Solutions Serveur pour TPE/PME : VPN

Connexion VPN en SSTP sur un serveur Small Business Server 2008

pierrc — Sun, 05 Jul 2009 23:20:00 GMT

Les connexions VPN en SSTP sur SBS 2008 c'est possible ! :-)

Vous avez des abonnements avec des opérateurs qui vous bloquent les connexions VPN en filtrant le port TCP 1723 (PPTP) ou UDP 500,4500,1701 (L2TP/IPsec), vous pourrez quand même vous connectez en VPN sur votre serveur SBS 2008 à l'aide du protocole Secure Socket Tunneling Protocole sur du TCP port 443, c'est à dire au travers de tous pare-feu. Pour en savoir un peu plus : http://technet.microsoft.com/en-us/magazine/2007.06.cableguy.aspx

Avant de commencer le paramétrage , il faut être à jour au niveau du serveur comme du client et surtout faire une sauvegarde de votre serveur. Attention pour les connexions en SSTP, il faut avoir au minimum un client Windows Vista SP1 !

Comme vous avez pu le voir, dans le lien plus haut, une connexion SSTP s'appuie sur une session "HTTP over SSL" donc l'installation et le paramétrage du certificat "authentification du serveur" "remote.mon-domaine-pulic.com" sur le serveur SBS 2008 doit être correcte. Normalement, tout cela a été installé automatiquement lors de l'assistant "configurer votre adresse internet".

C'est le même certificat qui nous servira à nous connecter en SSTP et en HTTPS avec le server IIS

N'hésitez pas à aller dans la console pour "checker" votre réseau et lancer l'assistant "Réparer mon réseau" pour fixer les problèmes éventuels.

Si vous n'avez pas acheté un vrai certificat :-) auprès d'une autorité tiers ( VeriSign, Twate, Godaddy .....), les clients doivent "truster l'autorité du certificat" qui est en fait le serveur de certificat dans SBS 2008.

Les clients membres du domaine SBS "trustent" l'autorité du certificat de SBS.

Pour les clients non membres du domaine ou PDA, il existe un utilitaire (C:\Users\Public\Downloads sur le serveur SBS ) pour installer le certificat de l'autorité de certificat ...

Il est beaucoup plus simple d’acheter un vrai certificat auprès d’une autorité de certification tiers. Il existe un assistant pour faire la demande et l’installation correctement.

Pour vérifier que l’installation du certificat est correcte, connectez vous à distance avec un client sur le site https://remote.mon-domaine.com. Si tout est correct il restera deux étapes.

1) Dans un premier temps il faut paramétrer le service RRAS du serveur SBS pour les connexions VPN :

le plus simple c'est d'aller dans la console de SBS 2008 et de lancer l'assistant

A la fin de l'assistant , cinq entrées PPTP seront créées, mais aucune pour les connexions SSTP entrantes.

Pour paramétrer les connexions SSTP entrantes:

-> Outils d'administration -> Routage et accès distant

-> Clic droit sur Ports -> sélectionnez Wan Miniport [SSTP] -> Configurer ...->

Mettre le nombres de connexions entrantes souhaitées et cochez l'option "Connexions d'accès à distance entrantes"

2) Dans un deuxième temps, il restera à paramétrer le certificat pour la connexion SSTP. -Par chance les connexions SSL du serveur IIS et les connexions en SSTP cohabitent :-) ! Il faut passer par des commandes "netsh" de manière à pouvoir “binder le certificat " authentification du serveur" "remote.mon-domaine-pulic.com" pour le service SSTP de RRAS.

Pour bien comprendre :

En lançant une "invite de commandes" avec les droits administrateur puis la commande "netsh http show sslcert" on voit :

la partie " Port IP : 0.0.0.0:443" => correspond à l'adresse IP et le port d'écoute du serveur IIS
la partie "Hachage du certificat : 510072587d6bd6203c6cbaca3d29753f8bb4b0a8" => correspond au hash du certificat "remote.mon-domaine.com" .Pour vérifier le hash du certificat il suffit de lancer une console "mmc " certificats -> compte ordinateur et sélectionner le certificat "remote.mon-domaine.com" -> "empreinte numérique".

la partie " ID de l'application : {4dc3e181-e14b-4a21-b022-59fc669b0914}" => correspond à l'URI (Uniform Resource Identifier) de IIS 7. Sachant que les connexions SSTP sur RRAS utilisent un URI unique {BA195980-CD49-458b-9E23-C84EE0ADCD75}(cela peut être vérifié dans la base de registre HKLM\ System\ CurrentControlSet\ Services\ Sstpsvc\ Parameters\ ServerURI)

Pour binder le certificat, pour les connexions SSTP, lancer les commandes suivantes

· “netsh http delete sslcert ipport=0.0.0.0:443”

· “netsh http add sslcert ipport=0.0.0.0:443 certhash=510072587 d6bd6203c6cbaca3d29753f8bb4b0a8 appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY”

Pour vérifier que cela à bien fonctionner lancer la commande “netsh http show sslcert” et vérifier l‘URI SSTP (ID de l’application) ainsi que le hash du certificat

Relancer les services IIS et RRAS et c’est terminé pour ceux qui utilisent un certificat acquis auprès d’une autorité publique.

