Table des matières
Dans ce tutoriel, vous trouverez des instructions étape par étape pour configurer un serveur d'accès VPN L2TP sur Windows Server 2016. Le réseau privé virtuel (VPN) vous permet de vous connecter en toute sécurité à votre réseau privé à partir d'emplacements Internet et vous protège contre les attaques Internet et l'interception des données.Pour installer et configurer l'accès VPN L2TP/IPSec sur le serveur 2016, il s'agit d'un processus en plusieurs étapes, car il fautdoivent configurer plusieurs paramètres du côté du serveur VPN afin de réussir le fonctionnement du VPN.
Comment installer un serveur VPN L2TP/IPSec 2016 avec une clé préshared personnalisée.
Dans ce guide pas à pas, nous passons en revue la configuration du serveur VPN L2TP 2016 en utilisant le protocole de tunneling de couche deux (L2TP/IPSEC) avec une clé pré-partagée personnalisée, pour une connexion VPN plus sécurisée.
Étape 1 : Installer le rôle Routage et accès à distance sur le serveur 2016.Étape 2 : Configurer et activer le rôle Routage et accès à distance sur le serveur 2016.Étape 3 : Configurer la clé pré-partagée pour les connexions L2TP/IKEv2.Étape 4 : Ouvrir les ports requis dans le pare-feu Windows.Étape 5 : Configurer le serveur VPN pour autoriser l'accès au réseau.Étape 6 : Activer les connexions L2TP/IPsec derrière le NAT.Étape 7 : Vérifier que les ports requis sont ouverts.Les services L2TP sont en cours d'exécution.8. Sélectionnez les utilisateurs VPN.9. Configurez le pare-feu du FAI pour autoriser l'accès au VPN L2TP.10. Configurez la connexion VPN L2TP/IPSec sur les clients.1. Comment ajouter le rôle d'accès à distance (accès VPN) sur un serveur 2016.
La première étape pour configurer un Windows Server 2016, en tant que serveur VPN, est d'installer l'application Accès à distance rôle {Accès direct et services VPN (RAS)} à votre serveur 2016. *
Info : Pour cet exemple, nous allons configurer le VPN sur une machine Windows Server 2016, nommée "Srv1" et avec l'adresse IP "192.168.1.8".
1. Pour installer le rôle VPN sur Windows Server 2016, ouvrez le 'Gestionnaire de serveur' et cliquez sur Ajouter des rôles et des fonctions .
2. Dans le premier écran de l'assistant "Ajouter des rôles et des fonctions", laissez l'option "Ajouter des rôles et des fonctions" dans le menu déroulant. Installation basée sur des rôles ou des fonctionnalités et cliquez sur Suivant.
3. Sur l'écran suivant, laissez l'option par défaut " Sélectionner le serveur dans le pool de serveurs "et cliquez sur Suivant.
4. Sélectionnez ensuite le Accès à distance et cliquez sur Suivant .
5. Sur l'écran "Caractéristiques", laissez les paramètres par défaut et cliquez sur Suivant .
6. Dans l'écran d'information "Accès à distance", cliquez sur Suivant .
7. Dans la rubrique "Services à distance", choisissez le Accès direct et VPN (RAS) services de rôle, puis cliquez sur Suivant .
8. Cliquez ensuite sur Ajouter des fonctionnalités.
9. Cliquez sur Suivant encore.
10. Laissez les paramètres par défaut et cliquez sur Suivant (deux fois) dans les écrans "Rôle du serveur Web (IIS)" et "Services de rôle".
11. Dans l'écran "Confirmation", sélectionnez Redémarrer automatiquement le serveur de destination (si nécessaire) et cliquez sur Installez.
12. Sur l'écran final, assurez-vous que l'installation du rôle d'accès à distance est réussie et que le rôle d'accès à distance a été installé. Fermer le magicien.
13. Puis (à partir du Gestionnaire de serveur) Outils cliquez sur Gestion de l'accès à distance.
14. Sélectionnez Accès direct et VPN à gauche, puis cliquez sur Exécutez l'assistant de mise en route.
15. Cliquez ensuite sur Déployer le VPN seulement.
16. Continuer à étape 2 ci-dessous pour configurer le routage et l'accès à distance.
Étape 2. Comment configurer et activer le routage et l'accès à distance sur Server 2016.
