Installer l’accès à distance en tant que serveur VPN

Ce guide fournit des instructions sur la mise en place et la configuration de l’accès à distance (RAS) en tant que serveur VPN (réseau privé virtuel) sur Windows Server. Ce processus implique l’installation des rôles et fonctionnalités nécessaires, la configuration des protocoles VPN et la configuration des pools d’adresses IP pour les connexions clientes.

Prérequis

L’appartenance aux administrateurs ou équivalente est la condition minimale requise pour effectuer ces procédures. Toutefois, si le serveur RAS est joint à un domaine, les procédures doivent être effectuées par un administrateur de domaine.

Installer le rôle Accès à distance

PowerShell

Pour installer le rôle d’accès à distance à l’aide de Windows PowerShell :

1. Ouvrez Windows PowerShell en tant qu’administrateur.

2. Entrez et exécutez l’applet de commande suivante :

   Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
   

   Une fois l’installation terminée, le message suivant s’affiche dans Windows PowerShell :

   | Success | Restart Needed | Exit Code |               Feature Result               |
   |---------|----------------|-----------|--------------------------------------------|
   |  True   |       No       |  Success  | RAS Connection Manager Administration Kit |
   

Gestionnaire de serveur

Pour installer le rôle d’accès à distance à l’aide du Gestionnaire de serveur :

1. Sur le serveur Windows, dans le Gestionnaire de serveur, sélectionnez Gérer et sélectionner Ajouter des rôles et des fonctionnalités pour ouvrir l’Assistant Ajout de rôles et de fonctionnalités.

2. Dans la page Avant de commencer, sélectionnez Suivant.

3. Dans la page Sélectionner le type d’installation, sélectionnez Role-Based ou l’installation basée sur les fonctionnalités , puis sélectionnez Suivant.

4. Dans la page Sélectionner un serveur de destination, sélectionnez Sélectionner un serveur dans le pool de serveurs.

5. Sous Pool de serveurs, sélectionnez l’ordinateur local, puis sélectionnez Suivant.

6. Dans la page Sélectionner des rôles de serveur, dans Rôles, sélectionnez Accès à distance, puis Suivant.

7. Dans la page Sélectionner des fonctionnalités, sélectionnez Suivant.

8. Dans la page Accès à distance, sélectionnez Suivant.

9. Dans la page Sélectionner un service de rôle, dans les services de rôle, sélectionnez DirectAccess et VPN (RAS).

10. Dans la page Confirmer les sélections d’installation, passez en revue vos choix, puis sélectionnez Installer.

11. Une fois l’installation terminée, sélectionnez Fermer.

Configurer l’accès à distance en tant que serveur VPN

Dans cette section, nous allons configurer l’accès à distance pour autoriser les connexions VPN IKEv2 et refuser les connexions à partir d’autres protocoles VPN. Nous allons également affecter un pool d’adresses ip statiques pour l’émission d’adresses ip à la connexion de clients VPN autorisés.

Le routage et les services d’accès à distance (RRAS) prennent en charge la connectivité entre utilisateurs distants ou site à site à l’aide de connexions de réseau privé virtuel (VPN) ou d’accès à distance. Il accepte les connexions VPN basées sur des protocoles tels que PPTP, L2TP, SSTP et IKEv2. Ces protocoles sont tous activés par défaut lorsque le rôle RRAS est installé et configuré avec la configuration par défaut. Par défaut, un client autorisé peut établir une connexion VPN basée sur l’un des protocoles activés. À compter de Windows Server 2025, les nouvelles configurations RRAS n’acceptent pas les connexions VPN basées sur les protocoles PPTP et L2TP. Vous pouvez toujours activer ces protocoles si nécessaire. Les connexions VPN basées sur SSTP et IKEv2 sont toujours acceptées sans aucun changement.

Les configurations existantes et les versions de Windows Server conservent leur comportement. Par exemple, si vous exécutez Windows Server 2019 et que vous acceptez les connexions PPTP et L2TP, lorsque vous effectuez une mise à jour vers Windows Server 2025 à l’aide d’une mise à jour sur place, les connexions L2TP et PPTP sont toujours acceptées. Cette modification n’affecte pas les systèmes d’exploitation des clients Windows.

Remarque

Au lieu d’IKEv2, vous pouvez également choisir d’utiliser SSTP. Nous vous déconseillons d’utiliser PPTP, en raison de son manque de fonctionnalités de sécurité.

