VPN sur W2k server

[hepil]

salut

je viens de configurer mon serveur w2k server pour qu'il me permette de voir mon réseau local quand je suis ailleurs
Pour cela j'ai configuré l'option "routeur et accès à distance" sur le serveur mais ça ne marche pas vraiment !

- Déjà, ai-je besoin d'activer l'option "routage IP" pour cela ? (j'ai déjà un modem routeur sur mon réseau local) ?

Dans le modem routeur du réseau local, j'ai établi une règle NAT pour redigérer toutes les requêtes du port 1723 vers le serveur VPN (w2k s) du réseau local
- j'ai testé mon VPN d'un autre PC (sous XP pro) au sein du même réseau local, et là : "erreur 800 : impossible d'établir la connexion VPN. Le serveur est peut-être ..."

j'aimerai procéder à des tests en local pour avancer sur le paramétrage

Comment puis-je procéder ? Quels tests ?

 

[hepil]

Je viens de consulter les propriétés de mon serveur VPN : il s'est arrèté aujourd'hui
impossible de le redémarrer : erreur... sans information ni n° !
je l'ai viré du serveur "windows 2000 server"
je vais le recréer en suivant un tutorial précis que je suis en train de chercher ...

 

[hepil]

on dit qu'il faut 2 carte réseaux : une pour le VPN et une autre pour le réseau local
Hors j'ai un réseau local et un modem ADSL aussi sur IP (pas en usb)
J'ai aussi lu ailleurs qu'il faut réaliser une "connexion entrante..."
ce que je n'avais pas fait avant que mon VPN ne s'arrête

Que dois-je faire en fait ?

 

[hepil]

ca y est, j'ai débloqué le démarrage du serveur VPN : un problème de "stratégie d'accès dstant..." par défaut
je les ai viré toutes (les lignes) et maintenant le VPN démarre
Mais toujours pas de connexion possible par un autre PC (sous XP celui-là)

 

[moldar]

Alors :
- il ne te faut qu'une seule carte réseau
- pas besoin d'acitver le routage et accès distant (ou alors il le fera automatiquement)
Pour mettre en place ton VPN :

Vous devez être connecté pour voir les liens.

 

[hepil]

bonjour

de retour du ski ...
merci de ta réponse, je vais y aller de suite

 

[hepil]

je dois étudier le fonctionnement de la statégie d'accès distant

 

[moldar]

Ton VPN fonctionne ?

 

[hepil]

apparemment non : je n'y ai pas accès depuis aucun PC du réseau local

Le message d'erreur : "649 : le compte n'a pas les autorisations d'appel entrant"

Sur le contrôleur de domaine, j'ai activé l'accès entrant pour le compte utiisé et ça ne fonctionne pourtant pas !
Y a t-il aussi une stratégie de compte à modifier quelque part ?

 

[moldar]

D'un autre côté, mettre un VPN pour un réseau local
Essaye de l'extérieur.
Je crois en plus qu'il faut que le plan d'adressage du réseau distant soit différent de celui où se trouve le serveur VPN (ex : 192.168.1.x pour le réseau distant et 192.168.0.x pour le réseau local)

 

[Neoryuki]

D'un autre côté, mettre un VPN pour un réseau local
Essaye de l'extérieur.
Je crois en plus qu'il faut que le plan d'adressage du réseau distant soit différent de celui où se trouve le serveur VPN (ex : 192.168.1.x pour le réseau distant et 192.168.0.x pour le réseau local)

pas forcement

Mais par contre il n'est pas possible d'avoir la meme IP de chaque coté
Mais d'etre sur la meme plage IP, oui

 

[moldar]

Bah à vérifier quand même : on parle de VPN PPTP Microsoft là
Avec un VPN standard, on n'a pas ce type de contrainte, mais je suis presque sûr que Microsoft impose ces règles d'adressage.

 

[Neoryuki]

Bah à vérifier quand même : on parle de VPN PPTP Microsoft là
Avec un VPN standard, on n'a pas ce type de contrainte, mais je suis presque sûr que Microsoft impose ces règles d'adressage.

tout ce que je peux dire, c'est que les VPN gérés en hardware par mon matos Zyxel supporte tres bien d'avoir le meme range IP de chaque coté

Apres logique de ne pas avoir 2 fois les meme IP et noms Netbios [:spamafote]

 

[moldar]

J'ai du Cisco ici et pareil tout fonctionne, quel que soit le plan d'adressage.
Mais en ce qui concerne le firewall PPTP logiciel de Microsoft, méfiance !

 

[hepil]

oui je comprends mais :
- la finalité est bien sûr d'utiliser le VPN de l'extérieur
- dans mon test actuel, en interne (au sein d'un même réseau local), j'utilise deux paramétrage différent :
le 1er : en utilisant l'#IP fixe qui m'est attribuée par mon provider, c'est à dire que je sorts de mon réseau local (par ma passerelle, routeur) et j'y reviens (tout comme si je venais de l'extérieur), sauf si le routeur voit que j'essaie de le berner ...
le 2ème : j'utilise le nom du PC, dont l'# IP est donnée par le DNS de mon réseau local ( je pourrai alors aussi utiliser directement l'# IP du serveur VPN : "192.168.1.3" dans mon cas ...)

Je ne sais pas si le problème vient de ces données-ci, vu le message d'erreur que j'ai ...

En fait, en accordant TOUS les droits à l'utilisateur qui veut se connecter, pour le 1er paramétrage, j'ai le message d'erreur précédemment noté :
"649 : le compte ,'a pas l'autorisation de recevoir les appel entrants"

Même message si j'utilise le compte et mot de passe d'ouverture de session (paramétrage du côté client)

pour le deuxième paramétrage, en passant par l'# IP extérieur, j'ai le message d'erreur suivant :

erreur 678 : l'ordinateur distant n'a pas répondu..."
comme si l' port n'était pas redirigé dans le routeur (règle NAT)

Il y a apparement DEUX problèmes différents

Je pourrai faire encore un autre test, celui en utilisant le nom de domaine enregistré chez mon registrar, qui me renverrai aussi sur monn routeur via mon IP fixe externe ... mais cela n'apporterait normalement rien de plus

Il doit y avoir quelque chose que je ne vois pas ...
un déblocage quelque part ?

Remarque: en admettant que mon routeur soit mal configuré (NAT), avec le 2ème test où j'utilise l'# IP locale, je ne passe pas par le routeur, donc je suis directement sur le serveur VPN. Le souci viendrait donc du paramétrage de ce dernier (windows 2000 serveur)

 

[hepil]

Sur le serveur, dans la gestion des utilisateurs, dans le paramétrage "Autorisation d'accès distant" de l'onglet "Appel entrant" pour l'utilisateur concerné :
que je le mette sur "Permettre l'accès" ou sur "contrôler l'accès via la stratégie d'accès distant", le résultat est le même

 

[hepil]

dans "méthodes d'autentifications" de l'onglet "propriété" du serveur VPN, je teste l'option "autoriser les systèmes distants à se connecter sans autentification"
même message d'erreur : (649)

 

[hepil]

Le serveur VPN figure bien dans le groupe Serveur RAS et IAS" et beneficie alors des droits de le gestions des accès distant

je ne sais plus où et quoi chercher ...