Numéro d'article: 252735 - Dernière mise à jour: jeudi 23 novembre 2006 - Version: 7.0

Comment faire pour configurer le tunneling IPSec dans Windows 2000

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.

Sommaire

Agrandir tout | Réduire tout

Résumé

Vous pouvez utiliser la sécurité IP (IPSec) en mode de tunnel pour encapsuler les paquets du Protocole Internet (IP) et éventuellement les chiffrer. La raison principale d'utiliser le mode tunnel IPSec (parfois appelé "tunnel IPSec pur") sous Microsoft Windows 2000 est son interopérabilité avec les routeurs ou les passerelles tiers qui ne prennent pas en charge la technologie d'encapsulation (tunneling) L2TP (Layer 2 Tunneling Protocol)/IPSec ou PPTP des réseaux privés virtuels (VPN).
Retour au début

Plus d'informations

Windows 2000 prend en charge le tunneling IPSec lorsque les deux points de terminaison (ou points d'arrêt) du tunnel ont des adresses IP statiques. Il est principalement utile dans les implémentations passerelle à passerelle, mais peut également fonctionner pour les scénarios de sécurité réseau spécialisés entre une passerelle/un routeur et un serveur (comme un routeur Windows 2000 qui route le trafic de son interface externe vers un ordinateur Windows 2000 interne qui sécurise le chemin d'accès interne en établissant un tunnel IPSec sur le serveur interne qui fournit les services aux clients externes).

Le tunneling IPSec de Windows 2000 n'est pas pris en charge pour une utilisation du réseau privé virtuel d'accès à distance du client car les RFC IPSec de l'IETF ne fournissent pas actuellement de solution d'accès à distance dans le protocole Internet Key Exchange (IKE) pour les connexions client à passerelle. Le RFC 2661 de L'IETF pour le protocole L2TP (Layer 2 Tunneling Protocol) a été spécialement élaboré par Cisco, Microsoft et d'autres sociétés dans le but de fournir des connexions VPN d'accès à distance du client. Dans Windows 2000, les connexions du réseau privé virtuel de l'accès à distance du client sont protégées à l'aide d'une stratégie IPSec générée automatiquement qui utilise le mode de transport IPSec (et non le mode de tunnel) lorsque le type de tunnel L2TP est sélectionné.

De plus, le tunneling IPSec de Windows 2000 ne prend pas en charge les tunnels de protocole ou port spécifiques. Comme le composant logiciel enfichable de stratégie IPSec Microsoft Management Console (MMC) est très général et vous permet d'associer tout type de filtre à un tunnel, assurez-vous que vous utilisez uniquement les informations d'adresse dans la spécification d'un filtre pour une règle de tunnel.

Vous pouvez rechercher des précisions sur le fonctionnement des protocoles IPSec et IKE dans le Kit de ressources Microsoft Windows 2000 et dans la présentation de bout en bout d'IPSec de Windows 2000. Vous trouverez des informations sur l'emplacement de ces documents à la fin de cet article.

Cet article décrit la procédure à suivre pour configurer un tunnel IPSec sur une passerelle Windows 2000. Comme le tunnel IPSec sécurise uniquement le trafic spécifié dans les filtres IPSec que vous configurez, cet article décrit également la procédure à suivre pour configurer des filtres dans le service Routage et accès distant (RRAS) pour empêcher la réception ou le transfert du trafic à l'extérieur du tunnel. Cet article souligne le scénario suivant pour faciliter les étapes de la configuration : 
   NetA - passerelle Windows 2000 --- Internet --- passerelle tierce - NetB
        W2KintIP     W2KextIP         3rdExtIP               3rdIntIP
NetA est l'ID du réseau interne de la passerelle Windows 2000.

W2KintIP est l'adresse IP attribuée à la carte réseau interne de la passerelle Windows 2000.

W2KextIP est l'adresse IP attribuée à la carte réseau externe de la passerelle Windows 2000.

3rdExtIP est l'adresse IP attribuée à la carte réseau externe de la passerelle tierce.

3rdIntIP est l'adresse IP attribuée à la carte réseau interne de la passerelle tierce.

