Aide VPN SSTP
Shaft92
-
Shaft92 -
Shaft92 -
Bonjour à tous, j'aimerais obtenir quelques éclaircicement , je vais essayer d'être le plus clair possible...
La situation est la suivante: une connexion internet entrante ( IP Public) sur un firewall à 3 pattes ( In , Out et DMZ) le IN (192.168.10.254) allant vers le LAN , Le OUT vers l'ip publique et la DMZ (192.168.50.254) relié à un Serveur VPN.
Donc je possède un contrôleur de domaine sous Windows Server 2008 avec les rôles AD , DNS et DHCP installer deçu. Son ip est 192.168.10.245 mask 255.255.255.0 gateway 192.168.10.254.j'ai autorisé l'utilisateur à distance à avoir accès au réseau à distance ( dans AD).
Le serveur VPN en dmz à 2 cartes Réseaux ( tout est normal jusque la) une des 2 cartes est tourner vers le LAN ( ip 192.168.10.2 mask 255.255.255.0 gateway 192.168.10.254) ,et l'autre vers la DMZ ( ip 192.168.50.2 mask 255.255.255.0 , sans gateway).L'autorité de certification à été installer en autonome et installer dans la partie local computer ( ZONE DE CONFIANCE), j'ai fais de même sur un ordinateur client qui fait partir du domaine, quand j'essai de me connecter via le nouveau VPN créer ( SSTP) une erreur apparait me disant que une chaine de certificat a été traiter et qu'elle c'est terminer par un certificat racine qui n'a pu être vérifié par l'autorité d'approbation. Et la..... je bloque tout les paramètrages clients ont bien été fais ( protocole SSTP, ip dans les tranches prédéfinis, nom correctes etc...) Merci d'avance...
La situation est la suivante: une connexion internet entrante ( IP Public) sur un firewall à 3 pattes ( In , Out et DMZ) le IN (192.168.10.254) allant vers le LAN , Le OUT vers l'ip publique et la DMZ (192.168.50.254) relié à un Serveur VPN.
Donc je possède un contrôleur de domaine sous Windows Server 2008 avec les rôles AD , DNS et DHCP installer deçu. Son ip est 192.168.10.245 mask 255.255.255.0 gateway 192.168.10.254.j'ai autorisé l'utilisateur à distance à avoir accès au réseau à distance ( dans AD).
Le serveur VPN en dmz à 2 cartes Réseaux ( tout est normal jusque la) une des 2 cartes est tourner vers le LAN ( ip 192.168.10.2 mask 255.255.255.0 gateway 192.168.10.254) ,et l'autre vers la DMZ ( ip 192.168.50.2 mask 255.255.255.0 , sans gateway).L'autorité de certification à été installer en autonome et installer dans la partie local computer ( ZONE DE CONFIANCE), j'ai fais de même sur un ordinateur client qui fait partir du domaine, quand j'essai de me connecter via le nouveau VPN créer ( SSTP) une erreur apparait me disant que une chaine de certificat a été traiter et qu'elle c'est terminer par un certificat racine qui n'a pu être vérifié par l'autorité d'approbation. Et la..... je bloque tout les paramètrages clients ont bien été fais ( protocole SSTP, ip dans les tranches prédéfinis, nom correctes etc...) Merci d'avance...
A voir également:
- Aide VPN SSTP
- Vpn comment ça marche - Guide
- Vpn gratuit - Accueil - Guide VPN
- Hola vpn chrome - Guide
- Nord vpn - Guide
- Netflix vpn - Guide
7 réponses
J'ai trouvé ca pour les certificats racine :
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754076(v=ws.11)?redirectedfrom=MSDN
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754076(v=ws.11)?redirectedfrom=MSDN
Non il ne me semble pas pourrais-tu me donner un peu plus de renseignements concernant cette MAJ??Merci
Concernant le lien Technet merci , le client ainsi que le serveur ( autorité de certificat) on tout les 2 dans leurs magasin d'Autorités de certification racine de confiance ( local computer) ce certificat c'est justement sa qui me parais bizarre ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
ce n'est pas la question, d'accord, mais juste pour faire remarquer:
c'est une faille de sécurité de mettre un serveur VPN en DMZ:
Un machine en DMZ ne doit pas pouvoir établir de connexion avec le réseau interne, le serveur vpn devrait être le firewall lui même ou bien être dans le réseau interne.
pour la question, il faut peut-etre installer le certificat de l'autorité de certification sur le client.
et ... Voili Voilou Voila !
ce n'est pas la question, d'accord, mais juste pour faire remarquer:
c'est une faille de sécurité de mettre un serveur VPN en DMZ:
Un machine en DMZ ne doit pas pouvoir établir de connexion avec le réseau interne, le serveur vpn devrait être le firewall lui même ou bien être dans le réseau interne.
pour la question, il faut peut-etre installer le certificat de l'autorité de certification sur le client.
et ... Voili Voilou Voila !
Au contraire le VPN doit être en DMZ car il s'agit de connexion externes... il est placé entre 2 firewalls avant et après lui ...Le certificat de l'autorité de certification a bien été installer sur le client...
oui,
mais une machine en DMZ ne doit pas ouvrir de connexions avec le réseau interne.
par contre si il y a un autre firewall entre lui et le réseau interne, ça peut le faire.
Un serveur en DMZ est exposé à tous les risques,
pas en réseau interne,
normalement.
par contre là:
une des 2 cartes est tourner vers le LAN ( ip 192.168.10.2 mask 255.255.255.0 gateway 192.168.10.254) ,et l'autre vers la DMZ ( ip 192.168.50.2 mask 255.255.255.0 , sans gateway).
il y a quelque chose qui ne va pas.
c'est l'inverse qu'il faudrait faire:
mettre la passerelle par défaut sur l'interface WAN et pas de passerelle sur l'interface LAN:
la seule passerelle par défaut sur le serveur VPN devrait être 192.168.50.254
mais une machine en DMZ ne doit pas ouvrir de connexions avec le réseau interne.
par contre si il y a un autre firewall entre lui et le réseau interne, ça peut le faire.
Un serveur en DMZ est exposé à tous les risques,
pas en réseau interne,
normalement.
par contre là:
une des 2 cartes est tourner vers le LAN ( ip 192.168.10.2 mask 255.255.255.0 gateway 192.168.10.254) ,et l'autre vers la DMZ ( ip 192.168.50.2 mask 255.255.255.0 , sans gateway).
il y a quelque chose qui ne va pas.
c'est l'inverse qu'il faudrait faire:
mettre la passerelle par défaut sur l'interface WAN et pas de passerelle sur l'interface LAN:
la seule passerelle par défaut sur le serveur VPN devrait être 192.168.50.254
