maison › Programmes › Configuration de la connexion VPN pptp. Connexion PPTP - qu'est-ce que c'est ? Conditions initiales pour une connexion correcte

Configuration de la connexion VPN pptp. Connexion PPTP - qu'est-ce que c'est ? Conditions initiales pour une connexion correcte

Après avoir examiné en détail dans l'article précédent comment monter la partie serveur d'une connexion VPN sur la plateforme Windows, passons à la mise en place d'une connexion client PPTP. Pour commencer, je voudrais rappeler, au cas où, que le protocole PPTP utilise deux sessions réseau : une session PPP est établie à l'aide du protocole GRE pour le transfert de données, et une connexion est établie sur le port TCP 1723 pour initialiser et gérer le connexion.

Par conséquent, n'oubliez pas de créer une règle pour GRE. Vous pouvez lire comment créer de telles règles dans un pare-feu standard si vous êtes directement connecté à Internet. Si vous êtes derrière un routeur, vous pouvez lire ici.

Mais on a déjà lu tout ça, on le sait. Par conséquent, passons à la configuration d’une connexion VPN client pour PPTP.

Vous devez d'abord vous rendre à Panneau de contrôle, dans Win7, il suffit de cliquer Commencer. et allez à Panneau de contrôle. Ensuite, en fonction des paramètres d'affichage, nous cliquons soit sur Réseau et Internet-> -> . Ou on va directement à Centre de réseau et partage -> Configuration d'une nouvelle connexion ou d'un nouveau réseau.

Un assistant apparaîtra Installation et connexions et réseaux. Choisir Connexion au lieu de travail

Saisissez ensuite l'adresse Internet (adresse du serveur) et le nom de la connexion à créer, le mieux Autoriser d'autres utilisateurs à utiliser cette connexion. Aussi, juste au cas où, je vous conseille de cocher la case Ne pas vous connecter maintenant. Parce que nous configurerons les paramètres VPN manuellement.

Notre connexion a été créée avec succès. Vous devez maintenant le configurer. Accédez à la section Modification des paramètres de l'adaptateur depuis la fenêtre Centre de réseau et partage.

Là, nous recherchons notre connexion VPN et utilisons RMB pour accéder à l'élément de menu Propriétés. Sur l'onglet Sécurité Nous sélectionnons PPTP comme type de VPN, en fait c'est tout. Il n'y a plus rien à configurer côté client utilisant le protocole PPTP.

De nombreux utilisateurs ont probablement entendu parler du terme « connexion PPTP ». Ce que c’est, certaines personnes ne peuvent même pas l’imaginer. Cependant, si nous décrivons les principes d'établissement d'une connexion basée sur ce protocole dans un langage simple, ils ne sont pas du tout difficiles à comprendre.

Connexion PPTP : qu'est-ce que c'est ?

Une connexion de ce type est construite sur la base d'un protocole du même nom dont l'abréviation du nom vient du protocole anglais de tunneling point à point, que l'on peut traduire littéralement par « tunnel point à point ». protocole." En d’autres termes, il s’agit d’une connexion entre deux abonnés via la transmission de paquets de données cryptés sur des réseaux TCP/IP non sécurisés.

Le type de connexion PPTP vous permet de convertir les trames dites PPP en paquets IP standard, qui sont transmis par exemple via Internet. Et bien que l'on pense que le protocole PPTP est inférieur en termes de niveau de sécurité à certaines autres options comme IPSec, il est aujourd'hui assez répandu, car, en fait, l'utilisateur a affaire à l'un des types de connexions VPN (connexion sans fil).

Connexion PPTP : à quoi ça sert ?

Le champ d'application de ce protocole est très étendu. Tout d'abord, ce type de connexion entre deux utilisateurs permet non seulement de protéger les informations transmises, mais aussi d'économiser considérablement sur les appels longue distance.

De plus, ce protocole est très souvent indispensable pour assurer la communication entre deux réseaux locaux précisément en transmettant des paquets sur Internet via une ligne sécurisée (tunnel) sans utiliser de connexion directe entre eux. Autrement dit, les deux réseaux locaux n’ont pas de contact direct et utilisent le tunnel comme intermédiaire.

