Architecture réseau WIFI

Architecture réseau WIFI - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 18-03-2007 à 18:26:34    

Bonjour,
 
Je dois mettre en place un point d'acces Wifi qui permettra aux clients de se connecter au réseau filaire de l'entreprise.
 
Deux types de clients :  
 
- Les clients "connus" qui une fois connecter seront comme s'ils étaient dans le réseau filaire.
- Les clients "visiteurs", commerciaux etc... qui pourrront se connecter via ce même point d'acces uniquement au réseau Internet. Ce type de client ne devra pas être sécurisé de maniere forte (Pas de cryptage etc...).
 
Pour cela j'utiliserais FreeRadius pour l'authentification, informations de crypto etc...
Maintenant le gros probleme (pour moi) est de différencier les deux types d'acces via le même point d'acces.  
Comment dire que certains utilisateurs on le droit d'aller sur le net seulement et les autres sont comme dans le réseau filaire?
 
Cordialement,
 
Kab


Message édité par kabouns le 18-03-2007 à 18:37:17
Reply

Marsh Posté le 18-03-2007 à 18:26:34   

Reply

Marsh Posté le 18-03-2007 à 21:20:42    

Salut,

 

Je sais qu'ils existent des solutions qui permettent, une fois le client connecté en Wifi, d'entrer son nom d'utilisateur et mot de passe pour accéder au réseau. Sans ça, il n'aura aucun accès.
Le principe est le même que la "FON" si tu connais par harsard. Le réseau Wifi n'est pas protégé. Seule la page Google est disponible et pour visiter d'autres pages, un mot de passe est demandé.

 

Bref, par contre, je ne sais pas comment mettre en place ce système.

 

Donc tu pourrais peut-être t'en servir pour que les utilisateurs authentifiés accédent à un partie privée du réseau et pour les autres, un compte "invité" qui ont d'autres accès !!??

 



---------------
BeWog           |           Forum des Utilisateurs Linksys
Reply

Marsh Posté le 18-03-2007 à 21:30:14    

ben simplement par groupe d'utilisateur.
ils se log a un serveur qui selon le password, limite ou pas leur connection


---------------
Jeg reiser til mørkets dyp der alt er dødt. | -> FEED
Reply

Marsh Posté le 18-03-2007 à 21:32:42    

hunter_killer a écrit :

ben simplement par groupe d'utilisateur.
ils se log a un serveur qui selon le password, limite ou pas leur connection


Oui mais comment justement on autorise que le net. On utilise quoi pour bloquer le reste?

Reply

Marsh Posté le 18-03-2007 à 22:10:44    

Une solution possible serai d'utiliser un VPN pour les "clients connus".

Reply

Marsh Posté le 18-03-2007 à 22:19:19    

tu diffuses tout simplement 2 SSID sur ta borne :

  • 1 "guest" : pas de cryptage, juste un portail captif par exemple ou rien tout simplement
  • 1 "interne" : WPA-TKIP avec PEAP qui vérifie que le compte utilisateur est bien authorisé sur le réseau ( via le RADIUS)


C'est un exemple bien sûr  :)

Reply

Marsh Posté le 19-03-2007 à 09:28:54    

Et comment dire que ceux qui sont connectés en guest on droit au net seulement?  
Qu'est ce qu'un portail captif?
 
merci
 
kab

Reply

Marsh Posté le 19-03-2007 à 09:51:06    

en fait tu fais ça grâce à des VLANS.
 
par exemple, le SSID "Guest" appartient au VLAN 1 qui ne peut avoir accès qu'au net et le SSID "interne" appartient au VLAN 2 qui a accès au net mais aussi au reste du réseau.
 
mais pour faire ça faut des switchs et routeurs gérant le 802.1q (vlan) et des bornes wifi sachant gérer et le 802.1q et plusieurs SSID.

Reply

Marsh Posté le 19-03-2007 à 09:59:06    

!!! VIVE LE 802.1X  !!!

 

Tu n'as pas forcement besoin de faire 2 AP ... certes, c'est quand meme mieux et plus simple.
Sinon il te faut jongler avec le radius pour gérer les différents cas.
En filaire, c'est tres facile a prendre en compte ce cas c'est a dire que si le PC n'est pas reconnu il degage, et/ou si l'utilisateur n'est pas reconnu, il degage dans un vlan invités ...

 

En wifi, j'ai un doute, mais ca doit certainement etre fesable sur le meme AP ...

 


Message édité par shreckbull le 19-03-2007 à 10:00:34
Reply

Marsh Posté le 19-03-2007 à 10:01:10    

Voila le probleme, mon point d'acces ne dispose pas du 802.1q pour les Vlans.  
En fait je dois tester les 2, un point d'acces 802.1q et un autre qui ne le gere pas mais avec les memes fonctionnalités.


Message édité par kabouns le 19-03-2007 à 10:02:48
Reply

Marsh Posté le 19-03-2007 à 10:01:10   

Reply

Marsh Posté le 19-03-2007 à 10:03:48    

mac77 a écrit :

Une solution possible serai d'utiliser un VPN pour les "clients connus".


Si ce n'est pas automatique le demarrage du client VPN lors de la connection a AP_WIFI_DE_LA_BOITE et uniquement a ce reseau, les utilisateurs vont geuler ...
 
Et s'ils cherchent a squatter un wifi chez eux, macdo, etc ... il ne faut surtout pas que le client se lance.
 
Ca peut etre contraignant ... en plus un soft a gérer/installer sur les postes, le l'oublions pas !

Reply

Marsh Posté le 19-03-2007 à 10:18:15    

Je ne souhaite pas utiliser de VPN de toute facon.

Reply

Marsh Posté le 19-03-2007 à 12:22:49    

Alors je viens d'aller voir les fonctionnalités du point d'acces. Ne gere pas les Vlans et pas plusieurs essid.  
Donc comment faire pour séparer les 2 types d'utilisateurs et leurs attribuer des ressources différentes? (tout pour le premier type, et internet uniquement pour le deuxieme)
 
Merci

Reply

Marsh Posté le 19-03-2007 à 13:27:39    

je ne recommande pas que des "invités" puissent utiliser la même connexion (bande passante) que les utilisateurs authentifiés.
 
j'ai eu à peu près la même problématique. Il fallait un accès Internet pour des nomades de passage (comemrciaux, formateurs...).
 
Comme je ne voulais pas qu'ils utilisent la connexion des salariés fixes j'ai ouvert un second accès Internet (un provider lambda à 30 €/mois).
 
Comme mon réseau est en IP fixe, j'ai mis le routeur sur cette connexion en serveur DHCP sur une plage IP complètement différente de mon LAN (classe différente).
Maintenant le gars qui branche son portable sur le réseau à accès Internet mais ne voit pas le LAN (car classe différente).
 
Donc dans ton cas tu pourrais faire la même chose mais en WiFi : donc 2 bornes et 2 SSID ! Un pour le LAN et l'autre pour tes visiteurs.
Par contre mets un clé WEP au minimum car sinon les voisins pourraient en profiter simplement :)

Reply

Marsh Posté le 19-03-2007 à 13:30:10    

Je ne peux pas utiliser ce systeme. J'ai une borne et un acces internet. Je cherche une alternative sans vlans et avec 1 ssid

Reply

Marsh Posté le 19-03-2007 à 13:32:05    

Oui, restons simple avec 2AP ...
Et dans tous les cas, rien n'empeche de mettre un radius ... avec pourquoi pas, un portail captif ? comme ca il gere a sa guise les invites.
Et surtout, il peut authentifier si ya un proxy et des logs, les choses faites sur internet ...

Reply

Marsh Posté le 19-03-2007 à 13:34:09    

Ca permet de faire quoi un portail captif????

Reply

Marsh Posté le 19-03-2007 à 13:34:12    

+1 comme hunter_kil ler
si tu fais de l'authentification, tu mets des droits.
Idéalement il faut un proxy, comme ça tu mets un compte invité dans un groupe de sécurité "proxy" et tu l'autorises à passer à traver le proxy.
 
Si tu n'as pas de proxy et que tes clients passent directement par la passerelle c'est peut être encore plus simple, dès qu'ils seront reliés à ton WiFi ils aurant la passerelle et donc Internet.


Message édité par granta le 19-03-2007 à 13:43:18
Reply

Marsh Posté le 19-03-2007 à 13:39:29    

Ben portail captif, avec un radius derriere et les AP configuré en "AP isolation" ...

 

Je l'utilise.

 

C'est simple, j'ai les SSID non protégés, kedal, pas de clé, rien ...
Le DHCP ou IP fixe te donne une adresse ...tu peux pinger rien sauf les AP (j'arrive pas a desactiver) et la passerelle (machine qui heberge aussi le portail captif).

 

Pour avoir accès a tout le reste, il te faut avoir ouverte une "session" sur le portail. Et le portail est une pauvre page web HTTP qui peut etre affichée par tous les navigateurs, de toutes les OS ...

 


Ensuite le portail tu rentre username/password ... et lui fait la vérification soit en radius, soit mysql, soit TXT ... enfin différents moyens d'avoir une base d'utilisateurs ...

  


L'option AP isolation se gere sur les AP et permet d'eviter le dialogue entre deux machines IP sur cet AP ... par contre si tu as plusieurs AP (ssid différents) sur le meme rezo, je sais pas ... mais bon voila quoi ...


Message édité par shreckbull le 19-03-2007 à 13:40:21
Reply

Marsh Posté le 19-03-2007 à 13:41:14    

Voila ca c'est ce que je veux. Quel portail utilises tu?
 
kab

Reply

Marsh Posté le 19-03-2007 à 13:45:36    

mon radius est IAS ... qui gere avec quelques regles bien choisis, les utilisateurs de Active Directory ... donc sous windows quoi !
 
Et le portail captif c'est une machine qui assure le routage entre différents réseaux et partage de la connection internet avec proxy authentifié. log enregistré sur un serveur. Et le tout sur une redhat ES 4 ... ca c'est pour la partie usage professionnel.
 
 
Et chez moi, j'ai la meme configuration mais sans AD ... utilisateurs declérés dans le serveur windows, IAS configuré et le routage se fait sous pfsense ... qui héberge proxy et portil captif.

Reply

Marsh Posté le 20-03-2007 à 14:19:07    

Est ce que un portail captif est obligatoire pour ce type d'architecture ?
 
Kab

Reply

Marsh Posté le 20-03-2007 à 20:33:14    

non

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed