Contenu
Présentation
Always On VPN est une technologie VPN qui permet donc de se connecter aux ressources informatique de l’entreprise lorsqu’on se trouve sur un réseau externe à l’entreprise. Always On VPN comme son nom l’indique est un VPN qui peut être configuré pour être toujours actif en maintenant une connexion au ressources internes de manière transparente pour l’utilisateur qu’il soit en interne ou à l’extérieur de l’entreprise. La technologie Always On VPN à remplacé petit à petit la technologie DirectAccess qui était aussi une solution pour se connecter aux ressources de l’entreprise depuis l’extérieur mais qui comportait certaines restrictions qui ont freinées son utilisation comme par exemple le support du protocole IPv6 uniquement pour la communication. Always On VPN fonctionne sous Windows Server 2016 et Windows 10 version 1607 comme client VPN. Avec Windows 10 version 1709, il y’a quelques fonctionnalités qui ont été rajoutées dans Always On VPN comme la possibilité d’utiliser le mode « Device Tunnel » qui permet de pré-authentifier l’utilisateur avant qu’il ouvre sa session contrairement au mode « User Tunnel » qui ouvre une connexion uniquement lorsque l’utilisateur a ouvert sa session.
Architecture
L’architecture d’Always On VPN se compose de plusieurs éléments :
- Serveur RAS : Le serveur RAS (Remote Access Server) est le serveur sur lequel les utilisateurs vont se connecter depuis l’extérieur.
- Serveur NPS : Le serveur NPS (Netwok Policy Server) est le serveur qui fera les authentifications RADIUS des utilisateurs.
- Serveur de certificat : Le serveur de certificat fournira les certificats aux différents serveurs et utilisateurs pour la vérification de l’authentification.
- Active Directory : Le serveur Active Directory contient la bases des utilisateurs qui seront autorisés à se connecter. (Installation d’un Active Directory)
Lorsqu’un utilisateur veux se connecter depuis l’extérieur, il va se connecter en premier sur le serveur RAS. Il va pour cela faire une requête DNS pour connaître l’adresse IP externe du serveur RAS. Le serveur RAS va authentifier l’utilisateur en interrogeant le serveur NPS. Il va pour cela faire une requête RADIUS vers le serveur NPS. Le serveur NPS va à son tour faire une requête dans l’Active Directory pour savoir si l’utilisateur fait partis de ceux qui sont autorisés à se connecter et vérifier le nom d’utilisateur et le mot de passe de la personne. Si tout est bon et que le certificat de l’utilisateur est correct, l’utilisateur obtiendra une IP interne et sera autorisé à accéder aux ressources internes de l’entreprise. Au niveau sécurité, les firewalls doivent être configurés pour laisser passer certains ports pour que la connexion puisse s’effectuer. 
Depuis Internet vers le serveur RAS, il faut autoriser les ports UDP 500 et 4500 qui sont les ports utilisés pour la connexion VPN. Ensuite depuis le serveur RAS vers le serveur NPS il faut autoriser les ports UDP 1812 et 1813 qui sont les ports utilisés pour les communications RADIUS.
Configuration
Nous allons installer et configurer pas-à-pas les différents éléments dont on a besoin pour faire fonctionner Always On VPN.
Création des groupes AD
Pour commencer, nous allons créer plusieurs groupes dans l’Active Directory pour y ranger nos serveurs et les utilisateurs autorisés à ouvrir une session VPN. Ouvrez la console d’administration Active Directory Users and Computers, faites un clic droit sur l’OU dan laquelle vous voulez créer les groupes et sélectionnez New -> Group. 
Nous allons créer trois groupes :
- Un pour les utilisateurs : AlwaysOnVPN_Users
- Un pour le serveur NPS : AlwaysOnVPN_NPS
- Un pour le serveur RAS : AlwaysOnVPN_RAS
Lorsque vous avez crée les groupes, vous allez ranger les utilisateurs et les serveurs dans les différents groupes.
Création des templates des certificats
Ensuite nous allons générer les templates pour les certificats. Pour cela aller dans la console d’administration de votre autorité de certification. Faites un clic droit sur Certificate Template et sélectionnez Manage.
Une nouvelle fenêtre va s’ouvrir avec tous les modèles de certificats.
Template Certificat Utilisateurs
Nous allons pour commencer créer le template pour le certificats des utilisateurs. faite un clic droit sur le modèle Utilisateurs et sélectionnez Duplicate Template
Une nouvelle fenêtre va s’ouvrir. Dans l’onglet General, entrez le nom que vous voulez donnez au template et décochez la case Publish certificate in Active Directory.