NetB est l'ID du réseau interne de la passerelle tierce.
L'objectif est que la passerelle Windows 2000 et la passerelle tierce établissent un tunnel IPSec lorsque le trafic de NetA doit être routé vers NetB ou lorsque le trafic de NetB doit être routé vers NetA pour qu'il soit routé sur une session sûre.

Vous devez configurer une stratégie IPSec. Vous devez créer deux filtres. Le premier correspond aux paquets qui vont de NetA vers NetB (tunnel 1) et le second correspond aux paquets qui vont de NetB vers NetA (tunnel 2). Vous devez configurer une action de filtrage pour spécifier la façon dont le tunnel devrait être sécurisé (un tunnel est représenté par une règle, ainsi deux règles sont créées).
Retour au début

Comment faire pour créer une stratégie IPSec

En général, une passerelle Windows 2000 n'est pas membre d'un domaine et une stratégie IPSec locale est par conséquent créée. Si la passerelle Windows 2000 est membre d'un domaine qui dispose de la stratégie IPSec appliquée par défaut à tous les membres du domaine, elle empêche la passerelle Windows 2000 d'avoir une stratégie IPSec locale. Dans ce cas, vous pouvez créer une unité d'organisation (OU) dans Active Directory, faire de la passerelle Windows 2000 un membre de cette unité d'organisation et attribuer la stratégie IPSec à l'objet Stratégie de groupe (GPO) de l'unité d'organisation. Pour plus d'informations, consultez la section "Attribution d'une stratégie IPSec" de l'aide en ligne de Windows 2000.
  1. Utilisez Microsoft Management Console pour travailler sur le composant logiciel enfichable de la Gestion de la stratégie de sécurité du protocole IP (un moyen rapide de le charger consiste à cliquer sur Démarrer, sur Exécuter, puis à taper secpol.msc).
  2. Cliquez avec le bouton droit sur Stratégies de sécurité IP, puis cliquez sur Créer une stratégie de sécurité IP.
  3. Cliquez sur Suivant, puis tapez un nom pour votre stratégie (par exemple, tunnel IPSec passerelle tierce).

    REMARQUE : vous pouvez également taper plus d'informations dans la boîte de dialogue Description.
  4. Désactivez la case à cocher Activer la règle de réponse par défaut, puis cliquez sur Suivant.
  5. Cliquez sur Terminer (gardez la case à cocher Modifier activée).
REMARQUE : la stratégie IPSec est créée avec les paramètres par défaut du mode principal d'échange de clés (phase 1) sur l'onglet Général, dans Key Exchange. Le tunnel IPSec consiste de deux règles et chacune d'entre elles spécifie un point de terminaison du tunnel. Comme il y a deux points de terminaison du tunnel, il y a deux règles. Les filtres de chaque règle doivent représenter les adresses IP sources et de destination dans les paquets IP qui sont envoyés au point de terminaison du tunnel de cette règle.
Retour au début

Comment faire pour créer une liste de filtres de NetA vers NetB

  1. Dans les nouvelles propriétés de la stratégie, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter pour créer une nouvelle règle.
  2. Sur l'onglet Liste de filtres IP, cliquez sur Ajouter.
  3. Tapez un nom approprié pour la liste de filtres, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter.
  4. Dans la zone Adresse source, cliquez sur Un sous-réseau IP spécifique, puis remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetA.
  5. Dans la zone Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetB.
  6. Désactivez la case à cocher Image miroir.
  7. Sur l'onglet Protocole, assurez-vous que le type de protocole est défini sur Tous car les tunnels IPSec ne prennent pas en charge les filtres de protocole ou de port spécifiques.
  8. Si vous souhaitez taper une description de votre filtre, cliquez sur l'onglet Description. C'est en général une bonne idée de donner au filtre le même nom que celui que vous avez utilisé pour la liste de filtres. Le nom du filtre est affiché sur le moniteur IPSec lorsque le tunnel est actif.
  9. Cliquez sur OK, puis sur Fermer.
Retour au début

