Comment résoudre les quatre principaux problèmes liés aux connexions VPN
Lorsqu'ils fonctionnent, les VPN sont formidables. Quand ils ne fonctionnent pas, vous pouvez devenir fou en essayant de comprendre ce qui ne va pas. Voici quatre des plus gros problèmes liés aux connexions VPN et la façon dont vous pouvez les résoudre.
Les VPN sont passés de l'obscurité à une méthode courante pour relier les réseaux privés entre eux sur Internet. Bien que les VPN soient devenus populaires à l'origine parce qu'ils permettaient aux entreprises d'éviter les dépenses liées à la connexion de réseaux à l'aide de lignes louées dédiées, la raison pour laquelle les VPN sont devenus si populaires est qu'ils ont tendance à être très fiables. Malgré cela, les connexions VPN connaissent parfois des problèmes. Voici plusieurs techniques que vous pouvez utiliser pour dépanner les connexions VPN.
Quel est le problème ?
Il existe quatre types de problèmes qui ont tendance à se produire avec les connexions VPN. Il s'agit de :
Le rejet de la connexion VPN.
L'acceptation d'une connexion non autorisée.
L'impossibilité d'atteindre des endroits situés au-delà du serveur VPN.
L'impossibilité d'établir un tunnel.
1 : La connexion VPN est rejetée.
Le rejet de la connexion d'un client VPN est peut-être le problème VPN le plus courant. Une partie de la raison pour laquelle ce problème est si commun est qu'il y a beaucoup de problèmes qui peuvent causer le rejet d'une connexion. Si votre serveur VPN rejette les connexions des clients, la première chose à faire est de vérifier que le service Routage et Accès à Distance fonctionne. Vous pouvez le vérifier en ouvrant le Panneau de configuration du serveur et en cliquant sur l'icône Outils d'administration, puis sur l'icône Services.
Une fois que vous avez vérifié que les services nécessaires sont en cours d'exécution, essayez d'envoyer un ping au serveur VPN par adresse IP à partir du client VPN. Vous devez d'abord envoyer un ping par adresse IP afin de vérifier que la connectivité TCP/IP de base existe. Si le ping est réussi, faites de nouveau un ping sur le serveur, mais cette fois-ci par le nom de domaine complet du serveur (FQDN) plutôt que par son adresse. Si cette requête échoue alors que la requête d'adresse IP a réussi, il s'agit d'un problème de DNS, car le client ne parvient pas à résoudre le nom du serveur en une adresse IP.
Vérifiez le processus d'authentification
Une fois que vous avez établi qu'il existe une connexion TCP/IP valide entre le client et le serveur VPN, et que la résolution de nom fonctionne correctement, la prochaine chose à vérifier est le processus d'authentification. Comme vous le savez peut-être, il existe de nombreuses méthodes d'authentification différentes pour une connexion VPN. Le client VPN et le serveur VPN doivent avoir au moins une méthode d'authentification en commun.
Vous pouvez vérifier quelles méthodes d'authentification le serveur VPN est configuré pour utiliser en entrant la commande MMC à l'invite Run. Lorsque vous le faites, Windows ouvrira une session vide de Microsoft Management Console. Maintenant, sélectionnez la commande Add / Remove Snap In dans le menu Console. Lorsque vous voyez la feuille de propriétés Ajouter / Supprimer un Snap In, cliquez sur le bouton Ajouter dans l'onglet Standalone. La liste des snap-ins disponibles s'affiche alors. Sélectionnez Routing And Remote Access dans la liste et cliquez sur le bouton Add, puis sur les boutons Close et OK.
Maintenant, le snap-in Routing And Remote Access devrait être ajouté à la console. Cliquez avec le bouton droit de la souris sur la liste de votre serveur VPN et sélectionnez la commande Propriétés dans le menu contextuel qui en résulte. Ceci affichera la feuille de propriétés du serveur. Sélectionnez l'onglet Sécurité et cliquez sur le bouton Méthodes d'authentification. Windows affichera alors une boîte de dialogue contenant toutes les méthodes d'authentification disponibles. Vous pouvez activer ou désactiver les méthodes d'authentification en sélectionnant ou en désélectionnant les cases à cocher appropriées.
La méthode de vérification de la méthode d'authentification du côté client varie en fonction du système d'exploitation du client. Pour un système Windows XP, cliquez avec le bouton droit de la souris sur la connexion VPN et sélectionnez la commande Propriétés dans le menu contextuel qui en résulte. La feuille de propriétés de la connexion apparaît alors. Maintenant, sélectionnez l'onglet Sécurité de la feuille de propriétés, sélectionnez le bouton radio Avancé, et cliquez sur le bouton Paramètres pour révéler les méthodes d'authentification disponibles.
