comment créer 2 réseaux avec 1 freebox - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 05-05-2010 à 11:05:44
C'est pas bien de laisser un wifi sans cryptage et sans proxy (hadopi).
Marsh Posté le 05-05-2010 à 11:16:21
tu veux dire que sans proxy, n'importe qui peut telecharger des choses illicites, je suppose ?
mais comment empecher ca ?
merci
anthony
Marsh Posté le 05-05-2010 à 11:23:38
En cryptant le wifi déjà, et pour aller plus loin, si on ne fait pas confiance aux employés, l'idéal c'est un proxy à la fois filtrant et qui log les noms d'utilisateurs et leurs activités sur le web, là t'es paré contre tout éventualité judiciaire.
Marsh Posté le 05-05-2010 à 11:32:37
merci pour la réponse
je précise que ce ne sont pas des employés mais des membres, on est dans une assoc
et désolé par avance pour les questions de noob qui vont suivre ;-)
- a propos de la fonction de filtrage, donc d'apres ta réponse j'en déduis que c'est la fonction d'un proxy de faire ca
et un proxy c'est une boite entre la freebox et le reste du monde, c'est ca ? ca coute cher un proxy ?
- sinon, a propos du cryptage : je peux crypter le wifi mais ca ne servira pas a grand chose puisque la TV sera en libre acces, donc avec la clé WPA dispo dans les settings affichés a l'écran de la TV ?
merci
anthony
Marsh Posté le 05-05-2010 à 12:08:16
selector a écrit : Bonjour |
De mon point de vue, ton affaire est assez simple :
Tu désactives le wifi de ta Freeboite,
Tu connectes un routeur/wifi à ton routeur Free,
Cela te permet d'avoir une gestion du wifi indépendante de l'interface free,
Plus de problèmes avec les données wifi visibles depuis l'interface TV,
Coût de la solution : entre 20 et 60 euros en fonction de la marque et des possibilités avancées du matériel acheté...
Et la solution mise en place devient indépendante pour ton infrastructure du fournisseur d'accès, puisqu'en changeant le boitier ADSL, tu n'auras rien à changer en reconnectant ton routeur/wifi au nouveau boitier...
Marsh Posté le 05-05-2010 à 12:12:58
selector a écrit : merci pour la réponse |
Vaut mieux une sécu avec des failles que pas de sécu du tout , en cryptant tu évites que quelqu'un d'extérieur à ton assoc ne se connecte au réseau et à internet.
Marsh Posté le 05-05-2010 à 12:14:10
Clarance a écrit : |
Bien vu , j'en était resté à du full freeboite moi dans mon idée
Marsh Posté le 05-05-2010 à 12:17:43
ReplyMarsh Posté le 05-05-2010 à 15:25:09
merci bcp tuxerman12 et Clarance pour vos réponses, petit a petit je progresse ..
a propos de "Vaut mieux une sécu avec des failles que pas de sécu du tout", c'est tout a fait vrai.
Bref, quand j'aurai + que ca à décider, je serai content !
donc voila ou j'en suis avec mes questions maintenant :
- après avoir lu a droite et a gauche, je pensais que pour mon besoin de 2eme réseau, il fallait que je crée un VPN. Mais finalement non, un routeur suffit ? car on m'a filé un Watchguard Firebox X Edge, et je sais pas a quoi ca sert en d'tail, mais j'ai vu que ca fait VPN ... oui je suis un noob ;-))
- pour créer un réseau séparé pour les machines du secrétariat, je raccorde un nouveau routeur (eventuellement wifi) a la freebox ca me coute entre 20 et 60 euros. Cool. Pouvez-vous me dire brievement quelles types de fonctionnalités j'aurai en + si je mets plutot 60 que 20 euros ?
- svp pouvez vous m'expliquer comment on fait pour "ajouter un proxy dans le circuit", afin de pouvoir filtrer youtube, emule, et autres choses de ce genre, gourmandes en bande passante et/ou potentiellement interdites ?
merci bcp
anthony
Marsh Posté le 05-05-2010 à 16:59:38
En fait, les fonctions avancées peuvent aller du "manageable à distance", "firewall intégré", gestion de 1 à plusieurs vpn (ipsec, ou plus si affinités), filtrage mac, fichiers de log, plages horaires de fonctionnement, rackable en baie (matériel pro), vitesse max des ports (100 ou 1000), ....