L'étape suivante consiste à activer et à configurer l'accès VPN sur notre serveur 2016. Pour ce faire :
1. Cliquez avec le bouton droit de la souris sur le nom du serveur et sélectionnez Configurer et activer le routage et l'accès à distance. *
Remarque : Vous pouvez également lancer les paramètres de routage et d'accès à distance, en utilisant la méthode suivante :
1) Ouvrez le Gestionnaire de serveur et, à partir de Outils sélectionnez Gestion informatique.
2. étendre Services et applications
3. clic droit sur Routage et accès à distance et sélectionnez Configurer et activer le routage et l'accès à distance.
2. Cliquez sur Suivant à "Assistant de configuration du serveur de routage et d'accès à distance".
3. Choisissez Configuration personnalisée et cliquez sur Suivant.
4. Sélectionnez Accès VPN seulement dans ce cas et cliquez Suivant.
5. Cliquez enfin sur Finition .
6. Lorsque vous êtes invité à démarrer le service, cliquez sur Début .
7. Vous verrez maintenant une flèche verte à côté du nom de votre serveur (par exemple "Svr1" dans cet exemple).
Étape 3. Comment activer la politique IPsec personnalisée pour les connexions L2TP/IKEv2.
Il est maintenant temps d'autoriser une politique IPsec personnalisée sur le serveur de routage et d'accès à distance et de spécifier la clé pré-partagée personnalisée.
1. Sur Routage et accès à distance cliquez avec le bouton droit de la souris sur le nom de votre serveur et sélectionnez Propriétés.
2. Sur Sécurité cliquez sur l'onglet Autoriser la politique IPsec personnalisée pour la connexion L2TP/IKEv2 puis tapez une clé pré-partagée (pour cet exemple, je tape : "TestVPN@1234").
3. Cliquez ensuite sur le bouton Méthodes d'authentification (ci-dessus) et assurez-vous que le bouton Authentification cryptée Microsoft version 2 (MS-CHAP v2) est sélectionné, puis cliquez sur OK.
4. Sélectionnez maintenant le IPv4 sélectionnez Pool d'adresses statiques et cliquez sur Ajouter .
5. Tapez ici la plage d'adresses IP qui sera attribuée aux clients connectés au VPN et cliquez sur OK (deux fois) pour fermer toutes les fenêtres.
Par exemple, pour cet exemple, nous allons utiliser la plage d'adresses IP : 192.168.1.200 - 192.168.1.202.
6. Lorsque le message suivant s'affiche : "Pour activer la politique IPsec personnalisée pour les connexions L2TP/IKEv2, vous devez redémarrer Routage et accès à distance", cliquez sur OK .
7. Enfin, faites un clic droit sur votre serveur (par exemple "Svr1") et sélectionnez Toutes les Tâches > Redémarrer.
Étape 4. Ouvrez les ports requis dans le Pare-feu Windows.
1. Aller à Panneau de contrôle > Tous les éléments du panneau de contrôle > Pare-feu Windows .
2. Cliquez sur Paramètres avancés à gauche.
3. À gauche, sélectionnez le Règles d'entrée .
4a. Double-cliquez sur Routage et accès à distance (L2TP-In)
4b. Dans l'onglet "Général", choisissez Activé, Autoriser la connexion et cliquez sur OK.
5. Maintenant, faites un clic droit sur Règles d'entrée à gauche et sélectionnez Nouvelle règle.
6. Sur le premier écran, sélectionnez Port et cliquez sur Suivant.
7. sélectionnez maintenant le UDP et dans le champ "Ports locaux spécifiques", tapez : 50, 500, 4500.
Lorsque vous avez terminé, cliquez sur Suivant.
8. Laissez le paramètre par défaut "Autoriser la connexion" et cliquez sur Suivant .
9. Sur l'écran suivant, cliquez sur Suivant encore.
10. Maintenant, tapez un nom pour la nouvelle règle (par exemple, "Allow L2PT VPN") et cliquez sur Finition .
11. Fermer les paramètres du Pare-feu.
Étape 5 : Comment configurer le serveur de stratégie réseau pour autoriser l'accès au réseau.
