Comment configurer une connexion VPN entrante avec Windows pour tunneler le trafic Internet?

19

Je souhaite configurer un VPN sur un serveur distant pour acheminer tout mon trafic Internet pour des raisons de confidentialité. Je peux configurer une connexion entrante et me connecter avec succès. Le problème est que je peux juste voir l'ordinateur distant et aucun autre site Web ne s'ouvrira. Je veux que le serveur distant agisse comme un NAT. Comment puis je faire ça?

Notez que je ne souhaite pas diviser le trafic Internet. En fait, je veux envoyer tout le trafic vers le serveur distant, mais je dois le faire relayer le trafic.

Pour mémoire, mon serveur distant est Windows Web Server 2008 qui n'a pas de service de routage et d'accès à distance.

Clarification

Je suis principalement intéressé par la configuration du serveur. Je n'ai aucun problème à configurer le client. Soit dit en passant, Windows Web Server 2008 semble avoir les mêmes fonctionnalités VPN intégrées dans les systèmes d'exploitation client (comme Vista) et en particulier, il n'inclut pas la console RRAS dans MMC. Je suis également ouvert aux suggestions concernant les démons PPTP / L2TP tiers disponibles, s'ils sont gratuits.

windows-server-2008 vpn tunneling route xmm0
la source
1
Et c'est parti! L'une des premières (ou probablement la première) question de prime sur ServerFault!
xmm0
Et comment avez-vous mis en place une prime de 100 lorsque vous en avez 63?
Tim Post
C'est la réputation de l'après-prime.
xmm0
Mise à jour: bien qu'aucune des réponses n'ait résolu le problème, la réponse acceptée associée au jeu avec routele client et à l'utilisation d'ICS sur le serveur est susceptible de le faire fonctionner. J'essaierai dès que j'aurai le temps et publierai une solution si je pouvais en trouver une. En attendant, les nouvelles idées sont très appréciées.
xmm0
Juste pour ajouter quelques informations aux réponses: je l'ai testé sur Windows 2008 Ultimate sans installer RRAS et cela n'a pas fonctionné non plus Si quelqu'un connaît un logiciel remplaçant le RRAS intégré pour configurer PPTP / L2TP, il serait utile
Alireza Rinan

Réponses:

4

Vous avez pu créer une connexion VPN d'accès à distance entre Vista et Windows Web Server 2008 sans le rôle de serveur de stratégie réseau? Si c'est le cas, je suis curieux de savoir à quoi ressemblait le sous-réseau / IP pour le client dans ce scénario une fois le tunnel ouvert.

Si vous avez un VPN, vous avez transféré votre domaine problématique d'un VPN à un routage. Je suis assez confiant que vous serez en mesure de combler les connexions à l'aide de l'édition Web et que vous pouvez également utiliser le partage de connexion Internet . Sinon, il existe des programmes de «partage Internet» bon marché et peut-être gratuits ( NAT32 ).

Cela suppose que votre ordinateur client dispose d'une adresse IP sur le réseau (interne?) Du serveur.

En outre, lorsque vous parlez de trafic Internet, il est possible que votre définition n'inclue que le trafic proxy. Dans ce cas, vous pouvez à nouveau déplacer le domaine du routage vers le proxy et utiliser un serveur proxy gratuit lié à l'IP à l'autre extrémité du tunnel.

Mike Haboustak
la source
NAT32 est une excellente suggestion. Je pense que je devrais le regarder. L'IP peut être définie manuellement mais le problème vient de la passerelle par défaut. Je ne peux pas comprendre comment définir la passerelle par défaut sur la connexion (ou demander au serveur de le dire au client). Je pense que si je peux le faire, avec NAT32, cela fonctionnera. +1
xmm0
Comment obtenez-vous un serveur PPTP / VPN sans le RRAS de NPS? Savoir cela pourrait nous aider à découvrir des solutions pour la passerelle et le routage ICS.
Mike Haboustak
J'utilise la fonction de connexion entrante qui était disponible même dans les systèmes d'exploitation clients. Il n'y a pas de console RRAS.
xmm0
10

Cela se produira par défaut si le VPN est correctement configuré.

Lorsque vous établissez une connexion VPN à partir de Windows CLIENT, une option avancée appelée Use Default Gateway on Remote Networkest cochée par défaut.

Par exemple, sous Windows XP:

  • Accédez à Connexions réseau
  • Faites un clic droit sur votre connectoïde VPN
  • Choisissez Propriétés
  • Accédez à l'onglet Réseau
  • Choisissez Protocole Internet (TCP / IP) dans la liste
  • Cliquez sur PROPRIÉTÉS
  • Cliquez sur Avancé
  • Dans l'onglet Général, cochez Use Default Gateway on Remote Network

Il est possible que la passerelle par défaut ne soit pas configurée correctement sur votre serveur distant.

Joel Spolsky
la source
Merci Joel. Je pense que vous avez raison et le problème est sur le serveur, car j'avais correctement configuré un serveur VPN avec Win2k3 Std Ed. Console RRAS et cela a bien fonctionné. De plus, je ne vois aucune passerelle IPv4 par défaut attribuée au client (dans l'état de la connexion). Le problème est, comment puis-je configurer le serveur pour donner la passerelle par défaut correcte au client? On dirait que Win2k8 Web a uniquement des connexions entrantes XP / Vista (client-OS) et aucune console RRAS. Des idées?
xmm0
Je n'ai jamais utilisé l'édition Web Win2k8 ... il y a probablement une solution de contournement que je ne connais tout simplement pas, je le crains, mais cette version du serveur est spécialement conçue JUSTE pour servir des pages Web, donc pour tout ce que je sais pourrait manquer des fonctionnalités de routage qui rendraient cela possible.
Joel Spolsky
@Joel, est logique du point de vue de la sécurité. Empêcher un serveur Web d'agir même en tant que routeur en fait une cible moins utile pour les attaques.
saschabeaumont
1
Je ne l' ai jamais essayé sur quoi que ce soit au- dessus de XP, mais ce reg bidouille utilisé pour activer le routage IP , même sur OS non-serveur support.microsoft.com/kb/315236 - pourrait aider, altho je pense que vous auriez encore pour permettre NAT en quelque sorte?
Fouetter
1
Juste une petite note - le serveur VPN n'agira pas comme NAT, le client VPN prendra une IP de votre serveur DHCP puis passera par votre passerelle par défaut, qui sera NAT. Ainsi, lorsque le client se connecte aux ressources de votre réseau, il apparaîtra à partir de cette adresse DHCP, pas de l'adresse du serveur VPN. C'est une bonne chose.
Cawflands
4

Malheureusement, vous ne pouvez pas installer RRAS sur Server 2008 Web Edition, ce n'est pas un rôle autorisé. Il vous faudrait donc utiliser une application tierce, Open VPN est l'une des plus courantes et celle que j'ai utilisée avec succès sur le serveur 2003 auparavant.

Une fois que vous avez cette configuration, les conseils de Joel pour la configuration du client vous assureront que votre trafic Web passe par le VPN.

Sam Cogan
la source
OpenVPN prend-il en charge PPTP ou L2TP ou utilise-t-il son propre protocole? Je dois également me connecter à l'aide de mon iPhone, il ne devrait donc pas nécessiter de client.
xmm0
Le VPN ouvert utilise Ipsec, nécessite donc son propre client, qui n'existe pas pour l'iPhone. Malheureusement, les choix de serveurs VPN pour Windows sont un peu limités.
Sam Cogan
1
OpenVPN n'utilise pas IPSec, il utilise SSL.
pc1oad1etter
1

Il peut y avoir une place spéciale dans le purgatoire pour les personnes UNIX qui font des suggestions dans le sens suivant, mais je les ai utilisées à des fins similaires à la vôtre (obtenir en toute sécurité des données limitées aux plages IP aux États-Unis et à Mexico):

Installez OpenSSH sur le serveur, voici comment vous pouvez le faire sur Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (j'ai remarqué qu'il s'agit d'un TLD .il, si c'est un problème de l'Iran, essayez de chercher le cache ou je peux le republier si vous laissez un commentaire. Peut-être aussi un exemple de la raison pour laquelle nous avons besoin d'un accès Internet sans frontières sécurisé.)

