IPSec pour Windows 

Créer des tunnels IPSec compatibles au réseau HamWlan...

Les tunnels VPN utilisés par notre réseau expérimental fonctionnent en IPSec.

Ces tunnels permettent de relier deux points entre eux par un VPN (Virtual Private Network), sorte de circuit virtuel qui traverse un média public non sécurisé.

Les deux correspondants ou passerelles de sécurité s'authentifient, puis chiffrent tout le trafic IP entre eux.

Plusieurs méthodes d'authentification et de chiffrement permettent de créer un VPN IPSec. Nous allons voir comment configurer une station Windows récente (W2K, XP) afin d'accéder au routeur d'une microcellule Wireless HamWlan via VPN/Internet en tant que terminal d'exploitation.

Microsoft n'a pas choisi la façon la plus simple de paramétrer IPSec sur ses systèmes d'exploitation si on compare la méthode à celle de Linux. Au lieu de quelques lignes dans un fichier texte, il est nécessaire de se promener dans une rafale de fenêtres liées et de cliquer furieusement dans tous les coins. Il est très facile de s'égarer dans ce dédale de fenêtres, malheureusement.

Commençons par créer une console de gestion "mmc" :
Cliquez sur le menu "Démarrer", puis l'option "Exécuter", et enfin tapez "mmc" puis cliquez "ok".

Cette console de gestion est vide, pour l'instant...
Ajoutons lui de quoi paramétrer IPSec :
Sélectionner le menu "Fichier" puis l'option "Ajouter/Supprimer un composant logiciel enfichable...".

Cliquez sur le bouton ajouter.

Ajoutez le composant "Certificats" en le validant pour "Mon compte d'utilisateur", puis ajoutez aussi le composant "Gestion de la stratégie de sécurité du protocole IP" en le validant pour votre "ordinateur local".

Puis, cliquez le bouton "Fermer".

Nous voila avec deux magnifiques composants très pratiques ;-)
Validez en cliquant de suite sur le bouton "OK" avant de les perdre !
Profitez-en pour sauver votre console "mmc" en l'affublant d'un titre compréhensible par tous :"IPSec".

Il nous faut maintenant paramétrer IPSec via le composant "Stratégies de sécurité IP sur Ordinateur local". Attention, il faut bien comprendre que deux "filtres" distincts devront être créés, un pour le sens émission, un autre pour le sens réception !

Cliquez sur le composant "Stratégie de sécurité IP sur Ordinateur local", puis cliquez avec le bouton droit de la souris sur le panneau droit de la fenêtre et sélectionnez l'option "Créez une stratégie de sécurité IP". Cela déclenche un "assistant" qui vous guide le long de ce périple fastidieux ;-)

Saisissez un nom évocateur pour nommer la méthode IPSec, comme "SuperFreeSWan" par exemple et appuuez "suivant".

Puis, supprimez la coche "Activez la règle de réponse par défaut".
Laissez la coche "Modifier les propriétés" de la page suivante.
Vous obtenez cette nouvelle fenêtre :

Ici, deux choix possible : utiliser un nouvel assistant, ou tout faire à la main...
Si vous utilisez l'assistant, vous risquez d'en perdre votre latin et de vous égarer dans un véritable labyrinthe de fenêtres imbriquées et interdépendantes !
Je vous recommande plutot de vous passer de l'assistant et de modifier les paramètres onglet par onglet.

Allons-y donc "à la main" :

Cliquez sur l'onglet "Général" puis le bouton "Avancé" en bas. Dans la nouvelle fenêtre, cochez "Clé principale PFS" :

Cliquez sur le bouton "Méthodes", supprimez toutes les méthodes sauf 3DES et MD5.
Validez en cliquant "OK".