Bref, on pourrait remplir la page de ce que peut faire un routeur, et ça peut coûter plusieurs milliers d'euro pour certains.
Le mieux c'est de définir tes besoins et de chercher ton bonheur en fonction de ça.
Sans être du matos pro, j'aime bien Linksys, en particulier le WRT54GL (sous linux, qui est flashable avec DD-WRT par exemple), mais d'autres marques comme netgear ou trendnet font du matos dans les mêmes gammes.
Marsh Posté le 05-05-2010 à 17:45:57
Clarance a écrit : Le mieux c'est de définir tes besoins et de chercher ton bonheur en fonction de ça. |
ben les fonctions dont j'ai besoin, en tout cas celles auxquelles je pense, c'est :
- permettre de créer un réseau séparé privé, distinct du réseau freebox principal
- il faut pouvoir faire la liste des adresses mac autorisées sur le réseau séparé privé
- ce réseau séparé devrait aussi etre accessible en wifi
- les machines du réseau freebox ne doivent jamais pouvoir voir les machines du réseau séparé privé
- eventuellement une machine du réseau séparé privé doit pouvoir voir les machines du réseau freebox principal
je pense que a ca pour l'instant.
Clarance a écrit : Sans être du matos pro, j'aime bien Linksys, en particulier le WRT54GL (sous linux, qui est flashable avec DD-WRT par exemple), mais d'autres marques comme netgear ou trendnet font du matos dans les mêmes gammes. |
ben justement, un collegue de l'assoc, m'a dit qu'il avait un WRT54GX a nous filer.
Clarance, ce que tu dis a propos du WRT54GL, ca reste valable pour le WRT54GX ?
merci
Marsh Posté le 05-05-2010 à 20:03:49
Je vais te répondre en fonction du modèle qu'on te propose : à savoir le WRT54GX
selector a écrit : |
Ça, c'est de base sur un routeur, donc oui
selector a écrit : - il faut pouvoir faire la liste des adresses mac autorisées sur le réseau séparé privé |
Ça, d'après ce que je viens de lire sur le manuel, c'est uniquement possible pour le WiFi, donc oui, mais...
selector a écrit : - ce réseau séparé devrait aussi etre accessible en wifi |
Bien sûr, c'est comme ça par défaut, donc oui
selector a écrit : - les machines du réseau freebox ne doivent jamais pouvoir voir les machines du réseau séparé privé |
Pour ça, je crois qu'à part créer des règles (stratégies d'accès ou web/internet policies) dans cet esprit sur le routeur, ce n'est pas possible depuis la freeboite...
selector a écrit : - eventuellement une machine du réseau séparé privé doit pouvoir voir les machines du réseau freebox principal |
Voir réponse précédente... En tous cas, moi, depuis derrière mon routeur je peux joindre ma freeboxHD (en ftp...) naturellement, puisque je ne vais pas m'en interdire l'accès...
selector a écrit : |
C'est déjà pas mal...
selector a écrit : |
Moi je dis fonce ! (sinon, je le veux bien )
Et si c'est une version 1.0, on peut effectivement modifier le firmware par de l'open source type DD-WRT qui en optimise le fonctionnement, si il est bien utilisé...
Sinon, c'est pas bien grave, il est déjà pas mal avec le firmware d'origine, franchement !
Par contre, si tu pouvais me faire un retour quand tu mettra ça en place, ça me permettrait de savoir si je t'ai pas raconté trop de bêtises... mais surtout si ça te convient...
Merci d'avance
Marsh Posté le 05-05-2010 à 22:33:15
j'adore ca comme réponse
grand merci
je t'en reparle, normalement on va faire les essais samedi
la il me reste encore a choisir cpl ou ethernet pour fournir le wifi a 100m de la freebox, mais c'est dans un autre thread ..
http://forum.hardware.fr/forum2.ph [...] =0#t459668
anthony
Marsh Posté le 06-05-2010 à 10:30:29
selector a écrit : j'adore ca comme réponse |
Avec plaisir...
