Pour configurer n'importe quel type de VPN, vous devez configurer un serveur maître. Après la configuration du serveur maître, vous devez effectuer des tâches supplémentaires selon que vous choisissiez de configurer un réseau VPN site à site ou client à site. Ce chapitre décrit la procédure suivante :
REMARQUE : L'utilitaire VPNCFG sert à configurer le serveur maître et le serveur esclave et à générer les informations de codage.
Un réseau VPN ne peut être doté que d'un seul serveur maître. Le serveur maître constitue le point central de contrôle de la configuration et de la gestion du réseau VPN. De plus, un serveur (maître ou esclave) ne peut être membre que d'un seul VPN.
Pour configurer le serveur maître de votre réseau VPN, exécutez les étapes suivantes :
À l'invite de la console du serveur, tapez
LOAD VPNCFG
Si ce serveur est le premier dans l'arborescence NDS ou eDirectory à être configuré en tant que serveur VPN, vous êtes invité à vous loguer à l'arborescence. Vous devez disposer des droits administratifs sur le répertoire racine pour étendre le schéma NDS ou eDirectory et définir les attributs VPN.
Sélectionnez Configuration du serveur maître.
Configurez les adresses IP pour le serveur maître.
Le serveur maître VPN utilise deux adresses IP : une adresse publique pour communiquer avec Internet et une adresse de tunnel VPN pour échanger des informations codées avec d'autres membres VPN.
Sélectionnez Configurer les adresses IP.
Entrez l'adresse IP publique.
Si le serveur VPN est connecté directement à Internet, l'adresse IP publique est l'adresse attribuée par votre ISP.
Entrez le masque de sous-réseau pour l'adresse IP publique.
Entrez l'adresse IP du tunnel VPN.
Cette adresse est associée au tunnel VPN au travers duquel les informations codées passent. Cette adresse ne devrait pas être enregistrée.
IMPORTANT : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se trouver sur le même sous-réseau. L'adresse IP du tunnel VPN est une adresse privée choisie de façon arbitraire. L'étendue de cette adresse se limite à la liaison du tunnel VPN. Cette adresse ne devrait pas être utilisée comme adresse IP source ou de cible pour les paquets de données. Utilisez la commande PING sur cette adresse pour vérifier la connectivité directe via le tunnel VPN.
Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN.
Appuyez sur Échap > à l'invite, sélectionnez Oui pour enregistrer vos modifications.
Générez les informations de codage du serveur maître.
Sélectionnez Générer les informations de codage.
Entrez jusqu'à 255 caractères pour la valeur de départ aléatoire.
Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise cette valeur pour randomiser les clés RSA (Rivest Shamir Adleman) publiques et privées du serveur maître ainsi que les valeurs Diffie-Hellman publiques et privées du serveur maître qu'il génère.
Copiez le fichier d'informations de codage maître (MINFO.VPN) sur une disquette ou enregistrez-le sur un disque dur local.
Donnez le fichier MINFO.VPN à l'administrateur réseau de chaque serveur esclave que vous voulez ajouter au VPN.
Vous pouvez soit envoyer la disquette qui contient le fichier par courrier, soit envoyer le fichier sous forme de pièce jointe par courrier électronique. La sécurité du fichier ne sera pas compromise en cas d'interception de celui-ci, car il ne contient que des informations publiques. Toute modification du fichier peut être détectée en vérifiant le résumé des messages lors de la configuration du serveur esclave.
Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG.
Ce chapitre explique les tâches élémentaires à effectuer pour configurer un réseau VPN site à site. Il se compose des sections suivantes :
Pour configurer un serveur esclave pour votre réseau VPN, procédez comme suit : Assurez-vous de vous procurer le fichier MINFO.VPN auprès de l'administrateur du serveur maître.
À l'invite de la console du serveur, tapez
LOAD VPNCFG
Sélectionnez Configuration du serveur esclave.
Configurez les adresses IP pour le serveur esclave.
À l'instar du serveur maître, un serveur esclave VPN utilise deux adresses IP : une adresse publique pour communiquer avec Internet et une adresse de tunnel VPN pour échanger des informations codées avec d'autres membres VPN.
Sélectionnez Configurer les adresses IP.
Entrez l'adresse IP publique.
Si le serveur VPN est connecté directement à Internet, l'adresse IP publique est l'adresse attribuée par votre ISP.
Entrez le masque de sous-réseau pour l'adresse IP publique.
Entrez l'adresse IP du tunnel VPN.
Cette adresse est associée au tunnel VPN au travers duquel les informations codées passent. Cette adresse ne devrait pas être enregistrée.
IMPORTANT : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se trouver sur le même sous-réseau.
Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN.
Appuyez sur Échap et, à l'invite, sélectionnez Oui pour enregistrer vos modifications.
Générez les informations de codage du serveur esclave.
Sélectionnez Générer les informations de codage.
Entrez l'emplacement du fichier d'informations de codage maître (MINFO.VPN).
Contactez l'administrateur du serveur maître et vérifiez que vous disposez des mêmes valeurs du résumé des messages.
Le fait de disposer des mêmes valeurs de digest garantit l'authenticité du fichier MINFO.VPN.
IMPORTANT : Si les valeurs de digest ne sont pas identiques, le tunnel codé entre les serveurs esclave et maître ne pourra pas être créé. Dans ce cas, le serveur maître devra fournir un nouveau fichier MINFO.VPN.
Demandez à l'administrateur du serveur maître de sélectionner Authentifier les informations de codage pour authentifier le fichier MINFO.VPN.
Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et sélectionner les options de menu suivantes :
Master Server Configuration (Configuration du serveur maître)> Authenticate Encryption Information (Authentifier les informations de codage).
Si les valeurs message digest concordent, entrez 255 caractères au maximum pour la valeur aléatoire de départ.
Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise cette valeur pour définir de façon aléatoire les valeurs Diffie-Hellman publiques et privées qu'il génère pour le serveur esclave.
Copiez le fichier d'informations de codage esclave (SINFO.VPN) sur une disquette ou enregistrez-le sur un disque dur local.
Sélectionnez Copier les informations de codage.
Entrez le chemin ou le nom du fichier dans lequel vous voulez enregistrer le fichier d'informations de codage esclave. La valeur par défaut est A:\SINFO.VPN.
SUGGESTION : Renommez votre fichier SINFO.VPN en SINFO_S1.VPN, par exemple. Ceci permet à l'administrateur du serveur maître de rassembler tous les fichiers d'informations de codage esclave dans un seul répertoire, sans les écraser. Vous pouvez également utiliser un nom de serveur ou d'emplacement pour renommer le fichier SINFO.VPN.
Remettez votre fichier d'informations de codage à l'administrateur du serveur maître.
Vous pouvez soit envoyer la disquette qui contient le fichier par courrier, soit envoyer le fichier sous forme de pièce jointe par courrier électronique. La sécurité du fichier ne sera pas compromise en cas d'interception de celui-ci, car il ne peut pas être interprété sans les clés RSA publiques et privées du serveur maître et sans les valeurs Diffie-Hellman publiques et privées.
Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG.
IMPORTANT : Afin de permettre toute communication entre le serveur esclave et d'autres membres du réseau VPN, vous devez effectuer la procédure décrite dans Configuration de votre VPN.
Avant de pouvoir ajouter un serveur à un réseau VPN, vous devez utiliser l'utilitaire VPNCFG pour effectuer les opérations suivantes :
Une fois que vous avez exécuté les procédures VPNCFG, le serveur maître est ajouté automatiquement au réseau VPN. L'utilitaire Administrateur NetWare sert à ajouter un serveur à un réseau VPN et à synchroniser les serveurs VPN.
Pour ajouter un serveur esclave au réseau VPN, procédez comme suit :
Dans l'Administrateur NetWare, double-cliquez sur le serveur maître VPN et sélectionnez la page de configuration de Novell BorderManager 3.7.
Cliquez sur l'onglet VPN.
