Skip to content


Serveur OpenVPN Linux avec authentification Windows 2003 serveur avec IAS (Radius) et Active Directory

Introduction :

Quelques difficultés peuvent être rencontrées lors de la configuration cliente d'un Linux avec IPSec, alors une solution est de passer sur une serveur VPN OpenVPN.

Ce tutoriel est très inspiré de : http://doc.ubuntu-fr.org/openvpn

Et des tutoriels suivants : http://monblog.system-linux.net/blog/2008/10/28/borne-dacces-avec-authentification-radius-et-un-annuaire-ldap-comptabilite-radius/ , http://monblog.system-linux.net/blog/2010/10/13/serveur-openvpn-linux-avec-authentification-radius-couple-avec-ldap/ et http://www.laboratoire-microsoft.org/articles/network/wpa/4/

vpn_03.png

Pré-requis :

Il faut installer : OpenVPN, Openssl...

Avoir bien suivi et compris : http://monblog.system-linux.net/blog/2010/10/13/serveur-openvpn-linux-avec-authentification-radius-couple-avec-ldap/

Installation et configuration de Windows 2003 Serveur en Active Directory et IAS (Radius) :



  1. - Tout d'abord il faut installer et configurer Active Directory (AD) pour un Domaine Windows type 2000 ou 2003
  2. - Dans le cas présenté ci-dessous : la machine aura l'adresse IP : 10.1.1.250 le nom DNS et Netbios : actwin
  3. - Le domaine windows : act-sln.local ce qui donne un domaine NT4 : ACT-SLN
  4. - La machine lors de l'installation de AD et de pré-paramétrage doit être un nouveau contrôleur de domaine pour un nouveau domaine.
  5. - Celui-ci doit être créé dans une nouvelle Forêt (ceux qui ne sont pas habitués aux traductions Windows 2003 serveur seront surpris ! 🙂 )
  6. - L'étape suivante consiste à indiquer quel domaine l'on choisit : act-sln.local, l'installateur vous propose un nom de domaine NT4 approprié (ACT-SLN) ! Attention pas plus de 15 caractères, netbios étant sur 16 octets dont un pour le type de nœud !
  7. - Les trois étapes suivantes, consistent à indiqué où se trouvera la BDD de AD... Pas de souci le choix par défaut convient !
  8. - Cette étape indique si cette machine est un serveur DNS et comment elle doit ou non résoudre les noms pour d'autres... Je passe celle-ci en lui (mentant) indiquant que je corrigerais le souci ultérieurement !
  9. - Celle-ci indique le ou les types d'autorisations, j'ai choisit 2000 et 2003. Puis viens le mot de passe de restauration... Sans commentaire.
  10. - Là un résumé de vos choix vous est présenté, il ne reste plus qu'à valider...
  11. - A la validation le service s'installe, cela peut prendre un certain temps... Veuillez patienter !
  12. - A l'issue, il vous est demandé de terminer l'installation qui provoquera le re-démarrage de la machine....
  13. - Suite au re-démarrage, il faudra cliquer (une deuxième fois sur terminé)... Mais là c'est effectif.
  14. - La réelle configuration de votre annuaire AD va ici débuter. Il faut lancer le gestionnaire de votre serveur. Aller dans la partie « Contrôleur de domaine (Active Directory) » puis cliquer sur « Gérer le utilisateurs et les ordinateurs dans Active Directory ».
  15. - De là vous avez toute la latitude pour votre configuration, l'important étant qu'il vous faut mettre dans les propriétés des utilisateurs autorisés à ce connecter en VPN, le paramètre « Autoriser l'accès » dans l'onglet « Appel entrant ». De plus afin de préparer à l'avance la configuration du serveur IAS (Radius) il faut créer un groupe contenant ces utilisateurs autorisés.
  16. - Pour cela je crée un conteneur (Unité organisationnelle) « Radius » où je crée un groupe « OpenVPN » dont les membres sont les utilisateurs cités précédemment.
  17. - Passons à l'installation et la configuration des services (Internet Access Services) IAS. Pour cela il faut ajouter un programme Windows, dans le menu « Démarrer – Panneau de configuration – Ajout/Suppression de programmes ». Puis cliquez sur « Ajouter ou supprimer des composants Windows ».
  18. - Vous devez trouver les composants « Services de mise en réseau » puis dans détails trouver « Service d'authentification Internet ». Cliquez sur « OK ». Patientez... L'assistant se termine.
  19. - Partons dans la configuration des services IAS. « Démarrer – Outils d'administration – Services d'authentification Internet ».
  20. - Ici, la fenêtre présente différentes parties...
  21. Services d'authentification Internet (local)

