accès distant ou VPN

Table des matières 

1 Accès distant sur Windows 2008 Server ............................................................................2 

1.1 Introduction ............................................................................................................2 

1.2 Accès distant (dial-in) ...............................................................................................2 

1.3 VPN.........................................................................................................................3 

1.4 Authentification.......................................................................................................4 

1.5 Configuration d’un réseau privé virtuel (vpn).............................................................6 

1.6 Configuration de l'accès réseau à distance...............................................................18 

1.7 Stratégies d’accès distant .......................................................................................28 

1.7.1 Autorisation ...................................................................................................28 

1.7.2 Définir les conditions ......................................................................................29 

1.7.3 Profil..............................................................................................................31 

2011 Hakim Benameurlaine 1

1 Accès distant sur Windows 2008 Server 

1.1 Introduction 

L'accès réseau à distance permet à un utilisateur situé en dehors du 

réseau, de se connecter à l'environnement réseau au travers du service 

Accès distant (dial-in) ou d'une connexion VPN (Virtual Private Network). 

Windows 2008 Server implémente le service Routage et Accès 

distant, qui donne à un serveur le rôle de serveur d'accès distant. 

Il implémente également un client d'accès distant et un client VPN, 

permettant ainsi d'établir réciproquement, des connexions via le protocole 

PPP et des tunnels PPTP, L2TP. 

1.2 Accès distant (dial-in) 

L’accès distant permet à un utilisateur d’accéder à un serveur d’accès distant via 

une liaison point à point sur RTC. 

Le serveur d’accès distant joue le rôle de passerelle entre le client d’accès distant 

et le réseau local. 

Lorsqu’un client d’accès distant se connecte à un serveur d’accès distant, il utilise 

un protocole de liaison de données approprié au support de communication qu’il 

utilise. 

Le support de communication peut être : 

RTC réseau téléphonique commuté. 

RNIS réseau numérique à intégration de service. 

Support X25 réseau à commutation de paquets. 

FRAME-RELAY réseau à commutation de trames. 

ATM Asynchronous Transfer Mode 

Support DSL Digital Subscriber Line 

Les protocoles de liaison de données que support Windows 2008 sont: 

 

SLIP (Serial Line Internet Protocol) 

Ce protocole est utilisé pour se connecter via un modem à un serveur 

SLIP au travers d’une connexion non sécurisée. Il s’agit d’un vieux 

standard de communication que l’on peut trouver dans les 

environnements Unix. Le protocole SLIP ne peut encapsuler que de 

l’IP. 


Windows 2008 Server ne peut pas être configuré comme serveur 

SLIP mais il inclut un client SLIP. 

PPP (Point to Point Protocol) 

C'est une amélioration du SLIP. Il peut encapsuler en dehors des 

protocoles TCP/IP des protocoles IPX/SPX, NetBEUI. 

L’avantage majeur du protocole PPP est qu’il n’est pas propriétaire, 

donc n’importe quel client supportant PPP peut se connecter à un 

serveur d’accès distant Windows 2008. 

1.3 VPN 

Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux 

ressources de son entreprise par exemple, comme s'il était physiquement 

connecté au LAN de cette dernière. Le serveur VPN nécessite une adresse 

IP public. 

Le VPN constitue une extension d'un réseau privé à travers un réseau 

public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son 

élément de base. 

Cependant, il est nécessaire de sécuriser les données qui transitent dans 

ce type de réseau. 

Windows 2008 Server utilise deux types de protocoles de tunnel qui sont 

PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling 

Protocol). 

L'avantage du VPN par rapport à une connexion d'accès distant est que ce 

dernier peut s'effectuer via une connexion Internet, alors que l'accès distant 

nécessite quant à lui une connexion point à point utilisant le RTC ou RNIS, 

ce qui revient économiquement plus cher. 

Un autre avantage du VPN est la possibilité d'effectuer une interconnexion 

de deux réseaux d'entreprise à travers un réseau public. 