Comment faire pour créer une liste de filtres de NetB vers NetA

  1. Sur l'onglet Liste de filtres IP, cliquez sur Ajouter.
  2. Tapez un nom approprié pour la liste de filtres, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter.
  3. Dans la zone Adresse source, cliquez sur Un sous-réseau IP spécifique, puis remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetB.
  4. Dans la zone Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetA.
  5. Désactivez la case à cocher Image miroir.
  6. Si vous souhaitez taper une description de votre filtre, cliquez sur l'onglet Description.
  7. Cliquez sur OK, puis sur Fermer.
Retour au début

Comment faire pour configurer une règle pour un tunnel NetA vers NetB

  1. Sur l'onglet Liste de filtres IP, cliquez sur la liste de filtres que vous avez créée.
  2. Sur l'onglet Paramètres du tunnel, cliquez sur la zone Le point de terminaison du tunnel est spécifié par cette adresse IP, puis tapez 3rdextip (où 3rdextip est l'adresse IP attribuée à la carte réseau externe de la passerelle tierce).
  3. Sur l'onglet Type de connexion, cliquez sur Toutes les connexions réseau (ou cliquez sur Connexions réseau local si W2KextIP n'est pas un RNIS, un PPP ou une connexion série directe).
  4. Sur l'onglet Action de filtrage, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter pour créer une nouvelle action de filtrage car les actions par défaut autorisent le trafic entrant en clair.
  5. Gardez l'option Négocier la sécurité activée et désactivez la case à cocher Accepter les communications non sécurisées mais toujours répondre en utilisant IPSec. L'opération est ainsi sécurisée.

    REMARQUE : aucune des cases à cocher en bas de la boîte de dialogue Action de filtrage ne devrait être cochée comme configuration initiale d'une action de filtrage qui s'applique aux règles de tunnel. Seule la case à cocher PFS est un paramètre valide pour les tunnels si l'autre extrémité du tunnel est également configurée pour utiliser PFS. Les deux autres cases à cocher ne sont pas valides pour les actions de filtrage du tunnel.
  6. Cliquez sur Ajouter et gardez l'option Élevée (ESP) sélectionnée (ou vous pouvez sélectionner l'option Personnalisée (pour utilisateurs expérimentés) si vous souhaitez définir des algorithmes spécifiques et des durées de vie de la clé de session). L'ESP est l'un des deux protocoles IPSec.
  7. Cliquez sur OK. Sur l'onglet Général, tapez un nom pour la nouvelle action de filtrage (par exemple, IPSec tunnel : ESP DES/MD5), puis cliquez sur OK.
  8. Cliquez sur l'action de filtrage que vous venez de créer.
  9. Sur l'onglet Méthodes d'authentification, configurez la méthode d'authentification que vous souhaitez (utilisez la clé pré-partagée pour tester ou utilisez des certificats). Kerberos est techniquement possible si les deux extrémités du tunnel sont dans les domaines approuvés et que l'adresse IP de ce domaine approuvé (adresse IP d'un contrôleur de domaine) est accessible sur le réseau par les deux extrémités du tunnel au cours de la négociation IKE du tunnel (avant qu'elle ne soit définie). Ce cas est rare.
  10. Cliquez sur Fermer.
Retour au début

Comment faire pour configurer une règle pour un tunnel NetB vers NetA

  1. Dans les propriétés de la stratégie IPSec, cliquez sur Ajouter pour créer une nouvelle règle.
  2. Sur l'onglet Liste de filtres IP, cliquez sur la liste de filtres que vous avez créée (de NetB vers NetA).
  3. Sur l'onglet Paramètres du tunnel, cliquez sur la zone Le point de terminaison du tunnel est spécifié par cette adresse IP, puis tapez w2kextip (où w2kextip est l'adresse IP attribuée à la carte réseau externe de la passerelle Windows 2000).
  4. Sur l'onglet Type de connexion, cliquez sur Toutes les connexions réseau (ou cliquez sur Connexions réseau local si W2KextIP n'est pas un RNIS, un PPP ou une connexion série directe). Tout trafic sortant sur le type d'interface qui correspond aux filtres tente d'être encapsulé pour le transit vers le point de terminaison du tunnel spécifié dans la règle. Le trafic entrant qui correspond aux filtres est ignoré car il devrait être reçu de façon sécurisée par un tunnel IPSec.
  5. Sur l'onglet Action de filtrage, cliquez sur la liste de filtres que vous avez créée.
  6. Sur l'onglet Méthodes d'authentification, configurez la même méthode utilisée dans la première règle (la même méthode doit être utilisée dans les deux règles).
  7. Cliquez sur Fermer, assurez-vous que les deux règles que vous avez créées sont activées dans votre stratégie, puis cliquez sur Fermer.
Retour au début