D'un autre côté, le tunneling basé sur PPTP peut également être utilisé pour créer une connexion client-serveur, où le terminal utilisateur se connecte au serveur via un canal sécurisé.

Implémentation de PPTP dans différents OS

Maintenant, faisons une petite parenthèse et regardons la connexion PPTP de l'autre côté. Ce que c'est, depuis le développement du protocole par Microsoft, peu de gens l'ont compris. Et pour la première fois dans une version complète, il a été implémenté par Cisco.

Néanmoins, les spécialistes de Microsoft ne sont pas en reste. À partir de Windows 95 OSR2, la possibilité de créer une connexion basée sur PPTP est apparue dans les produits logiciels ultérieurs, même avec les outils intégrés pour configurer un serveur PPTP. Ci-dessous, à titre d'exemple, nous considérerons la connexion PPTP de Windows 7, d'autant plus que ce système reste aujourd'hui le plus populaire parmi la plupart des utilisateurs.

Jusqu'à récemment, les systèmes Linux ne prenaient pas entièrement en charge cette technologie. Il n'est apparu que dans la modification 2.6.13 et a été officiellement annoncé dans la version 2.6.14 du noyau.

Les systèmes FreeBSD et Mac OS X sont livrés avec des clients PPTP intégrés. Les PDA Palm prenant en charge les connexions sans fil Wi-Fi sont équipés d'un client Mergic.

Conditions initiales pour une connexion correcte

L’utilisation du tunneling est assez spécifique. La mise en place d'une connexion PPTP nécessite l'utilisation du port TCP 1723 et, sans faute, du protocole IP GRE portant le numéro 47.

Il s'ensuit que le paramètre, le cas échéant, ou le pare-feu Windows intégré doit être tel que les paquets IP puissent passer librement et sans restrictions. Cela ne s'applique pas uniquement aux machines des utilisateurs ou aux réseaux locaux. De même, ce transfert gratuit de données tunnelisées devrait être assuré au niveau du fournisseur.

Si NAT est utilisé au stade intermédiaire du transfert de données, le traitement VPN dans ce segment doit être configuré en conséquence.

Principes généraux de fonctionnement et de connexion

Nous avons examiné assez brièvement la connexion PPTP. Ce que c'est, beaucoup le comprennent probablement déjà au moins un peu. Une clarté complète sur la question sera apportée après avoir examiné les principes de base du fonctionnement du protocole et de la communication basée sur celui-ci, ainsi que dans la section où le processus d'installation sera montré étape par étape pour une connexion PPTP GRE.

Ainsi, la connexion entre deux points est établie sur la base d'une session PPP régulière basée sur le protocole GRE (encapsulation). La deuxième connexion directement sur le port TCP est responsable du contrôle et de l'initiation GRE.

Le paquet IPX transmis lui-même est constitué des données elles-mêmes, parfois appelées charge utile, et d'informations de contrôle supplémentaires. Que se passe-t-il lorsqu'un paquet est reçu à l'autre bout de la ligne ? Le programme correspondant à une connexion PPTP, pour ainsi dire, extrait les informations contenues dans l'intégralité du paquet IPX et les envoie pour traitement à l'aide d'outils qui correspondent au propre protocole du système.

De plus, l'un des éléments importants de la transmission tunnel et de la réception des informations de base est la condition obligatoire pour utiliser l'accès à l'aide de la combinaison « login-mot de passe ». Bien sûr, il est possible de pirater les identifiants et les mots de passe au stade de la réception, mais pendant le processus de transmission des informations via un couloir sécurisé (tunnel), c'est impossible.

Sécurité de connexion

Comme déjà mentionné, le tunneling basé sur le protocole PPTP n'est pas sécurisé à tous égards. Cependant, si l'on considère que des outils tels que EAP-TLS, MSCHAP-v2 ou encore MPEE sont utilisés, on peut parler d'un degré de protection assez élevé.

Parfois, pour augmenter le niveau de sécurité, des appels de retour (compositions) peuvent être utilisés, dans lesquels l'expéditeur ou le destinataire confirme la connexion et le transfert d'informations par programme.

