VPN de site à site sous Windows Server 2012

Pour mettre en place un VPN de site à site, par exemple pour un serveur contrôleur local de domaine Active Directory sur un autre site que le site principal de la société, il peut être intéressant de mettre en place un VPN de site à site, transparent pour l’utilisateur, permettant d’accéder aux ressources d’un site distant sans forcément faire passer tout le trafic dans ce VPN.

Pour cela, dans la console « routage et accès distant », sous Windows Server 2012 dans mon cas (bien penser à ce que le rôle « routage » soit activé!), il faut ne pas avoir de VPN/Routage de configuré.

Clique droit sur l’icone du serveur, puis « configurer le routage et l’accès à distance ».

Il faut suivre le guide en disant qu’on veut faire du NAT (pour que les machines locales puissent accéder à Internet via la liaison publique du serveur) et du VPN.

Les différentes étapes sont assez simple et évidentes (sélectionner la carte réseau publique, définir comment les adresses IP sont attribuées, etc.).

Une fois ceci fait, on peut éventuellement adapter le nombre de port VPN disponibles (par défaut, 50 ports par protocole, ça a de quoi remplir une étendue sur un DHCP!).
J’ai réduit de mon côté à 10 uniquement pour le PPTP, on ne fera aucun autre VPN.

Le plus intéressant arrive, la liaison VPN de site à site.

La liaison dans mon cas sera un VPN existant, PPTP également, vers le site d’un client.

Pour activer une telle liaison, il faut aller, toujours dans la console « Routage et accès distant », dans l’arborescence en dessous du nom du serveur, puis « interfaces réseau ».
Après un clique droit, sélectionner « nouvelle interface de connexion à la demande… »
Suivant
Définir le nom de l’interface
Se connecter en utilisant un réseau privé virtuel (VPN)
Sélectionner le protocole, dans mon cas PPTPt
Renseigner l’URL du VPN : remote.client.com
Je n’ai coché que « router les paquets IP sur cette interface », il faut cocher la case « ajouter une nom d’utilisateur… » si on veut avoir un VPN bidirectionnel (pour que les machines des 2 côtés puissent accéder aux machines de l’autre côté), et faire exactement la même chose sur le serveur de l’autre côté. N’ayant pas accès à la configuration du serveur de l’autre côté, je ne peux pas.
Ajouter un itinéraire statique, avec la plage réseau du réseau de destination, et une métrique 1
Ajouter les informations d’identification pour la connexion au VPN
Terminer la configuration

Après la création de l’interface, il faut aller dans ses paramètres, onglet « Options », et cocher « connexion permanente » pour être sûr qu’elle ne se désactive pas au bout d’un timeout, ou pour qu’elle s’établisse au redémarrage.
Enfin, il faut aller dans IPv4, puis NAT, clique droit et « Nouvelle interface ». On choisit alors l’interface VPN qu’on vient de créer.

Et après? Bin c’est tout! Normalement, si le VPN est connecté, un ping sur la plage de réseau distant devrait fonctionner, depuis toutes les machines du réseau! (sous réserve bien sûr que le serveur faisant le routage soit la passerelle des autres machines du réseau…)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.