 

PPTP 

Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via 

un réseau IP. C'est notamment un protocole qui permet l'encapsulation 

sécurisée sur un réseau public pour créer un VPN. 

 

L2TP 

C'est un protocole qui permet d'interconnecter des réseaux dès qu'une 

connexion point à point orientée paquet est offerte par le tunnel. Le L2TP 


permet une compression des en-têtes et une authentification en tunnel. Il 

utilise aussi IPSec afin de crypter les données. 

PPTP 

Propriétaire (Microsoft) 

Encryptage Microsoft intégré 

Réseaux IP seulement 

Antérieur à L2TP 

L2TP 

Ouvert 

IPSEC 

IP, ATM, X.25… 

Plus récent 

Windows 2000 et plus 

1.4 Authentification 

Il est essentiel, lors de l'établissement d’une connexion d'accès distant, de 

procéder à la sécurisation des données qui transitent via un mécanisme 

d'authentification. Au sein de l'infrastructure Windows 2008 Server, 

plusieurs protocoles d'authentification sont proposés. Ces méthodes 

diffèrent essentiellement par leur niveau de sécurité. 

Il est possible de choisir parmi les protocoles d'authentification suivants : 

 

 

 

 

PAP (Password Authentification Protocol) 

Il s'agit d'une méthode d'authentification peu sécurisée et très simple. 

Le login et le mot de passe sont envoyés en clair par le client d'accès 

distant au serveur d'accès distant, qui les comparent aux informations 

qui sont stockées dans la base SAM locale ou Active Directory. 

SPAP (Shiva Password Authentification Protocol) 

Ce protocole est plus sécurisé que le protocole PAP. Il permet de 

connecter des clients Shiva à un serveur d'accès distant Windows. 

CHAP (Challenge Handshake Authentification Protocol) 

Il s'agit d'un protocole crypté conçu pour les échanges de mots de 

passe via IP ou PPP. Les mots de passes sont stockés en clair sur le 

client et le serveur. Le client envoie le hash au serveur qui le compare 

au résultat de son hash. 

MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) 

Ce type de protocole est basé sur le même principe que le CHAP à la 

différence que MS-CHAP stocke les mots de passes de façon cryptée, 

grâce à MD4 qui est une fonction de hachage. 

MS-CHAP 2 

 

Il s'agit ici d'une version plus récente du MS-CHAP, qui à la différence 

du MS-CHAPv1, propose une sécurité plus accrue. 

EAP (Extensible Authentification Protocol) 


Il fait référence à un ensemble de protocoles qui apportent une 

extension aux méthodes d'authentification actuelles. 

Exemples : 

o SmartCard (carte + pin). 

o Authentification Biométrique (empreinte + pin). 

Pour configurer les Méthodes d’authentification : 

Aller dans les propriétés du serveur, onglet Sécurité : 


1.5 Configuration d’un réseau privé virtuel (vpn) 

SERVEUR : 

Nous allons dans cette étape, configurer un serveur VPN. 



Si vous ne disposez pas d’au moins deux interfaces réseaux, vous recevrez le 

message suivant : 

Si vous disposez de deux interfaces réseaux, vous recevrez le message suivant : 





CLIENT : 




Autoriser l’usager pour le serveur VPN: 


Faire un test de connexion à partir du client : 


Afficher les connexions sur le serveur VPN: 


1.6 Configuration de l'accès réseau à distance 

SERVEUR : 





Configurer le modem du serveur : 



CLIENT : 




Faire un test : 


1.7 Stratégies d’accès distant 

Les stratégies d’accès distant sont utilisées pour accorder ou non l’accès 

aux clients d’accès distant ou VPN en se basant sur un ensemble de 

conditions, d’autorisations et de profils. 

La réussite d’une connexion d’accès distant ou VPN ne repose pas 

uniquement sur l’acceptation pour un utilisateur d’effectuer des appels 

entrants. 

