câblage et à la configuration, branchez les 3 postes et configurez leurs
paramètres IP, faites les tests nécessaires pour valider l'infrastructure.
2. Mise en place des services (serveur VPN, client VPN, bureau à distance)
Il y a 3 choses à faire :
configurer le serveur VPN
configurer le client VPN
configurer le poste offrant le bureau à distance
Voir les différentes annexes.
3. Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de
trames montrant le tunnel)
Pour capturer les différents échanges dans le réseau local, il faut tout d'abord configurer le
"monitoring" de ports sur le commutateur local
Mais il faudra aussi certainement lancer un ping continu à partir du poste distant et déplacer
l'analyseur de trames pour le connecter aux différents commutateurs.
Les éléments suivants permettent de valider la solution
Vérification dhcp l’adresse du poste distant doit être donnée par le serveur VPN dans le plan
d'adressage de ce serveur.
Vérification accès poste local à partir du poste distant On « ping » sur les 2 postes du réseau
local (serveur et client). On observe dans l'échange que le « ping » vers le poste dans l'Intranet est
relayé par le serveur VPN
Ouverture bureau distant On lance un « ping » à partir du bureau distant du poste local ouvert
sur le poste distant vers le serveur VPN. Réfléchissez à ce qu’implique cet échange. Que capture-t-
on?
Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes :
Pourquoi le poste distant doit-il obtenir une adresse dans le réseau du serveur VPN et non dans le
réseau du poste bureau Distant ?
Sur quelle liaison l'échange est-t-il "tunnelisé" ?
Quels sont les 2 extrémités du tunnel ?
Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel VPN ?
Quel est le poste qui communique directement avec le poste Bureau Distant ?
Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non
tunnelisée ?
Quel sont les 2 fonctions principales du serveur VPN ?
SIO/SISR Mission 7 PPE
LMD 4
ANNEXES
Configuration du serveur VPN
Il s'agit d'un serveur 2008R2. Pour pouvoir installer les stratégies d'accès réseau, il faut qu'il soit
contrôleur de domaine.
Utilisez le serveur AD 2008R2 dont vous disposez.
Attention dans les écrans suivant , le serveur s'appelle W8SISR5LAB il fait partie du domaine
SISR5.org.
Son adresse IP (à vérifier) est 172.16.100.10.
Travail à faire :
Il faut installer le rôle prenant en charge le service de connexion VPN (rappel : Il faut que l'AD soit
installée pour accéder à ce rôle)
Une fois le rôle installé, il faut le configurer et le démarrer
On choisit bien entendu VPN
SIO/SISR Mission 7 PPE
LMD 5
Attention à ce que le service démarre bien.
Il faut maintenant accéder aux propriétés du service
Sur l'onglet IPV4 on va définir une plage d'adresses pour donner des adresses aux clients VPN
autorisés à se connecter.
SIO/SISR Mission 7 PPE
LMD 6
Les autres propriétés sont intéressantes à observer. Notamment on voit que les accès distants sont
gérés par des ports virtuels auxquels sont associés des protocoles.
2 types de port nous intéressent SSTP et PPTP (Secure Socket Tunneling Protocol et Point To Point
Tunneling Protocol).
Il faut maintenant créer dans l'AD un utilisateur qui se connectera à distance (utivpn/Uti.vpn – mot
de passe qui respecte la stratégie de complexité) et l'autoriser à se connecter à distance
Propriétés de
Ports
Propriétés générales de
Routage et accès distant
SIO/SISR Mission 7 PPE
LMD 7
Onglet Appel
entrant
SIO/SISR Mission 7 PPE
LMD 8
Configuration du client VPN
Choisir "configurer une nouvelle connexion ou un nouveau réseau puis "connexion à votre espace
de travail"
Choisir "Utiliser ma connexion Internet (VPN)"
Choisir "Je configurerai une connexion Internet ultérieurement".
SIO/SISR Mission 7 PPE
LMD 9
On donne l'adresse publique du routeur et un nom à la connexion
On donne l'identifiant de l'utilisateur qui a les droits de connexion distante.
On constate maintenant la présence d'une nouvelle connexion (géré encore une fois par un port
virtuel).
On peut observer les propriétés de cette connexion. On voit d'ailleurs
que le protocole sera choisi automatiquement entre les bouts du
VPN.
On se connecte
SIO/SISR Mission 7 PPE
LMD 10
On constate avec ipconfig que la connexion a reçu une adresse IP dans la plage prévue (attention la
capture suivante a été fait après différents tests c'est pourquoi on a 202).
Et que cette adresse lui permet de communiquer avec le réseau 172.16.100.0/24
Coté serveur VPN on doit voir l'utilisateur connecté
SIO/SISR Mission 7 PPE
LMD 11
Configuration du bureau distant sur le poste dans l'Intranet
On paramètre maintenant le poste qui offre son bureau distant. Il faut sélectionner "N'autoriser …".
Attention se poste doit être intégré à l'AD.
On sélectionne l'utilisateur "utivpn" ce qui nécessite une authentification administrateur
On doit obtenir le résultat suivant :
Tes de connexion : On peut maintenant ouvrir un bureau distant à partir du client VPN.
SIO/SISR Mission 7 PPE
LMD 12
Observations
Sur le serveur VPN
Quand un poste est connecté au VPN on va trouver cela (attention ici changement d'adresse car
capture fait à un autre moment) après un ipconfig
Et si on affiche la table de routage, on note le routage vers un poste précis (masque
255.255.255.255)
Notons au passage l'adresse MAC de la carte du serveur car elle sera importante dans nos analyses
de trames.