Comment faire pour attribuer votre nouvelle stratégie IPSec à votre passerelle Windows 2000

Dans les stratégies de sécurité IP sur le composant logiciel enfichable MMC de l'ordinateur local, cliquez avec le bouton droit sur votre nouvelle stratégie, puis cliquez sur Attribuer. Une flèche verte s'affiche dans l'icône de dossier en regard de votre stratégie.

Une fois que votre stratégie est attribuée, vous disposez de deux filtres actifs supplémentaires (RRAS crée automatiquement des filtres IPSec pour le trafic L2TP). Pour afficher les filtres actifs, tapez la commande suivante à l'invite de commandes :
netdiag /test:ipsec /debug
Vous pouvez rediriger de manière optionnelle la sortie de cette commande vers un fichier texte afin de l'afficher avec un éditeur de texte (tel que le Bloc-notes) en tapant la commande suivante :
netdiag /test:ipsec /debug > nom_fichier.txt
La commande netdiag est disponible après avoir installé le Kit de ressources Microsoft Windows 2000 que vous pouvez installer à partir de votre CD-ROM Windows 2000. Pour installer le kit, recherchez le dossier Support\Tools, puis double-cliquez sur le fichier Setup.exe. Une fois l'installation terminée, vous devrez peut-être exécuter la commande netdiag à partir du dossier %SystemRoot%\Program Files\Support Tools (où %SystemRoot% est le lecteur sur lequel Windows 2000 est installé).

Les filtres du tunnel doivent être semblables à l'exemple suivant :
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}

Il y a deux filtres
De NetA vers NetB
Filter ID: {-long number-}
Policy ID: {-entier long-}
IPSEC_POLICY PolicyId = {-entier long-}
Flags : 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key: -Clé réelle-
Src Addr: NetA Src Mask: -Masque de sous-réseau-
Dest Addr: NetB Dest Mask: -Masque de sous-réseau-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
De NetB vers NetA
Filter ID: {-Entier long-}
Policy ID: {-Entier long-}
IPSEC_POLICY PolicyId = {-Entier long-}
Flags : 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key: -Clé réelle-
Src Addr: NetB Src Mask: -Masque de sous-réseau-
Dest Addr: NetA Dest Mask: -Masque de sous-réseau-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: entrant
Retour au début

