TP - VPN de site-à-site
Introduction
Vous allez expérimenter la mise en place d'un VPN de site-à-site et la configuration d'un environnement Active Directory simplifié. L'objectif est de vous familiariser avec les technologies VPN et de maîtriser la configuration des règles de pare-feu nécessaires pour assurer la communication sécurisée des flux liés à Active Directory.
1. Contexte du Projet
Innovatech Solutions est une entreprise présente sur deux sites :
- Site de Pau : Héberge le contrôleur de domaine principal (DC_PAU) sous Windows Server 2025.
- Site de Bordeaux : Accueille un poste client Windows 11 qui devra être intégré au domaine géré par le DC_PAU de Pau.
La liaison entre ces deux sites se fera via un VPN de site-à-site. Vous aurez l'opportunité d'expérimenter plusieurs solutions VPN (IPsec/IKEv2, OpenVPN, WireGuard) afin de comparer leurs fonctionnalités et de justifier le choix final retenu pour ce scénario.
2. Objectifs du Projet
Mise en place d'un domaine Active Directory centralisé
- Installer et configurer Active Directory sur le serveur DC_PAU situé sur le site de Pau.
- Préparer ce serveur pour qu'il puisse accueillir des connexions distantes via le VPN.
Intégration d'un poste client distant
- Configurer un poste client Windows 11 sur le site de Bordeaux et l'intégrer au domaine contrôlé par DC_PAU. (cela devra être fait grâce au tunnel VPN !)
Configuration d'un VPN de Site-à-Site
- Mettre en place un tunnel VPN entre le pare-feu du site de Pau (PF_PAU) et celui du site de Bordeaux (PF_BDX).
- Expérimenter différentes solutions VPN (IPsec/IKEv2, OpenVPN, WireGuard) pour comprendre leur fonctionnement.
- Documenter une analyse comparative (historique, avantages, inconvénients) et justifier le choix de la technologie VPN retenue.
Mise en place des règles de pare-feu pour les flux Active Directory
- Définir et appliquer les règles de pare-feu sur les deux sites afin d'autoriser les flux nécessaires au fonctionnement de l'Active Directory (authentification, réplication, etc.) dans le tunnel VPN.
- Justifier vos choix de configuration et détailler les ports, protocoles et adresses IP concernés.
3. Architecture et Composants à Déployer
A. Active Directory
- DC_PAU (Pau) : Serveur Windows Server 2025 configuré en contrôleur de domaine. Active Directory doit être opérationnel et accessible depuis le réseau distant via le VPN.
B. Poste Client
- CLIENT_BDX (Bordeaux) : Poste client Windows 11 à intégrer au domaine contrôlé par DC_PAU.
C. Pare-feux et VPN
PF_PAU (Pau) et PF_BDX (Bordeaux) : Ces pare-feux assureront la liaison VPN de site-à-site.
Vous devez configurer :
- Le tunnel VPN entre les deux sites.
- Les règles de pare-feu permettant la circulation des flux Active Directory (ex. : ports 389 pour LDAP, 636 pour LDAPS, 3268/3269 pour Global Catalog, ports RPC, etc.).
4. Validation et Tests
Vous devez effectuer et documenter une série de tests pour vérifier le bon fonctionnement de votre infrastructure :
- Test d'intégration au domaine : Vérifier que le poste client de Bordeaux peut rejoindre le domaine via le VPN.
- Test de connectivité VPN : Effectuer des tests de ping et de connexion sur les ports autorisés pour vous assurer que le tunnel VPN fonctionne correctement.
- Test des flux AD : Valider, à l'aide d'outils (par exemple, dcdiag, repadmin), que les flux nécessaires à l'Active Directory circulent sans être bloqués par les règles de pare-feu.
Pour chaque test, prenez des captures d'écran, enregistrez des extraits de logs et consignez vos commandes de diagnostic.
5. Livrables Attendus
Schéma d'Architecture
Un diagramme détaillé illustrant :
- Les deux sites (Pau et Bordeaux).
- Le positionnement du DC sur le site de Pau.
- Le poste client sur le site de Bordeaux.
- La liaison VPN entre PF_PAU et PF_BDX, avec indication des flux autorisés.
Fichiers de Configuration
- Configurations appliquées sur les pare-feux (règles, ports, adresses IP autorisées).
- Paramétrages du tunnel VPN sur PF_PAU et PF_BDX.
- Configuration du domaine Active Directory sur DC_PAU.
Documentation Technique
Un rapport détaillé présentant :
- La démarche de mise en place de l'AD et de l'intégration du poste client.
- L'analyse comparative des solutions VPN testées (IPsec/IKEv2, OpenVPN, WireGuard) et la justification de votre choix final.
- La description détaillée des règles de pare-feu appliquées pour les flux AD, avec explications sur les ports et protocoles utilisés.
Preuves de Validation
Captures d'écran et logs démontrant :
- La réussite de l'intégration du poste client au domaine.
- La connectivité via le VPN et la circulation des flux AD.
Un rapport de tests expliquant la méthodologie et les résultats obtenus.
6. Consignes et Remarques
- Expérimentation VPN : Même si vous êtes encouragés à tester les trois solutions VPN proposées, vous devez finalement choisir celle qui vous semble la plus adaptée pour ce scénario et justifier votre choix. Bien que cela ne vous empêche pas de tester ces solutions ! Le pare-feu choisi détermine souvent le type de VPN à configurer.
- Règles de Pare-feu : Soyez précis dans la configuration des règles. Détaillez les ports et protocoles utilisés pour assurer la bonne communication des flux Active Directory via le VPN.
- Documentation : La qualité de la documentation (schémas, rapports d'analyse, preuves de validation) sera un critère d'évaluation important. Assurez-vous que chaque étape soit clairement décrite.
- Questions et Assistance : N'hésitez pas à poser des questions en cas de doute sur une partie de la configuration ou des tests à réaliser. L'objectif est de comprendre les technologies utilisées et d'appliquer les meilleures pratiques en matière de sécurité.