Institut Suprieur des Etudes Technologiques en Communications

TravauxPratiques
VPN

LicenceAppliqueenTlcommunications Spcialit:SR Niveau:3meanne

20112012

TP2: CONFIGURATION VPN PPTP & L2TP SOUS WINDOWS

INTRODUCTION AUX PROTOCOLES PPTP/L2TP

1. PPP (Point to Point Protocol)

PPP (Point to Point Protocol) a t dvelopp car il y avait un besoin pour une norme Internet permettant dencapsuler et denvoyer des datagrammes via des connexions srie point--point. PPP est employ gnralement entre un client d'accs distance et un serveur d'accs rseau (NAS). PPP supporte la ngociation de la compression et du cryptage avec le protocole LCP (Link Control Protocol). Diffrentes phases dune connexion PPP La connexion PPP passe par plusieurs phases : - Une phase dite de liaison morte - Une phase dtablissement de liaison, ds que la couche physique est prte (assur par le protocole LCP, Link Control Protocol ) - Une phase dauthentification facultative (protocoles PAP, CHAP, EAP) - Une phase protocole rseau (assure par le protocole NCP, NetWork Control Protocol) - Une fois, la phase protocole rseau effectue, le transfert de donnes est possible.

2. PPTP (Point-to-point tunneling protocol)

PPTP est un protocole mis au point par Microsoft qui utilise une connexion PPP travers un rseau IP et qui tablit un tunnel crant ainsi un rseau virtuel priv ou VPN. PPTP est un protocole de niveau 2 qui assure le cryptage et la compression des donnes. Son intgration dans les systmes dexploitation Windows en fait un protocole trs employ. Lauthentification est prise en charge par le protocole PPP et peut donc tre du type PAP, CHAP ou EAP. Le protocole PPTP noffrant pas de services de chiffrement, des trames PPP chiffres par MPPE peuvent tre encapsules par PPTP. Les cls de chiffrement sont dans ce cas gnres par un des deux protocoles dauthentification MS-CHAP (version Microsoft du protocole CHAP) ou EAP-TLS. La compression, quant elle, peut tre effectue avec MPPC. Ltablissement du tunnel PPTP se dcompose en une initialisation du client et en une connexion de contrle entre le client et le serveur. Lors de ltablissement de la connexion PPTP, le client doit effectuer dabord une premire connexion PPP sur Internet au travers dun FAI (Fournisseur dAccs Internet). Le tunnel PPTP tabli ensuite avec le point daccs distant permet de monter une connexion PPP entre ce dernier et le client. PPTP fonctionne en configuration client /serveur et fournit donc un tunnel PPP au travers de lInternet.
2

3. L2TP (Layer 2 Tunneling Protocol)

L2TP est issu de la convergence des protocoles PPTP (origine Microsoft) et L2F (origine Cisco). Il permet l'encapsulation des trames PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du tunneling sur Internet. L2TP repose sur deux concepts : les concentrateurs d'accs L2TP (LAC : L2TP Access Concentrator) et les serveurs rseau L2TP (LNS : L2TP Network Server). L2TP n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi L'IETF prconise l'utilisation conjointe d'IPSec et L2TP.

TP 2.1: CONFIGURATION VPN PPTP SOUS WINDOWS XP

I.

Objectif du TP

Ce TP vise configurer une connexion VPN en considrant le protocole de tunnelisaion niveau 2 PPTP (avec et sans cryptage) en considrant un client et un serveur Windows XP.

II.

Prrequis

Il faut dsactiver la fonctionnalit PARE-FEU dans WINDOWS XP.

III.

Prsentation
Nous allons considrer deux machines client et serveur Windows XP sur le mme rseau LAN.

Partie A.1 : Configuration dune connexion VPN PPTP (sans cryptage) sous Windows XP IV. Travail demand:

Installation du serveur VPN PPTP sous Windows XP

Nous allons maintenant configurer une machine sous Windows XP Pro de notre rseau local pour accepter des connexions VPN. Voici la topologie d'tude: 1. Afin de permettre cette machine de grer des rseaux privs virtuels, il suffit d'ouvrir l'lmentConnexions rseau (Network Connection) dans le Panneau de configuration.
4

Dans la fentre ainsi ouverte, double-cliquez sur Assistant de nouvelle connexion (New connection wizard) :

