Windows Server 2025 : configurer un routeur NAT avec RRAS

Dans de nombreuses situations — laboratoire de test, site isolé avec une seule connexion Internet, DMZ simplifiée ou infrastructure hybride en cours de migration — disposer d'un routeur sans investir dans un équipement dédié constitue un avantage économique et opérationnel réel. Windows Server 2025, dans la continuité de ses prédécesseurs, intègre nativement le rôle RRAS (Routing and Remote Access Service) qui transforme un serveur Windows en routeur capable d'assurer le NAT, le routage statique et même certaines fonctions VPN. Cette solution est particulièrement pertinente dans des contextes où un serveur Windows est déjà présent, où les équipes maîtrisent l'administration Windows, et où la complexité d'un pare-feu dédié ne se justifie pas. RRAS s'avère aussi très utile pour les environnements de formation et les labs Hyper-V, permettant d'isoler des réseaux virtuels tout en leur offrant un accès Internet contrôlé. Ce guide pas-à-pas couvre l'ensemble de la configuration de RRAS en mode routeur NAT sur Windows Server 2025 : installation du rôle, configuration des interfaces WAN et LAN, test de connectivité, routes statiques, filtrage de base et comparaison avec des alternatives open source.

Cas d'usage RRAS comme routeur NAT (lab, site isolé, DMZ simple)

Avant de déployer RRAS, il est essentiel de qualifier les scénarios pour lesquels cette solution est adaptée — et ceux pour lesquels elle ne l'est pas.

Scénarios adaptés à RRAS

• Lab Hyper-V : partager la connexion Internet de l'hôte Hyper-V avec des machines virtuelles sur un réseau interne isolé. RRAS sur l'hôte (ou une VM dédiée) assure le NAT entre le vSwitch interne et le vSwitch externe.
• Petite structure sans équipement réseau dédié : une TPE disposant d'un serveur Windows Server mais sans routeur/pare-feu peut utiliser RRAS comme passerelle Internet provisoire ou permanente pour un réseau de 10-20 utilisateurs.
• Site distant isolé : un site secondaire connecté via une ligne ADSL ou fibre basique peut utiliser RRAS pour partager la connexion Internet entre les quelques postes du site.
• DMZ simple : un serveur avec 3 interfaces réseau (WAN, LAN, DMZ) peut utiliser RRAS pour segmenter le trafic entre les zones et appliquer du filtrage de paquets basique.
• Formation et certifications Microsoft : les labs pour MCSA, MCSE ou AZ-700 nécessitent souvent la maîtrise de RRAS.

Limites de RRAS

RRAS n'est pas adapté aux environnements requérant :

• Un pare-feu stateful avancé (inspection DPI, prévention d'intrusion)
• Des fonctionnalités UTM (antivirus flux, filtrage URL, sandboxing)
• Des performances réseau très élevées (10+ Gbps)
• Une haute disponibilité avec failover automatique

Pour ces besoins, pfSense, OPNsense ou des pare-feux matériels (Fortinet, Palo Alto) sont plus appropriés.

Prérequis — 2 cartes réseau (WAN + LAN), Windows Server 2025

Configuration matérielle minimale

• Deux interfaces réseau minimum : une interface WAN (connectée à Internet ou à la liaison montante) et une interface LAN (connectée au réseau interne des clients). Pour une DMZ, une troisième interface est nécessaire.
• Windows Server 2025 : édition Standard ou Datacenter. RRAS est disponible dans les deux.
• IP statique sur toutes les interfaces : l'interface WAN reçoit une IP publique ou une IP de la liaison montante. L'interface LAN reçoit l'IP de la passerelle du réseau interne.

Configuration réseau de référence

Pour ce guide, nous utilisons la configuration suivante :

Les clients du réseau LAN auront pour passerelle 192.168.10.1 et pour DNS un serveur DNS local ou les DNS publics. Le serveur DHCP (Windows Server DHCP ou un routeur secondaire) distribuera les IPs dans la plage 192.168.10.100-200.

Nommage des interfaces

Avant de commencer, renommer les interfaces réseau pour éviter toute confusion :

# Renommer les interfaces réseau via PowerShell
Rename-NetAdapter -Name "Ethernet" -NewName "WAN"
Rename-NetAdapter -Name "Ethernet 2" -NewName "LAN"

# Vérifier
Get-NetAdapter | Select-Object Name, InterfaceDescription, Status

Installer le rôle RRAS (Remote Access)

Le rôle RRAS fait partie du groupe de fonctionnalités Remote Access dans Windows Server 2025.