    • Client RADIUS
    • Connexion par accès distant
    • Stratégie d'accès distant
    • Requêtes de connexion en cours de traitement
  22. - En cliquant sur « Client RADIUS » dans la partie droite nous allons créer une entrée pour un nouveaux client RADIUS (NAS) (autorisé à faire des demandes). Cliquez droit dans la partie droite, puis choisissez « Ajoutez un client RADIUS ». Donnez-lui un nom, puis indiquez son adresse IP ou son nom FQDN (DNS). Cliquez sur « Suivant » et choissisez « RADIUS Standard » dans Client-Fournisseur.
  23. - Indiquez la clé pré-partagée : masuperclécachéequepersonnenedoitconnaitre456
  24. - Puis allez dans « Stratégie d'accès distant » et créé une nouvelle stratégie. Nous allons l'appeler « OpenVPN » en laissant coché « Utilisez cet Assistant pour.... ».
  25. - Là vous avez deux solutions, soit choisir « VPN » ou « Sans fil ». La différence se situe dans le fait que certains paramètres seront pré-paramétrés avec sans fil, mais pas avec VPN.
  26. - Prenons « VPN », cochez « Groupe » et allez chercher le groupe voulu « OpenVPN ». Puis cochez « Protocole EAP » , sélectionnez « PEAP » et cochez les deux MS-CHAP. Laissez le niveau de codage. Cliquez sur « Terminez »
  27. - Éditez les propriétés de votre nouvelle stratégie, puis ajoutez des conditions. Peut importe l'ordre, choisissez « Authentification-type » et ajoutez tous les types « CHAP, EAP, etc... »
  28. - Ajoutez une autre condition, qui indiquera que les utilisateurs doivent appartenir au groupe « OpenVPN ». Pour cela on ajoute dans les conditions « Windows-Groups » et on va chercher le groupe « OpenVPN ».
  29. - En aillant validé, on se retrouve sur la boite des propriétés de la stratégie. Cliquez sur « Modifier le profil », onglet navigation et cochez les MS-CHAP, CHAP, PAP, etc...

A yest (sauf erreur ;)) !

Voici en image plus/moins proche, la description d'au-dessus !

thumbs/01-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

01-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/02-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

02-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/03-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

03-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/04-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

04-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/05-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

05-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/06-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

06-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/07-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

07-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/08-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

08-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/09-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

09-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/10-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

10-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/11-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

11-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/12-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

12-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/13-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

13-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/14-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

14-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/15-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

15-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/16-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

16-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/17-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

17-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/18-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

18-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/19-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

19-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/20-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

20-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/21-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

21-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/22-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

22-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/23-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

23-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/24-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

24-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/25-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

25-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/26-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

26-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/27-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

27-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/28-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

28-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/29-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

29-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/30-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

30-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/31-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

31-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/32-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

32-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/33-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

33-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/34-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

34-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/35-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

35-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/36-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

36-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/37-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

37-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/38-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

38-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/39-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

39-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/40-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

40-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/41-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

41-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/42-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

42-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/43-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

43-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/44-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

44-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/45-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

45-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/46-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

46-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/47-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

47-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/48-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

48-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/49-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

49-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/50-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

50-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/51-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

51-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/52-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

52-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/53-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

53-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/54-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

54-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/55-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

55-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/56-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

56-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/57-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

57-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/58-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

58-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/59-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

59-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/60-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

60-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/61-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

61-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/62-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

62-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/63-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

63-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/64-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

64-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/65-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

65-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/66-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

66-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/67-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

67-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/68-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

68-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/69-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

69-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/70-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

70-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/71-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

71-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/72-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

72-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/73-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

73-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/74-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

74-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/75-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

75-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/76-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

76-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/77-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

77-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/77a-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

77a-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/78-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

78-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/79-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

79-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/80-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

80-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/81-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

81-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/82-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

82-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/83-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

83-Linux-OpenVPN-Windows-2003-Radius-AD.png
thumbs/84-Linux-OpenVPN-Windows-2003-Radius-AD.png.png

84-Linux-OpenVPN-Windows-2003-Radius-AD.png

Tout le reste devrait correctement fonctionner. Attardez-vous sur la discussion autour de push route dans l'article : http://monblog.system-linux.net/blog/2010/10/13/serveur-openvpn-linux-avec-authentification-radius-couple-avec-ldap/

J'ai résumé sous forme d'une vidéo l'ensemble de la procédure de configuration vu ci-dessus, téléchargeable ici : Configuration-Radius-Active-Directory

Conclusion :

Avec les tutoriels :

Vous êtes en mesure de voir et prévoir un ensemble de configurations différentes pour le choix de votre VPN...