Sous Activer le service, double-cliquez sur Site à site maître.
Cliquez sur Ajouter.
Recherchez le fichier contenant les informations de codage du serveur que vous souhaitez ajouter et cliquez sur Ouvrir.
Le fichier d'informations de codage est généré lors de la procédure décrite dans Configuration de votre VPN. Le nom par défaut du fichier est SINFO.VPN. L'Administrateur NetWare lit ce fichier et affiche un résumé des messages de 16 octets.
Demandez à l'administrateur du serveur esclave VPN de sélectionner Authentifier les informations de codage pour authentifier le fichier SINFO.VPN.
Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et sélectionner les options de menu suivantes :
Configuration du serveur esclave> Authentifier les informations de codage
Comparez la valeur de votre message digest avec celle générée à la console du serveur esclave.
Si les messages digest sont identiques, cliquez sur Oui ; dans le cas inverse, cliquez sur Non.
Des valeurs message digest différentes signifient que les données ont été altérées.
Cliquez sur État.
Cliquez sur Synchroniser tout puis sur OK.
Exécutez cette procédure pour chaque serveur esclave devant être ajouté comme membre du réseau VPN.
Lorsque vous synchronisez les serveurs d'un réseau privé virtuel (VPN), le serveur maître VPN met à jour tous les serveurs esclave VPN de façon à ce qu'ils utilisent la nouvelle topologie et les nouvelles clés de codage VPN. L'état de la synchronisation d'un serveur peut avoir l'une des valeurs suivantes :
La configuration du serveur prend en compte la topologie et les informations de codage mises à jour. Cet état n'indique pas que les connexions du tunnel VPN du serveur sont opérationnelles. Utilisez l'écran Activité pour déterminer l'état des connexions du tunnel VPN.
Le serveur doit recevoir les informations de codage et de topologie mises à jour du serveur maître.
Le serveur est supprimé du réseau VPN.
REMARQUE : Si l'état d'un serveur demeure En cours de configuration ou En cours de suppression pendant un délai anormalement long, le serveur maître ne parvient manifestement pas à communiquer avec ce membre VPN. Pour plus d'informations, reportez-vous à la documentation en ligne relative à VPN.
Pour synchroniser les membres d'un réseau VPN :
Dans l'Administrateur NetWare, double-cliquez sur le serveur maître VPN et sélectionnez la page de configuration de Novell BorderManager 3.7.
Cliquez sur l'onglet VPN.
Sous Activer le service, double-cliquez sur Site à site maître.
Cliquez sur État.
La fenêtre État de la synchronisation affiche chaque membre du réseau VPN, son adresse IP publique et l'état de sa mise à jour.
Pour synchroniser tous les serveurs du réseau VPN, cliquez sur Synchroniser tout.
ou
Pour synchroniser un seul serveur du réseau VPN, sélectionnez son nom et cliquez sur Synchroniser sélectionné.
Vous pouvez construire votre réseau VPN site à site de plusieurs façons. Selon la configuration souhaitée, vous devrez effectuer diverses tâches. Les exemples détaillés suivants sont disponibles dans la documentation en ligne relative au réseau VPN :
REMARQUE : Pour configurer correctement un réseau VPN particulier, vous devez absolument vous référer aux exemples de la documentation en ligne relative au réseau VPN. Les exemples contiennent des procédures qui sont requises pour une configuration particulière mais qui ne font pas partie des procédures fournies dans cette publication.
Ce chapitre répertorie les tâches à effectuer pour configurer un réseau VPN de client à site et pour établir une connexion de client à site. Ce chapitre décrit la procédure suivante :
Pour configurer la prise en charge des clients VPN par le serveur VPN :
Configurez un serveur NetWare avec le logiciel VPN.
Dans l'Administrateur NetWare, double-cliquez sur le serveur VPN choisi pour la prise en charge des clients et sélectionnez la page de configuration de Novell BorderManager 3.7.
Cliquez sur l'onglet VPN.
Sous Activer le service, double-cliquez sur Client à site.
