Mac OS X Server - Gestion du service VPN

background image

Gestion du service VPN

Utilisez la sous-fenêtre VPN afin d’activer ou de désactiver le service d’accès à distance
VPN, de vérifier ou de modifier le secret VPN, de définir la plage d’adresses IP pour les
utilisateurs VPN ou d’enregistrer un ficher de configuration VPN pour les utilisateurs
Mac OS X.

À propos du service VPN

Le service VPN (virtual private network) permet aux utilisateurs de se connecter à votre
réseau depuis chez eux ou depuis d’autres endroits distants via Internet. Les utilisateurs
établissent une connexion VPN sécurisée pour accéder à des services tels que le
partage de fichiers, le carnet d’adresses, la messagerie, iChat, iCal et le web.

background image

174

Chapitre 9

Personnalisation des services

Pour assurer la confidentialité, l’authentification et l’intégrité des communications, le
service VPN utilise le protocole L2TP et un secret partagé.

Un secret partagé sécurisé est généré automatiquement lorsque vous configurez
votre serveur. Le secret partagé n’est pas utilisé pour authentifier les utilisateurs des
ordinateurs clients lors de la connexion VPN. Il permet néanmoins au serveur de se fier
aux ordinateurs clients qui disposent du secret partagé et inversement.

Serveur et ordinateurs clients doivent disposer du secret partagé. Un ordinateur
exécutant Mac OS X 10.6 peut obtenir automatiquement le secret partagé et être
configuré pour établir des connexions au service VPN du serveur. Consultez la rubrique
« Configuration automatique des Mac des utilisateurs » à la page 125.

Les autres ordinateurs Mac et Windows peuvent être configurés de différentes façons
pour se connecter au service VPN. Consultez les rubriques « Configuration d’une
connexion VPN pour les utilisateurs Mac » à la page 137 et « » à la page 139.

Le service VPN et le coupe-feu de votre serveur peuvent tous deux autoriser l’accès
aux services à partir de l’extérieur de votre réseau local. Toutefois, le service VPN exige
une authentification pour autoriser l’accès, contrairement au coupe-feu. Si le service
VPN est activé, il peut être inutile d’exposer certains services à Internet via votre coupe-
feu. Par exemple, vous pouvez configurer le coupe-feu pour exposer uniquement vos
services web sur Internet, si bien que le public peut afficher vos wikis et vos sites web
personnalisés (sous réserve de l’authentification et des restrictions d’accès que vous
imposez). Les utilisateurs de votre serveur peuvent accéder à d’autres services (partage
de fichiers, Carnet d’adresses, iCal, iChat et messagerie) au moyen d’une connexion
VPN.

background image

175

Chapitre 9

Personnalisation des services

Si vous souhaitez autoriser l’accès au service VPN sur Internet et si vous disposez d’un
routeur câble, d’un routeur DSL ou d’un autre routeur de réseau :

Votre routeur doit être configuré pour la redirection de ports (mappage de ports)

Â

utilisés par le service VPN. Pour en savoir plus, consultez la rubrique « Protection d’un
petit réseau » à la page 41.
Votre routeur et les routeurs des utilisateurs VPN doivent être configurés de façon

Â

à ne pas attribuer d’adresses IP en conflit. Pour en savoir plus, consultez la rubrique
« Fourniture d’un service VPN via un routeur Internet » à la page 179.

Si vous souhaitez autoriser l’accès au service VPN à l’extérieur de votre réseau local et
si ce dernier comporte un coupe-feu séparé, demandez à l’administrateur de ce coupe-
feu de l’ouvrir pour les ports et les protocoles utilisés par ce service. Pour obtenir la liste
des ports, consultez l’annexe « Services et ports » à la page 209.

Modification du secret partagé VPN

Vous pouvez utiliser Préférences du serveur pour modifier le secret partagé utilisé par
le serveur et un ordinateur client pour l’authentification lors de l’établissement d’une
connexion VPN. Le fait de changer régulièrement de secret partagé améliore la sécurité
VPN mais n’est pas très pratique car les utilisateurs doivent également modifier le
secret partagé sur les ordinateurs qu’ils utilisent pour les connexions VPN.

Pour modifier le secret partagé VPN :

1

Dans la sous-fenêtre VPN de Préférences du serveur, cliquez sur Édition.