Dans l’onglet Compatibility, sélectionnez Windows Server 2016 dans Certification Authority et Windows 10 / Windows Server 2016 dans Certificate recipient.
Si vous avez coché la case Show resulting changes vous aurez une fenêtre qui va s’ouvrir vous indiquant quels sont les fonctionnalités en plus par rapport aux choix d’OS effectués.
Cliquez sur le bouton OK. Ensuite dans l’onglet Request Handling, décochez la case Allow private key to be exported.
Dans l’onglet Cryptography, sélectionnez Key Storage Provider dans Provider Category et RSA dans Algorithm name. En dessous, cochez Microsoft Platform Crypto Provider pour ceux qui possèdent un chipset TPM (Trusted Platform Module) et Microsoft Software Key Storage Provider pour ceux qui n’en n’ont pas.
Finalement dans l’onglet Security, supprimez le groupe Domain Users et ajouter le groupe que l’on a crée juste avant. Dans notre exemple AlwaysOnVPN_Users. Cochez les cases Read / Enroll / Autoenroll.
Dans l’onglet Subject Name, vous pouvez ou non décocher la case Include e-mail name in subject name. 
Cependant si vous laissez cette case activée, assurez vous d’avoir configuré un email dans les propriétés de l’utilisateur dans l’Active Directory.
Quand vous avez tout configuré, cliquez sur le bouton OK.
Template Certificat NPS
Ensuite nous allons créer le template pour le serveur NPS. Faites un clic droit sur Serveur RAS et IAS et sélectionnez Duplicate Template. 
Dans l’onglet General, entrez le nom du template.
Dans l’onglet Compatibility, sélectionnez Windows Server 2016 dans Certification Authority et Windows 10 / Windows Server 2016 dans Certificate recipient. Dans l’onglet Security, supprimez le groupe RAS and IAS Servers et ajouter le groupe que l’on a crée avant. Dans notre exemple Cochez les cases Read / Enroll / Autoenroll.
Cliquez sur le bouton OK.
Template Certificat RAS
Finalement nous allons créer le template pour le serveur RAS. Faites un clic droit sur Serveur RAS et IAS et sélectionnez Duplicate Template. Dans l’onglet General, entrez le nom du template.
Dans l’onglet Extensions, sélectionnez Application Policies et cliquez sur le bouton Edit…
Dans la fenêtre qui s’ouvre, cliquez sur le bouton Add…
Sélectionnez IP security IKE intermediate
Cliquez sur OK.
Vous pouvez voir que la règle à bien été ajoutée. Cliquez sur OK.
On peut voir que les modifications ont été prises en compte. Dans l’onglet Security, supprimez le groupe RAS and IAS Servers et ajouter le groupe que l’on a crée avant. Dans notre exemple AlwaysOnVPN_RAS. Cochez cette fois uniquement les cases Read / Enroll.
Dans l’onglet Subject Name, sélectionnez la case Supply in the request
Vous aurez une fenêtre d’avertissement qui va s’ouvrir. Cliquez sur OK.
Dans l’onglet Compatibility, sélectionnez Windows Server 2016 dans Certification Authority et Windows 10 / Windows Server 2016 dans Certificate recipient. Cliquez finalement sur le bouton OK.
Fermer la fenêtre des templates et retournez sur la console d’administration de l’autorité de certification. Faites un clic droit sur Certificate Template et sélectionnez New -> Certificate Template to Issue
Sélectionnez les trois templates que nous venons de créer et cliquez sur OK.
Création des GPO
Nous allons à présent créer les GPO (Article sur les GPO) qui vont servir à configurer la réinscription automatiques des certificats pour les serveurs et utilisateurs du VPN. Nous allons créer une GPO pour les serveurs et une autre pour les utilisateurs.
GPO Serveurs
Nous allons donc en premier créer la GPO pour les serveurs. Pour cela, ouvrez la console d’administration des GPO « Group Policy Management« . Faites un clic droit sur l’emplacement où vous voulez créer la GPO et sélectionnez Create GPO in this domain, and Link it here… Vous pouvez sélectionner une OU dans laquelle se trouve les serveurs ou alors sélectionnez le domaine à la racine pour affecter cette GPO à tous le domaine.
Une fenêtre va s’ouvrir. Vous devez renseignez le nom que vous voulez donner à la GPO.