Afin de permettre aux utilisateurs du VPN d'accéder au réseau par le biais de la connexion VPN, procédez et modifiez le Network Policy Server comme suit :
1. Cliquez à droite sur Journaux et politiques d'accès à distance et sélectionnez Lancement du NPS
2. Dans l'onglet "Aperçu", sélectionnez les paramètres suivants et cliquez sur OK :
-
- Accorder l'accès : si la demande de connexion correspond à cette politique. Serveur d'accès à distance (VPN-Dial up)
3. Ouvrez maintenant le Connexions à d'autres serveurs d'accès sélectionnez les mêmes paramètres et cliquez sur OK.
-
- Accorder l'accès : si la demande de connexion correspond à cette
serveur d'accès à distance (VPN-Dial).
up)
- Accorder l'accès : si la demande de connexion correspond à cette
4. fermez les paramètres du serveur de politique réseau.
Étape 6. Comment activer les connexions L2TP/IPsec derrière NAT.
Par défaut, les clients Windows modernes (Windows 10, 8, 7 ou Vista) et les systèmes d'exploitation Windows Server 2016, 2012 et 2008 ne prennent pas en charge les connexions L2TP/IPsec si l'ordinateur Windows ou le serveur VPN sont situés derrière un NAT. Pour contourner ce problème, vous devez modifier le registre comme suit, dans le serveur VPN et les clients :
1. Appuyez simultanément sur les touches Windows 
+ R pour ouvrir la boîte de commande d'exécution.
2. Type regedit et appuyez sur Entrez .
3. Dans le volet de gauche, naviguez jusqu'à cette clé :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Cliquez à droite sur PolicyAgent et sélectionnez Nouveau -> DWORD (32 bits) Valeur .
5. Pour le nouveau type de nom de clé : AssumeUDPEncapsulationContextOnSendRule et appuyez sur Entrez .
Remarque : la valeur doit être saisie comme indiqué ci-dessus et sans espace.
6. Double-cliquez sur cette nouvelle clé DWORD et entrez les données de la valeur : 2
7. Fermer Éditeur de registre. *
* Important : Pour éviter les problèmes lors de la connexion à votre serveur VPN à partir d'un ordinateur client Windows (Windows Vista, 7, 8, 10, et 2008 Server), vous devez appliquer cette correction de registre aux clients également.
8. redémarrer la machine.
Étape 7 : vérifiez que les services IKE et IPsec Policy Agent fonctionnent.
Après le redémarrage, allez dans le panneau de configuration des services et assurez-vous que les services suivants sont en place et en cours d'exécution :
1. Appuyez simultanément sur les touches Windows 
+ R pour ouvrir la boîte de commande d'exécution.
2 Dans la boîte de commande d'exécution, tapez : services.msc et appuyez sur Entrez.
3. Assurez-vous que les services suivants sont en cours d'exécution : *
-
- IKE et AuthIP Modules de chiffrement IPsec Agent de politique IPsec
Notes :
Si les services ci-dessus ne sont pas en cours d'exécution, double-cliquez sur chacun d'entre eux et définissez les paramètres suivants Type de démarrage à Automatique Puis cliquez sur OK et redémarrer le serveur.
2. vous devez vous assurer que les services ci-dessus sont également en cours d'exécution sur la machine cliente Windows.
Étape 8. comment sélectionner les utilisateurs qui auront un accès VPN.
Il est maintenant temps de spécifier quels utilisateurs seront en mesure de se connecter au serveur VPN (Dial-IN permissions).
1. Ouvrir Gestionnaire de serveur .
2. De Outils sélectionnez Utilisateurs et ordinateurs d'Active Directory . *
Remarque : si votre serveur n'appartient pas à un domaine, allez à l'adresse suivante Gestion des ordinateurs -> Utilisateurs et groupes locaux .
3. Sélectionnez Utilisateurs et double-cliquez sur l'utilisateur que vous voulez autoriser l'accès au VPN.
4. Sélectionnez le Accès par téléphone et sélectionnez Autoriser l'accès Puis cliquez sur OK .
Étape 9. Comment configurer le pare-feu pour permettre l'accès au VPN L2TP (Port Forwarding).
L'étape suivante consiste à autoriser les connexions VPN dans votre pare-feu.
1. Connectez-vous à l'interface web du routeur.
2. Dans la configuration du routeur, transférer les ports 1701, 50, 500 et 4500 vers l'adresse IP du serveur VPN (voir le manuel de votre routeur pour savoir comment configurer le transfert de port).