Configuration de PPTP à l'aide des outils propres à Windows 7 : paramètres de la carte réseau

La configuration d'une connexion PPTP sur n'importe quel système Windows est assez simple. Comme déjà mentionné, nous prenons comme exemple les « sept ».

Vous devez d’abord vous rendre dans le Centre Réseau et Partage. Cela peut être fait à partir du « Panneau de configuration ». Ou depuis le menu appelé par un clic droit sur l'icône Internet ou connexion réseau.

Sur le côté gauche du menu se trouve une ligne permettant de modifier les paramètres de la carte réseau que vous devez utiliser, puis cliquez avec le bouton droit sur la connexion réseau locale pour ouvrir le menu contextuel et sélectionnez la ligne de propriétés.

Dans une nouvelle fenêtre, utilisez les propriétés du protocole TCP/IPv4. Dans la fenêtre des paramètres, vous devez spécifier les paramètres fournis par le fournisseur lors de la connexion (dans la plupart des cas, l'acquisition automatique des adresses pour les serveurs IP et DNS est définie).

Nous enregistrons les modifications et revenons à la connexion au réseau local, où nous devons vérifier si elle est actuellement active. Pour ce faire, utilisez le clic droit. Si la ligne la plus haute indique « Déconnecter », alors la connexion est active. Sinon, allumez-le.

Créer et configurer les paramètres VPN

L'étape suivante consiste à créer une connexion VPN. Pour cela, dans la section « Centre de contrôle » à droite de la fenêtre, utilisez la ligne pour créer une nouvelle connexion.

Après cela, sélectionnez la connexion à un lieu de travail, puis utilisez une connexion Internet existante.

Ensuite, nous reportons la configuration de la connexion Internet, et dans la fenêtre suivante, nous indiquons l'adresse Internet de l'opérateur VPN et entrons un nom arbitraire (assurez-vous de cocher la case à côté de « Ne vous connectez pas maintenant » en bas) .

Après cela, entrez votre identifiant et votre mot de passe, le cas échéant, dans le contrat de service, et cliquez sur le bouton « Créer ».

Dans la liste des connexions disponibles, sélectionnez celle que vous venez de créer et dans la nouvelle fenêtre cliquez sur le bouton Propriétés. Ensuite, vous devez agir avec une extrême prudence. Sur l'onglet sécurité, il est obligatoire de paramétrer les paramètres suivants :

Type de VPN : automatique ;
cryptage des données : facultatif ;
Autorisations de protocole : CHAP et CHAP version 2.

Nous confirmons les modifications et accédons à la fenêtre de configuration de la connexion, où nous appuyons sur le bouton de connexion. Si les paramètres sont correctement définis, vous serez connecté à Internet.

Dois-je utiliser des utilitaires tiers ?

Les utilisateurs réagissent différemment à la question de l'installation de serveurs ou de clients PPTP supplémentaires, mais la plupart d'entre eux conviennent que la configuration et l'utilisation du module Windows intégré sont de loin préférables en termes de simplicité.

Vous pouvez, bien sûr, installer quelque chose comme pfSense, qui est un package pare-feu-routeur, mais son client natif Multilink PPP Daemon rencontre de nombreux problèmes lors de l'utilisation de serveurs Windows basés sur PPTP en termes de répartition de l'utilisation du protocole d'authentification entre le client et le client. serveur, bien qu'aucun problème de ce type n'ait été constaté sur les terminaux des utilisateurs domestiques. Cet utilitaire, comme tout autre, est beaucoup plus difficile à configurer, et sans connaissances particulières, il n'est pas possible de spécifier les paramètres corrects ou de corriger « l'effondrement » constant de l'adresse IP de l'utilisateur.

Vous pouvez essayer d'autres utilitaires client ou serveur conçus pour établir une connexion PPTP, mais à quoi bon charger le système avec des programmes inutiles alors que chaque système d'exploitation Windows possède ses propres outils ? De plus, certains programmes sont non seulement difficiles à configurer, mais peuvent également provoquer des conflits au niveau logiciel et physique. Il vaut donc mieux se limiter à ce que l'on a.

