VPN & certificats

Bonjours à tous,

Je ne sais pas si je suis sur le bon groupe, mais je n'ai rien trouvé qui
concernait le VPN en fr.

J'ai un réseau d'entreprise avec un serveur vpn (Win 2000 sans AD). La
configuration est celle par défaut, et les autorisations d'accès sont
attribuées directement dans le compte utilisateur (onglet "appel entrant"
des propriétés de l'utilisateur). Les connexions se font en PPTP et tout
fonctionne correctement.

1er problème: si je sélectionne Vpn L2TP IPSec à la place de Vpn PPTP, je
ne
sais plus me connecter (timeout). Je n'ai rien vu du côté serveur qui
permet
de configurer quelque chose qui autorise ou pas le L2TP.

2ème problème (celui qui m'ennuie le plus): je voudrais sécuriser nos
accès
VPN. Pour ce faire, sur un serveur 2003 j'ai installé l'autorité de
certification puis du serveur VPN j'ai généré une demande de certificat en
utilisant l'interface web (http://..../certsrv). Avec l'autorité de
certification je délivre le certificat puis avec le serveur je retourne
sur
l'interface web et j'installe le certificat.
Côté client, je procède à la même opération.
demande de certifcat pour le serveur:
-------------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification serveur
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

demande de certificat pour le client:
-----------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification de client
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

Du côté serveur:
Dans le routage et accès distant, propirétés de mon serveur VPN, onglet
sécurité etc... j'ai activé le EAP, le fournisseur d'authentification est
"Authentification Windows" et le fournisseur de compte est "Gestion des
comptes Windows"

Du côté client:
J'utilise dans les paramètres de ma connexion les paramètre personalisés
avec "carte à puce ou autre certificat", le serveur qui a délivré les
certificat est bien dans les autorités de certification racine de
confiance,
etc....

Quand je lance ma connexion VPN avec toute cette config, j'ai le message
d'erreur suivant:
"Erreur 691: Accès refusé car le nom d'utilisateur et/ou le mot de passe
ne
sont pas valides sur le domaine"
Y M'ENEEEEEEEERVE

Juste une précision (je ne pense pas que celà pose problème, mais bon....)
les comptes utilisateurs n'ont pas de mot de passe. Il mes semble que
pendant mes innombrables essais, j'ai utilisés des comptes avec mot de
passe, mais je n'en suis plus certain.

J'ai beau chercher des cas simples et concrets sur Internet, des exemples,
mais pôvre de moi, soit c'est d'un théorique poisseux et inutile soit
c'est
"consultez votre administrateur réseau" (mais ndj c'est moi à la fin
l'administrateur réseau!!). Les seuls exemples que j'ai trouvé utilisaient
ISA, IAS, Kerberos, Radius, les chaussures du facteur et un nombre
incroyable de sous réseau. Déjà rien que pour comprendre le contexte il te
faut 3 jours.

Alors si quelqu'un pouvait me filler un tuyaux ou deux, des URLs VRAIMENT
intéressantes, ce serait vraiment trèstrèstrèstrès apprécié.

JL

PS: Merci d'avoir lu ma tartine jusqu'au bout :o)

Bonjour

2 points de départ pour traiter de votre sujet :

Deploying a VPN Remote Access Server Solution

http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dnsbf_vpn_scnu.asp

==> c'est pour Windows 2003 mais il y a peu de différences avec Windows
2000

L2TP/IPSec-based Remote Access VPN Connections

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/rmotevpn.mspx#EDAA

et plus généralement, toutes les ressources sur le VPN et les produits
Microsoft sont sur http://www.microsoft.com/vpn

Cordialement
--
Stanislas Quastana, CISSP
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France

Blog : http://weblogs.asp.net/squasta



"Gloup" <tagadapouette@hotmail.com> wrote in message
news:Ox9O7sfCFHA.1932@TK2MSFTNGP14.phx.gbl...

Bonjours à tous,

Je ne sais pas si je suis sur le bon groupe, mais je n'ai rien trouvé
qui

concernait le VPN en fr.

J'ai un réseau d'entreprise avec un serveur vpn (Win 2000 sans AD). La
configuration est celle par défaut, et les autorisations d'accès sont
attribuées directement dans le compte utilisateur (onglet "appel
entrant"

des propriétés de l'utilisateur). Les connexions se font en PPTP et tout
fonctionne correctement.

1er problème: si je sélectionne Vpn L2TP IPSec à la place de Vpn PPTP,
je

ne
sais plus me connecter (timeout). Je n'ai rien vu du côté serveur qui
permet
de configurer quelque chose qui autorise ou pas le L2TP.

2ème problème (celui qui m'ennuie le plus): je voudrais sécuriser nos
accès
VPN. Pour ce faire, sur un serveur 2003 j'ai installé l'autorité de
certification puis du serveur VPN j'ai généré une demande de certificat
en

utilisant l'interface web (http://..../certsrv). Avec l'autorité de
certification je délivre le certificat puis avec le serveur je retourne
sur
l'interface web et j'installe le certificat.
Côté client, je procède à la même opération.
demande de certifcat pour le serveur:
-------------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification serveur
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

demande de certificat pour le client:
-----------------------------------
-Je rempli nom, société, etc...
-Certificat d'authentification de client
-service de crypto: MS RSA SChannel Cryptographic Provider
-pour le reste, je laisse les options par défaut

Du côté serveur:
Dans le routage et accès distant, propirétés de mon serveur VPN, onglet
sécurité etc... j'ai activé le EAP, le fournisseur d'authentification
est

"Authentification Windows" et le fournisseur de compte est "Gestion des
comptes Windows"

Du côté client:
J'utilise dans les paramètres de ma connexion les paramètre personalisés
avec "carte à puce ou autre certificat", le serveur qui a délivré les
certificat est bien dans les autorités de certification racine de
confiance,
etc....

Quand je lance ma connexion VPN avec toute cette config, j'ai le message
d'erreur suivant:
"Erreur 691: Accès refusé car le nom d'utilisateur et/ou le mot de passe
ne
sont pas valides sur le domaine"
Y M'ENEEEEEEEERVE

Juste une précision (je ne pense pas que celà pose problème, mais
bon....)

les comptes utilisateurs n'ont pas de mot de passe. Il mes semble que
pendant mes innombrables essais, j'ai utilisés des comptes avec mot de
passe, mais je n'en suis plus certain.

J'ai beau chercher des cas simples et concrets sur Internet, des
exemples,

mais pôvre de moi, soit c'est d'un théorique poisseux et inutile soit
c'est
"consultez votre administrateur réseau" (mais ndj c'est moi à la fin
l'administrateur réseau!!). Les seuls exemples que j'ai trouvé
utilisaient

ISA, IAS, Kerberos, Radius, les chaussures du facteur et un nombre
incroyable de sous réseau. Déjà rien que pour comprendre le contexte il
te

faut 3 jours.

Alors si quelqu'un pouvait me filler un tuyaux ou deux, des URLs
VRAIMENT

intéressantes, ce serait vraiment trèstrèstrèstrès apprécié.

JL

PS: Merci d'avoir lu ma tartine jusqu'au bout :o)