Consultants informatique kogik
  Accueil  Notre entreprise
  Services  Hébergement Web
  Technologies  Nos références
  Ressources  Contacts
Ressources

Comment configurer un VPN?

Par : Frédérick Ducharme, analyste-programmeur, Kogik Informatique
Publication : 2006/07/20



Préambule

Vous cherchez un moyen sécuritaire pour accéder à distance aux fichiers d'un autre ordinateur (le serveur de votre entreprise par exemple)? La solution la plus évidente est de mettre en place un réseau privé virtuel (VPN). Voici une manière simple, flexible et efficace d'y parvenir. Il existe plusieurs moyens de bâtir un VPN, ici nous utiliserons 2 routeurs pour créer le tunel VPN.


Avant de débuter

Pour parvenir à mettre en place la solution proposée, vous devez disposer d'un certain nombre de composantes :

  • Des connexions Internet haute vitesse (à la maison et à l'entreprise)
  • 2 routeurs identiques offrant le support VPN. De préférence le Linksys WRV54G (environ 200$/routeur)
  • Un abonnement à un service de DNS dynamique. De préférence DynDns (environ 12$/année)
VPN
Schéma 1.0 - Solution finale


Mettre en place les routeurs

Vos routeurs actuels n'offrent probablement pas le support VPN. Il faut donc les remplacer par des routeurs spéciaux ayant la capacité d'accepter et de créer des connections VPN. Nous suggérons le modèle Linksys WRV54G. Vous trouverez ce modèle dans la plupart des boutiques informatiques (MicroBytes, offre généralement de bons prix). La première étape consiste à brancher les routeurs et à les faire fonctionner normalement. Assurez-vous de mettre à jour les routeurs avec les plus récents firmware.


Noms de domaine dynamique

Pour créer un VPN, le routeur #1 doit connaître en tout temps l'adresse IP du routeur #2 et inversement. Avec un forfait Internet standard, votre modem reçoit une adresse IP variable. Cet IP change de temps en temps au gré de votre fournisseur Internet. Ceci nous cause un problème majeur puisque si l'adresse IP du routeur #1 change, alors le routeur #2 ne pourra plus le contacter et le VPN s'effondrera. Pour pallier à ce problème, nous utiliserons un nom de domaine dynamique.

Plusieurs organisations offrent des noms de domaine dynamiques (DNS2Go, TZO, etc.). Nous vous suggérons DynDns. Attention, le forfait « Dynamic DNS » de base (gratuit) inclut certaines restrictions. Notamment, le DNS dynamique est détruit automatiquement s'il n'est pas modifié au moins une fois par 35 jours. Puisque votre fournisseur d'accès peut vous assigner le même IP pendant plusieurs mois, il faut donc acheter une mise à niveau au forfait de base. Dès lors, la limite de 35 jours sera retirée.

Après avoir acheté le forfait, allez dans le panneau de contrôle de votre compte. Allez dans la section « My Services » et ajoutez 2 nouveaux DNS (ex: my-office.DNSalias.com et my-home.DNSalias.com) dans la section « Host Level Services ». Les options par défaut conviennent parfaitement à nos besoins.


Mise à jour automatique des DNS dynamiques

Vous avez un DNS dynamique, il faut maintenant faire en sorte que ce DNS soit associé en permanence à l'adresse IP de votre modem (qui n'est pas fixe). En cas de changement d'adresse IP, le routeur devra modifier la base de données de DynDns et remplacer l'ancien IP par le nouveau de sorte que my-home.DNSalias.com pointe vers votre nouvelle adresse IP.

Pour y parvenir, allez dans le panneau de contrôle du routeur #1 à « Setup-->DDNS » et ajustez les paramètres comme ceci :
(le username et le password sont ceux de votre compte chez DynDns)

Sous réseau
Schéma 2.0 - Activer l'option DDNS

Faîtes la même chose pour le routeur #2, mais en utilisant le 2ième DNS (my-office.DNSalias.com)
*Suite à la modification, assurez-vous que le « Status » soit bien « DDNS is enabled ».


