Bonjour à tous,
 
j'ai besoin d'un poil d'aide pour une demande un peu particulière de la part de mon boss...
 
Celui-ci souhaite que nous mettions à disposition de nos visiteurs - nombreux - du wifi gratuit et des postes en libre accès. Il ne veut pas passer par un prestataire extérieur pour réaliser le truc, et est bien conscient des règles inhérentes aux hotspots...
 
Par ailleurs, il souhaite évidemment que ce réseau "public" soit bien dissocié de notre réseau interne, pour d'évidentes raisons de sécurité. Résultat, il y aura deux réseaux distincts, chacun avec du wifi.  
Enfin, dernière contrainte, il ne souhaite pas installer de connexion internet supplémentaire pour le réseau wifi en question...
 
J'ai un peu regardé, et je m'oriente vers une architecture de ce type :
 
notre actuelle box pour faire la connexion internet. Celle-ci sera connectée d'une part à notre réseau actuel (qui tourne sur du 2008R2), d'autre part à un serveur proxy (qui sera aussi un des postes en libre accès). Ce serveur proxy aura deux cartes réseau, une pour le connecter à la box, l'autre pour le connecter au réseau secondaire (public). Le réseau secondaire comprendra également 2 AP wifi pour arroser tout le bâtiment.
 
L'idée étant de séparer physiquement les deux réseaux.
 
Les questions qui découlent de tout çà :
Tout d'abord, faut-il mettre un routeur sur le réseau secondaire (sachant que toutes les connexions passeront nécessairement par le proxy)?
Question subsidiaire : me suis pas planté sur l'archi du réseau, si?  
 
Merci de vos réponses!

 
Tu as mis une machine entre 2 réseaux distincts, cela s'appelle un routeur
L'archi est viable techniquement, cela va marcher mais pas très propre.
Pour faire les choses bien, tu devrais mettre ton routeur derrière la box, il desservira alors les 2 réseaux internes et invités.
 
N'oublies pas les parties firewall et filtrage web qu'il faut faire au moins pour les invités (peut-être embarqué sur le routeur).

La box a une fonction routeur, pour limiter l'impact financier, je pensais m'appuyer dessus... C'est vrai qu'une box n'est pas un routeur de folie, mais il y aura au maximum une vingtaine de postes connectés en simultané sur le réseau privé, et une dizaine sur le réseau public, ça me semblait suffisant... Je me trompe?
 
Le firewall et le filtrage seront réalisés par le proxy.
 
Tu dis "pas très propre".... Si tu as une autre solution à suggérer, n'hésite pas, je suis preneur!

Ta box sait donc gérer plusieurs réseaux ? Tu peux modifier les tables de routage? c'est de la box pro ?

euh... Non, freebox bête et méchante...

dire qu'une freebox est un routeur c'est un peu un abus de langage, ta freebox route entre l'internet et le réseau internet, rien de plus.

Relis mon 1er post pour la solution à envisager. N'hésite pas si tu veux plus de détails.

Bah je prendrais bien plus de détails justement! :-)

En vrac:
Ton routeur sera derrière la freebox, reliée par un réseau d'interco A.
Il va avoir 2 autres interfaces, pour le réseau interne (B) et invité (C).

A faire sur le routeur:
NAT dynamique pour tout le traffic sortant (B et C vers A).
politique de sécurité (règle de traffic), interdire le traffic C vers B, interdire A vers B/C, autoriser juste le web pour C ? etc)
proxy web pour faire du filtrage d'URL (au moins pour les invités, et pourquoi pas les internes, pour les empêcher d'aller sur youpron par ex).

Pour des raisons législatives, il faudrait que le traffic soit un minimum surveillé, mais tu peux y échapper si tu veux pas t'embêter avec ca ou si tu penses que tes invités ne vont pas s'adonner à des activités pédophiles/terroristes.

sûrement d'autres choses aussi... ca demande une étude sérieuse et pas mal de boulot.

J'ai bien remarqué pour le "pas mal de boulot"! Faut bien le faire néanmoins, et je t'avoue que l'exercice intellectuel me plait beaucoup...
 
Si je te lis bien, tu vois 3 switch administrables, 1 pour chaque partie du réseau plus un plus connecter ces deux parties au web...
 
La surveillance, logs, et filtrages seront réalisés par le proxy, et on fait confiance à l'interne (pour l'instant)...

Ou vlan si tu compatible géographiquement

Le problème n'est pas la compatibilité géographique, mais plutôt de rester dans un budget raisonnable... Et d'utiliser au max l'infra existante sans la mettre en danger, tu comprendras...
Donc investir dans deux switchs supplémentaires et un routeur n'est pas forcément raisonnable. Nos visiteurs ne sont pas des hackers, la sécurité est importante mais la conserver basique semble suffisant (que le mec ne voit rien en faisant "explorer le réseau", quoi...
 
En tout cas, merci beaucoup pour ton aide!

les vlan te permettent d'économiser des switches, la plupart des manageables ont cette fonctionnalité.

 
Bonjour,
 
A partir du moment où le réseau est ouvert au public il faut effectivement tracer les log mais également pouvoir identifier à qui appartiennent les log. Le système le plus classique est un envoi de login mot de passe par SMS après une redirection automatique sur une page d'authentification. Ainsi, si un gendarme t'appelle pour savoir à qui appartient tel log tu peux fournir un N° de téléphone. Un équipement fait cela très bien : UCOPIA. Il y en a d'autre certainement.  
Ensuite je pense que lorsque qu'on ouvre un accès wifi au public http://www.qostelecom.fr/hotspot-wifi-public.html il faut avoir une licence opérateur L33.1