Adito server on Windows 2008R2

Bonjour!

Aujourd’hui j’me suis motivé à décrire un tuto pour mettre en place Adito (renommé comme ceci par son développeur « OpenVPN ALS »).

Adito est un VPN entre votre client et votre LAN, la différence c’est que l’accès se fait par une interface web (https) ce qui nécessite aucune configuration ou installation sur votre client!Pour commencer je fais ce tuto sur Windows et non sur Linux, le tuto sur Linux viendra lorsque j’aurai du temps à y consacrer.

 

1) Les prérequis

-Windows server 2008 R2 (Vous pouvez héberger sur n’importe quel windows mais je n’ai jamais essayé sur du seven par exemple) Cette machine ne doit pas être dans le domaine et avoir une IP fixe.

-Un environnement AD bien configuré avec un DNS

-Java installé sur votre serveur que vous pouvez télécharger chez Oracle notez qu’il arrive que certains problèmes surviennent sous Java 7, je vous conseil la version 6-31

-Si vous utilisez IE il vous faut absolument activer le mode de compatibilité

-Avoir une IP publique fixe ou un DDNS.

-Savoir forwarder un port

 

2) Installation d’adito

Vous pouvez télécharger Adito sur le site du développeur à cette adresse ou le lien directe

On exécute en tant qu’administrateur AditoInstaller0-9-1.exe puis on suit le début de l’installation normalement (en bref suivant suivant suivant!)

Capture d’écran 2013-01-22 à 20.08.12

Capture d’écran 2013-01-22 à 20.08.21

Capture d’écran 2013-01-22 à 20.20.42 Votre version de Java est vérifiée.

Capture d’écran 2013-01-22 à 20.20.49

Capture d’écran 2013-01-22 à 20.21.36Voici le moment critique de l’installation, lorsque vous appuyez Next un terminal doit s’ouvrir.

Vous verrez l’adresse en http de votre serveur et votre explorer s’ouvre automatiquement. C’est à ce moment que vous devez être en mode de compatibilité si vous utilisez IE sinon l’installation ne se terminera pas correctement.

Capture d’écran 2013-01-22 à 20.22.01Créez votre certificat

Capture d’écran 2013-01-22 à 20.22.22Définissez votre mot de passe, ce mot de passe ne sera jamais demandé lors d’une utilisation standard. Mais ne le perdez pas! Vous pourriez le regretter…

Capture d’écran 2013-01-22 à 20.24.07Remplissez ce formulaire avec VOS informations, celles-ci seront publique pour toute personne qui affiche votre certificat via l’interface web du serveur.

Capture d’écran 2013-01-22 à 20.24.19Si vous n’avez pas d’environnement AD vous pouvez sélectionner Built-in, ce qui est bien moins intéressant…

Capture d’écran 2013-01-22 à 20.26.22Remplissez le nom du DC (FQDN), votre nom de domaine, votre utilisateur standard pour le login d’adito et son mot de passe.

Capture d’écran 2013-01-22 à 20.27.11Ici vous devez choisir le compte qui fera office de super-utilisateur. Comme conseillé sur cette page, choisissez un utilisateur et désactivez-le une fois la config d’adito terminé.

Capture d’écran 2013-01-22 à 20.27.36Cette page contient les règles du firewall de votre serveur web. Ayant d’autres protections avant celle-ci, j’ai laissé cette page telle qu’elle l’est.

Capture d’écran 2013-01-22 à 20.27.55Si vous n’avez pas de proxy passez cette étape, sinon configurez le 😉

Capture d’écran 2013-01-22 à 20.28.09Lisez bien cette partie! Lorsque vous appuyez sur Finish, en haut de votre page web il doit y avoir une installation qui s’effectue (pourcentage!!), si vous ne voyez pas cette installation vérifiez que votre browser est correctement configuré.

Une fois cette installation terminée pressez sur Exit Install.

Retournez dans le terminal qui c’est ouvert plus tôt dans l’installation, et pressez n’importe une touche.

Puis maintenant retournez dans le .exe qui est toujours en font de tâche.

Capture d’écran 2013-01-22 à 20.32.12Un nouveau terminal s’ouvre lorsque vous appuyez sur Next, vous pouvez voir que l’installation du service s’effectue correctement ainsi que son lancement.

