4. Configurer le client VPN

4.1. Configurer un client MS W'95

  1. Configurez votre routage pour que votre pare-feu Linux soit votre passerelle par défaut :

    1. Ouvrez Panneau de configuration/Réseau ou faites un clic droit sur "Voisinage Réseau" et cliquez sur Propriétés.

    2. Cliquez sur l'onglet Configuration.

    3. Dans la liste des composants réseaux installés, faites un double-clic sur la ligne "TCP/IP -> votre-carte-réseau".

    4. Cliquez sur l'onglet Passerelle.

    5. Entrez l'adresse IP locale de votre pare-feu Linux. Enlevez les autres passerelles.

    6. Cliquez sur le bouton "OK".

  2. Testez le masquage. Par exemple, lancez "telnet le.serveur.de.mail.de.mon.fai smtp" et vous devriez voir la bannière d'accueil du serveur de mail.

  3. Installez et configurez le logiciel de VPN. Pour le logiciel IPsec, suivez les instructions de l'éditeur. Pour PPTP de MS :

    1. Ouvrez Panneau de Configuration/Réseau ou faites un clic droit sur "Voisinage Réseau" et cliquez sur Propriétés.

    2. Cliquez sur l'onglet Configuration.

    3. Cliquez sur le bouton "Ajouter", et cliquez ensuite sur la ligne "Carte".

    4. Sélectionnez "Microsoft" comme constructeur, et ajoutez l'adaptateur "Carte de Réseau Privé Virtuel Microsoft".

    5. Redémarrez lorsque l'ordinateur vous le demande.

    6. Si vous avez besoin de cryptage fort (128 bits), téléchargez la mise à jour pour cryptage fort de DUN 1.3 sur le site sécurisé de MS à l'adresse http://mssecure.www.conxion.com/cgi-bin/ntitar.pl et installez la, redémarrez ensuite quand l'ordinateur vous le demande.

    7. Créez une nouvelle entrée dans votre carnet d'adresse d'appel distant pour votre serveur PPTP.

    8. Sélectionnez l'adaptateur VPN comme périphérique à utiliser, et entrez l'adresse IP internet du serveur PPTP comme numéro de téléphone.

    9. Sélectionnez l'onglet Types de Serveur, et cochez les cases Activer la compression logicielle et Demander un mot de passe crypté.

    10. Cliquez sur le bouton "Paramétrages TCP/IP".

    11. Renseignez les informations concernant l'adresse IP dynamique/statique de votre client comme précisé par l'administrateur de votre serveur PPTP.

    12. Si vous souhaitez avoir accès à votre réseau local pendant que votre connexion PPTP est active, décochez la case "Utiliser la passerelle par défaut pour le réseau distant".

    13. Redémarrez encore quelques fois, juste par habitude... :-)

4.2. Configurer un client MS W'98

  1. Configurez le routage pour que le pare-feu Linux soit votre passerelle par défaut, et testez le masquage comme indiqué plus haut.

  2. Installez et configurez le logiciel de VPN. Pour un logiciel IPsec, suivez les instructions de l'éditeur. Pour PPTP de MS :

    1. Ouvrez Panneau de Configuration/Ajout/Suppression de programme et cliquez sur l'ongletInstallation de Windows.

    2. Cliquez sur l'option Communications et cliquez sur le bouton "Détails...".

    3. Assurez vous que l'option "Réseau Privé Virtuel (VPN)" est cochée. Cliquez alors sur le bouton "OK".

    4. Redémarrez la machine lorsqu'on vous le demande.

    5. Si vous avez besoin d'utiliser du cryptage fort (128 bits), téléchargez la mise à jour sécurité pour le cryptage fort VPN sur le site sécurisé de MS à l'adresse : http://mssecure.www.conxion.com/cgi-bin/ntitar.pl et installez-la, et ensuite redémarrez encore lorsqu'on vous le demande.

  3. Créez et testez une nouvelle entrée pour votre serveur VPN dans votre carnet d'adresse d'appel distant, comme décrit plus haut.

4.3. Configurer un client MS W'ME

Je n'en ai pas vu pour l'instant. Je suppose que la procédure est très proche de celle pour W'98. Quelqu'un pourrait-il me dire quelles sont les différences, s'il y en a ? Merci.

4.4. Configurer un client MS NT

Note: cette section peut être incomplète car ça fait
un petit moment que je n'ai pas installé PPTP sur un système NT.

  1. Configurez votre routage pour que le pare-feu Linux soit votre passerelle par défaut :

    1. Ouvrez Panneau de Configuration/Réseau ou faites un clic droit sur "Voisinage Réseau" et cliquez sur Propriétés.

    2. Cliquez sur l'onglet Protocoles et faites un double-clic sur la ligne "Protocole TCP/IP".

    3. Entrez l'adresse IP locale de votre pare-feu Linux dans la zone de dialogue "Passerelle par défaut".

    4. Cliquez sur le bouton "OK".

  2. Testez le masquage. Par exemple, lancez "telnet le.serveur.de.mail.de.mon.fai smtp" et vous devriez voir apparaître la bannière d'accueil du serveur de mails.