Créez une connexion ssh dynamique à l'aide de Putty . Voici des instructions et une explication .

Pointez votre navigateur, votre client de messagerie, etc. vers le proxy local. En effet, ce que vous faites est le suivant: vous ouvrez une session ssh dynamique sur l'hôte distant. Vous disposez d'un proxy local auquel cette connexion est liée. Vous faites toutes les demandes à ce proxy local, le proxy fait ensuite une demande cryptée au serveur, le serveur récupère et renvoie tout ce que vous avez demandé au monde extérieur via un tunnel sécurisé au proxy local et de là à votre application. Vous pouvez confirmer que cela fonctionne en ouvrant un site Web qui fournit la géolocalisation des adresses IP. Je suis sûr qu'il peut aussi être automatisé. (Si c'est une chose absolument abominable à faire sur un serveur Windows, faites-le moi savoir dans les commentaires.)

bvmou
la source
0

C'est un fil plutôt ancien mais je me suis retrouvé à chercher une réponse à cette même question exacte également. J'ai trouvé quelques choses lors de mes recherches. Je poste ici juste pour ajouter à ces informations, donc au cas où quelqu'un d'autre chercherait des réponses, il pourrait les trouver ici.

Tout d'abord, il y a un service gratuit disponible sur www.itshidden.com qui vous permet de vous connecter à leurs serveurs vpn. Une fois connecté, tout votre trafic Internet est acheminé via cette interface VPN. La configuration initiale et la connexion sont assez faciles; toute installation moderne de Windows 2000 / XP / Vista et plus a le logiciel client VPN déjà intégré. Le seul inconvénient est que leurs serveurs sont stationnés en europe donc vos paquets ont pas mal de façons de voyager. J'avais besoin de quelque chose de plus proche de chez moi pour réduire la latence des paquets et le ping et en tant que tel, ce n'était pas la solution idéale. Alors j'ai continué à chercher ...

Lors de ma recherche continue, j'ai trouvé le firmware dd-wrt. La création d'un serveur VPN directement sur le routeur lui-même s'avère être l'une des fonctionnalités intéressantes de dd-wrt. La configuration est assez simple et directe: définissez l'IP du serveur VPN du routeur, définissez les plages IP possibles pour les clients et les informations de connexion du client VPN. Tout cela se fait à partir de la configuration du routeur dd-wrt via le navigateur. La configuration du client VPN suit les mêmes procédures que celles décrites sur www.itshidden.com, avec une IP de serveur VPN différente bien sûr.

Enfin, j'ai également tenté de faire de l'un des ordinateurs un serveur vpn en utilisant la méthode d'acceptation des connexions entrantes comme l'OP. Les clients VPN et le serveur peuvent se cingler, mais le problème est que je n'ai pas pu obtenir le serveur VPN pour acheminer correctement le trafic Internet des clients. J'ai essayé de jouer avec la table de routage aux extrémités du client et du serveur. Pour résumer, je ne pouvais pas le faire fonctionner pleinement. Les services de localisation LAN fonctionnent bien (par exemple, un serveur FTP sur un ordinateur LAN), mais je n'ai jamais réussi à acheminer le trafic Internet correctement - peut-être que quelqu'un d'autre pourrait avoir plus de chance.

Donc, dans l'ensemble, si vous avez un routeur qui prend en charge dd-wrt, cela vaut la peine d'être étudié. C'est la solution sur laquelle je me suis installé. La configuration et le travail étaient faciles.


la source