VPN sous Windows Server 2003

Au travail, nous aimerions mettre en place un accès VPN mais je n’ai pas la moindre idée de comment m’y prendre. Nous sommes connecté à internet via une Livebox connecté à un Windows Server 2003 qui sert de contrôleur de domaine :

Comment s’y prendre pour faire ça simplement, faut-il partir sur une solution Microsoft (inclus dans Windows Server 2003 ?) ou plutôt sur de l’OpenVPN ?

A ta place, je mettrai un Ipcop/Pfsense entre la Livebox et le Switch (en plus t’auras un firewall comme ça).
Bien entendue, si vous avez les moyens, vous pouvez acheter une appliance.
Et pour terminer, tu relie le contrôleur de domaine qu’au switch (comme n’importe quel serveur en fait).

Une appliance SA de chez Juniper, c’est juste ultra-pratique :slight_smile:

comme le signale les gens qui ont repondu, ca depend un peu des sous a mettre dedans, mais aussi de savoir quelles machines vont se connecter.

Si c’est du Windows, je vois meme pas l’interet de se poser la question « et si on mettait de l’openvpn? » car, meme si ca marche tres bien, il est pas tres au fait de la mise en domaine.
Si c’est autre chose (genre du linux), bah moi je mettrais openvpn, voire effectivement une appliance. Apres je suis pas vraiment qualifie concernant les possibilites de windows serveur en tant que firewall (isa server?) mais j’imagine qu’un pro est capable de faire un truc qui marche.

LoneWolf
Cette manie a vouloir mettre du libre alors que ca va FORCEMENT etre contre productif, c’est incroyable quand meme… :slight_smile:

0€, c’est possible ? Pour les personnes qui vont se connecter, un ou deux (3 maxi) gus qui sont bloqué chez eux à cause d’une grève quelconque et qui souhaite travailler de chez eux. Bref, je ne veux pas d’une solution lourde et solide mais plutôt d’une solution de secours qui fonctionne bien.

Moi, j’en ai renafout que ça soit libre ou pas, faut juste que ça coût 0 euros et que ça soit facile à mettre en place, si c’est pas possible tant pis, mais je suppose que ta remarque était plutôt destiné à pr7.

A noter : Je suis dans le développement et non dans le réseau, je bosse dans un bureau d’une dixaine de personnes et on se débrouille entre ingénieur pour maintenir le réseau même si c’est pas notre TAF.

Ouai, le libre c’est Forcement contre productif, c’est bien connu …
D’ailleurs, ce serait un produit propriétaire, ce serait tout de suite plus efficace.

Enfin, quel que soit la solution que tu désire prendre, ça aura toujours un coût.
Celui de la machine sur lequel installer le système et le cas échéant celui de la licence.

Donc je reformule ma question « Est-il possible d’installer un serveur VPN sur la machine qui sert de serveur de domaine, avec un outil fourni avec Windows Server 2003 ? »
Sinon, on laisse tomber.

Si la machine est un SBS 2003 y a deja une appli serveur VPN dessus :slight_smile:

J’ai eu la même problématique au boulot et la solution que j’avais trouvé : IPCOP (firewall sous linux nécessitant juste un PC avec 2 interfaces réseau, s’installe en 5 min, se configure et se maintient très facilement via une interface web) + ZERINA (addon d’Ipcop permettant d’ajouter tres simplement le support d’OpenVPN a IPCOP, s’interface tres bien avec l’AD de Windows 2003).

Sinon plus simple encore: un p’tit routeur derrière la live box qui gère les connections VPN… du coup, à pas trop cher (mais pas 0€ hein). Du netgear ou zyxel ou plein d’autres encore.

Ha si, solution 0€ : HAMACHI . Petit logiciel qui permet de créer ultra facilement des vpn. Je l’utilise pour faire des LAN tout en restant à la maison (je sais, hérésie, mais de temps en temps, ça défoule :slight_smile: ). Tu le met sur ton serveur puis sur les pc clients.

Attention, il est impossible de tester un vpn en local , il faut que les clients soient à l’extérieur, ou possèdent une connexion 3G .

si c’est uniquement pour du dépannage, et que la politique de sécurité informatique de ta boîte est pas très stricte, ça devrait suffire. Un p’tit tuto pour la route ici.

Il ne faut jamais, JAMAIS, JAAAAMMMAAAAAIIIISSSS utiliser un serveur comme passerelle VPN. A plus forte raison s’il est contrôleur de domaine. C’est un peu comme laisser sa voiture avec une fenêtre ouverte dans un parking d’aéroport. Il est criminel de la part de Microsoft de ne serait-ce qu’autoriser un PDC à activer le VPN.

La meilleure solution, comme certains l’ont souligné, c’est de faire ça au niveau du firewall. Puisque la LiveBox c’est de la merde (je le sais, j’en ai une), il faut faire ça sur un boitier tiers. Si vous n’avez pas d’argent, trouvez en pour vous payer un Linksys WRT-54GL à 60�?� (ce modèle précisément, car le “L” signifie “Linux” et Linksys a publié les specs précises du hardware, ce qui fait que c’est le routeur grand public le plus stable). Puis installez DD-WRT, build OpenVPN. Donnez une IP sur son interface WAN qui soit une IP de votre LAN, et définissez cette IP comme une DMZ au niveau de la Livebox.

Le mieux étant encore d’utiliser DD-WRT comme firewall de A à Z et de désactiver toutes les fonctions de filtrage de la LiveBox.

Maintenant, honnêtement, la meilleure solution professionnelle c’est un boitier Cisco ou Juniper de leur gamme “SOHO” (Small Office-Home Office). On ne peut pas se permettre d’être cheap quand il s’agit de sécurité.