2

Sélectionnez « Afficher le secret partagé » afin de pouvoir lire le secret, saisissez un

nouveau secret et cliquez sur OK.

background image

176

Chapitre 9

Personnalisation des services

Un secret partagé doit comporter au moins 8 caractères (de préférence 12 ou plus)
comprenant des lettres, des chiffres et des symboles, mais pas d’espace. Initialement, un
secret partagé est constitué de 32 caractères aléatoires.
Vous pouvez utiliser Assistant mot de passe pour vous aider à composer un nouveau
secret partagé. Activez temporairement la sous-fenêtre Utilisateurs, cliquez sur
Compte, sur « Réinitialiser le mot de passe », sur le bouton Clé situé à droite du champ
« Nouveau mot de passe », puis sur Annuler et revenez à la sous-fenêtre VPN. Assistant
mot de passe reste ouvert et vous pouvez l’utiliser pour générer un nouveau secret
partagé que vous copiez depuis le champ Suggestion et collez dans le champ Secret
partagé.

Après avoir changé leur secret, tous les utilisateurs VPN doivent procéder au même
changement dans leur configuration VPN. Pour obtenir des informations sur cette
modification, consultez la rubrique « » à la page 139.

Création d’un fichier de configuration VPN

Vous pouvez utiliser Préférences du serveur pour générer un fichier que les utilisateurs
Mac peuvent ouvrir pour créer automatiquement une configuration VPN. Après avoir
créé la configuration VPN, l’utilisateur peut établir une connexion VPN au serveur et à
son réseau via Internet. Le fichier de configuration fonctionne avec Mac OS X 10.3 ou
ultérieur.

Pour générer un fichier de configuration VPN :

1

Dans la sous-fenêtre VPN de Préférences du serveur, cliquez sur Enregistrer sous,

sélectionnez un emplacement pour le fichier de configuration VPN, puis cliquez sur
Enregistrer.

background image

177

Chapitre 9

Personnalisation des services

2

Distribuez le fichier de configuration enregistré aux utilisateurs qui ont besoin de

configurer une configuration VPN sur leur Mac.

Pour configurer un Mac, il suffit à un utilisateur d’ouvrir le fichier de configuration VPN
que vous avez généré. L’ouverture de ce fichier entraîne l’ouverture soit de la sous-
fenêtre Réseau de Préférences Système, soit de Connexion à Internet (selon la version
de Mac OS X), puis l’importation d’une configuration VPN avec toutes les informations
nécessaires à l’établissement d’une connexion VPN, à l’exception du nom et du mot
de passe de compte utilisateur sur le serveur. Si Connexion à Internet demande à
l’utilisateur où placer la configuration importée, celui-ci doit sélectionner VPN (L2TP).
L’utilisateur ne doit pas sélectionner VPN (PPTP) ou toute autre option.

Lorsque les préférences Réseau ou Connexion à Internet ont terminé l’importation de
la configuration VPN, l’utilisateur doit saisir un nom de compte et éventuellement un
mot de passe qui sont enregistrés dans la configuration VPN au moment où il quitte
l’application. Si l’utilisateur enregistre le nom et le mot de passe comme faisant partie
de la configuration VPN, toute personne utilisant l’ordinateur en question pourra ouvrir
automatiquement une session pour établir une connexion VPN à votre serveur.

Par mesure de sécurité, vous pouvez demander aux utilisateurs de taper leur nom de
compte mais pas leur mot de passe, puis de quitter l’application (Préférences Système
ou Connexion à Internet). Si les utilisateurs n’enregistrent pas de mot de passe dans
la configuration VPN sur leur ordinateur, il leur sera demandé d’ouvrir une session à
chaque fois qu’ils établiront une connexion à votre serveur.

Pour obtenir les informations à transmettre aux utilisateurs et leur expliquer comment
utiliser le fichier de configuration VPN, consultez la rubrique « Configuration d’une
connexion VPN pour les utilisateurs Mac » à la page 137.

background image

178

Chapitre 9

Personnalisation des services

Modification de la plage d’adresses IP pour le VPN

Vous pouvez utiliser Préférences du serveur afin de modifier la plage d’adresses
réservées par le serveur pour les attribuer aux ordinateurs distants qui se connectent
au serveur via VPN. Vous pouvez, par exemple, étendre cette plage pour rendre plus
d’adresses IP disponibles pour les connexions VPN.

Important :

Il s’agit d’adresses présentes sur le réseau du serveur, qui ne peuvent

pas être utilisées par d’autres ordinateurs ou périphériques sur le réseau. Cette plage
d’adresses ne doit comporter aucune adresse IP statique utilisée sur le réseau ni
empiéter sur la plage d’adresses IP attribuées par le serveur DHCP.

Pour modifier la plage d’adresses IP du service VPN :

1

Dans la sous-fenêtre VPN de Préférences du serveur, modifiez la première et la dernière

adresse IP de la plage, ou les deux.
La plage d’adresses doit être suffisamment large pour pouvoir inclure le nombre
maximum d’ordinateurs distants simultanément connectés via VPN. Le service VPN
attribue une adresse IP à un ordinateur distant pour la durée de la connexion VPN et
récupère l’adresse attribuée lorsque cet ordinateur se déconnecte.