Activer l'option d'administration à distance des routeurs

Nous vous suggérons d'activer l'option d'administration à distance des routeurs. Ceci vous permettra de configurer les routeurs à partir de n'importe où et vous évitera de vous déplacer en cas de problèmes. Dans le panneau de configuration du routeur, allez dans la section Administration-->Management. Activez l'option « Remote Router Access » comme ceci :

Remote administration
Schéma 3.0 - Activer l'administration à distance

Dorénavent, vous pourrez accéder à distance au panneau de contrôle du routeur en tapant https://my-home.DNSalias.com.
*Attention, ne pas oublier le « s » dans « https ».


Changer le sous-réseau

Une fois le VPN établi, les deux réseaux n'en formeront virtuellement qu'un seul et par conséquent les 2 routeurs ne doivent pas assigner les mêmes adresses IP locales dans les deux bâtiments.

Par défaut, les routeurs assignent des adresses IP au format 192.168.1.X. Nous allons donc configurer le routeur #1 pour qu'il assigne des adresses IP au format 192.168.75.X et le routeur #2 pour sa part distribuera des adresses IP au format 192.168.50.X. (au lieu de 75.X et de 50.X, vous auriez pu choisir n'importe quoi en autant que les deux sous-réseau soient différents).

Dans le panneau de contrôle du routeur #1, allez à « Setup-->Basic Setup » et ajuster l'option « Gateway IP » comme ceci :

Sous réseau
Schéma 4.0 - Changer le sous-réseau

Faîtes la même chose pour le routeur #2, mais en prenant 192.168.50.1 comme « Local IP Address ».

*Suite à cette modification, vous perdrez la connexion avec le routeur et avec Internet.
Ne paniquez pas, c'est normal. Votre ordinateur utilise l'ancien sous-réseau (192.168.1.X). Vous devrez renouveler les adresses IP des postes de travail (« ipconfig /renew » dans la boîte de commande) ou simplement redémarrer les ordinateurs.


Assigner une adresse IP locale fixe au serveur de fichiers

Les ordinateurs distants doivent connaître l'adresse IP locale du serveur de fichiers afin d'y accéder. Pour se faire, nous devez assigner une adresse IP fixe au serveur de fichiers. À titre d'exemple, nous utiliserons l'adresse IP 192.168.50.10. Vous auriez pu choisir n'importe quelle adresse IP en autant que :

  • IP soit dans le format du sous-réseau (192.168.50.X dans notre cas) du routeur auquel il est physiquement branché
  • IP n'est pas compris dans la plage d'adresse IP du DHCP du routeur auquel il est physiquement branché (voir la page « Setup-->Basic Setup-->Server Settings (DHCP) »
attention Attention au parefeu de Windows !
Assurez-vous que le parefeu du serveur de fichier permet le partage de fichier.
D'autre part, assurez-vous que l'étendu du parefeu sur les ports de partage inclut bien tous les sous-réseaux ayant besoin d'accéder aux fichiers.
Dans certains cas, vous devrez sélectionner l'option « n'importe quel ordinateur » ou entrer un masque (ex: 192.168.75.0/255.255.255.0) pour que le partage fonctionne.
Firewall windows
Schéma 4.1 - Configuration du parefeu (firewall) de Windows XP


Créer une connexion VPN entre les deux routeurs

L'étape cruciale : il s'agit d'établir un lien sécurisé entre les deux routeurs. Dans le panneau de contrôle du routeur #1, allez à « Security-->VPN » et ajustez les paramètres comme ceci :

Home VPN setup
Schéma 5.0 - Configuration VPN du routeur #1


Cliquez ensuite sur le bouton « Advanced VPN Tunnel Setup » au bas de la page et activez les options comme ceci :

Advanced VPN options
Schéma 6.0 - Configuration VPN avancée du routeur #1


Dans le panneau de contrôle du routeur #2, allez à « Security-->VPN » et ajustez les paramètres comme ceci :

Home VPN setup
Schéma 7.0 - Configuration VPN du routeur #2

*À noter que les configurations sur les deux routeurs doivent être identiques à l'exception du « Local Secure Group » et du « Remote Secure Group » qui sont inversés et du « Remote Secure Gateway » qui pointe vers le DNS de l'autre routeur.