  3. Installez et configurez le logiciel VPN. Pour un logiciel IPsec, suivez les instructions de l'éditeur. Pour PPTP de MS :

    1. Ouvrez Panneau de Configuration/Réseau ou faites un clic droit sur "Voisinage Réseau" et cliquez sur Propriétés.

    2. Cliquez sur l'onglet Protocoles.

    3. Cliquez sur le bouton "Ajouter", et faites ensuite un double-clic sur la ligne "Point to Point Tunneling Protocol".

    4. Quand on vous demande les numéros de Réseaux Virtuels Privés, entrez les numéros des serveurs PPTP que vous pouvez potentiellement joindre.

    5. Redémarrez lorsqu'on vous le demande.

    6. Si vous avez besoin d'utiliser du cryptage fort (128 bits), téléchargez la mise à jour de PPTP pour cryptage fort sur le site sécurisé de MS à l'adresse http://mssecure.www.conxion.com/cgi-bin/ntitar.pl et installez la, puis redémarrez lorsqu'on vous le demande.

    7. Créez une nouvelle entrée dans votre carnet d'adresse d'appel distant pour votre serveur PPTP.

    8. Sélectionnez l'adaptateur VPN comme périphérique à utiliser, et entrez l'adresse IP internet du serveur PPTP comme numéro de téléphone.

    9. Sélectionnez l'onglet Types de Serveur et cochez les cases Activer la compression logicielle et Demander un mot de passe crypté.

    10. Cliquez sur le bouton "Paramètres TCP/IP".

    11. Renseignez les informations concernant l'adresse IP dynamique/statique de votre client comme précisé par l'administrateur de votre serveur PPTP.

    12. Si vous souhaitez avoir accès à votre réseau local pendant que la connexion PPTP est active, regardez L'article de la Base de Connaissances MS Q143168 pour modifier la base de registres. (Hum.)

    13. Assurez vous d'avoir ré-appliqué le dernier Service Pack, pour être sûr que les librairies RAS et PPTP sont à jour en ce qui concerne la sécurité et les performances.

4.5. Configuration pour du routage réseau à réseau

A écrire.

Vous devriez vraiment jeter un oeil sur FreeS/WAN (IPsec pour Linux) à l'adresse http://www.xs4all.nl/~freeswan/ plutôt que de faire du masquage.

4.6. Masquer des VPNs basés sur SecuRemote de CheckPoint

Il est possible de masquer le trafic VPN basé sur SecuRemote de Checkpoint à certaines conditions.

Pour commencer, vous devez configurer le pare-feu SecuRemote pour autoriser les sessions masquées. Sur le pare-feu SecuRemote, faites ce qui suit.

  1. Exécutez fwstop

  2. Éditez $FWDIR/conf/objects.C et après la ligne ":props (", ajoutez ou modifiez les lignes suivantes pour avoir
    :userc_NAT (true)
    :userc_IKE_NAT (true)

  3. Exécutez fwstart

  4. Réinstallez votre politique de sécurité.

  5. Vérifiez que les changements ont été pris en compte en vérifiant $FWDIR/conf/objects.C et $FWDIR/database/objects.C

Si vous utilisez les protocoles IPsec (appelés "IKE" par CheckPoint) vous n'avez pas besoin de faire autre chose pour masquer le trafic VPN. Configurez simplement votre passerelle de masquage pour masquer le trafic IPsec comme décrit plus haut.

Le protocole propriétaire FWZ de CheckPoint est plus compliqué. Il y a deux modes dans lesquels FWZ peut être utilisé : le mode encapsulé, et le mode de transport. En mode encapsulé, la vérification d'intégrité est faite sur l'ensemble du paquet IP, comme avec le protocole AH d'IPsec. Changer l'adresse IP casse cette garantie d'intégrité, donc les tunnels FWZ encapsulés ne peuvent pas être masqués.

En mode transport, seule la portion du paquet contenant les données est cryptée, et les entêtes IP ne sont pas vérifiés pour voir s'ils ont été modifiés. Dans ce mode, le masquage doit fonctionner avec les modifications indiquées plus haut.

La configuration pour choisir entre le mode encapsulé ou le mode transport se fait via l'IHM FireWall-1. Dans l'objet réseau correspondant au pare-feu, sur l'onglet VPN, éditez les propriétés FWZ. Le troisième onglet dans les propriétés FWZ vous permet de choisir le mode encapsulé.

Vous ne pourrez masquer qu'un seul client à la fois.

Vous trouverez de plus amples informations aux adresses :