Revenez à l'ongler principal "Règles", supprimez la coche "Utiliser l'Assistant Ajout", et cliquez le bouton "Ajouter". Nommez le filtre "Sortie" pour vous rappeler de quoi il s'agit, puis cliquez "Ajouter" après avoir décoché l'assistant "Utiliser l'Assistant Ajout" là aussi.

Une nouvelle fenêtre (encore !) à renseigner comme ci-dessous :

De "Mon adresse IP à un sous réseau spécifique 44.0.0.0/255.0.0.0.
Pas d'image miroir, nous allons définir le filtre "entrant" assymétrique plus tard.
Valider "OK" et faire de même avec la fenêtre précédente.

Depuis la fenêtre qui contient la liste des filtres, créons maintenant le filtre inverse :
Cliquez sur "Ajouter", nommez le "Entrée", supprimez la coche "Utiliser l'Assistant Ajout" à nouveau. La même fenêtre que précédemment nous permet de choisir la "portée" de notre filtre. Ce coups cî, il faut tout inverser :

Valider par "OK".

Nous venons de créer deux filtres, un pour la sortie, l'autre pour l'entrée.
Bien, mais nous étions en train de préparer la "sortie".

Donc, sélectionons maintenant le bouton radio "Sortie" pour activer le fameux filtre, et cliquons l'ongler "Action de filtrage".
Cliquez sur le bouton "Ajouter".
Dans la nouvelle fenêtre, sélectionner le bouton radio "Négocier la sécurité" puis sur "Ajouter".
Dans la ("n-ième")nouvelle fenêtre, sélectionner le bouton radio "Paramètres", qui ouvre une nouvelle fenêtre dans laquelle vous devez reproduire ces paramètres :

N'oubliez pas les coches !
Validez par "OK" et encore "OK" (deux fenêtes à fermer).

Cochez, tout en bas, "Session de clé principal PFS".
Basculez sur l'onglet "Général", puis donnez un nom à cette action de filtrage comme "IPSec" par exemple. Validez par "OK", puis sélectionnez cette méthode dans la fenêtre qui reste :

Passez à l'onglet "Méthodes d'authentification", et cliquez sur "Ajouter" :

Si vous utilisez une phrase secrète partagée au lieu d'un certificat, vous devez saisir ici cette phrase. Validez par "ok" et supprimez toute autre méthode d'authentification de la liste de la fenête précédente et validez "ok".

Passez à l'onglet "Paramètre du tunnel". Il faut déclarer l'adresse IP publique (sur Internet) de la machine à joindre sur internet qui sert de sortie du tunnel IPSec, souvent appelée "passerelle de sécurité IPSec" :

Fermer cette page.
Faire "Ajouter" sur la fenêtre ouverte, puis sélectionner le filtre "Entrée".

Passez à l'onglet "Action de filtrage", sélectionner notre filtre créé tout à l'heure.

Passez à l'onglet "Méthodes d'authentification" et ajoutez la phrase secrète partagée et supprimez toute autre méthode comme précédemment.

Passez à l'onglet "Paramètres du tunnel", et vous devez alors saisir votre adresse IP publique du moment, ce qui peut créer des soucis lorsque vous possédez une adresse IP dynamique non allouée définitivement par une réservation DHCP. Nous verrons comment faire avec un certificat plus tard...

Validez cette fenêtre et vous retombez sur la console "MMC" qui comprends désormais votre déclaration IPSec pour HamWlan.

Comment valider IPSec maintenant ? C'est simple : cliquez avec le bouton droit de la souris sur la ligne qui définit votre règle IPSec, et activez là en cliquant sur l'option "Attribuer" du menu contextuel.

Un petit témoin vert façon "led" vous indique alors sa validation.

Pour désactiver IPSec, faites de même : click droit, puis "supprimer l'attribution".
Cette action est sans risque et ne supprime rien, mais désactive la règle seulement.


 




Retour au Menu précédent

Home

73, de F6HQZ François BERGERET f6hqz-m@hamwlan.net


Dernière modif le : 08/27/06