Au lieu d'une postface

C'est en fait tout ce qui concerne le protocole PPTP, ainsi que la création, la configuration et l'utilisation d'une connexion tunnel basée sur celui-ci. Quant à son utilisation, elle n’est pas justifiée pour l’utilisateur lambda. Il existe simplement des doutes légitimes quant à la nécessité d’un canal de communication sécurisé. Si vous avez vraiment besoin de protéger votre IP, il est préférable d'utiliser des serveurs proxy anonymes sur Internet ou des soi-disant anonymiseurs.

Mais pour assurer l'interaction entre les réseaux locaux d'entreprises commerciales ou de toute autre structure, l'installation d'une connexion PPTP peut être la solution la plus simple. Et même si une telle connexion ne garantit pas une sécurité à 100 %, son utilisation relève néanmoins du bon sens.

Après avoir examiné les questions théoriques dans les parties précédentes, passons à la mise en œuvre pratique. Aujourd'hui, nous allons examiner la création d'un serveur VPN PPTP sur la plate-forme Ubuntu Server. Ce matériel est destiné aux lecteurs qui ont des compétences pour travailler avec Linux, nous ne serons donc pas distraits par les choses que nous avons décrites dans d'autres articles, comme la configuration d'un réseau, etc. Si vous rencontrez des difficultés, étudiez d’abord nos autres supports.

Nous commencerons notre connaissance pratique du VPN avec PPTP, car c'est le plus simple à mettre en œuvre. Cependant, sachez qu'il s'agit d'un protocole faiblement sécurisé et qu'il ne doit pas être utilisé pour accéder à des données critiques.

Regardons le schéma que nous avons créé dans notre laboratoire d'essais pour une connaissance pratique de cette technologie :

Nous disposons d'un réseau local 10.0.0.0/24 avec un serveur de terminaux 10.0.0.2 et 10.0.0.1, qui servira de serveur VPN ; nous avons réservé le réseau 10.0.1.0/24 au VPN. L'interface externe du serveur possède une adresse IP dédiée conditionnelle X.X.X.X. Notre objectif est de fournir aux clients distants un accès au serveur de terminaux et aux ressources partagées sur celui-ci.

Configuration d'un serveur PPTP

Installons le package pptpd qui implémente la fonctionnalité VPN PPTP :

Sudo apt-get install pptpd

Ouvrons maintenant le fichier /etc/pptpd.conf et définissez les paramètres de base du serveur VPN. Allons jusqu'à la toute fin du fichier, où nous indiquons l'adresse du serveur dans le réseau VPN :

Localip 10.0.1.1

Et la plage d'adresses à délivrer aux clients :

IP distant 10.0.1.200-250

Les adresses doivent être attribuées au moins aux connexions simultanées possibles, de préférence avec une petite marge, car il est impossible de les augmenter sans redémarrer pptpd. On retrouve et décommente également la ligne :

Bcrelay eth1

Cela permettra aux clients VPN de transmettre des paquets de diffusion sur le réseau interne.

Vous pouvez également utiliser les options écouter Et vitesse, le premier permet de préciser l'adresse IP de l'interface locale d'écoute des connexions PPTP entrantes, le second permet de préciser la vitesse des connexions VPN en bps. Par exemple, permettons au serveur d'accepter les connexions PPTP uniquement depuis l'interface externe :

Écoutez X.X.X.X

Des paramètres plus subtils sont dans le fichier /etc/ppp/pptpd-options. Les paramètres par défaut répondent assez bien à nos exigences, mais examinons brièvement certains d'entre eux afin que vous ayez une idée de leur objectif.

Section #Chiffrement est responsable du cryptage et de l’authentification des données. Ces options interdisent l'utilisation de protocoles PAP, CHAP et MS-CHAP obsolètes et non sécurisés :

Refuser-Pap
refuser-chap
refuser-mschap

Exiger-mschap-v2
exiger-mppe-128

Section suivante #Réseau et Routage, ici vous devriez faire attention à l'option ms-dns, qui vous permet d'utiliser un serveur DNS sur votre réseau interne. Cela peut être utile si le réseau a une structure de domaines ou s'il dispose d'un serveur DNS qui contient les noms de tous les PC du réseau, ce qui permet d'accéder aux ordinateurs par leurs noms, et pas seulement par IP. Dans notre cas, cette option est inutile et commentée. De la même manière, vous pouvez définir l'adresse du serveur WINS à l'aide de l'option ms-gagne.