Cliquez ensuite sur OK. Vous verrez votre GPO qui à été crée. Faites un clic droit sur votre GPO et sélectionnez Edit…
Dans la fenêtre qui s’ouvre, nous allons configurer le paramètre relatif aux certificats. Allez dans la section Computer Configuration -> Windows Settings -> Security Settings ->Public Key Policies Faites un clic droit sur Certificate Services Client – Auto-Enrollment et sélectionnez Properties.
Dans la fenêtre des propriétés, sélectionnez Enabled dans Configuration Model et activez les cases à cocher :
- Renew expired certificates, update pending certificates, and remove revoked certificates
- Update certificates that use certificate templates
Cliquez ensuite sur OK.
GPO Utilisateurs
Nous allons maintenant créer la GPO pour les utilisateurs. Faites un clic droit sur l’emplacement où vous avez vos utilisateurs et sélectionnez Create GPO in this domain, and Link it here…
Comme avant, entrez le nom de la GPO et faites OK. Ensuite faites un clic droit sur la GPO crée et sélectionnez Edit… Allez dans la section User Configuration -> Windows Settings -> Security Settings ->Public Key Policies Faites un clic droit sur Certificate Services Client – Auto-Enrollment et sélectionnez Properties.
Dans la fenêtre des propriétés, sélectionnez Enabled dans Configuration Model et activez les cases à cocher :
- Renew expired certificates, update pending certificates, and remove revoked certificates
- Update certificates that use certificate templates
Cliquez sur le bouton OK.
Déploiement des certificats
Nous avons créer les templates des certificats et créer les GPO pour le déploiement des certificats. Nous allons donc vérifier que les serveurs et les utilisateurs aient bien le certificat. Les certificats sont configurés pour être attribués en fonction des groupes de l’Active Directory. Les serveurs doivent donc être redémarrer et les utilisateurs doivent se déconnecter et se reconnecter pour que les paramètres de groupes soient bien attribués.
Serveur NPS
Pour commencer, allez sur le serveur NPS et ouvrez la console d’administration des certificats en entrant la commande certlm.msc dans le menu démarrer.
Si vous avez une fenêtre UAC qui s’ouvre cliquez sur YES.
La fenêtre d’administration des certificats va s’ouvrir. Allez dans la section Personal -> Certificates. Vous devriez voir votre certificat basé sur le template créer précédemment. Le nom du certificat correspondant au nom du serveur.
Serveur RAS Tout comme pour le précédent serveur, allez dans la console d’administration des certificats du serveur RAS. Ici nous allons devoir générer le serveur manuellement car le nom du certificat devra correspondre au nom DNS externe du serveur étant donné que c’est le serveur auquel on se connecte depuis l’extérieur. Pour cela allez dans la section Personal et faites un clic droit sur Certificates et sélectionnez All Tasks -> Request New Certificate…
Une nouvelle fenêtre va s’ouvrir.
Dans cette première étape, cliquez simplement sur Next. Dans la deuxième étape sélectionnez Active Directory Enrollment Policy
Cliquez sur Next. Ensuite vous allez sélectionnez le template que nous avons créer précédemment. Vous allez avoir un message d’avertissement vous indiquant qu’il faut entrer des informations supplémentaire pour demander le certificat. Il va falloir configurer le nom que nous voulons donner au certificat. C’est-à-dire notre nom DNS externe du serveur.
Cliquez sur More information is required to enroll for this certificate. Click here to configure settings. Dans la fenêtre qui s’ouvre, allez dans l’onglet Subject. Dans l’encadré Subject name, entrez le nom du serveur. Vous pouvez indiquer le nom interne ou externe du serveur. Dans l’encadré Alternative name, entrer cette fois le nom DNS externe du serveur.
Cliquez sur OK. Vous verrez alors que le message d’avertissement a disparu.
Cliquez sur le bouton Enroll. Si tout se déroule correctement vous aurez le massage STATUS: Succeded
Cliquez sur le bouton Finish. Vous verrez alors votre certificat avec le nom configuré.
Utilisateurs
Nous allons finalement vérifier que nous avons ben un certificat pour l’utilisateur. Allez sur le poste client Windows 10 et ouvrer une session avec l’utilisateur qui utilisera le VPN. Ouvrez la console d’administration des certificats en entrant la commande mmc das le menu démarrer.