Si vous avez des erreurs, désinstallez adito depuis le désinstallateur de Windows. Puis vérifiez que Java fonctionne correctement, que vous avez pas d’antivirus qui pose problème, que vous avez utilisez le mode de compatibilité.
Si cela persiste essayez d’installer la version 6 built 31 de Java. J’ai déjà entendu parler de problème sous Java 7 se qui empêche le service de se lancer correctement.

Voilà l’installation est terminée!

3) Configuration d’Adito

Rendez-vous sur https://nom-du-serveur:le-port-choisi (de base 443)

Connectez-vous avec votre super-utilisateur.

Capture d’écran 2013-03-23 à 16.08.30

Voici à quoi elle ressemble

Vous avez un tas de possibilité, pour commencer il faut penser à la sécurité! En effet penser à bien protéger son réseau est très important car ce serveur est une porte grande ouverte à l’extérieur.

Premier point, dans les prérequis j’ai déconseillé de joindre votre serveur Adito à votre domaine pour la simple et bonne raison que ce serveur sera en première ligne entre votre LAN et internet. Il est susceptible d’être attaqué, même fréquemment si vous laissez le port HTTPS par défaut. Si un hacker sniff votre mot de passe administrateur cela poserait un très gros souci si votre compte admin est le même que celui sur votre LAN…
En gros en laissant le serveur Adito hors domaine il sera dans une DMZ en quelque sorte, hésitez pas à renforcer la sécurité sur le reste du LAN en interdisant l’accès de cette machine au reste du LAN par GPO ou même mieux, installez un ipfire. Pour rappel Adito n’a besoin d’avoir accès qu’au port de l’AD et au port RDP.

Bref, pour en revenir à nos moutons! Pour commencer il faut créer une policy, pour ceci il suffit de sélectionner Policies sur le côté gauche, puis Create policy en haut à droite.

On y choisi un nom parlant, ainsi qu’une brève description. Vous choisissez un compte utilisateur ou un groupe qui aura accès à la (ou les) machine à laquelle sera appliquée cette policy.

Une fois terminé on va créer une application, qui sera un raccourci pour notre tunnel RDP. On sélectionne Native RDP client, on met un nom et une description et on coche Add to favorites.

On rempli l’IP ou le FQDN (j’vous conseil de travailler en IP) de la machine. Le reste n’est pas obligatoire, à vous de savoir si vous voulez rentrer les données à chaque connexion ou que cela se remplisse tout seul. Vous pouvez configurer l’onglet Display et Local resources comme bon vous semble.

Cliquez suivant et choisissez la policy à appliquer à cette machine. Seule les personnes sont membre de cette policy pourront accéder à ce shortcut! Terminez et voilà votre première machine est disponible de partout dans le monde 😉

Enfin presque!

4) Disponibilité via Internet

Maintenant que votre serveur est prêt, forwardez le port du serveur web d’Adito sur votre routeur. Si vous pouvez modifier le port public et local je vous conseil de le faire! Prenez n’importe un port libre.

Créez un DDNS ou utilisez celui que vous avez. Si vous ne savez pas comment faire, je vous invite à chercher un tuto pour Dyndns ou no-ip.

5) Installer une nouvelle application

Si vous utilisez OSX ou Linux il se peut qu’aucun client RDP ne soit installé. Pour éviter d’avoir à installer un client vous pouvez utiliser un paquet qui téléchargera un client lors de votre utilisation d’Adito.

Pour se faire, retournez dans l’interface d’administration d’Adito et selectionnez Extension Manager, puis uploadez ce fichier disponible à cette adresse. Lorsque c’est fait, vous pouvez créer un nouveau shortcut mais cette fois-ci choisissez le client RDP embedded.

Voilà votre tunnel VPN est prêt et utilisable sur presque toutes les plateformes!

Un petit détail, si vous utilisez Linux il se peut que la version open-source de java pose problème, suivez mon tuto à cette page et tout rentrera dans l’ordre!

 

J’espère que ce tuto vous aidera et n’hésitez pas à me laisser un mot si vous trouvez une erreur ou rencontrez des problèmes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Copy This Password *

* Type Or Paste Password Here *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.