VPN & certificats

Bonjours à tous,

Je ne sais pas si je suis sur le bon groupe, mais je n'ai rien trouvé qui
concernait le VPN en fr.

J'ai un réseau d'entreprise avec un serveur vpn (Win 2000 sans AD). La
configuration est celle par défaut, et les autorisations d'accès sont
attribuées directement dans le compte utilisateur (onglet "appel entrant"
des propriétés de l'utilisateur). Les connexions se font en PPTP et tout
fonctionne correctement.

1er problème: si je sélectionne Vpn L2TP IPSec à la place de Vpn PPTP, je ne
sais plus me connecter (timeout). Je n'ai rien vu du côté serveur qui permet
de configurer quelque chose qui autorise ou pas le L2TP.

2ème problème (celui qui m'ennuie le plus): je voudrais sécuriser nos accès
VPN. Pour ce faire, sur un serveur 2003 j'ai installé l'autorité de
certification puis du serveur VPN j'ai généré une demande de certificat en
utilisant l'interface web (http://..../certsrv). Avec l'autorité de
certification je délivre le certificat puis avec le serveur je retourne sur
l'interface web et j'installe le certificat.
Côté client, je procède à la même opération.
demande de certifcat pour le serveur:
-------------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification serveur
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

demande de certificat pour le client:
-----------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification de client
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

Du côté serveur:
Dans le routage et accès distant, propirétés de mon serveur VPN, onglet
sécurité etc... j'ai activé le EAP, le fournisseur d'authentification est
"Authentification Windows" et le fournisseur de compte est "Gestion des
comptes Windows"

Du côté client:
J'utilise dans les paramètres de ma connexion les paramètre personalisés
avec "carte à puce ou autre certificat", le serveur qui a délivré les
certificat est bien dans les autorités de certification racine de confiance,
etc....

Quand je lance ma connexion VPN avec toute cette config, j'ai le message
d'erreur suivant:
"Erreur 691: Accès refusé car le nom d'utilisateur et/ou le mot de passe ne
sont pas valides sur le domaine"
Y M'ENEEEEEEEERVE

Juste une précision (je ne pense pas que celà pose problème, mais bon....)
les comptes utilisateurs n'ont pas de mot de passe. Il mes semble que
pendant mes innombrables essais, j'ai utilisés des comptes avec mot de
passe, mais je n'en suis plus certain.

J'ai beau chercher des cas simples et concrets sur Internet, des exemples,
mais pôvre de moi, soit c'est d'un théorique poisseux et inutile soit c'est
"consultez votre administrateur réseau" (mais ndj c'est moi à la fin
l'administrateur réseau!!). Les seuls exemples que j'ai trouvé utilisaient
ISA, IAS, Kerberos, Radius, les chaussures du facteur et un nombre
incroyable de sous réseau. Déjà rien que pour comprendre le contexte il te
faut 3 jours.

Alors si quelqu'un pouvait me filler un tuyaux ou deux, des URLs VRAIMENT
intéressantes, ce serait vraiment trèstrèstrèstrès apprécié.

JL

PS: Merci d'avoir lu ma tartine jusqu'au bout :o)

Salut

Je m'intéresse au 2ème problème et l'erreur message: "Erreur 691: Accès
refusé car le nom d'utilisateur et/ou le mot de passe ne sont pas valides
sur

le domaine". J'ai lu et relu la description du problème. Je vous invite
d'abord à consulter la KB ci-dessous qui pourrait bien vous aider:

"Error 691" Error Message When You Log On to a Windows Server 2003-Based
Computer or a Windows 2000-Based Computer That Is Running Routing and
Remote

Access or Internet Authentication Service
http://support.microsoft.com/?id‚6157
http://support.microsoft.com/default.aspx?scid=kb;fr;826157

On discutera le 1er problème ultérieurement.

Good luck !

Smain

======= >
"Gloup" wrote:

Bonjours à tous,

Je ne sais pas si je suis sur le bon groupe, mais je n'ai rien trouvé
qui

concernait le VPN en fr.

J'ai un réseau d'entreprise avec un serveur vpn (Win 2000 sans AD). La
configuration est celle par défaut, et les autorisations d'accès sont
attribuées directement dans le compte utilisateur (onglet "appel
entrant"

des propriétés de l'utilisateur). Les connexions se font en PPTP et tout
fonctionne correctement.

1er problème: si je sélectionne Vpn L2TP IPSec à la place de Vpn PPTP,
je ne

sais plus me connecter (timeout). Je n'ai rien vu du côté serveur qui
permet

de configurer quelque chose qui autorise ou pas le L2TP.

2ème problème (celui qui m'ennuie le plus): je voudrais sécuriser nos
accès

VPN. Pour ce faire, sur un serveur 2003 j'ai installé l'autorité de
certification puis du serveur VPN j'ai généré une demande de certificat
en

utilisant l'interface web (http://..../certsrv). Avec l'autorité de
certification je délivre le certificat puis avec le serveur je retourne
sur

l'interface web et j'installe le certificat.
Côté client, je procède à la même opération.
demande de certifcat pour le serveur:
-------------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification serveur
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

demande de certificat pour le client:
-----------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification de client
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

Du côté serveur:
Dans le routage et accès distant, propirétés de mon serveur VPN, onglet
sécurité etc... j'ai activé le EAP, le fournisseur d'authentification
est

"Authentification Windows" et le fournisseur de compte est "Gestion des
comptes Windows"

Du côté client:
J'utilise dans les paramètres de ma connexion les paramètre personalisés
avec "carte à puce ou autre certificat", le serveur qui a délivré les
certificat est bien dans les autorités de certification racine de
confiance,

etc....

Quand je lance ma connexion VPN avec toute cette config, j'ai le message
d'erreur suivant:
"Erreur 691: Accès refusé car le nom d'utilisateur et/ou le mot de passe
ne

sont pas valides sur le domaine"
Y M'ENEEEEEEEERVE

Juste une précision (je ne pense pas que celà pose problème, mais
bon....)

les comptes utilisateurs n'ont pas de mot de passe. Il mes semble que
pendant mes innombrables essais, j'ai utilisés des comptes avec mot de
passe, mais je n'en suis plus certain.

J'ai beau chercher des cas simples et concrets sur Internet, des
exemples,

mais pôvre de moi, soit c'est d'un théorique poisseux et inutile soit
c'est

"consultez votre administrateur réseau" (mais ndj c'est moi à la fin
l'administrateur réseau!!). Les seuls exemples que j'ai trouvé
utilisaient

ISA, IAS, Kerberos, Radius, les chaussures du facteur et un nombre
incroyable de sous réseau. Déjà rien que pour comprendre le contexte il
te

faut 3 jours.

Alors si quelqu'un pouvait me filler un tuyaux ou deux, des URLs
VRAIMENT

intéressantes, ce serait vraiment trèstrèstrèstrès apprécié.

JL

PS: Merci d'avoir lu ma tartine jusqu'au bout :o)