Si vous avez essayé de monter une plateforme DirectAccess (en suivant le guide pas à pas), vous avez peut-être constaté un problème de connectivité depuis une machine du réseau de l'entreprise (par exemple un DC) à destination d'un client DirectAccess connecté via Teredo (c'est à dire derrière un équipement réseau faisant du NAT).

Ce problème ayant été remonté par un client, j'ai cherché une solution à ce problème bien limité au client DirectAccess connecté en Teredo (en 6to4 ou IP-HTTPS, pas de soucis). Je remercie au passage mon collègue Arnaud Lheureux qui m'a très très bien aiguillé !!

Voyons dans un schéma (très) basique, l'architecture en place :

Ici le but est de pouvoir, dans un premier temps, faire du ping et du Bureau à distance depuis le réseau de l'entreprise (ici le DC par exemple) vers le client Windows 7 en DirectAccess.

Si on teste la configuration après avoir suivi le guide pas à pas (qui est une version encore en brouillon donc soyons indulgents :-)), tout ne fonctionne pas :

Le ping depuis le client DirectAccess vers le DC, ça marche :

L'inverse, le ping depuis le DC vers le client DirectAccess en Teredo ne fonctionne pas

Le problème vient en fait de la présence d'un NAT et du pare-feu de Windows 7. Si on regarde la configuration de celui-ci sur la règle autorisant en entrée ICMPv6, on remarque une option avancée :

Sans rentrer dans le détail de cette option (je vous invite à lire suivre les liens indiqués en fin de ce billet), disons qu'elle permet à des applications d'être accessibles depuis l'extérieur (Internet) malgré la présence d'un NAT.

Donc il va falloir changer ce paramètre dans la GPO configurant le pare-feu Windows des clients DirectAccess

Une fois que le poste aura récupéré sa GPO et appliqué cette modification, cela devrait fonctionner beaucoup mieux pour le ping depuis le DC !

Maintenant, il ne vous reste plus qu'à rajouter dans la GPO, les règles de pare-feu entrantes pour les applications/flux que vous souhaitez autoriser (ex: le bureau à distance...). ça y est comme ça DirectAccess commence vraiment à devenir sexy ;-)

Informations complémentaires sur le paramètre Edge Traversal & Teredo :

Implementing the Teredo Security Model
http://msdn.microsoft.com/en-us/library/bb190942%28VS.85%29.aspx

Receiving Unsolicited Traffic Over Teredo
http://msdn.microsoft.com/en-us/library/aa965911%28VS.85%29.aspx

Adding an Application Rule to Allow Dynamic Edge Traversal
http://msdn.microsoft.com/en-us/library/dd607244%28VS.85%29.aspx

Teredo owerview
http://technet.microsoft.com/en-us/library/bb457011.aspx