Je préfère généralement utiliser l'authentification Windows dans les environnements VPN, mais RADIUS est également un choix populaire. Si vous utilisez l'authentification RADIUS, vous devez vérifier que le client prend en charge RADIUS et que le serveur VPN n'a aucun problème de communication avec le serveur RADIUS.
Autres éléments à vérifier
Si les méthodes d'authentification semblent être correctement définies, l'étape suivante consiste à vérifier la technique par laquelle le client tente de se connecter au serveur VPN. Si le client se connecte par téléphone au serveur, plutôt que par Internet, il se peut que l'utilisateur distant n'ait pas de privilèges de connexion. Vous pouvez vérifier les privilèges en consultant l'onglet Dial In de la feuille de propriétés de l'utilisateur dans Active Directory Users And Computers, ou en consultant la politique d'accès à distance du domaine. C'est également le moment de vérifier que l'utilisateur sait comment établir une connexion VPN et qu'il utilise le bon nom d'utilisateur et le bon mot de passe.
Cela peut sembler évident, mais si votre domaine fonctionne en mode natif Windows 2000, votre serveur VPN doit être membre du domaine. Si le serveur VPN n'a pas rejoint le domaine, il sera incapable d'authentifier les connexions.
Vous devez également jeter un coup d'oeil aux adresses IP. Chaque connexion VPN basée sur le Web utilise en fait deux adresses IP différentes pour l'ordinateur client VPN. La première adresse IP est celle qui a été attribuée par le FAI du client. C'est l'adresse IP utilisée pour établir la connexion TCP/IP initiale avec le serveur VPN sur Internet. Cependant, une fois que le client se connecte au serveur VPN, ce dernier lui attribue une adresse IP secondaire. Cette adresse IP a le même sous-réseau que le réseau local et permet donc au client de communiquer avec le réseau local.
Au moment où vous configurez le serveur VPN, vous devez soit spécifier que le serveur utilisera un serveur DHCP pour attribuer des adresses aux clients, soit créer une banque d'adresses IP à attribuer aux clients directement depuis le serveur VPN. Dans les deux cas, si le serveur est à court d'adresses IP valides, il sera incapable d'attribuer une adresse au client et la connexion sera refusée.
Pour les environnements dans lesquels un serveur DHCP est utilisé, l'une des erreurs de configuration les plus courantes est de spécifier une NIC incorrecte. Si vous cliquez avec le bouton droit de la souris sur le serveur VPN dans la console Routing And Remote Access et que vous sélectionnez la commande Properties dans le menu contextuel qui en résulte, vous verrez la feuille de propriétés du serveur. L'onglet IP de la feuille de propriétés contient des boutons radio qui vous permettent de sélectionner si un pool d'adresses statiques ou un serveur DHCP sera utilisé. Si vous choisissez l'option de serveur DHCP, vous devez sélectionner l'adaptateur réseau approprié dans la liste déroulante au bas de l'onglet. Vous devez sélectionner un adaptateur réseau qui dispose d'un chemin TCP/IP vers le serveur DHCP.
2 : L'acceptation de connexions non autorisées.
Maintenant que j'ai abordé les raisons pour lesquelles une connexion peut être refusée, examinons le problème inverse dans lequel des connexions non autorisées sont acceptées. Ce problème est beaucoup moins fréquent que le refus de se connecter, mais il est beaucoup plus grave en raison des problèmes de sécurité potentiels.
Si vous regardez la feuille de propriétés d'un utilisateur dans la console Active Directory Users And Computers, vous remarquerez que l'onglet Dial In contient une option permettant de contrôler l'accès par le biais de la politique d'accès à distance. Si cette option est sélectionnée et que la politique d'accès à distance effective est définie pour autoriser l'accès à distance, l'utilisateur pourra se connecter au VPN. Bien que je n'aie pas été en mesure de recréer la situation personnellement, j'ai entendu des rumeurs selon lesquelles un bogue existe dans Windows 2000 qui fait que la connexion est acceptée même si la politique d'accès à distance effective est définie pour refuser la connexion d'un utilisateur, et qu'il est préférable d'autoriser ou de refuser les connexions directement via la console Active Directory Users And Computers.
3 : L'impossibilité d'atteindre des endroits situés au-delà du serveur VPN.
