Chat ISA Server : réseau privé virtuel ou VPN

Remarque : Certains éléments de cette transcription ont été modifiés pour clarifier certains points.

Invités :
Jerry Bryant, animateur & responsable de l’architecture ISA et de la sécurité
Oved Itzhak, développeur, membre de l’équipe Microsoft ISA Server
Moshik Zur, développeur, membre de l’équipe Microsoft ISA Server
Adina Hagege, rédacteur technique principal chez Microsoft Haifa, Israël

Animateur : Jerry B (Microsoft)
Bienvenue dans notre discussion. Le sujet abordé aujourd’hui concerne ISA Server - VPN. Vos questions, commentaires et suggestions sont les bienvenus. Je crois que nous pouvons commencer.

Invité : Moshik (Microsoft)
Q :
Existe-t-il un Assistant d'installation de réseau VPN ?

R : Oui. Il existe un Assistant qui permet de définir la BI (Banque d'Informations) pour les utilisateurs distants, ainsi que pour les tunnels de routeur à routeur.

Invité : Oved (Microsoft)
Q :
Existe-t-il une limite du nombre de connexions VPN simultanées à un serveur ISA ?

R : La limite est la même que pour le système d’exploitation : environ 16000 de PPTP (Point-to-Point Tunneling Protocol) et environ 30000 de L2TP (Layer 2 Tunneling Protocol)

Invité : Oved (Microsoft)
Q :
Que signifie l’acronyme ISA ?

R : Internet Security and Acceleration Server

Invité : Moshik (Microsoft)
Q :
Est-il préférable d’utiliser PPTP ou L2TP ?

R : L2TP est conseillé pour ses propriétés de sécurisation, tandis que PPTP permet une interaction avec les parties tierces. Cependant, L2TP est plus compliqué à configurer et n’est pas pris en charge par défaut par tous les systèmes Windows.

Invité : Oved (Microsoft)
Q :
L’utilisation d’un réseau VPN en lieu et place d’une connexion aux services Terminal Server est-elle plus avantageuse, et quelle est son degré d’influence sur ISA ?

R : Il s’agit de deux technologies distinctes, dont les objectifs sont différents : VPN est destiné à la connectivité TCP/IP et TS à l’utilisation d’une machine distante.

Invité : Moshik (Microsoft)
Q :
Quand ISA prendra-t-il en charge IPSec NAT Traversal ?

R : ISA prendra en charge IPSEC NAT Traversal dès l’ajout de la définition du protocole destiné au port UDP 4500.

Invité : Oved (Microsoft)
Q :
Quels sont les éléments nécessaires à la configuration d’un réseau VPN à des fins d’authentification à l’aide d’un certificat ?

R : Chaque ordinateur doit être doté d’un Certificat d'ordinateur, émis par l'Autorité de certification appropriée, par exemple le Contrôleur de domaine Windows 2000, approuvé par les deux ordinateurs.

Invité : Moshik (Microsoft)
Q :
À propos de IPSec NAT-Traversal, doit-on également autoriser les émissions UDP 500 ?

R : Oui. IPSEC démarrera avec UDP 500 et atteindra 4500 si les deux parties prennent en charge support NAT-T.

Invité : Adina H (Microsoft)
Q :
Nous utilisons la version SBS d’ISA et je me demande s’il existe une documentation associée aux réseaux VPN pour cette version ?

R : Non, il n’existe pas de documentation spécifique au déploiement VPN spécifique à SBS. Nous vous conseillons néanmoins de vous familiariser avec la documentation des réseaux VPN avant de procéder à votre déploiement.

Invité : Adina H (Microsoft)
Q :
Est-il conseillé d'utiliser Windows Server 2003 avant d'envisager un déploiement VPN ?

R : La première version d'ISA Server est prévue pour Windows 2000 et fonctionne correctement sur ce système d'exploitation. Les problèmes d’exploitation connus sous Windows 2003 sont documentés.

Invité : Oved (Microsoft)
Q :
Quelle est la différence entre l’utilisation du service de routage et du service d’accès à distance ou RAS (Remote Access Server) pour les réseaux VPN et ISA ?

R : Le réseau VPN intégré de ISA se nomme RRAS. ISA possède des fonctions de connexion, d’alerte et de contrôle d’accès à Internet.

Invité : Oved (Microsoft)
Q :
Peut-on exécuter simultanément un routeur acheminé par un tunnel de routage et un réseau VPN d’accès à distance ? Et au niveau des performances ?

R : Il n’existe pas de problèmes de performances de cette configuration

Invité : Moshik (Microsoft)
Q :
Comment effectuer le routage pour utiliser un réseau VPN entrant sur les réseaux ?

