Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Installation d’un routeur avec Windows Server 2025

Tuto Windows Server 2025 configurer routage et NAT
  • 20 février 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Ce tutoriel explique comment configurer un serveur sous Windows Server 2025 en tant que routeur. Mais, avant de savoir comment faire, la question que l’on peut se poser, c’est la suivante : pourquoi utiliser une machine sous Windows Server comme routeur ?

Commençons par répondre à cette première question. Utiliser une machine Windows Server comme routeur peut s’avérer utile dans un lab virtualisé : vous pouvez isoler les machines virtuelles sur un réseau interne tout en offrant un accès à Internet via votre routeur. Ce dernier fait alors le pont entre le réseau interne et le réseau externe, grâce à la présence d’au moins 2 cartes réseau et une configuration adaptée. Il m’arrive d’utiliser cette méthode dans certains de mes labs. Lorsque ce n’est pas le cas, j’utilise un pare-feu virtuel sous Pfsense ou OPNsense.

Ci-dessous, un exemple d’implémentation de ce routeur sur un hyperviseur Hyper-V. La plateforme de virtualisation importe peu, la configuration présentée ne concerne pas seulement Hyper-V.

Windows Server prend en charge cette fonctionnalité nativement par l’intermédiaire de son rôle “Routing and Remote Access Service” (RRAS). Ainsi, il est envisageable de l’utiliser comme routeur ou comme passerelle VPN (ce que nous pourrons voir dans un prochain article). Sur le papier, rien ne vous empêche d’utiliser Windows Server en tant que routeur en production, même si personnellement, je ne l’ai jamais vu (contrairement à la fonction de VPN qui est utilisée).

Pour suivre ce tutoriel, vous avez besoin :

D’une machine sous Windows Server 2025 ou une version antérieure

De deux cartes réseau pour interconnecter les réseaux (le réseau virtuel interne et le réseau local physique, par exemple)

Un accès administrateur sur le serveur

Une bonne connaissance de la notion de NAT (car notre configuration repose sur le NAT et nous allons configurer une redirection de port)

II. Installation du rôle d’accès à distance sur Windows Server

Premièrement, nous devons installer le rôle “Accès à distance” (RRAS) sur Windows Server. Ouvrez le Gestionnaire de serveur et lancez l’assistant pour ajouter un rôle ou une fonctionnalité à partir du menu “Gérer”. Passez les premières étapes…

À l’étape “Rôles de serveurs”, veillez à sélectionner le rôle intitulé “Accès à distance”.

Passez l’étape d’ajout de fonctionnalités… Poursuivez…

Vous devez installer le service de rôle nommé “Routage” et accepter l’installation des outils d’administration. En réalité, cela va également cocher et donc installer le service “DirectAccess et VPN (accès à distance)”, ce que nous acceptons.

Le serveur Web IIS sera également installé sur le serveur (conséquence directement des choix effectués précédemment). Par la suite, vous pourrez arrêter le serveur Web IIS sur votre routeur, car il ne présente aucun intérêt vis-à-vis de notre objectif du jour.

Poursuivez avec les choix par défaut.

Lancez l’installation et patientez un instant.

Voilà, la première étape est terminée.

III. Configuration du routage

Pour continuer la mise en place de notre routeur, nous devons configurer le routage (et le NAT). Suite à l’installation du rôle, un avertissement apparaît dans le Gestionnaire de serveur, afin de nous inviter à lancer un assistant de configuration. Cela n’est pas utile dans notre cas, vous pouvez l’ignorer.

Par contre, à partir du menu “Outils”, vous devez ouvrir la console nommée “Routage et accès distant”. Effectuez un clic droit sur le nom du serveur, puis cliquez sur “Configurer et activer le routage et l’accès à distance”.

Un nouvel assistant se lance. Passez la première étape. Ensuite, choisissez le modèle de configuration nommé “NAT (Network Address Translation)”, sauf si vous ne souhaitez pas faire de NAT. Dans ce cas, vous pourriez opter pour la configuration personnalisée.

Ensuite, l’assistant vous demande de sélectionner l’interface réseau qui est connectée à Internet. Sélectionnez “WAN” et continuez.

L’étape suivante vous alerte sur le fait que les services DNS et DHCP n’ont pas été détectés sur la machine locale. L’installation de ces deux rôles facultatifs est envisageable, mais elle reste optionnelle. Si vous montez un environnement avec un Active Directory, il y a de fortes chances pour que le serveur DNS soit déjà hébergé par le serveur contrôleur de domaine. De ce fait, il est préférable de sélectionner l’option “Je configurerai les services de noms et d’adresses ultérieurement”.

Enfin, cliquez sur “Terminer” pour valider la configuration. Une erreur va certainement apparaître : “Le service d’accès à distance (RAS) ne peut pas activer le routage et l’accès à distance pour la probable raison suivante : impossible d’ouvrir des ports…”. Cliquez simplement sur “OK”, cela n’aura pas d’impact pour la suite des événements.

Les services doivent démarrer et votre serveur doit afficher un bel icône vert, comme sur l’image ci-dessous.

Désormais, le routeur est opérationnel ! Le meilleur moyen de le vérifier, c’est de tester.

À partir d’une machine connectée directement sur le réseau LAN interne, qui a une adresse IP fixe, un ping vers une adresse IP externe fonctionne bien ! Si vous le souhaitez, vous pouvez installer un serveur DHCP sur Windows Server, sur la même machine que le routeur.