Il y a aussi une option ici proxyarp, y compris, comme vous pouvez le deviner d'après le nom, la prise en charge du serveur Proxy ARP.

Dans la section #Divers contient une option verrouillage, ce qui limite le client à une seule connexion.

Ivanov * 123 *
Petrov * 456 10.0.1.201

La première entrée permet à l'utilisateur ivanov de se connecter au serveur avec le mot de passe 123 et lui attribue une adresse IP arbitraire, la seconde crée l'utilisateur petrov avec le mot de passe 456, qui se verra attribuer une adresse permanente 10.0.1.201 lors de la connexion.

Redémarrage pptpd:

Sudo /etc/init.d/pptpd redémarrage

Note importante! Si pptpd ne veut pas redémarrer, se fige au démarrage, mais /var/log/syslog ajouter une ligne longue ligne du fichier de configuration ignorée assurez-vous de l'ajouter à la fin du fichier /etc/pptpd.conf saut de ligne.

Notre serveur est prêt à fonctionner.

Configuration des PC clients

En général, il suffit de configurer une connexion VPN avec les options par défaut. Cependant, nous vous recommandons de spécifier explicitement le type de connexion et de désactiver les protocoles de chiffrement inutiles.

Ensuite, en fonction de la structure du réseau, vous devez spécifier des routes statiques et la passerelle par défaut. Ces questions ont été abordées en détail dans les parties précédentes.

Nous établissons une connexion VPN et essayons de pinger n'importe quel PC du réseau local, nous avons accédé au serveur de terminaux sans aucune difficulté :

Maintenant, un autre ajout important. Dans la plupart des cas, l'accès aux ordinateurs du réseau local ne sera possible que par adresses IP, c'est-à-dire le chemin \\10.0.0.2 fonctionnera, mais pas \\SERVER. Cela peut être gênant et inhabituel pour les utilisateurs. Il existe plusieurs façons de résoudre ce problème.

Si le réseau local a une structure de domaine, il suffit de spécifier le serveur DNS du contrôleur de domaine comme serveur DNS pour la connexion VPN. Utilisez l'option ms-dns V /etc/ppp/pptpd-options Les données du serveur et des paramètres seront reçues automatiquement par le client.

S'il n'y a pas de serveur DNS sur le réseau local, vous pouvez créer et utiliser un serveur WINS ; les informations le concernant peuvent également être automatiquement transmises aux clients à l'aide de l'option ms-gagne. Et enfin, s'il y a peu de clients distants, utilisez les fichiers sur les PC clients hôtes(C:\Windows\System32\drivers\etc\hosts), où vous devez ajouter des lignes comme.

Aujourd'hui, nous allons le mettre en place.

Les actions que nous allons effectuer aujourd'hui pour configurer VPN sur un serveur exécutant Windows Server 2008R2, peut également être appliqué à Windows Serveur 2003, même si cela semble différent à certains endroits, la logique d’action est très similaire.

Nous devons d’abord accroître le rôle.

Installer un rôle

DANS Gestionnaire de serveur aller à Rôles - Ajouter des rôles .

Sélectionnez dans la liste

Une fenêtre d'information s'ouvrira où vous pourrez consulter des informations sur Service de politique de réseau et d’accès, puis clique " Plus loin».

Sélectionnez dans la liste « Services de routage et d'accès à distance » et tous les sous-éléments imbriqués, cliquez sur Plus loin .

Toutes les données nécessaires ont été collectées, cliquez sur le bouton "Installer" .

Le rôle a été installé avec succès, cliquez sur le bouton "Fermer"

Après avoir installé le rôle, vous devez le configurer, c'est ce que nous allons faire.