R : Vous devez pouvoir ajouter des itinéraires de routage statiques aux connexions VPN (en utilisant l’Assistant VPN d’ISA ou le composant logiciel enfichable de RRAS).

Invité : Oved (Microsoft)
Q :
Peut-on utiliser des mécanismes ISA Server pour gérer les connexions utilisateur VPN ?

R : Il n’existe pas de fonction de gestion spécifique à ISA autres que les fonctions disponibles pour un client interne régulier. La gestion RRAS peut-être utilisée pour les activités VPN.

Invité : Moshik (Microsoft)
Q :
Quels routages dois-je ajouter, et de quelle interface ? J'ai essayé d'ajouter des itinéraires de routage statiques à la fois dans RRAS et à partir d’une ligne de commande à la table de routage, mais je ne parviens à accéder à aucun élément qui n’est pas sur le même sous-réseau que le groupe ISA.

R : Tout sous-réseau connecté VPN est représenté par une interface de numérotation à la demande dans RRAS. Vous devez ajouter des itinéraires de routage vers ce sous-réseau à la DDI appropriée. Vous devez également ajouter les adresses du sous-réseau à la table LAT (Local Adress Table).

Invité : Oved (Microsoft)
Q :
Doit-on configurer une autorité de certification pour utiliser L2TP ? L’autorité de certification doit-elle être située sur le serveur ISA Server ou sur un autre serveur ?

R : L2TP prend en charge plusieurs méthodes d’autorité de certification, dont l’une est le certificat, mais il ne s’agit pas de la seule méthode. Si vous utilisez des certificats, vous avez besoin d’une autorité de certification pour émettre ces certificats. Peu importe si l’autorité de certification soit sur le serveur ISA ou non. Désolé si je me trompe, mais j’ai l’impression que vous pensez que la recherche d’un certificat demande un accès réseau à l’Autorité de certification. Ce n’est pas le cas.

Invité : Adina H (Microsoft)
Q :
Si je configure NLB en mode multidiffusion, dois-je faire de l’adresse IP l’adresse principale ?

R : L’adresse IP dédiée doit être définie comme l’adresse IP de l’adaptateur de réseau interne de l’ordinateur exécutant ISA Server.

Invité : Moshik (Microsoft)
Q :
Peut-on utiliser les contrôles d’accès sur les connexions VPN clientes, ou les connexions VPN clientes sont-elles considérées comme des connexions fiables et, dans ce cas, le pool d'adresse affecté au client VPN doit-elle être incluse dans la table d'adresse locale ou LAT (Local Adress Table) ?

R : Les connexions VPN clientes sont considérées comme fiables et si un pool statique est utilisé, il doit faire partie intégrante de la table LAT.

Invité : Oved (Microsoft)
Q :
L'agent relais DHCP (Dynamic Host Configuration Protocol) fonctionne-t-il encore après l’installation d’ISA Server ?

R : Je n’ai jamais entendu parler de problèmes à ce sujet. En principe, il doit fonctionner normalement.

Invité : Oved (Microsoft)
Q :
Pourquoi un client SecureNAT n’est-il pas pris en charge sur un VPN d'hôte à passerelle ?

R : Il s’agit d’une limite architecturale d’ISA.

Invité : Moshik (Microsoft)
Q :
Un réseau VPN d'ISA à ISA fonctionne-t-il lorsque les deux parties utilisent une connexion à distance avec des adresses IP variables ?

R : Oui, la connexion à distance peut être utilisée, mais il convient de souligner que sur ISA Service Pack 1, ces connexions ne sont pas traitées comme fiables par défaut et vous devez définir une clé de registre pour qu’elles le soient.

Invité : Oved (Microsoft)
Q :
Qu'est-ce que NAT Traversal ? Quelle est son utilité ?

R : IPSec est destiné à la sécurité de bout en bout. Par conséquent, l’utilisation de NAT dans un paquet IP est détectée comme une attaque "man-in-the-middle". Il peut s’avérer utile lorsque vous disposez d’un réseau utilisant des adresses privées, telles que 10.x.x.x, et un petit nombre d'adresses publiques et que vous souhaitez autoriser ces clients à utiliser IPSec pour communiquer avec un hôte Internet.

Invité : Oved (Microsoft)
Q :
Peut-on avoir un contrôle d'accès des sorties sur les connexions PPTP directes ?

R : Vous pouvez utiliser les filtres de paquets pour effectuer ce contrôle.

Invité : Oved (Microsoft)
Q :
Comment définir un serveur ISA derrière un routeur Linksys 4port NAT pour des connexions à haut débit ?