2. Appuyez ensuite sur la touche Suivant :

3. Parmi les trois choix proposs dans la fentre, slectionnez "Configurer une connexion avance"

4. Dans l'cran suivant slectionnez "Accepter les connexions entrantes" :

5. L'cran suivant prsente des priphriques slectionner pour une connexion directe. Il se peut qu'aucun priphrique ne soit propos. Sauf besoin particulier vous n'aurez pas besoin d'en slectionner :

6. Dans la fentre suivante slectionnez "Autoriser les connexions prives virtuelles" :

7. Une liste des utilisateurs du systme apparat, il suffit de slectionner ou ajouter les utilisateurs autoriss se connecter au serveur VPN :

8. Slectionnez ensuite la liste des protocoles autoriss via le VPN :

9. Un clic sur le bouton Proprits associ au protocole TCP/IP permet de dfinir les adresses IP que le serveur affecte au client pour toute la dure de la session. Si le rseau local sur lequel se trouve le serveur ne possde pas d'adressage spcifique vous pouvez laissez le serveur dterminer automatiquement une adresse IP. Par contre si le rseau possde un plan d'adressage spcifique vous pouvez dfinir la plage d'adresse affecter :

10. La configuration du serveur VPN est dsormais acheve, vous pouvez cliquer sur le bouton Terminer :

Installation du client VPN PPTP sous Windows XP

1. Afin de permettre un client de se connecter votre serveur VPN, il est ncessaire de dfinir tous les paramtres de connexion (adresse du serveur, protocoles utiliser, ...). L'assistant de nouvelle connexion disponible partir de l'icne Connexions rseau du panneau de configuration permet cette configuration :
9

2. Appuyez ensuite sur la touche Suivant :

10

3. Parmi les trois choix proposs dans la fentre, slectionnez "Connexion au rseau d'entreprise" :

4. Dans l'cran suivant slectionnez "Connexion rseau priv virtuel" :

11

5. Entrez ensuite un nom dcrivant au mieux le nom du rseau priv virtuel auquel vous souhaitez vous connecter :

6. Afin d'accder au serveur d'accs distant (serveur VPN ou hte) il est indispensable de spcifier son adresse (adresse IP ou nom d'hte).

12

7. Une fois la dfinition de la connexion VPN termine, une fentre de connexion demandant un nom d'utilisateur (login) et un mot de passe s'ouvre vous :

8. Avant de se connecter il est ncessaire de procder quelques rglages en cliquant sur le boutonProprits en bas de fentre. Une fentre comportant un certain nombre d'onglets permet ainsi de paramtrer plus finement la connexion. Dans l'onglet Gestion de rseau slectionnez le protocole PPTPdans la liste droulante. Puis liquez sur Paramtres et dchocher le paramtre ngocier la compression logicielle.

13

9. Slectionnez le protocole Internet (TCP/IP) et cliquez sur Proprits : La fentre s'affichant permet de dfinir l'adresse IP que la machine cliente aura lors de la connexion au serveur d'accs distant. Pour ce faire il suffit de slectionner l'option "Utiliser ladresse IP suivante et saisir votre adresse IP et Appuyer sur OK .

14

10. Dans l'onglet Scurit, slectionnez Avances (paramtres personnaliss) et cliquez sur Paramtres:

Dans la liste droulante, slectionnez Aucun cryptage autoris. Et Slectionnez les protocoles dauthentification MS-CHAP et MS-CHAP v2.

15

11. Faire un ping et capturer les paquets changs entre le client et le serveur PPTP et enregister la capture dans un fichier.

Partie A.2: Configuration dune connexion VPN PPTP (avec cryptage) sous Windows XP

1. Ouvrir les proprits de la connexion client PPTP onglet scurit. Puis, dans la liste droulante, slectionnez Exiger le cryptage. Et Slectionnez les protocoles dauthentification MS-CHAP et MS-CHAP v2.

2. Faire un ping et capturer les paquets changs entre le client et le serveur PPTP et enregister la capture dans un fichier.

16

TP 2.2: CONFIGURATION VPN L2TP SOUS WINDOWS XP

I. Objectif du TP
Ce TP vise configurer une connexion VPN en considrant le protocole de tunnelisaion niveau 2 L2TP (avec et sans cryptage) en considrant un client et un serveur Windows XP.

