Authentification RADIUS d’un serveur VPN

Objectif : mettre en place, dans l’infrastructure ADP, une connexion chiffrée en créant un réseau privé virtuel (vpn). Afin d’ajouter une couche de sécurité, l’authentification de l’utilisateur vpn se fera par un client RADIUS. Le rôle NPS sera installé sur le serveur du siège tandis que le serveur vpn, qui devient client RADIUS, sera situé dans la DMZ. Au finale, quand l’utilisateur extérieur souhaitera se connecter à l’entreprise à distance, intérrogera le serveur vpn (client RADIUS) qui lui-même contactera le serveur RADIUS (NPS) pour l’authentifier.

Sommaire

  1. Installation du rôle NPS
  2. Configuration de l’Active Directory
  3. Paramétrage du serveur NPS
  4. Installation du serveur VPN
  5. Paramétrage du VPN
  6. Essai de connection via un client win10

Prérequis matériels :

  • VM Windows 2012R2 : rôle DNS/DHCP/DC/NPS (serveur siège)
  • VM Windows 2012R2 : rôle Routage et accès distant (serveur VPN)
  • VM Windows 2012R2 : routeur du Siège
  • VM Windows 2012R2 : routeur NAT
  • VM Windows10 : client extérieur

Paramétrages des interfaces réseaux

serveur siège
serveur vpn
routeur siège
routeur NAT
Client externe

I. Installation du rôle NPS

Depuis le gestionnaire de serveur, lancer l’installation en cliquant sur Gérer 1 puis Ajouter des rôles et fonctionnalités 2.

Au lancement de l’assistant cliquer sur Suivant 1.

Choisir l’option Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sur Suivant 2.

Sélectionner le serveur où l’installation du rôle NPS 1 doit être effectué et cliquer sur Suivant 2.

Cocher les services de stratégies et d’accès réseau 1 puis cliquer sur Suivant

Cliquer sur Suivant pour valider les services qui seront installés pour NPS.

Confirmer l’installation en cliquant sur Installer.

Patienter pendant l’installation …

Une fois l’installation terminée, quitter l’assistant en cliquant sur Fermer.

II. Configuration de l’Active Directory

Depuis le gestionnaire de serveur, lancer la console de l’annuaire Active Directory en cliquant sur Outils puis Utilisateurs et AD.

Il faut créer un groupe de sécurité, ici, VPNUSERS en cliquant droit sur Users 1 puis Nouveau 2 puis Groupe 3. Puis créer un utilisateur 4 vpnuser que l’on va enregistrer dans le groupe de sécurité.

Cocher ensuite Globale 1 puis Sécurité 2.

Sélectionner Contrôler l’accès via la Stratégie d’accès à distance 1 afin de spécifier au serveur RADIUS qu’il doit authentifier l’utilisateur uniquement par son intermédiaire.

III. Paramétrage du serveur NPS

Dans l’onglet Outils, sélectionner Serveur NPS 1 pour ouvrir la console.

Faites un clic droit sur NPS 1 puis Insrire un serveur dans Active Directory 2.

Déployez le dossier Clients et Serveurs RADIUS puis faites un clic droit sur Clients RADIUS 1 puis cliquer sur Nouveau 2.

Mettre un nom convivial 1 puis renseigner l’adresse IP du client RADIUS 2 qui est le serveur VPN. Appuyer sur Vérifier 3, cliquer sur Résoudre 4 afin que l’adresse IP soit trouvée 5 puis mettre un Secret partagé 6.

Développez la feuille de Stratégie puis faire un clic droit sur Stratégies réseau 1 puis cliquer sur Nouveau 2.

Mettre un Nom de la stratégie 1 et sélectionner Serveur d’accès à distance (VPN-Dial up) 2 et cliquer sur Suivant 3.

Ensuite cliquer sur Ajouter 1 puis cliquer sur Groupes d’utilisateurs 2 pour y ajouter le groupe ‘VPNUSERS’ et appuyer sur Ajouter 3.

Cliquer sur Ajouter des groupes 1.

Vérifier que le nom du groupe de sécurité soit reconnu dans l’AD 1 et cliquer sur OK 2.

Le groupe à été reconnu car lié au domaine ADP 1 et cliquer sur OK 2.

Spécification des conditions de stratégie réseau ADP\VPNUSERS 1 et cliquer sur ajouter 2.

Spécifier l’autorisation d’accès 1 et faites Suivant 2.

Pour configurer les méthodes d’authentification cliquer sur Ajouter 1 pour choisir les différents types de protocoles EAP (Extensible Authentication Protocol) 2. Sélectionner PEAP (Protected EAP) 3 puis EAP-MSCHAP v2 4 et terminer par Suivant 5.

Résumé des protocoles EAP choisis 1. Puis cliquer sur Suivant 2.

Ici, faire simplement Suivant 1.

Continuer à faire Suivant 1.

Enfin cliquer sur Terminer 1.

4. Installation du serveur VPN

Depuis le gestionnaire de serveur, lancer l’assistant d’installation en cliquant sur Ajouter des rôles des fonctionnalités.

Au lancement de l’assistant cliquer sur Suivant.

Choisir l’option Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant.

Sélectionner le serveur où l’installation du rôle Routage et accès distant doit être effectué et cliquer sur Suivant.

Cocher la case du rôle du serveur VPN.

5. Paramétrages du serveur VPN

Faire un clic droit sur le serveur VPN 1 puis cliquer sur Configuer et activer le routage et l’accès à distance 2.

Ensuite faire un clic droit sur serveur VPN 1 puis cliquer sur Propiétés 1.

Aller dans l’onglet Sécurité 1 puis choisir Authentification RADIUS 2 puis cliquer sur Configurer 3. Puis cliquer sur Ajouter 4 afin de saisir l’adresse IP du serveur RADIUS 5. Appuyer ensuite sur Modifier 6 et entrer le Secret partagé 7 (le même que celui entré dans le serveur RADIUS (NPS).

Toujours dans l’onglet Sécurité 1, choisir Gestion de comptes RADIUS 2 puis cliquer sur Configurer 3. Puis cliquer sur Ajouter 4 afin de saisir l’adresse IP du serveur RADIUS 5. Appuyer ensuite sur Modifier 6 et entrer le Secret partagé 7 (le même que celui entré dans le serveur RADIUS (NPS).

6. Essai de connection via un client win10

On va utiliser le compte utilisateur ‘vpnuser’ précédemment crée dans le serveur RADIUS (NPS).