2

Si vous disposez d’une borne d’accès AirPort ou d’un autre routeur Internet (passerelle)

qui fournit le service DHCP, il peut s’avérer nécessaire d’adapter sa plage d’adresses IP
de sorte que les plages d’adresses DHCP et VPN ne se chevauchent pas.
Pour configurer une borne d’accès AirPort, utilisez Utilitaire AirPort (dans /Applications/
Utilitaires/). Pour obtenir des informations sur la modification des réglages d’un routeur
Internet, consultez la documentation du routeur.

background image

179

Chapitre 9

Personnalisation des services

L’adresse IP attribuée par le service VPN à un ordinateur distant pour sa connexion
VPN ne remplace pas l’adresse IP déjà utilisée par cet ordinateur pour se connecter à
Internet. L’ordinateur distant conserve cette adresse IP et toute autre adresse IP qu’il
utilise et ajoute l’adresse IP qui lui est attribuée pour le VPN.

Fourniture d’un service VPN via un routeur Internet

Si votre serveur propose le service VPN via une borne d’accès AirPort Extreme, une
Time Capsule ou un routeur de réseau configuré pour partager une connexion Internet
et si les ordinateurs des utilisateurs doivent établir des connexions VPN via leur propre
borne d’accès ou routeur domestique, votre serveur doit se trouver sur un sous-réseau
IP différent de celui des ordinateurs personnels des utilisateurs VPN. Pour éviter ce
conflit, faites en sorte que l’adresse IP de votre serveur ne commence pas par les
même trois nombres (par exemple 10.0.1 ou 192.168.1) que les adresses IP des réseaux
domestiques des utilisateurs VPN.

En demandant aux utilisateurs de modifier leur propre adresse réseau :
Vous pouvez demander aux utilisateurs VPN de modifier leur adresse IP sur leur réseau

m

domestique ou sur d’autres réseaux locaux afin qu’elle ne commence pas par les
mêmes trois nombres que les adresses IP de votre réseau local.
Par exemple, si votre adresse IP locale commence par 192.168.1, demandez aux
utilisateurs VPN d’utiliser des adresses IP commençant par 192.168.2 sur leur réseau
domestique. Les réseaux privés peuvent utiliser les adresses commençant par des
valeurs comprises entre 192.168.0 et 192.168.254, 10.0.0 et 10.254.254, ainsi que 172.16.0
et 172.31.254. Dans tous les cas, utilisez le masque de sous-réseau 255.255.255.0.

background image

180

Chapitre 9

Personnalisation des services

En modifiant vos adresses de réseau local :
Au lieu de demander aux utilisateurs VPN de modifier leur adresse de réseau
domestique, vous pouvez modifier l’adresse IP de tous les périphériques présents sur
le réseau local de votre serveur. Cela concerne votre borne d’accès AirPort ou autre
routeur, votre serveur et les autres ordinateurs.
Modifiez vos adresses IP locales afin que votre sous-réseau IP soit différent de la plupart

m

des valeurs par défaut pour les bornes d’accès et autres routeurs : 10.0.1, 192.168.0 et
192.168.1.
Il vous suffit de choisir un nombre différent, compris entre 2 et 254, pour le troisième
nombre de vos adresses IP locales. Par exemple, si les adresses IP de votre réseau local
commencent par 192.168.1, remplacez-les par 192.168.58 ou 192.168.177. Si vos adresses
IP locales commencent par 10.0.1, remplacez-les par 10.0.29 ou 10.0.103. Vous pouvez
également utiliser les valeurs 172.16.0 à 172.31.255. Dans tous les cas, utilisez le masque
de sous-réseau 255.255.255.0.
Veillez à modifier les adresses IP utilisées par votre borne d’accès AirPort, par d’autres
routeurs Internet ou celles que votre serveur DHCP attribue aux ordinateurs de votre
réseau. Pour procéder à ces modifications sur une borne d’accès AirPort, utilisez
Utilitaire AirPort (qui se trouve dans /Applications/Utilitaires/). Pour obtenir des
instructions, ouvrez Utilitaire AirPort, puis consultez le menu Aide. Pour obtenir des
informations sur la configuration d’un autre type de routeur ou de passerelle Internet,
consultez la documentation correspondante.
Pour obtenir des informations sur la modification de l’adresse IP de votre serveur,
consultez la rubrique « Modification de l’adresse IP de votre serveur » à la page 187.

background image

181

Chapitre 9

Personnalisation des services