Résoudre les problèmes de VPN avec double authentification non fonctionnelle
IntroductionCe tutoriel vise à corriger les dysfonctionnements liés aux VPN avec double authentification sous Windows. Ces VPN reposent sur une combinaison de mot de passe et d’un second facteur (token, application mobile, certificat). Les erreurs fréquentes incluent une connexion échouée après le premier facteur, des timeouts, ou une non-détection du second facteur par le client VPN.
Prérequis• Connaissance du fonctionnement d’un VPN sécurisé
• Maîtrise des types de double authentification (TOTP, push, certificats)
• Accès administrateur à la machine cliente et au client VPN utilisé
Différentes Approches• Approche #1 : CMD – Diagnostic réseau et vérification des services
• Approche #2 : PowerShell – Vérification de l’authentification et du journal des événements
• Approche #3 : Script .PS1 – Automatiser la vérification de la configuration du client VPN
Niveau de difficulté• Approche #1 : Facile
• Approche #2 : Moyen
• Approche #3 : Avancé
Les Avantages• Approche #1 : Rapide pour détecter les problèmes de communication
• Approche #2 : Permet d’analyser précisément les erreurs d’authentification
• Approche #3 : Vérification automatisée utile pour les équipes IT
Les Inconvénients• Approche #1 : Ne donne pas d’informations sur le deuxième facteur
• Approche #2 : Demande une lecture attentive des journaux
• Approche #3 : Spécifique à certains clients VPN uniquement
Approche #1
Ouvrir CMD en tant qu’administrateur
Vérifier la connectivité réseau vers le serveur VPN
Code:
ping nom_serveur_vpn
Tester la résolution DNS et les ports
Code:
nslookup nom_serveur_vpn
Code:
telnet nom_serveur_vpn 443
Redémarrer les services VPN
Code:
net stop rasman && net start rasman
Code:
Get-WinEvent -LogName Application | Where-Object {$.Message -like "vpn" -and $.LevelDisplayName -eq "Error"} | Select-Object TimeCreated, Message
Code:
Get-EventLog -LogName System -Newest 100 | Where-Object {$.Message -like "authentication"}
Code:
Get-Service | Where-Object {$.DisplayName -like "auth" -or $_.DisplayName -like "MFA"}
Code:
$vpnProfiles = Get-VpnConnection
foreach ($vpn in $vpnProfiles) {
Write-Host "Profil : $($vpn.Name)"
Write-Host "Type d’authentification : $($vpn.AuthenticationMethod)"
Write-Host "Serveur : $($vpn.ServerAddress)"
}
Code:
powershell -ExecutionPolicy Bypass -File "C:\Scripts\Check-VPNProfiles.ps1"
Comparer avec les paramètres requis par le fournisseur VPN
AstuceCertains clients VPN nécessitent que le service Credential Manager fonctionne correctement pour gérer le stockage des OTP ou des certificats.
Mise en gardeUne désynchronisation entre l’heure du poste client et celle du serveur VPN peut bloquer l’authentification à deux facteurs, notamment pour les jetons TOTP.
ConseilVérifiez si le client VPN utilisé est compatible avec les méthodes MFA configurées dans votre environnement (Azure MFA, Duo, RSA SecureID, etc.)
Solution alternativeOutils de test et diagnostic VPN/MFA :
• GlobalProtect – VPN Palo Alto
• Recherche Google – VPN MFA problème connexion
Références• Support Microsoft
• Microsoft Learn
• Recherche Google
• Recherche Github
ConclusionLes VPN à double authentification offrent une sécurité renforcée mais sont sensibles à une configuration incorrecte. En utilisant les outils CMD, PowerShell et des scripts ciblés, vous pouvez diagnostiquer efficacement les points de blocage liés à l'authentification, aux certificats, ou à l’infrastructure MFA. Une vérification systématique des profils, des services et de l’horloge système permet de garantir une connexion sécurisée et stable.