(Facultatif) Configurez le paramètre Timeout d'inactivité, si nécessaire.
Pour activer le codage des données IPX pour les clients VPN, vous devez définir le paramètre Client WAN et adresse réseau IPX sur l'adresse de réseau IPX que les clients VPN utiliseront pour accéder à ce serveur.
Cette adresse doit être unique et ne doit pas correspondre à l'adresse réseau du serveur ni à l'adresse réseau des adaptateurs LAN du serveur. Si le client se connecte directement au serveur VPN à l'aide du logiciel d'accès à distance, l'adresse de réseau IPX que vous avez configurée pour l'accès à distance s'affiche automatiquement. Si vous modifiez l'adresse dans ce champ, le logiciel d'accès à distance est mis à jour en fonction de la nouvelle adresse.
IMPORTANT : Lorsque la prise en charge IPX est activée pour le client VPN sur les postes de travail Windows 95 et Windows 98, la connexion IPX du client est désactivée une fois la connexion VPN IPX établie. Cela peut également être le cas lorsque le client n'est pas un client VPN et que vous utilisez l'Accès réseau à distance avec IPX activé.
(Facultatif) Si vous ne voulez pas que les clients VPN négocient les méthodes de codage et d'authentification de données pour la connexion au serveur VPN, sélectionnez Limiter les clients à l'utilisation de la sécurité préférée du serveur.
Pour configurer la méthode de sécurité préférée du serveur, sélectionnez Détails sous Site à site maître ou Site à site esclave.
(Facultatif) Si vous souhaitez définir un nombre limité de réseaux avec lesquels les clients VPN peuvent communiquer en toute sécurité en codant les données, configurez une liste de réseaux protégés.
Pour ajouter un réseau à la liste, sélectionnez Coder uniquement les réseaux répertoriés ci-dessous > cliquez sur Ajouter. Sélectionnez l'adresse réseau et le masque de sous-réseau > cliquez sur OK.
Cette étape est facultative car par défaut, le client code les données à destination et en provenance de tous les réseaux. En définissant une liste de réseaux protégés, vous permettez au client VPN d'envoyer du trafic IP non codé à Internet et de coder uniquement le trafic intranet.
Si votre réseau est de type IPX seulement et que vous ne souhaitez pas coder le trafic IP, sélectionnez Ne coder aucun paquet IP.
(Facultatif) Cliquez sur Digest pour afficher le résumé des informations de configuration du serveur VPN.
Ce résumé permet d'authentifier les informations envoyées au client VPN lorsqu'il essaie de se loguer au serveur VPN.
Cliquez sur OK > sélectionnez Règles d'accès de Novell BorderManager 3.7.
Pour configurer les utilisateurs, groupes ou conteneurs NDS ou eDirectory autorisés à utiliser ce serveur VPN, exécutez les étapes suivantes :
Cliquez sur Ajouter.
Sélectionnez Client VPN comme type d'accès.
Sous Source, sélectionnez Spécifiée > cliquez sur Parcourir.
Cliquez sur Ajouter.
Sélectionnez un utilisateur, groupe ou conteneur dans la liste d'objets de l'arborescence NDS ou eDirectory, puis cliquez sur OK.
Répétez les étapes pour chaque objet supplémentaire comme requis.
Cliquez sur OK jusqu'à ce que vous soyez revenu à la page VPN.
Si nécessaire, configurez des règles d'authentification et des méthodes d'accès.
Les clients VPN peuvent utiliser des périphériques de sécurité tels que des jetons matériels en plus de leur mot de passe NDS ou eDirectory pour s'authentifier auprès du serveur VPN. Si un objet Règle de login existe dans votre arborescence NDS ou eDirectory, il est associé à tous les serveurs VPN version 3.7 de l'arborescence et il authentifie les utilisateurs VPN à l'aide des règles d'authentification et des méthodes d'accès définies dans l'objet.
Si un objet Règle de login figure dans votre arborescence, seuls les utilisateurs pour lesquels une règle a été définie pour leur méthode d'authentification peuvent se connecter au serveur VPN.