Installation via PowerShell

# Installer le rôle Remote Access avec le sous-rôle Routing
Install-WindowsFeature RemoteAccess -IncludeManagementTools
Install-WindowsFeature -Name Routing -IncludeManagementTools -IncludeAllSubFeature

# Vérifier l'installation
Get-WindowsFeature RemoteAccess, Routing | Select-Object Name, InstallState

Installation via le Gestionnaire de serveur

1. Gestionnaire de serveur → Gérer → Ajouter des rôles et des fonctionnalités.
2. Type d'installation : Installation basée sur un rôle ou une fonctionnalité.
3. Dans la liste des rôles, cocher Accès à distance.
4. Dans les services de rôle, cocher DirectAccess et VPN (RAS) et Routage.
5. Valider et terminer l'installation. Un redémarrage n'est généralement pas nécessaire.

Configurer RRAS en mode routeur NAT (étapes pas-à-pas)

L'interface principale de configuration RRAS est la console MMC rrasmgmt.msc (Routage et accès à distance).

Lancement de la configuration initiale

1. Ouvrir Outils → Routage et accès à distance.
2. Clic droit sur le nom du serveur → Configurer et activer le routage et l'accès à distance.
3. L'assistant s'ouvre. Choisir Traduction d'adresses réseau (NAT).
4. Sélectionner l'interface Internet (WAN) : choisir l'interface nommée WAN.
5. Si aucun service DHCP/DNS n'est présent sur le réseau interne, cocher Activer les services de base sur ce réseau privé (RRAS fournira DHCP et DNS basiques). Sinon, décocher cette option si vous avez déjà un serveur DHCP dédié.
6. Terminer l'assistant. RRAS démarre automatiquement.

Activation manuelle du service RRAS

# Si RRAS ne démarre pas automatiquement
Start-Service RemoteAccess
Set-Service RemoteAccess -StartupType Automatic

# Vérifier l'état
Get-Service RemoteAccess

Configurer les interfaces réseau WAN et LAN dans RRAS

Une fois RRAS activé, les interfaces réseau doivent être correctement associées aux rôles WAN et LAN dans la configuration NAT.

Configuration NAT via la console RRAS

1. Dans la console RRAS → IPv4 → NAT.
2. Clic droit sur NAT → Nouvelle interface.
3. Sélectionner l'interface WAN → choisir Interface publique connectée à Internet et cocher Activer NAT sur cette interface.
4. Sélectionner l'interface LAN → choisir Interface privée connectée à un réseau privé.

Configuration via PowerShell (alternative)

# Configurer NAT via PowerShell (méthode alternative rapide)
# Activer le routage IP
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" -Name "IPEnableRouter" -Value 1

# Configurer le NAT avec netsh
netsh routing ip nat install
netsh routing ip nat add interface "WAN" full
netsh routing ip nat add interface "LAN" private

# Vérifier
netsh routing ip nat show interface

Configuration du pare-feu Windows

Par défaut, Windows Firewall peut bloquer le routage entre interfaces. S'assurer que le pare-feu autorise le trafic forwardé :

# Activer le routage dans le pare-feu Windows
netsh advfirewall set allprofiles state off
# Note : en production, configurer des règles spécifiques plutôt que désactiver le pare-feu

# Règle pour autoriser le trafic routé
New-NetFirewallRule -DisplayName "Autoriser RRAS Routing" -Direction Inbound -Action Allow -Protocol Any -RemoteAddress "192.168.10.0/24"

Tester la connectivité et le NAT depuis les clients

Une fois RRAS configuré, vérifier que les clients du réseau LAN accèdent bien à Internet via le serveur RRAS.