Dans la fenêtre qui s’ouvre, sélectionnez File -> Add/Remove Snap-in…
Sélectionnez Certificates et cliquez sur le bouton Add.
Si vous avez une fenêtre qui s’ouvre car l’utilisateur est administrateur sélectionnez My user account. 
Si l’utilisateur n’a pas de droits administrateurs, cette fenêtre ne s’affichera pas et l’option My user account sera sélectionnée par défaut.
Cliquez sur OK. Allez dans la section Personal -> Certificates. Vous devriez voir le certificat utilisateur basé sur le template que nous avons crée précédemment.
Installation du rôle NPS
Nous allons maintenant installer le serveur NPS qui va servir aux authentifications RADIUS des utilisateurs. Pour cela, allez dans le Server Manager et cliquez sur Manage -> Add Roles and Features
Le wizard d’installation va s’ouvrir.
Sur cette première page, cliquez simplement sur Next. Dans la deuxième étape, vous devez sélectionner quel type d’installation vous voulez effectuer.
Laisser la coche sur le premier choix Role-based or feature-based installation et cliquez sur Next. Ensuite vous devez sélectionner sur quel serveur faire l’installation. Dans notre cas nous n’avons qu’un seul serveur dans le pool.
Sélectionnez le serveur et cliquez sur Next. Ensuite vous devez choisir le rôle que vous voulez installer.
Sélectionnez le rôle Network Policy and Access Services. Une fenêtre va s’ouvrir vous indiquant que le système à besoin de composants additionnels pour le bon fonctionnement du rôle.
Cliquez sur le bouton Add Features. Dans l’étape d’après vous devez sélectionner si vous voulez ajouter des fonctionnalités supplémentaires.
Dans notre cas nous n’avons pas besoin de fonctionnalités supplémentaires. Cliquez simplement sur Next. Dans cette étape vous avez simplement une description du rôle.
Cliquez sur Next. Dans cette dernière étape vous avez un récapitulatif de ce qui va être installé.
Cliquez sur le bouton Install pour lancer l’installation du rôle. Patientez pendant l’installation.
Quand l’installation est terminée, vous aurez l’indication Installation succeded.
Cliquez sur le bouton Close. Maintenant que le rôle est installé, nous allons configuré le serveur NPS. Dans le Server Manager, cliquez sur Tools et sélectionnez Netwok Policy Server.
La console d’administration du NPS va s’ouvrir. Tout d’abord, pour que le serveur NPS puisse authentifier les utilisateurs, il a besoin d’accéder à l’Active Directory et donc être autoriser à accéder à l’AD. Pour cela, faites un clic droit sur l’icône marquée NPS (Local) et sélectionnez Register server in Active Directory.
Vous aurez une fenêtre qui va s’ouvrir vous demandant si vous voulez autoriser le serveur NPS à accéder à l’Active Directory.
Cliquez sur le bouton OK. Ensuite il va falloir configurer le serveur RAS comme client RADIUS. Pour cela, dans le dossier RADIUS Clients and Servers, faites un clic droit sur RADIUS Clients et sélectionnez New.
Une fenêtre va s’ouvrir. Vous devez configurer le nom du client RADIUS ainsi que son adresse IP. Ensuite vous devez entrer la clé secrète à utiliser pour l’échange entre le client et le serveur RADIUS.
Après avoir configuré les différents éléments, cliquez sur le bouton OK. Ensuite nous allons configurer la règle qui va authentifier les utilisateurs. Allez sur la page d’accueil du serveur NPS sélectionnez RADIUS server for Dial-Up or VPN Connections et cliquez en dessous sur Configure VPN or Dial-Up.
Dans la fenêtre qui s’ouvre vous devez indiquer que type de connexion vous voulez configurer.
Sélectionnez le deuxième choix Virtual Private Network (VPN) Connections. Entrez ensuite le nom que vous voulez donner à la connexion ou laisser le nom par défaut. Cliquez ensuite sur Next. Ensuite vous devez sélectionner le serveur RAS qui sera utilisé pour la connexion. Cliquez sur Add… et sélectionnez le serveur RAS précédemment crée.
Cliquez sur Next. Dans cette étape, vous devez configurer les méthodes authentifications utilisées. Cochez uniquement la case Extensible Authentication Protocol.
Dans Type, sélectionnez Microsoft: Protected EAP (PEAP) et ensuite cliquez sur le bouton Configure… Sélectionnez le certificat du serveur NPS précédemment crée. Dans l’encadré en bas enlever le type qui est déjà présent, cliquez sur Add et sélectionnez Smart Card or other certificate.