Configuration du filtrage du service RRAS

Afin d'empêcher le trafic pour lequel l'adresse source ou l'adresse de destination ne correspond pas à NetA ou NetB, créez les deux filtres suivants : un filtre de sortie pour l'interface externe dans la console MMC du service RRAS afin d'ignorer tout trafic à l'exception des paquets de NetA vers NetB et un filtre d'entrée afin d'ignorer tout trafic à l'exception des paquets de NetB vers NetA. Vous devez également autoriser le trafic vers/de W2KextIP et 3rdExtIP pour permettre la négociation IKE lorsque le tunnel est créé. Le filtrage du service RRAS est effectué au-dessus d'IPSec, vous ne devez pas autoriser le protocole IPSec car il n'atteint jamais la couche du filtre du paquet IP. L'exemple suivant est une représentation très simple de l'architecture de TCP/IP de Windows 2000 :
Couche Application
Couche transport (TCP|UDP|ICMP|RAW)
---- Démarrage de la couche réseau ----
Filtre de paquets IP (où le filtrage NAT/RRAS est effectué)
IPSec (où les filtres IPSec sont implémentés)
Fragmentation/Réassemblage
---- Fin de la couche réseau ------
Interface NDIS
Couche de liaison de données
Couche physique
Pour configurer les filtres dans le service RRAS, chargez MMC RRAS et procédez comme suit :
  1. Développez votre arborescence serveur sous Routage et accès distant, développez la sous-arborescence Routage IP, puis cliquez sur Général.
  2. Cliquez avec le bouton droit sur W2KextIP, puis cliquez sur Propriétés.
  3. Cliquez sur Filtres de sortie, puis sur Ajouter.
  4. Activez les cases à cocher Réseau source et Réseau de destination.
  5. Dans la zone Réseau source, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetA.
  6. Dans la zone Réseau de destination, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetB.
  7. Gardez le protocole défini sur Tous, puis cliquez sur OK.
  8. Cliquez sur Ajouter, puis activez les cases à cocher Réseau source et Réseau de destination.
  9. Dans la zone Réseau source, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter W2KextIP.
  10. Dans la zone Réseau de destination, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter 3rdExtIP (pour la négociation IKE utilisez le masque de sous-réseau 255.255.255.255).
  11. Gardez le protocole défini sur Tous, puis cliquez sur OK.
  12. Activez la case à cocher Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis cliquez sur OK.
  13. Cliquez sur Filtres d'entrée, sur Ajouter, puis activez les cases à cocher Réseau source et Réseau de destination.
  14. Dans la zone Réseau source, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetB.
  15. Dans la zone Réseau de destination, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter NetA.
  16. Gardez le protocole défini sur Tous, puis cliquez sur OK.
  17. Cliquez sur Ajouter, puis activez les cases à cocher Réseau source et Réseau de destination.
  18. Dans la zone Réseau source, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter 3rdExtIP.
  19. Dans la zone Réseau de destination, remplissez les zones Adresse IP et Masque de sous-réseau pour refléter W2KextIP (pour le masque de sous-réseau de l'utilisation de la négociation IKE de 255.255.255.255).
  20. Gardez le protocole défini sur Tous, puis cliquez sur OK.
  21. Activez la case à cocher Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis cliquez deux fois sur OK.
REMARQUE : si le serveur RRAS dispose de plus d'une interface connectée à Internet ou si vous disposez de plusieurs tunnels IPSec, tapez des filtres exemptés de RRAS pour chaque tunnel IPSec (chaque sous-réseau IP source et de destination) pour chaque interface Internet.
Retour au début

Comment faire pour configurer des itinéraires statiques dans le service Routage et accès distant (RRAS)

La passerelle Windows 2000 doit disposer d'un itinéraire pour NetB dans sa table d'itinéraires, que vous pouvez configurer en ajoutant un itinéraire statique dans MMC RRAS. Si la passerelle Windows 2000 est multi-hébergement avec deux cartes réseau ou plus sur le même réseau externe (ou deux réseaux ou plus qui peuvent atteindre l'IP du tunnel de destination 3rdExtIP), il est possible pour les cas suivants :
  • Le trafic du tunnel sortant reste sur une interface et le trafic du tunnel entrant est reçu sur une interface différente. Même si vous utilisez des cartes réseau de déchargement IPSec, la réception sur une interface différente (par rapport à où le trafic du tunnel sortant est envoyé) ne permet pas à la carte réseau de réception de traiter le cryptage dans le matériel car seule l'interface sortante peut décharger l'association de sécurité (SA).
  • Le trafic du tunnel sortant reste sur une interface différente de l'interface qui dispose de l'adresse IP du point de sortie du tunnel. L'IP source du paquet encapsulé est l'IP source sur l'interface sortante. Si ce n'est pas l'IP source qui est attendu par l'autre extrémité, le tunnel n'est pas défini (ou les paquets sont rejetés au point de terminaison distant si le tunnel a déjà été défini).
Pour résoudre le problème d'envoi du trafic du tunnel sortant sur l'interface incorrecte, définissez un itinéraire statique pour lier le trafic vers NetB sur l'interface externe appropriée :
  1. Dans MMC RRAS, développez l'arborescence de votre serveur, développez la sous-arborescence Routage IP, cliquez avec le bouton droit sur Itinéraires statiques, puis cliquez sur Nouvel itinéraire statique.
  2. Dans la zone Interface, cliquez sur W2KextIP (si c'est l'interface que vous souhaitez toujours utiliser pour le trafic du tunnel sortant).
  3. Remplissez les zones Destination et Masque de réseau pour refléter NetB.
  4. Dans la zone Passerelle, tapez 3rdextip.
  5. Gardez la valeur Métrique définie sur sa valeur par défaut (1), puis cliquez sur OK.
REMARQUE : pour résoudre le problème de réception du trafic tunnel entrant sur une interface inappropriée, ne publiez pas l'adresse IP de l'interface à l'aide d'un protocole de routage, mais configurez un filtre dans le service RRAS pour rejeter les paquets vers NetA ou W2KextIP, tel que cela est décrit dans la section "Comment faire pour configurer le filtrage avec le service Routage et accès distant (RRAS)" de cet article.
Retour au début