Configuration des clients

Sur chaque client du réseau LAN, configurer :

• IP : dans la plage 192.168.10.X
• Masque : 255.255.255.0
• Passerelle par défaut : 192.168.10.1 (IP LAN du serveur RRAS)
• DNS : 192.168.10.1 (si RRAS fournit le DNS) ou DNS du serveur AD local

Tests de connectivité

# Depuis un client LAN
# Test 1 : ping vers la passerelle RRAS
ping 192.168.10.1

# Test 2 : ping vers une IP publique (bypass DNS)
ping 1.1.1.1

# Test 3 : ping vers un nom de domaine (test DNS)
ping google.com

# Test 4 : traceroute pour vérifier le chemin
tracert 8.8.8.8
# La première ligne doit afficher 192.168.10.1 (le RRAS), puis l'IP WAN du FAI

Vérification des statistiques NAT sur le serveur

# Afficher les sessions NAT actives
netsh routing ip nat show mapping

# Statistiques NAT par interface
netsh routing ip nat show interface

Ajouter des routes statiques

Dans des environnements avec plusieurs sous-réseaux ou des réseaux privés interconnectés, les routes statiques permettent de diriger le trafic vers les bons segments.

Routes statiques dans RRAS

# Ajouter une route statique vers un sous-réseau distant (via RRAS)
# Via la console : IPv4 → Itinéraires statiques → Nouvelle route statique

# Via PowerShell
Add-BgpRoutingPolicy -Name "Route-Site2" | Out-Null

# Via netsh (méthode universelle)
netsh routing ip add persistentroute dest=10.10.0.0 mask=255.255.0.0 name="LAN" nhop=192.168.10.254 metric=1

# Vérifier la table de routage
route print
netsh routing ip show rtmroutes

Route par défaut

La route par défaut (0.0.0.0/0) via l'interface WAN est configurée automatiquement par RRAS lors de l'activation NAT. Si elle est absente :

# Ajouter la route par défaut manuellement
route add 0.0.0.0 mask 0.0.0.0 93.XX.XX.1 metric 1 if 12
# Remplacer 93.XX.XX.1 par l'IP de la passerelle FAI et 12 par l'index de l'interface WAN

# Pour rendre la route persistante
route -p add 0.0.0.0 mask 0.0.0.0 93.XX.XX.1 metric 1

Configurer des règles de filtrage basiques sur RRAS

RRAS permet de configurer des filtres de paquets basiques sur chaque interface, offrant un niveau de contrôle des flux réseaux.

Filtres d'entrée et de sortie

Dans la console RRAS → IPv4 → Général → clic droit sur l'interface WAN → Propriétés → onglets Filtre entrant et Filtre sortant.

# Bloquer le trafic entrant sur un port spécifique via netsh
# Exemple : bloquer l'accès entrant au port 23 (Telnet) sur l'interface WAN
netsh routing ip add filter name="WAN" type=input srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=23

# Bloquer le trafic sortant vers une IP malveillante
netsh routing ip add filter name="LAN" type=output srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=185.100.87.0 dstmask=255.255.255.0 proto=IP

Attention : les filtres RRAS sont de type stateless (sans état). Ils ne remplacent pas un pare-feu stateful pour la sécurité en production. Pour des besoins de sécurité avancés, combiner RRAS avec le Pare-feu Windows avec fonctions avancées de sécurité ou envisager une solution dédiée. Notre équipe peut vous conseiller sur la gouvernance de sécurité adaptée à votre contexte.

Configurer le service DHCP intégré à RRAS

RRAS peut agir comme relais DHCP (DHCP Relay Agent) pour transmettre les demandes DHCP des clients LAN vers un serveur DHCP existant sur un autre segment réseau. Il peut également distribuer des adresses DHCP directement dans les scénarios de déploiement simples.

Agent de relais DHCP

# Configurer le relais DHCP dans RRAS via la console
# IPv4 → Général → Ajouter protocole → Agent de relais DHCP
# Puis configurer l'IP du serveur DHCP cible dans les propriétés de l'agent

# Via netsh
netsh routing ip relay install
netsh routing ip relay add dhcpserver 192.168.1.10
netsh routing ip relay add interface "LAN"

# Vérifier
netsh routing ip relay show global
netsh routing ip relay show interface

Surveillance du trafic DHCP

# Vérifier les statistiques du relais DHCP
netsh routing ip relay show statistics

# Si le serveur DHCP est Windows Server, vérifier les baux depuis PowerShell
Get-DhcpServerv4Lease -ComputerName "DHCP-SERVER" -ScopeId 192.168.10.0 | Select-Object IPAddress, ClientId, HostName