Cliquez sur OK et ensuite cliquez sur Next. Ensuite vous devez sélectionner les utilisateurs qui seront autorisés à se connecter. Cliquez sur le bouton Add… et sélectionnez le groupe d’utilisateurs autorisé. Dans notre cas ce sera le groupe que l’on a crée au début « AlwaysOnVPN_Users ». 
Cliquez sur Next. Ensuite vous pouvez configurer des filtrages si vous le souhaitez. Dans notre cas nous n’allons pas en configurer.
Cliquez sur Next. Ensuite vous devez sélectionner les types de chiffrements autorisés. Par défaut les trois sont sélectionnés. Nous allons laisser le réglage par défaut.
Cliquez sur Next. Ensuite vous pouvez configurer un nom Realm pour spécifier un nom de domaine à utiliser. Dans notre cas nous n’allons pas en utiliser.
Cliquez simplement sur Next. Finalement vous aurez l’indication You have successfully created the following policies and confugured the following RADIUS clients avec le nom des règles qui ont été crées.
Cliquez sur le bouton Finish. Vous pourrez voir que la règle de connexion à bien été crée.
Vous verrez aussi que la règle d’accès à également été crée.
Installation du rôle RAS
Maintenant que nous avons installé et configuré le serveur NPS, il ne nous reste plus qu’a installer et configurer le serveur RAS. Allez dans le Server Manager du serveur RAS et cliquez sur Manage -> Add Roles and Features Le wizard d’installation va s’ouvrir. Sur cette première page, cliquez simplement sur Next. Dans la deuxième étape, vous devez sélectionner quel type d’installation vous voulez effectuer. Laisser la coche sur le premier choix Role-based or feature-based installation et cliquez sur Next. Ensuite vous devez sélectionner sur quel serveur faire l’installation. Dans notre cas nous n’avons qu’un seul serveur dans le pool. Sélectionnez le serveur et cliquez sur Next. Ensuite il faut sélectionner le rôle à installer. Nous allons donc cette fois sélectionner Remote Access.
Une fenêtre va s’ouvrir vous indiquant que le système à besoin de composants additionnels pour le bon fonctionnement du rôle. 
Cliquez sur Add Features. Cliquez ensuite sur Next. Dans l’étape d’après vous devez sélectionner si vous voulez ajouter des fonctionnalités supplémentaires. Dans notre cas nous n’avons pas besoin de fonctionnalités supplémentaires. Cliquez simplement sur Next. Dans cette étape vous avez une description du rôle.
Cliquez simplement sur Next. Ensuite vous devez sélectionner quels services vous voulez installer. Sélectionnez uniquement DirectAccess and VPN (RAS)
Cliquez sur Next. Dans cette étape vous avez une indication comme quoi le système a besoin d’installer le rôle Web Server IIS pour le fonctionnement du service.
Cliquez sur Next. Vous devez sélectionner ensuite les services liées au serveur web à installer. Par défaut, plusieurs éléments sont déjà sélectionnes. Nous allons laissé les choix par défaut.
Cliquez simplement sur Next. Vous avez dans cette dernière étape un récapitulatif des différents rôles et fonctionnalités qui vont être installés.
Cliquez sur le bouton Install pour lancer l’installation. Lorsque l’installation est terminée, vous aurez une petite icône d’avertissement vous indiquant qu’il faut faire une configuration supplémentaire pour le rôle.
Cliquez sur Open the Getting Started Wizard. Une nouvelle fenêtre va s’ouvrir. Vous devez sélectionnez quel type de connexion vous voulez déployer.
Sélectionnez Deploy VPN only. Dans la console d’administration Routing and Remote Access, faites un clic droit sur l’icône avec le nom de votre serveur et sélectionnez Configure and Enable Routing and Remote Access.
Une nouvelle fenêtre va s’ouvrir.
Dans cette première étape, cliquez simplement sur Next. Ensuite vous devez sélectionnez quel type de connexion vous voulez configurer.
Sélectionnez Custom configuration et cliquez sur Next. Ensuite vous devez sélectionnez quels sont les services à activer.
Sélectionnez uniquement VPN access et cliquez sur Next. Dans cette dernière étape vous avez un résumé des services qui vont être activés.
Cliquez sur le bouton Finish. Une fenêtre va s’ouvrir vous indiquant que le service est prêt à être utilisé
Cliquez sur le bouton Start service pour démarrer le service. Patientez pendant que le service démarre.
Vous pourrez voir ensuite que le service à bien démarré. L’icône avec la flèche doit être verte.
Nous allons ensuite configurer quelques éléments pour que la connexion puisse s’effectuer. Cliquez sur le nom de votre serveur et sélectionnez Properties.
Dans l’onglet IPv4, vous allez configurer comment sera attribuée l’adresse IP à l’utilisateur qui se connecte par VPN. Vous avez deux choix :
- DHCP
- Static
Si vous sélectionnez DHCP, le serveur RAS fera une requête DHCP lorsqu’un utilisateur se connectera par VPN et attribuera à cet utilisateur l’IP que le DHCP lui aura retournée. Dans notre cas nous allons sélectionner Static address pool.
Cliquez ensuite sur le bouton Add… Une nouvelle fenêtre va s’ouvrir dans laquelle vous allez configurer quel est le range d’IP qui pourront être distribuées aux utilisateurs qui se connectent.
Entrez l’IP de départ et de fin et ensuite cliquez sur le bouton OK. Le range d’IP sera ajouté.
Ensuite dans l’onglet Security, dans Autentication provider, sélectionnez RADIUS Authentication et cliquez sur le bouton Configure… à coté
Dans la fenêtre qui s’ouvre, cliquez sur Add… Entrer l’adresse du serveur NPS et configurer la clé secrète pour la communication RADIUS. Cette clé correspond a celle que nous avons configuré lorsque nous avons ajouté le client RADIUS dans le chapitre précédent.
Cliquez sur OK. Vous pouvez voir que le serveur NPS à bien été ajouté
Cliquez sur OK. Répétez la même procédure pour Accouting Provider et cliquez sur OK. Finalement, faites un clic doit sur Ports et sélectionnez Properties.
Dans la fenêtre qui s’ouvre, sélectionnez WAN Miniport (SSTP) et cliquez sur le bouton Configure…
Dans cette fenêtre, conservez uniquement la coche sur Demand-dial routing connections (inbound and outbound).
Cliquez sur OK. Répétez cette même procédure pour tous les WAN Miniport de la liste excepté WAN Miniport (IKEv2) sur lequel vous laisserez la coche sur Remote access connections (inbound only) et Demand-dial routing connections (inbound and outbound).
Configuration VPN sur Windows 10
Maintenant que toute la partie serveur est configurée, nous allons passer à la configuration du client. Allez sur le poste Windows 10 qui servira à la connexion VPN. Ouvrez la page d’administration des connexions VPN en tapants vpn dans le menu démarrer et en cliquant sur Change virtual private networks (VPN).
Dans la page d’administration des connexions VPN, cliquez sur Add a VPN connection.
La page d’ajout va s’ouvrir. Vous avez plusieurs paramètres à configurer :
- VPN Provider : Sélectionnez Windows (built-in)
- Connection Name : Entrez le nom que vous voulez donner à la connexion
- Serveur name or address : Entrez l’adresse externe du serveur RAS. Ce nom doit correspondre à celui qui vous avez configuré lors de la création du certificat du serveur RAS
- VPN type : Sélectionnez IKEv2
- Type of sign-in info : Sélectionnez User name and password
Quand vous avez configuré les différents éléments cliquez sur Save. Vous pouvez voir que la connexion VPN à été crée. Cliquez ensuite sur Change adapter options
La fenêtre avec les différentes connexions réseau de l’ordinateur va s’ouvrir. Faites un clic doit sur la connexion VPN et sélectionnez Properties.
La fenêtre des propriétés de la connexion va s’ouvrir. Dans l’onglet Security, cliquez sur le bouton Properties.
Cochez les cases Verify the server’s identity by validating the certificate et Connect to these servers. Entrez ensuite l’adresse du serveur NPS qui doit correspondre à l’adresse sur le certificat du serveur NPS. Dans Trusted Root Certification Authorities, sélectionnez votre autorité de certification. Dans Notifications before connecting, selectionnez Don’t ask user to authorize new servers or trusted CAs. Dans Select Authentication Method, sélectionnez Smart Card or other certificate et cliquez sur le bouton Configure…
Dans cette fenêtre, sélectionnez Use a certificate on the computer et cochez les cases Verify the server’s identity by validating the certificate et Connect to these servers. Entrer de nouveau l’adresse du serveur NPS. Sélectionnez en dessous votre autorité de certification. Cochez la case Don’t prompt user to authorize new servers or trusted certification authorities.