À partir de l’interface de l’accès à distance, si vous cliquez sur “IPv4”, puis sur “Général”, vous pouvez visualiser les compteurs de trafic entrants et sortants pour les deux interfaces du routeur. Cela est le signe d’une activité.

La configuration initiale du routeur sous Windows Server est terminée ! Dans la suite de cet article, nous verrons quelques options de configuration supplémentaires.

IV. Aller plus loin avec le routeur Windows Server

A. Créer une règle de port forwarding

Prenons le cas de figure suivant :

Vous avez des machines virtuelles connectées à votre réseau LAN interne, isolées du réseau local physique. Elles accèdent à Internet grâce au routeur (et le mécanisme de NAT).

Vous avez un poste de travail, qui est connecté sur le réseau local physique (du même côté que l’interface WAN du routeur) : comment peut-il accéder en direct aux machines virtuelles ?

La réponse : une redirection de port (port forwarding) pour mapper un port externe avec un port interne. Ici, nous ferons en sorte de permettre un accès RDP vers une machine virtuelle située dans le LAN interne.

Ci-dessous les étapes à effectuer.

1 – Pour commencer la configuration, cliquez sur “NAT” sous “IPv4”, toujours à partir de la console de gestion du routage.

2 – Effectuez un clic droit sur “WAN” puisqu’il s’agit de l’interface externe du routeur.

3 – Cliquez sur “Propriétés”.

Ensuite, déroulez les étapes suivantes :

1 – Cliquez sur l’onglet “Services et ports”.

2 – Cliquez sur le bouton “Ajouter” pour créer une nouvelle règle de toute pièce. Attention, si vous voulez faire une redirection de port pour une seule VM, du port 3389 (externe) vers le port 3389 (interne), correspondant au RDP, éditez directement la règle “Bureau à distance”. Vous ne pouvez pas créer 2 règles avec le même port entrant (externe), donc cela renverra une erreur si vous créez une nouvelle règle avec le port 3389.

Ici, l’objectif sera de se connecter sur le port “33891” sur l’adresse IP WAN du routeur dans le but d’être redirigé vers le port “3389” de la VM avec l’adresse IP “192.168.10.102”.

3 – Nommez cette règle.

4 – Configurez la règle. Sachez que le port entrant correspond au port sur l’interface WAN du routeur, tandis que le port sortant doit correspondre au port sur lequel le service écoute sur la machine de destination.

5 – Validez avec le bouton “OK”.

Voici cet exemple en image :

Remarque : si vous avez besoin de vous connecter à une autre VM en RDP, vous pouvez choisir un autre port entrant, par exemple “33892”, tout en conservant le port sortant “3389”.

Finalement, grâce à cette règle, depuis une machine distante, il m’est possible de me connecter à la machine virtuelle. Pour cela, il convient de préciser l’adresse IP de l’interface WAN du routeur, ainsi que le numéro de port. Pour ma part, ce sera donc : 192.168.1.93:33891. Le flux sera redirigé vers 192.168.10.102:3389.

B. Filtrer les flux en sortie

Pour terminer, nous allons évoquer une autre option de configuration : le filtrage des flux en sortie. Ceci permet à votre routeur de ne pas autoriser certains flux sortants. Par exemple, vous pourriez créer une règle pour bloquer les connexions sortantes vers le port 80 (HTTP).

Ici, nous allons faire en sorte de refuser tout le trafic sortant, sauf ce qui est explicitement autorisé par une règle. Nous allons autoriser uniquement les flux suivants :

Les flux sortants vers tous les réseaux, sur les ports 443 (HTTPS) et 53 (DNS).

Les flux sortants vers le réseau local physique (192.168.1.0/24), sur le port 3389 (RDP) pour ne pas bloquer les connexions Bureau à distance sur les VM.

Cliquez sur “IPv4”, sur “Général”, puis effectuez un clic droit sur “WAN” afin d’accéder aux propriétés de l’interface.

Donc, une nouvelle fenêtre va s’ouvrir. Cliquez sur le bouton “Filtres de sortie” puis ajoutez une nouvelle règle via le bouton “Nouveau”. Configurez une première règle. Pour autoriser les flux DNS sortants, il suffit de choisir le protocole “UDP” et de spécifier “53” comme numéro de port de destination.

Répétez l’opération pour les deux autres règles. La règle pour le port 443/TCP (HTTPS) s’effectue sur le même principe. Tandis que pour la troisième règle, vous devez limiter l’adresse de destination en indiquant l’adresse réseau du réseau local physique. Ceci permettra de limiter l’autorisation au strict nécessaire.

Enfin, pour finir, choisissez l’action de filtrage nommée “Rejeter tous les paquets à l’exception de ceux qui répondent aux critères suivants”.

Validez avec le bouton “OK”, par deux fois. Voilà, vos règles de filtrage sont effectives. Vous n’avez plus qu’à faire des tests !

V. Conclusion

En fin de compte, en appliquant rigoureusement cette procédure, vous devriez être capable de mettre en place un routeur sur Windows Server ! Si vous souhaitez aller plus loin, vous savez également comment créer des règles de redirection de port ou de filtrage en sortie. Ce sont deux fonctionnalités essentielles pour affiner la configuration du routeur.

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *