• <!> Cette page est obsolète ! On se reportera plutôt à la page ../HotSpot pour le fonctionnement actuel.

Le projet

L'ENS désire déployer un réseau wifi proche du nôtre sur lequel nous pourrons nous appuyer (et retirer nos bornes actuellement en place). Toutefois, l'école a des prérequis un peu différents :

  • permettre la connexion à toute personne présente dans l'école sans identification ;
  • utilisation d'OpenVPN plutôt que d'IPsec afin de permettre une connexion de partout dans le monde.
  • ne pas mélanger les bornes wifi avec le reste des machines (comme on fait actuellement)

Cf aussi CompteRendusCrans/Mercredi21Septembre2005 pour le compte-rendu de la réunion qui parle de ça.

Connexion sans identification

Il s'agit simplement d'affaiblir notre système :

  • suppression de la vérification des adresses MAC des personnes connectées
  • suppression de la correspondance MAC/IP à l'exception des routeurs et des personnes connues
  • autorisation de protocoles supplémentaires en plus d'IPsec (HTTP, SMTP, OpenVPN, etc) pour certaines classes d'IP

C'est assez facile à mettre en oeuvre.

Le portail captif est toutefois différent. Nous faisons un portail captif en se basant sur le protocole : tout ce qui est en clair est renvoyé vers le portail captif. Le portail captif qu'il faudra adopter est un peu différent :

  • pas de portail captif pour les services privatifs nécessitant une authentification : IPsec, OpenVPN
  • portail captif classique pour les connexions non sûres : page avec avertissement et l'utilisateur doit valider ; cela lui ouvre l'accès aux services ouverts au public. Il est plus simple de mettre en place ce portail captif au niveau du routeur plutôt que sur les bornes (mais on pourrait le mettre sur les bornes).

Voir éventuellement wifidog ou chilispot pour des trucs déjà faits de ce côté.

Sécurisation avec OpenVPN

Dans le principe, ce n'est guère différent d'IPsec. Les deux systèmes peuvent parfaitement coexister.

Sous-réseau wifi

On doit gérer deux types de personnes : les personnes du CRANS et les personnes en hotspot. Pour simplifier la vie, on va coller les deux dans deux sous réseaux différents au niveau IP. Au niveau Ethernet, il reste cependant plus simple de les garder dans le même réseau. Les bornes effectueront le tri. Le réseau Ethernet pourra être isolé dans un VLAN qui lui est propre et disposera d'un DHCP commun aux deux entités.

Par la suite, il sera possible d'isoler le réseau Wifi CRANS et le réseau Wifi hotspot dans deux VLANs différents. Cela nécessite une nouvelle modification des bornes.

La réalisation

Le plan

En trois étapes :

  1. Isolement de nos bornes dans un VLAN particulier (./)

    • Il faut retirer les bornes situées chez les adhérents (et les remplacer par des bornes extérieures)

  2. Modification du firmware des bornes pour autoriser certaines en hotspot (utilisation de notre DHCP, mais d'un routeur de l'ENS) (./)

    • Cf plus bas pour les modifs à faire, c'est assez simple

  3. Déploiement du nouveau firmware sur les bornes de l'école (./)

  4. Utilisation de deux VLAN différents pour les deux utilisations (./)

Modifications à apporter sur le firmware

Voici les différences entre notre firmware et celui (futur) de l'ENS :

  • le SSID : dans un futur proche, il sera possible d'avoir plusieurs SSID par borne

  • auth-mac se contente de faire remonter les adresses MAC et non de les rejeter quand il tourne sur une borne en mode hotspot (./)

  • arp-forwarder doit être modifié pour forwarder les clients connus et inconnus (mais continuer à jeter les paires MAC/IP incorrectes) : pour simplifier, toutes les adresses "inconnues" sont sur le même sous-réseau IP. (./)

  • wifi-update et channel-chooser restent inchangés (./)

  • Firewall différent dans le cas des hotspots (./)

CatégoriePagePublique