Pour ta couverture à 100m, c'est la limite théorique d'un signal Ethernet... donc CPL si les 2 prises sont dernière le même compteur électrique et un point d'accès wifi au bout du 2ème... Enfin moi ce que j'en dit...
Sans oublier que si l'intervalle n'est pas entièrement privée, il y a des restrictions quant à la couverture d'un espace public en wifi... enfin en théorie toujours...
Marsh Posté le 06-05-2010 à 10:48:09
Clarance a écrit : |
ben en fait, suite a ce post de framu, j'ai repris espoir a propos du RJ45 :
http://forum.hardware.fr/forum2.ph [...] =0#t459715
anthony
Marsh Posté le 06-05-2010 à 10:53:24
selector a écrit : |
Oui, j'ai lu, mais tu vas surement passer à côté de câbles électriques, d'un transfo ou autre équipement qui émet du bruit", et donc perturber ton signal...
Vincedbx te l'a dit, un simple hub (netgear à 10-15€) au milieu ré-amplifiera ton signal à coup sûr... sauf si tu passes effectivement à l'extérieur...
Marsh Posté le 06-05-2010 à 10:57:50
Clarance a écrit : tu vas surement passer à côté de câbles électriques, d'un transfo ou autre équipement qui émet du bruit", et donc perturber ton signal... |
je vais me renseigner, pour cet aspect ...
mais au pire, s'il y a deja du 220V sur le chemin emprunté, est-ce que meme un cable avec blindage maxi (SFTP) ne conviendra pas ?
anthony
Marsh Posté le 06-05-2010 à 11:10:22
selector a écrit : |
Moi je ne le ferais pas... point. En tous cas, la seule fois où j'ai constaté une telle installation, il y avait des surprises (coupures et pertes) à chaque fois qu'un matériel électrique ou un interrupteur était enclenché. C'est peut-être pas le cas à chaque fois, mais en suivant ces règles, j'ai pu utiliser un câble Ethernet de 136m par lequel passait un signal videoHD sans soucis.
Marsh Posté le 06-05-2010 à 11:14:32
OK
donc maxi les 48V du telephone, mais pas au dela ...
autre question : si je devais faire cheminer une nouvelle ligne volante, parallele a l'existante, mais sur de nouveaux poteaux :
est-il possible de répondre a une question du genre : quelle distance mini faut-il respecter entre ma ligne volante ethernet, et la ligne volante actuelle qui transite du 220V ?
désolé pour mes questions ch!antes, mais je cherche a savoir quelle solutions je peux conserver, et lesquelles je dois oublier ?
merci
anthony
Marsh Posté le 06-05-2010 à 11:31:34
selector a écrit : OK |
Là, ça sort de mon domaine de compétences... désolé. Compte tenu de ce que j'ai observé dans les salles d'exploitation que je fréquente, je dirais 1,5m environ, mais sans garanties, je ne suis pas électricien...
Une goulotte pvc (ou alu, mais plus cher...) qui longe une corniche ou les gouttières de ton bâtiment, c'est pas jouable ?
Pas de faux plafond ? ou faux planchers ? Cohabiter avec les câbles téléphoniques existant ?
Je cherche hein...
Marsh Posté le 06-05-2010 à 11:48:45
merci bcp Clarance pour ton temps.
je précise un peu ma situation pour répondre a tes questions :
la freebox est dans un batiment A, et je souhaite transiter le réseau vers un batiment B distant de 100m en ligne droite (d'ou le cheminement volant, avec des poteaux)
ensuite je souhaite injecter le réseau arrivant dans le batiment B vers un AP situé sous le toit, et relié a une antenne omni sur le toit...
je commence a me demander si a part les solution filaires que sont le CPL ou l'ethernet, il n'y aurait pas une troisieme solution sans fil, avec une antenne directionnelle plugée a la freebox sur le toit du batiment A, puis une antenne receptrice sur le toit du batiment B.
=> Cette solution est-elle possible selon vous ?
Marsh Posté le 06-05-2010 à 12:16:11
selector a écrit : merci bcp Clarance pour ton temps. |
C'est court mais c'est jouable, mais là tu vas avoir d'autres soucis (humidité, froid, chaleur, vibrations qui font bouger les antennes... ) qui vont te couter un rein à résoudre... autant prendre un deuxième abonnement tout de suite !
Plutôt d'une fenêtre à une autre éventuellement...
Tu n'as aucune communication entre les deux bâtiments (sous-sol, égout accessible...) ?
Marsh Posté le 06-05-2010 à 12:27:33
Clarance a écrit : Plutôt d'une fenêtre à une autre éventuellement... |
alors, si l'on met de coté les pbs d'environnement pour l'instant (froid, humidité), j'ai une question sur la solution de liaison sans fil :
si je mets une antenne directionnelle sur la freebox, derriere une fenetre, et orientée vers le batiment B
ensuite, dans le batiment B :
Clarance a écrit : |
ni sous sol ni égout !
sur la photo ci dessous, je souhaite relier le bat A et le bat C
Marsh Posté le 06-05-2010 à 14:11:23
Ben j'en sais pas plus sur le wifi, à part qu'une bonne antenne type 10dBi devrait suffire à ce que ton signal soit propre (une à chaque bâtiment), mais indépendamment de tes réseaux wifi internes à chaque bâtiment. J'entends par là, que la liaison de tes bâtiments doit être effectuée par du matériel dédié à ça.
Par exemple :
FreeBox -
(4 ports) -
-
- routeur/wifi bât A (4ports) routeur/wifi bât B (4ports)
- antenne directionnelle bât A --> <-- antenne directionnelle bât C -
- PC Imp -
- PC PC -
- Imp PC -
Antenne omni locale Antenne omni locale
A faire valider par les autres qui passent par là...
Marsh Posté le 06-05-2010 à 15:36:29
Merci Clarance pour tes infos
j'ai créé un thread dédié pour cette histoire de liaison sans fil entre mes 2 batiments
http://forum.hardware.fr/hfr/resea [...] _1.htm#bas
anthony
Marsh Posté le 06-05-2010 à 15:39:33
selector a écrit : Merci Clarance pour tes infos |
Oui, je vais aller voir ça... j'ai vu que tu as pas mal arrosé pour trouver les solutions à tes soucis...
Marsh Posté le 06-05-2010 à 15:47:01
Clarance a écrit : j'ai vu que tu as pas mal arrosé pour trouver les solutions à tes soucis... |
oui, ces jours derniers je squatte a fond hfr !
je crains a chaque fois de me faire rappeler a l'ordre par les modos pour sujet en double, mais faut croire que finalement mes messages sont quand meme pertinents, chacun dans leur domaine ...
anthony
Marsh Posté le 06-05-2010 à 15:51:44
selector a écrit : |
Bah tu as dissocié tes problématiques, c'est tout...
Les deux méthodes ont leurs avantages.
Marsh Posté le 05-05-2010 à 10:28:26
Bonjour
dans mon assoc on a :
- une freebox,
- on utilise plusieurs PC au secrétariat de l'assoc (en wifi et en ethernet)
- et on utilise aussi la TV de free, dans une piece en libre service
ce que je veux éviter, c'est qu'un membre qui regarderait la TV puisse afficher la clé WPA en se baladant dans les menus avec la telecommande freebox
sinon il pourra accéder au réseau du secrétariat !
donc je me suis dit que je pourrais laisser le wifi de la freebox sans cryptage, comme ca en plus ca offrirait un internet en libre service pour les membres, en + de la TV
mais comment dois-je faire alors pour créer un 2eme réseau, sur lequel les machines du secrétariat seront connectées entre elles, et distinct du reseau de la freebox ?
merci pour bcp votre aide
anthony
---------------
quand on est con, on est con (http://mentosoda.free.fr)