R : Je ne suis pas réellement familiarisé avec Linksys 4port, mais je peux vous assurer que le placement d'ISA derrière un périphérique NAT est aussi simple que celui d'un hôte régulier. Le périphérique NAT ne peut pas distinguer le trafic provenant d’ISA Server ou d’un hôte client régulier.

Invité : Moshik (Microsoft)
Q :
Vous voulez dire que les connexions VPN avec un réseau VPN ISA-à-ISA ne sont pas fiables sous ISA SP1 ?

R : Lorsque vous utilisez l’Assistant VPN d'ISA, il crée automatiquement une interface de numérotation à la demande avec RRAS qui, elle, est fiable. Si vous configurez manuellement une connexion d’accès à distance pour un réseau VPN, il n’est pas approuvé par défaut (dans certains pays, c’est le mode d’implémentation de l’ADSL).

Invité : Moshik (Microsoft)
Q :
Comment peut-on créer un réseau de passerelle à passerelle avec les assistants local et distant en cas de changement des adresses IP ? Ne doit-on pas utiliser les adresses IP et non les noms de domaines complets ou FQDN (Full Qualified Domain Name) pour configurer les points de terminaison de tunnel ?

R : Vous pouvez utiliser les FQDN pour le point de terminaison.

Invité : Oved (Microsoft)
Q :
Peut-on utiliser NLB sur l’interface interne pour prendre en charge les connexions PPTP sortantes vers les serveurs VPN distants ?

R : Oui. Les clients PPTP (Point-to-Point Tunneling Protocol) sont des clients SecureNAT et par conséquent, sont pris en charge avec NLB sur l’interface interne.

Invité : Moshik (Microsoft)
Q :
Si NLB est activé sur l’interface externe, l’utilisation d’une adresse IP virtuelle, ou adresse VIP, comme adresse principale pose-t-elle un problème, ou des problèmes peuvent-ils survenir lorsque des réponses à des requêtes sortantes arrivent sur un autre membre de groupe ?

R : Sous Windows 2000, NLB prend en charge le degré d'adhérence pour PPTP uniquement. Windows Server 2003 prend également en charge le degré d'adhérence pour IPSEC-L2TP. Les réponses sortantes fonctionneront si les adresses des clients VPN proviennent du même segment que les utilisateurs internes.

Invité : Oved (Microsoft)
Q :
Où se situe le groupe de discussion public d’ISA ?

R : Si vous utilisez un groupe de discussions client tels qu’Outlook Express, il convient d’utiliser le serveur msnews.microsoft.com et de rechercher le groupe de discussion microsoft.public.ISA.

Invité : Oved (Microsoft)
Q :
À propos du contrôle d’accès sortant PPTP, comment doit-on configurer un filtre de paquets pour autoriser un seul système réseau interne d’accéder à un PPTP sortant, à l’exclusion des autres ordinateurs ?

R : Je pense que j’ai mal compris votre question initiale. Avec Packet Filter et PPTP, vous ne pouvez limiter que la destination externe, pas la source interne.

Invité : Moshik (Microsoft)
Q :
À propos de NLB : Moshik - Si je configure NLB sur l'interface externe, et que je fais de l'adresse IP virtuelle, ou adresse VIP, l'adresse IP principale, que se passera-t-il lorsque des clients FTP internes effectueront des connexions sortantes et que la réponse proviendra d'un autre membre de groupe ? Vous voyez ce que je veux dire ?

R : Lorsque ISA traduit le paquet sortant, il utilise le commutateur DIP (Dual In-Line Package), qui doit constituer votre configuration IP.

Invité : Oved (Microsoft)
Q :
Existe-t-il une question concernant le routage circulaire ? En cas de serveur Web interne, si le serveur AD DNS renseigne son adresse en tant qu’adresse extérieure, il arrive que des clients internes ne parviennent pas à résoudre le site Web.

R : Je ne peux consulter cet article dans l’immédiat, par manque de temps, mais il existe une limite architecturale qui fait que les clients internes ne peuvent accéder au serveur publié par l’intermédiaire de l’interface externe du même ISA Server.

Animateur : Jerry B (Microsoft)
Merci d’avoir participé à ce débat et d’avoir posé ces questions. Nous devons maintenant clôturer ce débat.

Animateur : Jerry B (Microsoft)
Merci de diffuser ces questions sur le groupe de discussion Microsoft.public.ISA.vpn.

Invité : Oved (Microsoft)
Je tiens à remercier chacun d’entre vous d’avoir contribué à l’intérêt de cette session.

Invité : Moshik (Microsoft)
Merci à tous pour ces questions intéressantes.

Dernière mise à jour le mercredi 27 août 2003

Pour en savoir plus