[UAG] Accès VPN

1/ Introduction

Pour faire suite à mon article [UAG] SSL Network Tunneling message : Connection ended, je vais ici décrire les principales étapes pour un accès VPN au travers de Forefront UAG. Je m'attarderais donc plus particulièrement sur les points principaux pour la configuration de ce type d'accès.

2/ Partie commune

Afin d'activer la fonctionnalité d'accès distant VPN SSL au travers du portail (fortement conseillé :)) il faut ajouter une application de type Remote Network Access présent dans la section Client/server and legacy.

3/ Accés VPN (SSTP) pour Windows Vista ou plus

Tout d'abord vous trouverez un rappel sur le fonctionnement du VPN SSTP sur cet article (en anglais) : How SSTP based VPN connection works.

3.1/ Prérequis

Afin que l'utilisateur puisse utiliser le client intégré à Windows pour se connecter à la passerelle VNP, il faudra dans les propriétés du compte Active Directory de ce dernier autoriser les accès pour la section Network Access Permission présent dans l'onglet Dial-in.

 



De plus au niveau de l'assistant de configuration, à l'étape où l'on précise la range d'adresse IP interne on exclus la range d'adresse IP que l'on va allouer plus tard aux clients VPN afin d'éviter un warning / une erreur lors de la validation de la configuration de la fonctionnalité VPN SSTP.

Attention : cette range d'IP devra être la même que l'on configurera dans la section IP Address Assignment plus tard.

3.2/ Configuration du Remote Network Access

Dans le menu Admin > Remote Network Access pour le VPN SSTP tout se passe avec l'option SSL Network Tunneling (SSTP) jusque-là rien de sorcier :).

Afin d'accéder à la configuration on active l'option Enable remote client VPN access, puis dans l'onglet General il faut bien penser à selectioner le trunk auquel on souhaite associer le service VPN sur le bon FQDN publique. On peut aussi selon la politique mise en œuvre modifier la valeur par défaut pour le nombre de connexion parallèles possible avec l'option Maximum VPN client connections.

Dans l'onglet Protocols il faut bien entendu cocher Secure Socket Tunneling Protocol (SSTP).

Dans l'onglet IP Address Assignment pour chaque serveur membre (si l'on est dans une ferme) préciser le pool d'adresse que ce dernier va gérer.

Attention à la remarque du paragraphe 3.1 :).

Enfin dans l'onglet User Groups il est possible de limiter l'accès au service VPN SSTP à un groupe particulier ainsi qu'aux ressources que ces derniers pourront accéder.

4/ Accés VPN (SSL) pour Windows Xp

Dans le menu Admin > Remote Network Access pour le VPN SSL tout se passe avec l'option SSL Network Tunneling encore une fois rien de sorcier :).



 

Afin d'accéder à la configuration on active l'option Activate SSL Network Tunneling, puis dans l'onglet Network Segment il faut bien penser à configurer les éléments suivants :

• Advanced Networking configuration afin de fournir au client VPN les serveurs DNS à utiliser ainsi que la passerelle par défaut
• Dans la colonne Connection Name il faut bien vérifier que l'interface réseau connecté au réseau interne soit bien sélectionnée

Dans l'onglet IP Provisioning j'ai fait ici le choix d'utiliser l'option Corporate IP Addresses et de fournir un pool d'IP pour chaque serveur membre.

 

Onglet Access Control j'ai ici choisi d'utiliser la sortie Internet du client VPN pour toute requête au lieu du serveur proxy d'entreprise.

Onglet Additional Networks il est possible de limiter l'accès au service VPN à des ressources que ces derniers pourront accéder.

Enfin dans l'onglet Advanced les options par défaut seront utilisées.

Le serveur nous informe que certaines IP seront exclues du pool d'IP pour les clients, puis il ne reste plus qu'à activer la configuration.