On va pouvoir indiquer qu’un utilisateur peut établir une connexion 

uniquement s’il utilise un protocole d’authentification comme défini dans la 

stratégie, qu’il se connecte selon un horaire donné, etc. 

1.7.1 Autorisation 

Le serveur d’accès distant ou VPN vérifie que l’utilisateur s’authentifiant 

possède l’autorisation d’établir une connexion. 

Les autorisations sont définies à la fois dans les propriétés du compte 

utilisateur pour lequel on souhaite lui autoriser ou interdire l’établissement 

d’une connexion, et dans la stratégie elle-même. 

Aller dans les propriétés du compte utilisateur, onglet Appel entrant. 


Trois possibilités sont offertes : 

Autoriser l’accès 

Si un utilisateur possède cette autorisation alors le profil défini dans la 

stratégie est appliqué à l’utilisateur, et la connexion est établie sauf si une 

contre-indication apparaît dans le profil. 

Refuser l’accès 

Si un utilisateur possède cette autorisation, l’accès lui est refusé sauf dans 

le cas où l’attribut Ignore-User-Dialin-Properties possède la valeur Vrai. 

Si L’autorisation d’accès est refusée alors la connexion écho ue. 

Contrôler l’accès via la stratégie d’accès distant 

Cette option indique que l’autorisation de connexion de l’utilisateur ne 

dépend pas des propriétés de son compte mais des autorisations définies 

dans la stratégie elle-même : 

L’option Refuser l’autorisation d’accès distant indique que l’utilisateur 

ne pourra pas établir de connexion. 

L’option Accorder l’autorisation d’accès distant indique que l’utilisateur 

pourra établir de connexion et le profil sera alors appliqué à l’utilisateur. 

1.7.2 Définir les conditions 

Pour qu’un utilisateur puisse établir une connexion, il doit obligatoirement 

remplir toutes les conditions définies dans la stratégie. Si une seule des 

conditions n’est pas remplie, alors la connexion échoue. 

Pour définir les conditions : 

1) Aller dans la console Routage et accès distant. 


2) Dans le conteneur Stratégies d’accès distant, éditer une stratégie. 

3) Cliquer sur le bouton Ajouter. 

4) La liste des conditions que vous pouvez ajouter apparaît. 

Sélectionner une condition et cliquer sur le bouton Ajouter pour lui 

attribuer une valeur en fonction de la condition choisie. 


1.7.3 Profil 

Si les propriétés de la connexion répondent aux conditions et que 

l’utilisateur possède l’autorisation d’établir une connexion, il se voit 

attribuer un profil de connexion qui correspond à un ensemble de 

propriétés appliquées à la connexion. 

Le profil peut aussi être un élément permettant de refuser l’établissement 

d’une connexion, si certain paramètres du profil entrent en conflit avec la 

manière dont la connexion a été établie. Par exemple si le protocole 

d’authentification utilisé ne correspond pas avec les indications du profil. 

Un profil est composé des éléments suivants : 


Onglet Contraintes pour les appels entrant 

Permet d’indiquer que la connexion peut s’établir uniquement selon un 

horaire donné, définir des délais de connexion, etc. 


Onglet IP 

Permet de définir comment les adresses IP seront attribuées aux clients 

d’accès distant ou VPN. 

Il est aussi possible de définir des filtres d’entrée et de sortie pour la 

connexion établie selon le profil. Ceci permet de définir quels sont les flux 

qui auront le droit d’entrer dans le réseau privé. 


Onglet Liaison multiples 

Permet de définir pour les clients d’accès distant la prise en charge du 

protocole BAP. 


Onglet Authentification 

Permet de spécifier les méthodes d’authentification acceptables pour les 

clients d’accès distant ou VPN. Il faut aussi que le serveur d’accès distant 

prenne en charge ces méthodes d’authentification. 


Onglet Cryptage 

Permet d’indiquer les niveaux de cryptage autorisés pour la connexion.

accès distant ou VPN

Create successful ePaper yourself

Delete template?

Save as template?