- Par exemple, si le serveur VPN a l'adresse IP "192.168.1.8", vous devez transférer tous les ports mentionnés ci-dessus vers cette adresse IP.
Aide supplémentaire :
- Afin de pouvoir se connecter à distance à votre serveur VPN, vous devez connaître l'adresse IP publique du serveur VPN. Pour trouver l'adresse IP publique (à partir du PC du serveur VPN), cliquez sur le lien suivant : http://www.whatismyip.com/ Pour vous assurer que vous pouvez toujours vous connecter à votre serveur VPN, il est préférable d'avoir une adresse IP publique statique.Si vous ne voulez pas payer pour une adresse IP statique, vous pouvez installer un service DNS dynamique gratuit (par ex. no-ip .) du côté de votre routeur (serveur VPN).
Étape 10. Comment configurer la connexion VPN L2TP sur un ordinateur client Windows.
La dernière étape consiste à créer une nouvelle connexion VPN L2TP/IPSec à notre serveur VPN 2016 sur l'ordinateur client, en suivant les instructions ci-dessous :
- Article connexe : Comment configurer une connexion VPN PPTP sur Windows 10.
ATTENTION : Avant de continuer à créer la connexion VPN, appliquez la correction de registre de l'étape 6 ci-dessus, également sur l'ordinateur client.
1. Ouvrez le Centre de réseau et de partage.
2. Cliquez sur Configurer une nouvelle connexion ou un nouveau réseau
3. Sélectionnez Se connecter au lieu de travail et cliquez sur Suivant.
4. Sélectionnez ensuite Utiliser ma connexion Internet (VPN).
5. Sur l'écran suivant, tapez le Adresse IP publique du serveur VPN et le port VPN que vous avez attribué du côté du routeur, puis cliquez sur Créer .
Par exemple, si l'adresse IP externe est : 108.200.135.144, tapez : "108.200.135.144" dans la case "Adresse Internet" et dans la case "Nom de la destination", tapez le nom que vous voulez (par exemple "L2TP-VPN").
6. Tapez le nom d'utilisateur et le mot de passe pour la connexion VPN et cliquez sur Connectez-vous.
7. Si vous installez le VPN sur une machine cliente Windows 7, il essaiera de se connecter. Appuyer sur Skip puis cliquez sur Fermer car vous devez spécifier des paramètres supplémentaires pour la connexion VPN.
8. Dans le centre de réseau et de partage, cliquez sur Modifiez les paramètres de l'adaptateur sur la gauche.
9. Cliquez avec le bouton droit de la souris sur la nouvelle connexion VPN (par exemple, "L2TP-VPN") et sélectionnez Propriétés .
10. Sélectionnez le Sécurité et choisissez Protocole de tunnellisation de couche 2 avec IPsec (L2TP/IPsec) puis cliquez sur Paramètres avancés.
11. Dans "Paramètres avancés", saisissez la clé pré-partagée (par exemple "TestVPN@1234" dans cet exemple) et cliquez sur OK
12. Cliquez ensuite sur Autoriser ces protocoles et sélectionnez le Microsoft CHAP Version 2 (MS-CHAP v2)
13. Sélectionnez ensuite le Mise en réseau Nous allons double-cliquer sur Protocole Internet version 4 (TCP/IPv4) pour ouvrir son Propriétés .
14. Pour Serveur DNS préféré tapez l'adresse IP locale du serveur VPN (par exemple "192.168.1.8" dans cet exemple). *
Remarque : Ce paramètre est facultatif, ne l'appliquez donc que si vous en avez besoin.
15. Cliquez ensuite sur le bouton Avancé et décochez le site Utiliser la passerelle par défaut sur le réseau distant parce que nous voulons séparer la navigation Internet de notre PC de la connexion VPN.
16. Cliquez enfin sur OK de fermer continuellement toutes les fenêtres.
17. Maintenant, double-cliquez sur la nouvelle connexion VPN et cliquez sur Connectez-vous à pour vous connecter à votre lieu de travail.
C'est tout ! Dites-moi si ce guide vous a aidé en laissant un commentaire sur votre expérience. Merci d'aimer et de partager ce guide pour aider les autres.
Andy Davis
Blog d'un administrateur système sur Windows
