Si vous avez essayé de monter une plateforme DirectAccess (en suivant le guide pas à pas), vous avez peut-être constaté un problème de connectivité depuis une machine du réseau de l'entreprise (par exemple un DC) à destination d'un client DirectAccess connecté via Teredo (c'est à dire derrière un équipement réseau faisant du NAT).
Ce problème ayant été remonté par un client, j'ai cherché une solution à ce problème bien limité au client DirectAccess connecté en Teredo (en 6to4 ou IP-HTTPS, pas de soucis). Je remercie au passage mon collègue Arnaud Lheureux qui m'a très très bien aiguillé !!
Voyons dans un schéma (très) basique, l'architecture en place :
Ici le but est de pouvoir, dans un premier temps, faire du ping et du Bureau à distance depuis le réseau de l'entreprise (ici le DC par exemple) vers le client Windows 7 en DirectAccess.
Si on teste la configuration après avoir suivi le guide pas à pas (qui est une version encore en brouillon donc soyons indulgents :-)), tout ne fonctionne pas :
Le ping depuis le client DirectAccess vers le DC, ça marche :
L'inverse, le ping depuis le DC vers le client DirectAccess en Teredo ne fonctionne pas
Le problème vient en fait de la présence d'un NAT et du pare-feu de Windows 7. Si on regarde la configuration de celui-ci sur la règle autorisant en entrée ICMPv6, on remarque une option avancée :
Sans rentrer dans le détail de cette option (je vous invite à lire suivre les liens indiqués en fin de ce billet), disons qu'elle permet à des applications d'être accessibles depuis l'extérieur (Internet) malgré la présence d'un NAT.
Donc il va falloir changer ce paramètre dans la GPO configurant le pare-feu Windows des clients DirectAccess
Une fois que le poste aura récupéré sa GPO et appliqué cette modification, cela devrait fonctionner beaucoup mieux pour le ping depuis le DC !
Maintenant, il ne vous reste plus qu'à rajouter dans la GPO, les règles de pare-feu entrantes pour les applications/flux que vous souhaitez autoriser (ex: le bureau à distance...). ça y est comme ça DirectAccess commence vraiment à devenir sexy ;-)
Informations complémentaires sur le paramètre Edge Traversal & Teredo :
Implementing the Teredo Security Modelhttp://msdn.microsoft.com/en-us/library/bb190942%28VS.85%29.aspx Receiving Unsolicited Traffic Over Teredohttp://msdn.microsoft.com/en-us/library/aa965911%28VS.85%29.aspx Adding an Application Rule to Allow Dynamic Edge Traversalhttp://msdn.microsoft.com/en-us/library/dd607244%28VS.85%29.aspx Teredo owerviewhttp://technet.microsoft.com/en-us/library/bb457011.aspx
Implementing the Teredo Security Modelhttp://msdn.microsoft.com/en-us/library/bb190942%28VS.85%29.aspx
Receiving Unsolicited Traffic Over Teredohttp://msdn.microsoft.com/en-us/library/aa965911%28VS.85%29.aspx
Adding an Application Rule to Allow Dynamic Edge Traversalhttp://msdn.microsoft.com/en-us/library/dd607244%28VS.85%29.aspx
Teredo owerviewhttp://technet.microsoft.com/en-us/library/bb457011.aspx