4 problèmes courants avec L2TP/Ipsec et comment les résoudre

Tout le personnel a reçu l'instruction de travailler à distance depuis son domicile. Au départ, les directeurs, qui avaient très peu de temps pour se préparer, ont donné de mauvaises informations telles que "vous emporterez votre ordinateur de travail chez vous." Cela a été rapidement éteint car c'était impossible. Comme nous ne pouvions pas emporter de matériel chez nous, la seule solution disponible était de demander à l'ensemble du bureau d'utiliser la technologie VPN pour se connecter à distance à leurs machines. Une fois qu'une connexion à distance était disponible, nous devions remplir nos fonctions de travail au mieux de nos capacités.

Nous avions déjà un serveur VPN configuré sur une machine Windows Server 2012. Il utilisait le protocole de tunnel PPTP. Cette connexion VPN était utilisée avec parcimonie. Il y avait quelques utilisateurs non informatiques qui se connectaient à distance à leur machine pour effectuer certaines tâches, la plupart du temps parce qu'ils étaient à une conférence. Le département informatique avait beaucoup plus d'expérience dans l'utilisation du VPN en raison de la nature de son travail.

La première tâche a été de faire en sorte qu'un grand nombre d'utilisateurs qui n'avaient jamais utilisé le VPN, ou la technologie de bureau à distance, se connectent sur leurs ordinateurs personnels. Après environ une semaine de dépannage, la plupart des membres du bureau avaient établi des connexions VPN sur leurs ordinateurs personnels. Un serveur qui n'avait auparavant que deux ou trois connexions au maximum comptait désormais régulièrement 35 à 40 utilisateurs. Nous avons rapidement découvert que nous étions mal préparés pour une telle base d'utilisateurs et que notre tunnel PPTP n'était pas très sûr.

Voici une liste des problèmes les plus difficiles que nous avons rencontrés après le déploiement - et comment vous pouvez les éviter à l'avenir.

Problème n° 1 : Pas de prise en charge du PPTP

Nous avons constaté que certains systèmes d'exploitation ne prenaient pas en charge le tunnel PPTP utilisé par notre serveur. Plusieurs utilisateurs avaient des MacBooks qui fonctionnaient avec le système d'exploitation MacOS Sierra. Après quelques recherches, nous avons découvert qu'Apple avait abandonné la prise en charge du tunnel PPTP sur les nouvelles versions de ses systèmes d'exploitation en raison de problèmes de sécurité.

Solution : Utiliser le tunnel L2TP/IPsec au lieu de PPTP
Pendant nos recherches sur le problème MacOS, nous avons demandé l'aide de l'équipe de sécurité qui gère notre liaison montante. Ils nous ont donné une suggestion catégorique : "Arrêtez d'utiliser PPTP dès que possible. Le tunnel L2TP/IPsec est assez simple à mettre en place et il est bien plus sûr."

Nous avons trouvé de nombreux articles qui traitaient des problèmes liés au PPTP. Il est techniquement possible de créer une connexion tunnel PPTP sous MacOS en utilisant un logiciel tiers. Nous avons décidé que la meilleure solution serait de passer à L2TP/IPsec comme l'équipe de sécurité l'a suggéré.

Problème n°2 : Surcharge de la bande passante du serveur

Le serveur Windows exécutant la connexion VPN était submergé par la quantité de bande passante créée par tous les utilisateurs. Comme la configuration par défaut d'une connexion PPTP consiste à tunneliser tout le trafic à travers le VPN, tout ce à quoi ils accèdent est transporté par le serveur. Cela signifie que si un utilisateur regardait une vidéo Youtube, streamait Netflix ou faisait tout ce qui nécessitait beaucoup de bande passante, tout ce trafic devait passer du serveur VPN à sa machine.

Inutile de dire que lorsque vous avez 35 utilisateurs sur la même machine, cela peut générer un débit très important. Il était parfois impossible d'accomplir quoi que ce soit, car la communication par le Bureau à distance était trop lente.

Solution : Activer le Split Tunneling
Notre première réaction face à la saturation du réseau a été de demander à nos utilisateurs d'arrêter de regarder des vidéos en continu et d'effectuer d'autres tâches nécessitant beaucoup de bande passante lorsqu'ils étaient connectés à notre VPN. Nous avons envoyé un courriel soulignant toutes les différentes activités qui nécessitaient beaucoup de bande passante - streaming vidéo, visualisation de photos haute résolution et téléchargement de gros fichiers. Nous avons même trouvé un moyen de contrôler qui utilisait le plus de bande passante. Cela peut se faire par le biais de l'application Remote and Routing Access sur le serveur VPN.

Une solution beaucoup plus propre et efficace consistait à modifier les paramètres de la connexion VPN des utilisateurs afin d'arrêter de faire transiter tout le trafic par la connexion VPN.

Problème n° 3 : Les utilisateurs ne sont pas connectés à Internet après s'être connectés au VPN

Outre la latence, nous avons reçu de nombreux rapports concernant des connexions instables. L'utilisateur se connectait au VPN mais aucune donnée ne circulait entre lui et le serveur. Ils voyaient cela sur leur machine :

Le message leur indiquait qu'ils avaient perdu la connexion à l'internet. C'était un message très déroutant puisque vous avez besoin d'une connexion Internet pour maintenir une connexion VPN.

Solution : Vérifiez les plages d'adresses IP DHCP pour détecter les conflits.
Les connexions instables étaient dues à l'afflux de nouvelles IP dans notre serveur DHCP. Nous avons augmenté notre plage DHCP afin de faciliter les nouveaux besoins en IP. Ce que nous ne savions pas, c'est que notre DHCP distribuait occasionnellement des IP déjà enregistrées sur une autre machine. Cela s'explique par le fait que certains de nos serveurs avaient des IP statiques configurées dans notre plage DHCP. Elles n'étaient pas toutes réservées, ce qui signifie que le serveur DHCP ne savait pas qu'elles étaient utilisées.

La raison pour laquelle les utilisateurs subissaient une "panne de réseau" lorsqu'ils se connectaient était que l'ensemble de leur tunnel était maintenant assis sur une adresse IP défunte. Aucun trafic ne pouvait communiquer vers ou depuis notre serveur VPN. Comme tout leur trafic passait par le VPN, leur ordinateur enregistrait leur connexion comme "Pas d'Internet".

Problème n° 4 : Le FAI bloque les connexions VPN

Certains de nos utilisateurs ne pouvaient pas se connecter au VPN même si leur système d'exploitation le permettait. Le service informatique intervenait en utilisant l'application Teamviewer QS pour prendre le contrôle de la machine. Pour certains utilisateurs, cela était dû à des configurations incorrectes. Mais ce n'était pas toujours le cas. Le chef de toute notre division a pu se connecter au VPN lors de la première semaine de travail à distance. Après la mise à niveau de son fournisseur d'accès, il a perdu la possibilité de se connecter malgré l'utilisation des mêmes configurations exactes. Des heures de dépannage n'ont rien donné.

Solution : Utiliser le tunnel L2TP/IPsec au lieu du PPTP
L'utilisateur qui ne parvenait pas à se connecter après la mise à niveau de son FAI avait un problème similaire à celui des utilisateurs de MacBook. Sauf que dans ce cas, ce n'était pas le système d'exploitation qui le bloquait. C'était en fait le FAI. Ils ont également décidé d'arrêter de supporter le tunnel PPTP en raison de problèmes de sécurité.

VPN gestion

VPN obsoléte pour gestion de serveur entreprise ?