1. Assurez-vous que vos règles de pare-feu autorisent les ports UDP 500 et 4500 entrants vers l'adresse IP externe appliquée à l'interface publique sur le serveur VPN.

2. Sur le serveur VPN, dans Gestionnaire de serveur, sélectionnez l’indicateur Notifications. Vous devrez peut-être attendre une minute ou deux pour voir l’indicateur Notifications.

3. Dans le menu Tâches, sélectionnez Ouvrir l'Assistant de démarrage pour ouvrir l'Assistant de configuration de l'accès à distance.

   Remarque

   L’Assistant Configurer l’accès à distance peut s’ouvrir derrière Gestionnaire de serveur. Si vous pensez que l’Assistant prend trop de temps à s’ouvrir, déplacez ou réduisez Gestionnaire de serveur pour savoir si l’Assistant est derrière lui. Si ce n’est pas le cas, attendez que l’Assistant s’initialise.

4. Sélectionnez Déployer un VPN uniquement pour ouvrir la console de gestion MMC ( Routage et Accès à distance ).

5. Cliquez avec le bouton droit sur le serveur VPN, puis sélectionnez Configurer et activer le routage et l’accès à distance pour ouvrir l’Assistant Configuration du serveur de routage et d’accès à distance, puis sélectionnez Suivant.

6. Dans Configuration, sélectionnez Configuration personnalisée, puis sélectionnez Suivant.

7. Dans Configuration personnalisée, sélectionnez accès VPN, puis sélectionnez Suivant pour ouvrir l’assistant de finalisation de l’installation du serveur de routage et d’accès à distance.

8. Sélectionnez Terminer pour fermer l’Assistant, puis sélectionnez OK pour fermer la boîte de dialogue Routage et Accès à distance.

9. Une fois le serveur VPN en cours d’exécution, cliquez avec le bouton droit sur le serveur VPN, puis sélectionnez Propriétés.

10. Sélectionnez l’onglet IPv4 et effectuez les étapes suivantes :

    1. Sélectionnez pool d’adresses statiques.

    2. Sélectionnez Ajouter pour configurer un pool d’adresses IP.

    3. Dans l’adresse IP de démarrage, entrez l’adresse IP de départ dans la plage que vous souhaitez affecter aux clients VPN.

    4. Dans l’adresse IP de fin, entrez l’adresse IP de fin dans la plage que vous souhaitez affecter aux clients VPN, ou dans le nombre d’adresses, entrez le numéro de l’adresse que vous souhaitez rendre disponible.

11. Sélectionnez OK pour fermer la boîte de dialogue Propriétés.

12. Dans la console MMC routage et accès à distance , cliquez avec le bouton droit sur Ports, puis sélectionnez Propriétés pour ouvrir la boîte de dialogue Propriétés des ports .

13. Sélectionnez Miniport WAN (SSTP) et sélectionnez Configurer pour ouvrir la boîte de dialogue Configurer l’appareil - WAN Miniport (SSTP).

    1. Effacez les connexions d’accès à distance (entrantes uniquement) et les connexions de routage de numérotation à la demande (entrantes et sortantes).

    2. Sélectionnez OK.

14. Sélectionnez Miniport WAN (IKEv2) et sélectionnez Configurer pour ouvrir la boîte de dialogue Configurer l’appareil - WAN Miniport (IKEv2).

    1. Vérifiez que les connexions d’accès à distance (entrantes uniquement) et les connexions de routage de numérotation à la demande (entrantes et sortantes) sont sélectionnées.

    2. Dans les ports maximum, entrez le nombre de ports correspondant au nombre maximal de connexions VPN simultanées que vous souhaitez prendre en charge.

    3. Sélectionnez OK.

15. Sélectionnez Miniport WAN (L2TP) et configurezpour ouvrir la boîte de dialogue Configurer l’appareil - WAN Miniport (L2TP).

    1. Effacez les connexions d’accès à distance (entrantes uniquement) et les connexions de routage de numérotation à la demande (entrantes et sortantes).

    2. Sélectionnez OK.

16. Sélectionnez WAN Miniport (PPTP), puis configurez pour ouvrir la boîte de dialogue Configurer l’appareil - WAN Miniport (PPTP).

    1. Effacez les connexions d’accès à distance (entrantes uniquement) et les connexions de routage de numérotation à la demande (entrantes et sortantes).

    2. Sélectionnez OK.

Étapes suivantes

• Tutoriel : Déployer un VPN Always On