Test de votre tunnel IPSec

Vous pouvez initialiser le tunnel en exécutant la commande ping d'un ordinateur sur NetA vers un ordinateur sur NetB (ou de NetB vers NetA). Si vous avez créé les filtres et attribué la stratégie correctement, les deux passerelles définissent un tunnel IPSec pour pouvoir envoyer le trafic ICMP à partir de la commande Ping au format crypté.

Même si la commande ping fonctionne, vous devriez vérifier que le trafic ICMP a été envoyé en format crypté de passerelle à passerelle. Pour cela, vous pouvez utiliser les outils suivants.

Activation de l'audit des événements de connexion et de l'accès aux objets

Les événements sont enregistrés dans le journal de sécurité qui vous informe si la négociation de l'association de sécurité IKE a été tentée, et si elle a réussi ou échoué.
  1. À l'aide du composant logiciel enfichable MMC Stratégie de groupe, développez Stratégie de l'ordinateur local et accédez à la stratégie Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy.
  2. Activez l'audit réussi ou échoué de "l'audit des événements de connexion" et de "l'audit de l'accès aux objets."
REMARQUE : si la passerelle Windows 2000 est membre d'un domaine et si vous utilisez une stratégie de domaine pour l'audit, la stratégie de domaine remplace votre stratégie locale. Dans ce cas, modifiez la stratégie de domaine.

Moniteur de sécurité IP

Cet outil indique les statistiques IPSec et les accès de sécurité actifs. Après avoir essayé de définir le tunnel à l'aide de la commande ping, vous pouvez voir si un accès de sécurité a été créé (si la création du tunnel est réussie, un accès de sécurité s'affiche). Si la commande ping est correcte mais qu'il n'y a aucun accès de sécurité, le trafic ICMP n'a pas été protégé par IPSec. Si vous constatez une association logicielle qui n'existait pas auparavant, cela signifie qu'IPSec a autorisé ce trafic en clair (sans cryptage).

Pour charger le moniteur de sécurité IP, cliquez sur Démarrer, sur Exécuter, puis tapez ipsecmon.

Moniteur réseau

Vous pouvez utiliser le Moniteur réseau pour capturer le trafic qui traverse l'interface W2KextIP lorsque que vous essayez d'exécuter la commande ping sur l'ordinateur. Si des paquets ICMP s'affichent lors de la capture avec les adresses IP sources et de destination qui correspondent à l'adresse IP de l'ordinateur à partir duquel vous exécutez la commande ping et l'ordinateur sur lequel vous essayez d'exécuter la commande ping, alors IPSec ne protège pas le trafic. Si le trafic ICMP ne s'affiche pas mais que les paquets ISAKMP et ESP s'affichent à la place, IPSec protège le trafic. Si vous utilisez uniquement le protocole IPSec d'authentification de l'en-tête (AH), le trafic ISAKMP s'affichera et sera suivi des paquets ICMP. Les paquets ISAKMP sont la négociation IKE actuelle qui a lieu et les paquets ESP sont les données de la charge utile cryptées par le protocole IPSec.