Un autre problème courant du VPN est qu'une connexion est établie avec succès, mais que l'utilisateur distant est incapable d'accéder au réseau situé au-delà du serveur VPN. La cause la plus fréquente de ce problème est que l'utilisateur n'a pas été autorisé à accéder à l'ensemble du réseau. Si vous avez déjà travaillé avec Windows NT 4.0, vous vous souvenez peut-être d'un paramètre dans RAS qui vous permettait de contrôler si un utilisateur avait accès à un seul ordinateur ou à l'ensemble du réseau. Ce paramètre particulier n'existe pas dans Windows 2000, mais il existe un autre paramètre qui fait la même chose.
Pour permettre à un utilisateur d'accéder à l'ensemble du réseau, allez dans la console Routing And Remote Access et cliquez avec le bouton droit de la souris sur le serveur VPN qui pose problème. Sélectionnez la commande Propriétés dans le menu contextuel résultant pour afficher la feuille de propriétés du serveur, puis sélectionnez l'onglet IP de la feuille de propriétés. En haut de l'onglet IP se trouve une case à cocher Activer le routage IP. Si cette case est cochée, les utilisateurs VPN et RAS pourront accéder au reste du réseau. Si la case n'est pas cochée, ces utilisateurs ne pourront accéder qu'au serveur VPN, mais rien au-delà.
Le problème peut également être lié à d'autres problèmes de routage. Par exemple, si un utilisateur se connecte directement au serveur VPN, il est généralement préférable de configurer une route statique entre le client et le serveur. Vous pouvez configurer une route statique en allant dans l'onglet Dial In de la feuille de propriétés de l'utilisateur dans Active Directory Users And Computers, et en cochant la case Apply A Static Route. Windows affiche alors la boîte de dialogue Static Routes. Cliquez sur le bouton Ajouter une route, puis saisissez l'adresse IP de destination et le masque réseau dans l'espace prévu à cet effet. La métrique doit être laissée à 1.
Si vous utilisez un serveur DHCP pour attribuer des adresses IP aux clients, il existe quelques autres problèmes qui peuvent empêcher les utilisateurs d'aller au-delà du serveur VPN. L'un de ces problèmes est celui des doublons d'adresses IP. Si le serveur DHCP attribue à l'utilisateur une adresse IP qui est déjà utilisée ailleurs sur le réseau, Windows détectera le conflit et empêchera l'utilisateur d'accéder au reste du réseau.
Un autre problème courant est que l'utilisateur ne reçoit pas d'adresse du tout. La plupart du temps, si le serveur DHCP ne peut pas attribuer d'adresse IP à l'utilisateur, la connexion n'ira pas jusque-là. Cependant, il existe des situations dans lesquelles l'attribution d'une adresse échoue, et Windows attribue alors automatiquement à l'utilisateur une adresse de la plage 169.254.x.x. Si le client se voit attribuer une adresse dans cette plage, mais que cette plage d'adresses n'est pas présente dans les tables de routage du système, l'utilisateur ne pourra pas naviguer sur le réseau au-delà du serveur VPN.
4 : Difficulté à établir un tunnel.
Si tout semble bien fonctionner, mais que vous ne parvenez pas à établir un tunnel entre le client et le serveur, il y a deux possibilités principales de ce qui pourrait causer le problème. La première possibilité est qu'un ou plusieurs des routeurs impliqués effectuent un filtrage de paquets IP. Le filtrage des paquets IP pourrait empêcher le trafic du tunnel IP. Je recommande de vérifier l'absence de filtres de paquets IP sur le client, le serveur et toutes les machines intermédiaires. Pour ce faire, cliquez sur le bouton Avancé de la feuille de propriétés TCP/IP de chaque machine, sélectionnez l'onglet Options de la feuille de propriétés Paramètres TCP/IP avancés, sélectionnez Filtrage TCP/IP, puis cliquez sur le bouton Propriétés.
L'autre possibilité est qu'un serveur proxy se trouve entre le client et le serveur VPN. Un serveur proxy effectue une traduction NAT sur tout le trafic circulant entre le client et l'Internet. Cela signifie que les paquets semblent provenir du serveur proxy plutôt que du client lui-même. Dans certains cas, cette interaction peut empêcher l'établissement d'un tunnel, surtout si le serveur VPN s'attend à ce que le client ait une adresse IP spécifique. Vous devez également garder à l'esprit que beaucoup de serveurs proxy anciens ou bas de gamme (ou de pare-feu NAT) ne prennent pas en charge les protocoles L2TP, IPSec ou PPTP qui sont souvent utilisés pour les connexions VPN.