Cliquez sur OK deux fois. Finalement pour vous connecter, sélectionnez la connexion VPN et cliquez sur Connect.
Si tout se déroule bien et que tout à été configuré correctement, vous devriez avoir l’indication Connected en dessous de la connexion.
Pour configurer toutes les machine Windows 10 qui doivent se connecter par VPN, vous avez plusieurs méthodes possibles pour éviter de devoir faire la configuration manuellement sur chaque machine. Microsoft met à disposition un script dans lequel vous paramétrez les valeurs qui correspondent à votre infrastructure et ce script va vous générer un autre script PowerShell que vous n’aurez qu’à exécuter sur les machines que vous voulez configurer. Vous n’aurez donc pas besoin de faire toute la procédure pour la configuration sur chaque machine mais simplement exécuter le script. Le script doit cependant être exécuter avec des privilèges d’admirateur. Vous devez donc exécuter ce script avec les valeurs à modifier au début du script.
L’exécution de ce script va donc vous créer un fichier .ps1 que vous n’aurez qu’a exécuter sur une autre machine Windows 10 pour créer et configurer automatiquement la connexion.
AlwaysOnVPN Device Tunnel Mode
Comme je vous l’ait dit avec Windows 10 Version 1709 on peut faire une connexion VPN de type Device et non User. Pour cela vous devez simplement modifier quelques éléments dans le script de configuration.
Voici un exemple de configuration XML pour la connexion Device Tunnel
<VPNProfile>
<DnsSuffix>domaine.com</DnsSuffix>
<NativeProfile>
<Servers>ServeurRAS.domaine.com</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
<MachineMethod>Certificate</MachineMethod>
</Authentication>
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
<DisableClassBasedDefaultRoute>false</DisableClassBasedDefaultRoute>
</NativeProfile>
<AlwaysOn>true</AlwaysOn>
<DeviceTunnel>true</DeviceTunnel>
<RememberCredentials>true</RememberCredentials>
<TrustedNetworkDetection>domaine.com</TrustedNetworkDetection>
<DomainNameInformation>
<DomainName>.domaine.com</DomainName>
<DnsServers>192.168.0.2,192.168.3.2</DnsServers>
</DomainNameInformation>
<RegisterDNS>true</RegisterDNS>
</VPNProfile>
Bonjour,
merci pour le tuto
j’ai tenté de configurer le mode Device tunnel mais à ça ne fonctionne pas. La connexion automatique pré logon ne se fait pas.
Quelle est la bonne procédure ? J’arrive très bien à faire fonctionner le monde user tunnel.
Pour information, les tests sont effectués en environnement virtuel, est-ce que celà peut poser problème ?
Patrick
Bonjour,
Pour le mode Device Tunnel, je n’ai effectivement pas préciser mais la connexion doit être crée avec le compte Local System.
Pour cela vous devez utiliser l’outil Microsoft PSExec que vous pouvez télécharger à cette adresse : https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
Ensuite lancer Powershell avec les droits administrateurs, allez à l’endroit où vous avez installé PSexec et lancer la commande : PsExec.exe -i -s C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
Une autre fenêtre va s’ouvrir. Dans cette nouvelle fenêtre, exécuter le script pour la création de la connexion.
Dites-moi si cela fonctionne mieux avec cette procédure.
Salutations
merci de votre retour rapide,
j’ai fait exactement que vous décrivez plus haut à savoir l’exécution du script dans le contexte localsystem via Psexec.
La connexion est bien créé. Ensuite aucune connexion automatique ne se fait même après redémarrage du poste.
D’après la littérature, le mode device tunnel se fait dès que le réseau est disponible. Pour votre information, je n’ai pas mentionné dans le fichier ce paramètre domaine.com.
En résumé, je souhaite que le tunnel soit monté quelque soit le réseau (entreprise ou privé).
Je ne pense pas avoir de problème avec le certificat machine car quand je tente une connexion manuellement (rasdial.exe) à partir du certificat machine et le protocole IKEV2, la connexion fonctionne.
Alors pourquoi la connexion ne se fait pas automatiquement sous le contexte Localsystem et de façon automatique.
Merci pour votre aide.
ps, je voulais dire je n’ai pas mentionné le paramètre suivant
TrustedNetworkDetectiondomaine.com TrustedNetworkDetection
merci par avance.