Cliquez ensuite sur le bouton « Advanced VPN Tunnel Setup » au bas de la page et activez les mêmes options que pour le routeur #1. (voir ci-dessus)

À partir de maintenant vous devriez pouvoir cliquer sur le bouton « Connect » ou « Disconnect » au bas la page « Security-->VPN ».


Tester le VPN

Dans certains cas il y a un délai avant que la connexion VPN se crée. Pour forcer les choses, faites quelques « ping » vers le serveur de fichiers et du serveur vers le poste de travail distant. Si vous obtenez une réponse c'est que tout fonctionne bien.

Si le VPN est connecté correctement, vous devriez pouvoir accéder aux fichiers du serveur en tapant « \\192.168.50.10\ » dans la barre d'adresse d'Internet Explorer.

À partir de là, vous pouvez fort bien créer un lecteur réseau dans le poste de travail de Windows en spécifiant l'adresse IP du serveur lors de la création du lecteur.


Débogage

Il peut arriver que le réseau VPN tombe en panne occasionnellement. Ceci peut être dû a une multitude de facteurs. Par expérience, voici les causes et les solutions les plus fréquentes :

Causes de problèmes Solutions
  • Le modem et le routeur ne sont plus synchronisés
  • Éteindre le modem et le routeur. Attendre 10 secondes.
  • Rallumer le modem et attendre jusqu'à ce qu'il est terminé son initialisation.
  • Rallumer le routeur.
  • Au bas de la page « Security-->VPN », cliquez sur le bouton « Disconnect » et cliquez ensuite sur le bouton « Connect ».
  • Vérifier la connexion du VPN en faisant un ping vers le serveur de fichiers ou l'ordinateur distant.
  • Les horloges internes des routeurs n'affichent pas la même date/heure
  • Ajuster les horloges au bas de la page « Setup-->Basic Setup » dans les panneaux de contrôle des routeurs.
  • Panne d'électricité sur le routeur distant
  • Vérifier par téléphone ou prendre son mal en patience...
  • Adresse IP mal configurées ou DNS dynamique en erreur
  • Voir la page http://ip.kogik.com et s'assurer que les DNS dynamiques pointent vers les bonnes adresses IP.
  • Vérifier que votre abonnement à DynDns n'est pas échu.
  • Le parefeu du serveur de fichiers bloque l'accès ce qui empêche de voir les fichiers à distance et provoque une erreur de Windows.
  • S'assurer que l'option « Partage de fichiers et d'imprimantes » est bien cochée dans le parefeu de windows.
  • S'assurer que l'étendu des ports de partage inclut le sous-réseau distant (voir figure 4.1 ci-dessus)

Autres possibilités, solutions logicielles

Linksys offre un petit utilitaire (QuickVPN Utility) qui permet à un ordinateur d'établir une connexion VPN avec un routeur Linksys. Très pratique si vous avez un ordinateur portable et que vous voulez vous connecter au réseau de votre entreprise à partir de n'importe où. Cette solution nécessite qu'un seul routeur et le logiciel pour fonctionner, contrairement à la solution proposée ci-dessus qui demande d'avoir 2 routeurs.

Windows Server 2000, XP Professionnel et Server 2003 peuvent être configurés pour accepter les connexions VPN. Avec un peu d'acharnement et de patience, il est donc possible de monter un VPN sans même utiliser de routeurs spéciaux.


Question & commentaires?

N'hésitez pas à nous contacter.

Story of stuff Consultant informatique