Si les utilisateurs accèdent au serveur VPN à l'aide du logiciel d'accès à distance, configurez les comptes d'accès à distance correspondants comme décrit dans Configuration des réseaux privés virtuels.
Fournissez les informations suivantes par messagerie électronique ou par téléphone aux utilisateurs VPN :
Pour installer un client VPN sur un poste de travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT :
Si vous utilisez un client à distance, vérifiez que le poste de travail possède un modem et qu'il a été configuré.
Insérez le CD-ROM du client VPN et démarrez le programme d'installation.
Suivez les instructions en ligne du programme d'installation. À l'invite, insérez le CD-ROM Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT qui contient le logiciel client Novell fourni avec Novell BorderManager 3.7.
Redémarrez le poste de travail à l'invite.
Si l'installation s'est déroulée correctement, la carte réseau VPN Novell s'affiche dans le Panneau de configuration Réseau Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT. Pour les systèmes Windows NT, le client VPN de Novell BorderManager 3.7 figure sous l'onglet Services dans la section Réseau du Panneau de configuration.
Une entrée d'accès à distance par défaut nommée Novell VPN est créée automatiquement pour le client VPN lors de l'installation. Cette entrée d'accès à distance peut être utilisée pour la connexion à votre ISP en démarrant votre logiciel de login VPN. Utilisez la boîte de dialogue VPN Login pour configurer divers paramètres avant de vous connecter à votre ISP. Ces paramètres incluent les propriétés d'appel, l'emplacement d'appel, le type de modem utilisé et le numéro de téléphone, qui peut être entré manuellement ou sélectionné dans un annuaire Si vous ne voulez pas utiliser l'entrée d'accès à distance par défaut, créez une nouvelle entrée à l'aide de l'Accès réseau à distance de Microsoft.
Pour créer et configurer une nouvelle entrée d'accès à distance sur un poste de travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT :
Créez une entrée d'accès à distance.
Double-cliquez sur Établir une nouvelle connexion.
Entrez le nom de l'entrée d'accès à distance et sélectionnez le modem.
Cliquez sur Suivant et entrez l'indicatif local, le numéro de téléphone et l'indicatif international.
Cliquez sur Suivant, puis sur Terminer pour achever la création de l'entrée d'accès à distance.
Pour les clients Windows 98, Windows 2000, Windows XP et Windows Me, définissez le type de serveur pour l'entrée d'accès à distance. Pour les clients Windows NT, ne modifiez pas les paramètres par défaut.
Cliquez avec le bouton droit de la souris sur l'entrée d'accès à distance et sélectionnez Propriétés ou sélectionnez l'entrée d'accès à distance et sélectionnez Propriétés dans le menu Fichier.
Choisissez l'option Type de serveur.
Définissez le paramètre Type of Dial-Up Server (Type de serveur à distance) sur Novell Virtual Private Network (Réseau privé virtuel Novell).
Cliquez sur OK pour enregistrer vos modifications.
Utilisez le login VPN à distance si vous voulez utiliser l'entrée d'Accès réseau à distance de Microsoft pour vous connecter à votre ISP.
Utilisez le login VPN LAN si vous êtes déjà connecté à votre ISP via un modem câble, un périphérique ADSL, une connexion LAN ou une connexion d'accès à distance établie.
Pour vous loguer depuis un client VPN, procédez comme suit :
Démarrez le login VPN de l'une des manières ci-dessous et attendez que la boîte de dialogue Login VPN Novell apparaisse :
Sélectionnez l'onglet Login NetWare dans la boîte de dialogue Login VPN Novell et entrez les informations suivantes :
L'adresse IP peut être suivie d'un espace et d'une description.
Ce mot de passe est nécessaire uniquement si vous avez configuré l'objet Règle de login en l'assortissant de règles imposant aux clients VPN d'utiliser un périphérique de sécurité tel qu'un jeton matériel en plus de leur mot de passe NDS ou eDirectory. Consultez la documentation en ligne relative aux services d'authentification pour plus d'informations sur la façon de générer le mot de passe jeton et de configurer les règles d'authentification.
Une fois le client correctement authentifié, ces informations (à l'exception du mot de passe) sont enregistrées par le client VPN dans le registre du poste de travail et sont présentées à l'utilisateur lors de sa prochaine interaction avec le client VPN. Les dernières entrées utilisées pour le nom et l'adresse IP sont enregistrées et affichées.
Pour les connexions à distance, sélectionnez l'onglet Connexion à distance, puis sélectionnez un nom d'entrée VPN à distance à partir de la liste des entrées configurées.
(Facultatif) Entrez le nom d'utilisateur et le mot de passe d'accès à distance si vous ne vous êtes jamais connecté avec cette entrée d'accès à distance ou si votre mot de passe n'a pas été enregistré.
Pour configurer le numéro de téléphone et d'autres propriétés d'appel, sélectionnez Paramètres. Vous pouvez remplacer le numéro de téléphone et le mot de passe d'accès à distance configurés dans l'entrée d'accès à distance en sélectionnant ou en entrant de nouvelles valeurs.
(Facultatif) Si votre ISP utilise la fonction de proxy RADIUS pour authentifier les utilisateurs, cliquez sur Utiliser un nom NetWare et affectez au Domaine RADIUS le nom utilisé par l'ISP pour identifier le domaine qui contient l'utilisateur lorsqu'il fait office de proxy de demande d'authentification.
Le nom utilisé pour l'authentification d'accès à distance correspond au nom d'utilisateur NetWare et au contexte suivis du domaine RADIUS que vous entrez. Par exemple, si le nom d'utilisateur est Utilisateur1, le contexte Ingénierie.ACME, et le domaine RADIUS acme.com, alors le nom utilisé pour l'authentification d'accès à distance sera .Utilisateur1.Ingénierie.ACME@acme.com.
Sélectionnez l'onglet Options NetWare et effectuez votre sélection parmi les options suivantes :
REMARQUE : Si vous avez configuré votre logiciel client Novell de façon à ce qu'il utilise le pilote CMD (Compatibility Mode Driver), vous pouvez utiliser ce pilote pour accéder aux services IPX via le réseau VPN, au lieu d'activer IPX.
Cliquez sur l'onglet Programme de lancement pour définir l'application lancée une fois le tunnel codé établi avec le serveur VPN.
Cliquez sur OK pour vous connecter au serveur VPN.
Si l'on vous demande de comparer le résumé des informations d'authentification aux informations distribuées par l'administrateur, cliquez sur OK si les valeurs concordent.
Cette invite ne s'affiche que si vous vous connectez à ce serveur VPN à partir de ce poste de travail pour la première fois ou si le serveur VPN a recréé ses clés.
(Facultatif) Cliquez sur l'onglet État VPN pour visualiser la progression de la connexion VPN.
Une fois la connexion établie, une icône Client VPN apparaît dans la barre des tâches. Double-cliquez sur cette icône pour afficher les statistiques du client VPN pour cette session. Pour plus d'informations sur les statistiques du client VPN, reportez-vous à la documentation en ligne relative au réseau VPN.
Pour mettre fin à votre connexion VPN, double-cliquez sur l'icône Statistiques VPN, puis sur Déconnecter.
Sur les systèmes Windows NT, ne terminez pas votre session en interrompant votre connexion d'accès à distance à l'aide du Moniteur d'accès à distance. Vous devez terminer votre connexion VPN à partir de l'écran Statistiques VPN.
Vous pouvez construire votre réseau VPN client à site de plusieurs façons. Selon la configuration souhaitée, vous devrez effectuer diverses tâches. Les exemples détaillés suivants sont disponibles dans la documentation en ligne relative au réseau VPN :
REMARQUE : Pour configurer correctement un réseau VPN particulier, vous devez absolument vous référer aux exemples de la documentation en ligne relative au réseau VPN. Les exemples contiennent des procédures qui sont requises pour une configuration particulière mais qui ne font pas partie des procédures fournies dans cette publication.