Réservations et exclusions pour clients réseau

Lorsque RRAS est utilisé comme passerelle NAT avec un serveur DHCP Windows dédié, il est recommandé de réserver l'IP de l'interface LAN du serveur RRAS pour éviter tout conflit :

# Exclure l'IP du serveur RRAS de la plage DHCP
Add-DhcpServerv4ExclusionRange -ComputerName "DHCP-SERVER" -ScopeId 192.168.10.0 -StartRange 192.168.10.1 -EndRange 192.168.10.1

# Configurer l'option "Routeur" (003) pour que les clients reçoivent la bonne passerelle
Set-DhcpServerv4OptionValue -ComputerName "DHCP-SERVER" -ScopeId 192.168.10.0 -OptionId 3 -Value 192.168.10.1

Sécuriser RRAS avec IPsec et politiques de réseau

Bien que RRAS ne soit pas un pare-feu à part entière, il supporte IPsec pour chiffrer les communications entre segments réseau et sécuriser les connexions VPN.

IPsec avec RRAS

Les politiques IPsec Windows permettent de chiffrer tout le trafic entre deux réseaux routés par RRAS. Ce mécanisme est utilisé notamment pour les connexions LAN-to-LAN entre sites distants :

# Créer une règle IPsec pour chiffrer le trafic inter-sites
New-NetIPsecRule -DisplayName "IPsec-Site-A-vers-Site-B" `
    -InboundSecurity Require `
    -OutboundSecurity Require `
    -LocalAddress 192.168.10.0/24 `
    -RemoteAddress 10.10.0.0/24 `
    -Protocol TCP

# Configurer la politique IKEv2
New-NetIPsecAuthProposal -Machine -Cert -Authority "CN=MonCA" | Out-Null

Restriction des accès administrateur RRAS

Pour limiter qui peut modifier la configuration RRAS, utiliser les groupes locaux Windows :

# Seuls les membres de "Network Configuration Operators" ou Administrateurs
# peuvent modifier la configuration réseau
# Appliquer via GPO : Configuration ordinateur → Paramètres Windows → Paramètres de sécurité
# → Stratégies locales → Attribution des droits utilisateur
# "Gérer le journal d'audit et de la sécurité" : restreindre aux administrateurs système uniquement

Audit du trafic RRAS

Activer l'audit des connexions RRAS pour la traçabilité :

# Activer l'audit RRAS
netsh ras set tracing * enabled
netsh ras diagnostics set rastracing enabled

# Les logs sont stockés dans
# C:\Windows\Tracing\
# Fichiers principaux : RasClient.log, Rastls.log, Rasauth.log

# Activer l'audit via GPO
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

RRAS vs pfSense/OPNsense — quand utiliser quoi

La comparaison entre RRAS et des solutions open source comme pfSense ou OPNsense est légitime, car les deux catégories répondent à des besoins similaires.

Recommandation : RRAS est le bon choix lorsque vous êtes dans un environnement 100% Microsoft, avec des équipes habituées à PowerShell et sans budget pour un équipement réseau dédié. pfSense/OPNsense est préférable dès que vous avez des besoins de sécurité réseau avancés, d'IDS/IPS, ou que vous souhaitez une solution réseau indépendante du serveur d'applications.

Pour les environnements où RRAS sert de passerelle, l'intégration avec d'autres services Windows comme les Remote Desktop Services ou un annuaire LDAP pour l'authentification est naturelle et simplifie l'administration globale.

Surveiller les performances réseau via RRAS

La surveillance des performances réseau sur un serveur RRAS est indispensable pour identifier les goulots d'étranglement et anticiper la saturation avant qu'elle n'impacte les utilisateurs.

Compteurs de performance RRAS

Windows Server 2025 expose des compteurs de performance spécifiques à RRAS via le Moniteur de performances (perfmon.exe). Les compteurs clés à surveiller :

• RAS Total \ Bytes Transmitted/sec : débit sortant total en octets/seconde.
• RAS Total \ Bytes Received/sec : débit entrant total.
• RAS Total \ Frames Transmitted/sec : nombre de trames transmises.
• Network Interface \ Packets Outbound Discarded : paquets perdus en sortie (indique une saturation).
• Network Interface \ Packets Received Errors : erreurs de réception (câble, driver).