01_Linux_VPN_Windows_2003_Radius_AD_LinuxIPsecL2TP_WindowsClient.png

Références :

  1. http://www.freebsddiary.org/ipsec-wireless-xp.php
  2. http://www.enterprisenetworkingplanet.com/netsecur/article.php/3489911/Implement-IPSec-on-Windows-Server-2003.htm
  3. http://www.vogelweith.com/debian_server/11_racoon.php
  4. http://www.vogelweith.com/debian_server/10_openvpn.php
  5. http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients.html
  6. http://www.jacco2.dds.nl/networking/openswan-l2tp.html
  7. http://www.jacco2.dds.nl/networking/win2000xp-freeswan.html
  8. http://wiki.openswan.org/index.php/Openswan/Windows
  9. http://pptpclient.sourceforge.net/howto-diagnosis.phtml
  10. http://net.its.hawaii.edu/advanced/make_work/IPSec/Openswan_Windows_x509/index.html
  11. http://poptop.sourceforge.net/dox/skwok/poptop_ads_howto_a5.htm
  12. http://lists.cistron.nl/pipermail/freeradius-users/2008-January/msg00915.html
  13. http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
  14. http://poptop.sourceforge.net/dox/radius_mysql.html
  15. http://network.epfl.ch/vpn/L2TP/WinXP/
  16. http://www.jacco2.dds.nl/networking/openswan-l2tp.html#Openswanconfig
  17. http://www.technos-sources.com/tutorial-vpn-l2tp-layer-tunneling-protocol-ietf-47.aspx
  18. http://www.linktionary.com/l/l2tp.html
  19. http://wiki.freeradius.org/Mac-Auth#raddb.2Fpolicy.conf
  20. http://www.mighty-studio.net/wp-content/uploads/2007/02/vpn-l2tp.pdf
  21. http://y3sy3s.lafibre.org/?q=node/24
  22. http://www.mighty-studio.net/monter-un-vpn-l2tpipsec-avec-certificat-x509/
  23. http://www.wlanfr.net/contenus.php?id=100
  24. http://poptop.sourceforge.net/dox/replacing-windows-pptp-with-linux-howto.phtml
  25. http://sqls.net/wiki/howto:gentoo_linux_l2tp_ipsec_vpn_w_active_directory_radius_x.509_serving_windows_xp_vista_clients

-- Bon VPN --

-- FIN --

Print Friendly, PDF & Email

Posted in Active Directory, Debian, Linux, Technique, Toutes, Windows. Tagged with , , , , .

9 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Eric Deumo said

    Bonjour.
    Très bon travail, mais il n'est pas documenté.
    Pouvons-nous avoir urgemment une version documentée.

    merci.

  2. admin said

    Je pensais le faire, mais toutes ces étapes simples à capturer sont longues à décrire ! 🙂
    Mais je m'y hâterai très prochainement !
    Merci pour l'encouragement !

  3. admin said

    Voilà qui est fait ! 😉

  4. Hola,
    monblog.system-linux.net - da mejor. Guardar va!
    Gracias

    Bottomless

  5. admin said

    ¡Muchas gracias!

  6. Eric Deumo said

    Merci. C'est déjà ca.

  7. As a Newbie, I am always searching online for articles that can help me. Thank you

  8. Thanks a lot for sharing this with all of us you actually know what you are talking about! Bookmarked. Kindly also visit my web site =). We could have a link exchange agreement between us!

  9. admin said

    Hi
    It's ok for me

    Bye

Some HTML is OK

(required)

(required, but never shared)

or, reply to this post via trackback.

Time limit is exhausted. Please reload CAPTCHA.


/* */
Creative Commons License
Cette création par Laurent Besson est mise à disposition selon les termes de la licence Creative Commons Paternité-Partage des Conditions Initiales à l'Identique 2.0 France.