Pour ceux qui utilisent un certificat émis par l’autorité de certification de SBS il y aura un paramétrage (bidouillage) supplémentaire à faire sur les postes clients. En effet, avant d’établir la connexion, un client SSTP doit contacter la CRL (Certificate Revocation list) de l’autorité de certification.

Plus d’info : http://fr.wikipedia.org/wiki/Liste_de_r%C3%A9vocation_de_certificats

Regardons la CRL d’un certificat émis par l’autorité de certification de SBS :

Ceci veut dire que le client SSTP doit se connecter sur l’ URL “http://srv.mtam.local/CertEnroll/mtam-SRV-CA.crl” avant d’établir une connexion SSTP.

Pour joindre un serveur distant avec un nom FQDN en .local avec un poste connecté à internet, une seule façon, créer une entrée dans le fichier host du client:

Lancer une "invite de commandes" avec les droits administrateur
“notepad %windir%\system32\drivers\etc\hosts”
X.X.X.X (l’adresse IP public) mon-serveur-sbs.local

Il ne restera plus qu’à rendre disponible l’URL “http://srv.mtam.local/CertEnroll/mtam-SRV-CA.crl” sur le serveur SBS .

Menu “Démarrer” –> “Gestionnaire du serveur” –> “Services de certificats Active Directory”-> “ajouter des services de rôle”-> et “ Inscription de l’autorité de certification via le Web”

Ne pas oublier de paramétrer le port forwarding tcp 80 au niveau du routeur/pare-feu. Redémarrer les services IIS et RRAS et c’est terminé :-)

Pour paramétrer une connexion VPN en SSTP sur le poste client, rien de plus simple !

Bon tests !

Un grand merci à mon collègue Pascal Saulière pour le prêt de son serveur SBS pour les tests sans oublier Stanislas Quastana de m’avoir ouvert l’esprit sur la CRL :-)

Partie 7 - Paramétrage de Small Business Server 2003 R2 pour le mise en oeuvre des " RPC over HTTPs" avec le client Office Outlook 2003 Sp1/ Outlook 2007

pierrc — Tue, 04 Dec 2007 17:01:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d' une solution de mobilité autour de Small Business Serveur"

Voici la procédure à suivre pour mettre en oeuvre facilement les "RPC over HTTPs" dans SBS Standard ou Premium de manière à ce que les utilisateurs nomades puissent se connecter à leur messagerie avec le client Office Outlook 2003 SP1 ou Office Outlook 2007 depuis Internet sans avoir à ouvrir de connexion VPN (PPTP) .

"L' assistant de configuration de la messagerie et de la connexion Internet" va nous aider à configurer simplement :

- le contrôle de flux SSL (TCP 443) sur la carte externe du serveur SBS

- le paramétrage de IIS/Exchange automatiquement (site RPC de IIS)

Encore une fois le certificat auto signé doit absolument matcher avec le nom public de votre serveur SBS

Côté client il faudra paramétrer Office Outlook 2003 ou Outlook 2007

Le certificat auto signé "remote.ma-fr" généré pendant "L' assistant de configuration de la messagerie et de la connexion Internet" doit être installé sur le poste client.

Partie 6 - Mise en oeuvre d' une solution VPN pour les utilisateurs nomades dans Small Business Serveur

pierrc — Sat, 01 Dec 2007 00:00:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d' une solution de mobilité autour de Small Business Serveur"

Il est très facile de mettre en place une solution de VPN pour les utilisateurs nomades dans SBS Standard ou Premium. Deux assistants vont nous aider à configurer cette mise en place :

- le paramètrage des contrôles de flux entrant PPTP sur la carte Externe (tcp 1723) du serveur SBS

- le paramètrage du serveur d' accès distant (RRAS)

- le paramètrage de ISA Serveur pour les versions Premium

Important ! pour que les utilisateurs puissent se connecter en VPN , il doivent appartenir au groupe de sécurité " Mobile Users"

La première tâche à effectuer est de lancer "L' assistant de configuration de la messagerie et de la connexion Internet" pour configurer le Pare-feu (RRAS) et l' Isa Serveur (Contrôle de flux entrant PPTP)

La seconde est de lancer l' assistant "Configurer l'accès à distance"

les informations de ce champs doivent être le nom public de votre serveur SBS ou votre adresse IP public

A ce stade, l' assistant a tout paramétré dans RRAS (Routing end Remote Acces Services) de Windows 2003

Il est conseillé de décocher les cases afin de ne faire que du cryptage MPPE 128 bits dans les stratégies d'accès distant : "Connexions au serveur d'accès à distance et de routage Microsoft"

Pour une version Premium avec ISA serveur c'est la stratégie d'accès distant: "Stratégie par défaut ISA Sever"

Pour l' authentification il est conseillé de faire du "MS-CHAP V.2" . Il est possible de la paramétrer dans la console d' ISA server pour les versions Premium

Côté client, il nous restera juste à installer le "gestionnaire de connexion" généré pendant l' assitant "Configurer l'accès à distance". Il existe deux façons pour installer le gestionnaire de connexion :

la première est de le récupérer dans le partage \\srv-sbs\ClientApps\Connection Manager du serveur SBS

La seconde est de le télécharger du site https://remote.ma-tpe.fr/remote

Bien décocher "j' utilise un ordinateur public ou partagé"

Une fois installé ...

Le client a été généré via le kit "d'administration de connection manager" de Windows 2003 pendant l' assitant

partie 2 - L' assistant de configuration de la messagerie et de la connexion Internet -

pierrc — Thu, 22 Nov 2007 00:47:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d'une solution de mobilité autour de Small Business Serveur"

L' assistant de configuration de la messagerie et de la connexion Internet est la première tâche à effectuer sur le serveur SBS il va nous aider à configurer :

- La connexion du serveur SBS sur Internet ( carte réseau, modem .... )

- Le pare-feu (RRAS et ISA Serveur pour les versions Premium)

- Les règles de flux entrantes sur la carte Externe du serveur (SMTP, PPTP, .... )

- Les règles de flux HTTP et HTTPS entrantes sur la carte Externe du serveur et les paramètres des sites de IIS

- la gestion d' un certificat Web pour les connexions SSL

- la gestion de la messagerie ( connecteur SMTP d'exchange, méthode de remise, relay SMTP, connecteur POP3, pièces jointes

Cet assistant SBS génère un fichier C:\Program Files\Microsoft Windows Small Business Server\config.vbs que l'on peut re-exécuter à tout moment .

Il est fortement recommandé d' utiliser une version de SBS Premium (ISA Serveur) pour connecter son serveur sur Internet . Pour la version standard c' est le composant RRAS de Windows 2003 qui gère la partie pare-feu donc:

- aucun contrôle des flux sortants

- pare-feu niveau 3 et 4

- compliqué pour récupérer les logs

Contrôle des flux entrants sur la carte externe de SBS (TCP 25, TCP 1723, TCP 3389, TCP 21)

Pour la version Standard les filtres sont créés dans RRAS

Pour la version Premium les règles des flux entrants sont créées dans Isa Serveur

Contrôle des flux HTTPs entrants sur la carte externe de SBS plus les paramètres des sites de IIS (restriction d' accès par adresse IP)

Pour la version Premium les règles de publication seront créées dans Isa Serveur

Si vous voulez mettre en oeuvre ActiveSync en SSL ou les RPC over HTTPs le nom du certificat doit absolument matcher avec le nom public de votre serveur SBS ...

Exemple, si je mets "remote.ma-tpe.fr " l' assistant va nous créer un certificat auto-généré sans autorités principales de confiance , bien évidemment remote.ma-tpe.fr doit pouvoir être résolu dans votre domaine public.

Comment sont envoyés les mails (connecteur SMPT d' Exchange ou un relais SMPT d'un FAI) ?

Important ! le nom du domaine de messagerie doit être votre nom de domaine public

exemple : ma-tpe.fr

Les universités "la mobilté dans SBS" sur Paris le 19 novembre

pierrc — Wed, 14 Nov 2007 21:35:00 GMT

Venez gagner un Pda HTC P3600 en assistant à ce séminaire . Lors de cette présentation nous verrons comment mettre en oeuvre une solution de mobilité autour de Windows Small Business Server 2003 R2 : Certificat, Poste de travail Web à distance, Exchange (OWA, OMA, ActiveSync, RPC over HTTPs, Mobile 6, VPN, Isa Serveur 2004 .....

Inscription ici , Pour gagner il suffit d'écouter pour répondre aux questions !