Patrick
avez-vous une idée ?
je précise que tous les serveurs et clients sont installés en environnement virtuel.
Merci
Patrick
Je ne vois pas ce qui pourrait poser soucis. Votre configuration a l’air d’être correcte en tout cas.
Cette variante étant relativement récente, il y’a encore quelques bugs je suppose car moi aussi lorsque je fait des tests j’ai des comportements anormaux.
Je me pose la question suivante:
Est ce vraiment supporter de faire des tests sans connexion internet surtout pour le mode device tunnel (environnement clos). Le déclenchement automatique du tunnel est réalisé suite à une détection d’une connexion Internet.
Patrick
Normalement non, je ne pense pas que cela soit lié à la connexion internet.
A mon avis dès lors que la machine est connectée au réseau elle est censée ouvrir une connexion sur l’adresse qui est configurée dans le profil VPN indépendamment du fait qu’elle ait une connexion internet ou non, du moment qu’elle arrive à joindre le serveur VPN.
D’accord
Avez vous réussi à faire fonctionner le mode device tunnel au moins une Fois? Je serai intéressé par la bonne méthode.
Merci bien
Patrick
Je n’arrive pas à le faire fonctionner non plus correctement. Il me semblait que la première fois cela avait fonctionner mais la depuis ça ne fonctionne pas comme cela devrait.
OK,
En parcourant les différents forum on constate par exemple que mr richard Le Hicks explique brièvement comment mettre en oeuvre le tunnel device. J’ai repris exactement le script et l XML adapté à mon environnement mais le tunnel ne fonctionne pas.
C’est vraiment étonnant que Microsoft implémente une solution qui ne fonctionne pas.
Patrick
Oui c’est dommage effectivement, car le principe est bien mais pas encore au point.
Bonjour,
j’ai vu en parcouran certain forum que le VPN pour le device tunnel est fonctionnel uniquement sur Windows 10 Enterprise
Bonjour, oui effectivement AlwaysOn VPN en device tunnel fonctionne uniquement avec la version Enterprise et Education de Windows 10.
Je vais prendre contact avec le support Microsoft pour une explication
Patrick
Bonjour,
Je monte actuellement une infra :
– poste client (windows 10)
– un serveur accès distant (2019)
– un serveur nps (2019)
– un dc, qui est mon autorité CA également (2019)
lors de la tentative de connexion du poste, j’ai l’erreur suivante :
» la connexion a été interdite par une stratégie configurée sur le serveur RAS/VPN. Spécifiquement la méthode d’authentification utilisée par le serveur pour vérifier votre nom d’utilisateur et votre mot de passe peut ne pas correspondre à la méthode d’authentification configurée dans votre profil de connexion »
Dans l’OBS, ca me génère l’id 20227 (source RasClient) = la connexion a échoué code d’erreur 812
sur le serveur VPN, ça me génère les ID 202271 et 20255 (source RemoteAccess) , le message d’erreur est le même que sur le poste client (methode d’authentification bla bla bla…)
Sur le serveur radius, j’ai l’ID 6273 (source Microsoft Security Auditing) = le client n’a pas pu être authentifié car le protocole EAP ne peut pas être traité par le serveur.
j’ai vérifié X fois les configurations, je ne trouve pas d’erreur. si vous avez une idée je suis preneur 🙂
Bonsoir,
Après quelques recherches, il semblerait que l’encryptions sha1 et AlwaysOn ne se soit pas très amis… je tente de refaire mon pki demain et je vous tiens informé…
Bonsoir,
j’ai refais mon autorité de certification en SHA512 au lieu de SHA1 et ca fonctionne :).
Pour la partie DHCP, à noté que le serveur RAS doit se voir fournir une IP via le serveur DHCP, dans le cas contraire le client distant n’obtient pas d’IP.
Bonne soirée
Bonjour,
Merci pour votre article, il est très utile.
Néanmoins, il manque une chose pour comprendre : quels sont les plans d’adressages des machines ?
Un petit tableau récapitulatif des adresses de NPS / RRAS / LAN / WAN serait le bienvenu.
Merci
Super article. En phase ça serait super d’avoir les adresses lan et wan.
J’ai une livebox comme routeur. Pour que mon client win 10 puisse se connecter à mon serveur ras il faut qu’il puisse le résoudre depuis internet et il faut rediriger le flux entrant de ma livebox vers mon serveur ras si je dis pas de bêtises.
Mais je ne trouve pas comment faire.
Si quelqu’un peut me donner une piste.