Mise en place d'un rôle « Services de routage et d'accès à distance »

Allez dans le gestionnaire de serveur, développez la branche "Les rôles", choisissez un rôle « Politique réseau et services d'accès », développez, faites un clic droit sur "Routage et accès à distance" et choisissez « Configurer et activer le routage et l'accès à distance », définissez les paramètres suivants :

Une fenêtre s'ouvrira « Assistant d'installation du serveur de routage et d'accès distant » Après la lecture, appuyez sur le bouton "Plus loin"

Dans la fenêtre "Configuration" sélectionnez l'élément " Configuration spéciale » presse "Plus loin"

Dans la fenêtre " Configuration personnalisable » choisir « Accès à un réseau privé virtuel (VPN) » presse "Plus loin"

Dans la fenêtre suivante, cliquez "Prêt"

Il vous sera demandé de démarrer le service, ce que nous ferons en cliquant sur le bouton "Démarrer le service"

Eh bien, maintenant nous avons tout prêt pour passer directement à la configuration VPN PPTP sur un serveur exécutant Windows Server 2008R2.

Paramètres VPN PPTP sur un serveur exécutant Windows Server 2008R2.

Dans le cas où vous avez déjà installé le rôle « Politique de réseau et services d'accès" assurez-vous que vous disposez des paramètres suivants :

Ouverture Gestionnaire de serveur - Les rôles - Routage et accès à distance, faites un clic droit sur le rôle et sélectionnez Propriétés, sur l'onglet Sont communs vérifie que la case est cochée Routeur IPv4, l'option " réseau local et appel à la demande”, et Serveur d'accès à distance IPv4:

Maintenant nous devons vérifier les paramètres Sécurité de la connexion. Pour cela, rendez-vous dans l'onglet Sécurité et vérifiez les paramètres pour Méthodes d'authentification, les cases suivantes doivent être cochées Protocole PAE Et Vérification cryptée (Microsoft version 2, MS-CHAP v2):

Ensuite, allez dans l'onglet IPv4, nous y vérifions quelle interface acceptera les connexions VPN et le pool d'adresses pour émettre des clients VPN ( Réglez l'interface sur Autoriser RAS à sélectionner l'adaptateur ):

Après avoir cliqué sur OK, le service sera redémarré et le rôle de serveur VPN sera ajouté. Vous avez maintenant un nouvel élément appelé Ports . Nous devons maintenant désactiver les services que nous ne prévoyons pas d'utiliser et configurer PPTP. Cliquez sur l'article Ports- faites un clic droit et sélectionnez propriétés. Dans la fenêtre qui s'ouvre, sélectionnez Miniport WAN (PPTP) et appuyez sur régler au bas du formulaire. Configurez tout comme dans la capture d'écran ci-dessous :

Le nombre maximum de ports correspond au nombre de clients pouvant se connecter à vous. Même si le pool d'adresses est supérieur à cette valeur, le serveur rejettera les connexions supérieures à ce nombre..

L'étape suivante consiste à configurer les autorisations des utilisateurs. Allons à "Gestionnaire de serveur - Configuration - Utilisateurs et groupes locaux - Utilisateurs", Sélectionnez l'utilisateur que vous souhaitez autoriser à se connecter à ce serveur en utilisant VPN et faites un clic droit sur l'utilisateur - Propriétés. Sur l'onglet Les appels entrants - Droits d'accès au réseau- ensemble Permettre l'accès. (Si votre serveur exécute Active Directory, les paramètres doivent être saisis dans le composant logiciel enfichable Active Directory ):

Pour un fonctionnement normal du serveur VPN, les ports suivants doivent être ouverts :

Pour PPTP : 1723 (TCP) ;
Pour L2TP : 1701 (TCP) et 500 (UDP) ;
Pour SSTP : 443 (TCP).

Ceci termine la configuration. Vous pouvez créer une connexion et essayer de vous connecter. Pour afficher les clients actuellement connectés, utilisez le composant logiciel enfichable Routage et accès distant - Clients d'accès à distance. En outre, pour la surveillance et les diagnostics, utilisez le journal des événements de stratégie réseau et de services d'accès.

Nous vous rappelons que la connexion via Les VPN PPTP ne sont pas les plus sécurisés, puisque l'autorisation s'effectue à l'aide du couple Login - Mot de passe. Il est préférable de configurer pour un fonctionnement plus sûr L2TP connexion à l'aide d'une clé pré-partagée, ce qui augmentera considérablement la sécurité VPN connexions et utilisation IPSec.