# Récupérer les compteurs RRAS via PowerShell
Get-Counter -Counter "\RAS Total\Bytes Transmitted/sec", "\RAS Total\Bytes Received/sec" -SampleInterval 5 -MaxSamples 12

# Exporter vers CSV pour analyse
Get-Counter -Counter "\Network Interface(*)\Bytes Total/sec" -SampleInterval 10 -MaxSamples 60 | Export-Counter -Path "C:\Logs\perf-rras.csv" -FileFormat CSV

Alertes proactives avec Windows Admin Center

Windows Admin Center (WAC), outil d'administration web gratuit de Microsoft, offre des tableaux de bord de performance intégrés pour Windows Server 2025, incluant les métriques réseau en temps réel. Il peut être intégré à des outils de monitoring tiers (Zabbix, PRTG) via ses API REST.

Dépannage RRAS (erreurs courantes, logs)

Logs RRAS

# Les logs RRAS sont dans l'Observateur d'événements
# Applications and Services Logs → Microsoft → Windows → RemoteAccess

# Accès via PowerShell
Get-WinEvent -LogName "Microsoft-Windows-RemoteAccess-RemoteAccessServer/Operational" | Select-Object TimeCreated, LevelDisplayName, Message | Out-GridView

# Activer la journalisation détaillée RRAS
netsh ras set tracing * enabled
# Les fichiers de trace apparaissent dans C:\Windows\Tracing\

Problèmes courants

Réinitialiser la configuration RRAS

# Désactiver et reconfigurer RRAS depuis zéro
Disable-RemoteAccessRoutingDomain -Name "." -PassThru
netsh routing ip nat delete interface "WAN"
netsh routing ip nat delete interface "LAN"

# Reconfigurer depuis la console ou l'assistant

Pour les environnements nécessitant une traçabilité complète des connexions réseau et une intégration LDAP, consulter notre article sur OpenLDAP sur Debian. La documentation officielle RRAS est disponible sur learn.microsoft.com/en-us/windows-server/remote/remote-access/ et learn.microsoft.com/en-us/troubleshoot/windows-server/networking/rras-logs-events.

RRAS peut-il servir de serveur VPN en plus du NAT ?

Oui. RRAS supporte simultanément le NAT et les fonctions VPN (PPTP, L2TP/IPsec, SSTP, IKEv2). La configuration VPN s'effectue dans la même console RRAS, dans la section "Accès à distance (RAS)". Il est ainsi possible de déployer un accès VPN pour les télétravailleurs tout en assurant le NAT pour les clients locaux sur le même serveur.

Est-il possible de configurer RRAS avec IPv6 ?

Windows Server 2025 RRAS supporte IPv6, incluant le routage IPv6 et le préfixe NAT64 pour la translation entre IPv4 et IPv6. La configuration IPv6 se fait via la section "IPv6" de la console RRAS. Cependant, le support IPv6 complet nécessite que le FAI fournisse un bloc IPv6 et que les équipements réseau du LAN le supportent.

RRAS impacte-t-il les performances du serveur hébergeant d'autres rôles ?

RRAS consomme relativement peu de ressources pour un trafic modéré (moins de 100 Mbit/s, quelques dizaines d'utilisateurs). Sur un serveur Windows Server 2025 moderne, l'impact est négligeable pour la plupart des scénarios de PME. Pour des débits élevés ou un grand nombre de sessions NAT simultanées, un serveur dédié à RRAS est préférable pour isoler l'impact sur les autres services.

Comment exposer un serveur interne sur Internet avec RRAS (port forwarding) ?

Le port forwarding (redirection de ports) s'configure dans RRAS via les "Adresses spéciales" (Services and Ports) dans les propriétés de l'interface NAT WAN. Il suffit d'ajouter le protocole (TCP/UDP), le port public et l'IP privée de destination. Par exemple : TCP 443 → 192.168.10.10 pour exposer un serveur web interne.

RRAS supporte-t-il l'équilibrage de charge réseau ?

RRAS seul ne propose pas d'équilibrage de charge applicatif. Pour des besoins de load balancing, Microsoft propose NLB (Network Load Balancing) ou des solutions tiers comme HAProxy. RRAS peut néanmoins router vers différents sous-réseaux selon les routes statiques configurées, ce qui permet une segmentation simple du trafic.