II. Prrequis
Il faut dsactiver la fonctionnalit PARE-FEU dans WINDOWS XP.

III. Prsentation
La mme maquette que le TP2.1 sera considre.

Partie B.1 : Configuration dune connexion VPN L2TP (avec cryptage) sous Windows XP IV. Travail demand:
Installation du serveur VPN L2TP sous Windows XP
1. On va considrer le meme serveur VPN qui a t cre dans la partie A pour les connexions entrantes. 2. Pour mettre en oeuvre la mthode d'authentification par cl pr-partage avec une connexion L2TP/IPSec :

Vous devez ajouter la valeur de Registre ProhibitIpSec au serveur VPN :

Quand ProhibitIpSec est dfini avec la valeur 1 dans le Registre, le serveur VPN ne cre pas le filtre automatique qui utilise l'authentification par une autorit de certification. Il recherche une stratgie IPSec locale ou Active Directory. Pour ajouter la valeur de Registre ProhibitIpSec au serveur VPN, procdez comme suit : 1. Cliquez sur Dmarrer, sur Excuter, tapez regedit, puis cliquez sur OK. 2. Recherchez la sous-cl de Registre suivante, puis cliquez dessus :

17

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 3. Dans le menu Edition, cliquez sur Ajouter une valeur. 4. Dans la zone Nom de la valeur, tapez ProhibitIpSec. 5. Dans la liste Type de donnes, cliquez sur REG_DWORD, puis cliquez sur OK. 6. Dans la zone Donnes, tapez 1, puis cliquez sur OK. 7. Quittez l'diteur du Registre et redmarrez votre ordinateur.

18

Avertissement: Toute utilisation incorrecte de l'diteur du Registre peut gnrer des problmes srieux, pouvant vous obliger rinstaller votre systme d'exploitation.

Vous devez configurer manuellement une stratgie IPSec pour qu'une connexion L2TP/IPSec puisse s'tablir entre le client et le serveur.

1. Suivez le TP1 pour crer une nouvelle stratgie IPSec avec la configuration suivante : Adresse source : toute adresse IP Adresse destination : mon adresse IP
19

Paramtres de scurit : ESP (SHA1, 3DES) Mthode dauthentification : Cl partage (123456789)

Sassurer que le service IPSec est dmarr. Pour cela, procdez comme suit : Cliquez sur Dmarrer Paramtres Panneau de configuration Performances et Maintenances Outils dadministration Services.

Installation du client VPN L2TP sous Windows XP

1. On va considrer le meme client VPN qui a t cre dans la partie A 2. Accder aux proprits de la connexion cliente et modifier les points suivants : - Dans longlet Gestion de rseau, slectionner le type de rseau VPN VPN L2TP IPSec .

20

- Dans longlet Scurit, cliquer sur paramtres IPSec et saisir la cl partage IPSec (123456789)

21

- Dans longlet Scurit, cliquer sur paramtres et slectionner dans la liste cryptage des donnes Exiger le cryptage :

3. Rpter le point 2 effectu dans la partie configuration du serveur L2TP. 4. Faire un ping et capturer les paquets changs entre le client et le serveur L2TP et enregister la capture dans un fichier.

Partie B.2 : Configuration dune connexion VPN L2TP (sans cryptage) sous Windows XP V. Travail demand:
Installation du serveur VPN L2TP sous Windows XP
1. Supprimer lattribution de la politique de scurit IPSec :

22

2. Dsactiver le service IPSec : Cliquez sur Dmarrer Paramtres Panneau de configuration Performances et Maintenances Outils dadministration Services.

Installation du client VPN L2TP sous Windows XP

1. Supprimer lattribution de la politique de scurit IPSec :

2. Dsactiver le service IPSec : Cliquez sur Dmarrer Paramtres Panneau de configuration Performances et Maintenances Outils dadministration Services.

23

3. Cliquer sur proprits de la connexion. Dans longlet Scurit, cliquer sur paramtres et slectionner dans la liste cryptage des donnes Aucun cryptage autoris :

5. Faire un ping et capturer les paquets changs entre le client et le serveur L2TP et enregister la capture dans un fichier.

NB : A la fin du TP, toutes les connexions cres doivent tre supprimes.

24

Compte rendu:
1. Citer quelques protocoles dauthentification dutilisateur pris en charge par PPP? 2. Quelle est lalgorithme de cryptage utilis par le protocole PPTP? 3. Est ce que le protocole L2TP prend en charge le cryptage des donnes? Expliquer. 4. Quels sont les numros de ports utiliss par le protocole PPTP? 5. Quels sont les numros de ports utiliss par le protocole L2TP? 6. Expliquer les structures des trames obtenues pour les protocoles PPTP et L2TP.

25