Vous pouvez installer le Moniteur réseau à partir de votre CD-ROM Windows 2000 Server. Il n'est pas fourni sur le CD-ROM Windows 2000 Professionnel, mais vous pouvez installer l'outil sur un ordinateur Windows 2000 Professionnel si vous disposez de Microsoft Systems Management Server (SMS).

Pour plus d'informations sur la procédure d'installation du Moniteur réseau dans Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
243270  (http://support.microsoft.com/kb/243270/ ) Comment faire pour installer le Moniteur réseau dans Windows 2000

Test réel

  1. Avant d'essayer d'exécuter une commande ping à partir d'un ordinateur sur un sous-réseau vers un autre (NetA ou NetB), tapez ipconfig à l'invite de commandes. Les interfaces réseau qui sont initialisées dans la pile TCP/IP s'affichent.
  2. Exécuter l'outil du moniteur de sécurité IP.
  3. Chargez le Moniteur réseau, cliquez sur Capture/Réseau, puis cliquez sur l'interface W2KextIP (vous pouvez démarrer une capture en cliquant sur Capture/Démarrer).
  4. Essayez d'exécuter la commande ping sur l'ordinateur. Les premiers paquets d'écho ICMP peuvent dépasser leur délai d'attente pendant la création du tunnel IPSec. Si la tentative d'exécuter la commande ping échoue, vérifiez les journaux de sécurité et système.
  5. Si la tentative d'exécuter la commande ping réussit, arrêtez la capture du Moniteur réseau et vérifiez que le trafic ICMP a circulé en clair ou si seuls les paquets de protocole ISAKMP et IPSec s'affichent. Vérifiez le moniteur de sécurité IP pour vérifier si un accès de sécurité a été créé à l'aide du filtre NetA vers NetB que vous avez créé. Vérifiez également le journal de sécurité. L'ID d'événement 541 devrait s'afficher (association de sécurité IKE définie).
  6. Tapez une nouvelle fois ipconfig à l'invite de commandes afin de vérifier qu'il n'y a pas d'interface TCP/IP supplémentaire tant que le tunnel fonctionne. Cela est dû au fait qu'IPSec protège réellement le trafic qui traverse l'interface physique (W2KextIP).
Si la passerelle distante est également un noeud Windows 2000, gardez les informations suivantes à l'esprit :
  • La passerelle par défaut pour les clients dans NetA devrait être W2KextIP ; la passerelle par défaut pour les clients dans NetB devrait être 3rdIntIP.
  • Un tunnel IPSec ne modifie pas la direction du routage du trafic dans la passerelle Windows 2000 (qui peut router des paquets car le routage est activé dans le service RRAS; la métrique d'interface réelle LAN ouWAN est encore utilisée.)
Remarque Le mode de tunnel IPSec ne fonctionne pas directement avec un point de terminaison qui exécute la Traduction d'adresses réseau (NAT) ou Microsoft ISA Server. Pour plus d'informations concernant cette limitation, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
314764  (http://support.microsoft.com/kb/314764/ ) Utilisation de la sécurité du protocole Internet avec la Traduction d'adresses réseau et ISA Server
Pour plus d'informations sur le service Routage et accès distant (RRAS), consultez l'aide de Windows 2000. Pour accéder à l'aide en ligne, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/windows2000/techinfo/proddoc/default.mspx (http://www.microsoft.com/windows2000/techinfo/proddoc/default.mspx)
Vous pouvez rechercher le Kit de ressources Windows 2000, des documents d'aide et d'autres documentations techniques sur le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/produits/win2000s/default.mspx (http://www.microsoft.com/france/technet/produits/win2000s/default.mspx)
Pour plus d'informations sur les associations logicielles, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
234580  (http://support.microsoft.com/kb/234580/ ) « Associations logicielles » entre un ordinateur pour lequel la stratégie IPSec est activée et un autre pour lequel cette stratégie ne l'est pas
Pour obtenir des informations sur l'IETF, consultez les sites Web appropriés aux adresses suivantes : Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Retour au début
Mots-clés : 
kb3rdparty kbhowto kbnetwork KB252735
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.