WikiBR - Contributions [fr]

Routeurs Wi-Fi/Tutoriel TP-Link Archer C50

2022-04-08T15:46:37Z

Jonathan.arnoult : Explication du besoin de passer par TFTP

== Avertissements ==

{{Attention|Pour commencer, il est recommandé de lire toutes les parties qui vous intéressent ''avant'' de faire quoi que ce soit. Cela vous évitera des erreurs stupides qui vous feront perdre du temps. !}}

=== Avertissement technique ===

'''Modèle de routeur.''' Le système que vous vous apprêtez à installer n'est pas compatible avec tous les routeurs, loin de là ! Le fichier fourni par ce tutoriel est uniquement compatible avec le routeur '''TP-Link C50''' ou '''TP-Link AC1200''', versions 4 (La version est écrite sur une étiquette du routeur et sur la boîte près du code barre.) . ''D'autres versions peuvent être compatibles mais n'ont pas été testées.''

Si vous souhaitez tout de même utiliser un autre modèle, il faudra vous référer au site web d'openwrt {{c|http://openwrt.org/}} qui contient entre autres la liste des modèles compatibles. IL faut prendre des modèles avec suffisament de RAM pour que cela fonctionne et compatible avec des versions récentes d'openwrt (le plus récent le mieux pour des questions de sécurité, mais au minimum openwrt 20.0).

'''Méthode de connexion.''' Pour configurer le routeur vous allez devoir vous y connecter. Pour cela brancher un câble ethernet à votre PC et sur un port orange du routeur (pensez aussi à brancher préalablement le routeur).

=== Avertissement juridique ===

Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec ''vos identifiants''.

En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.

== Principe ==

Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet. Pour compenser ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau wifi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.

== Le hic ==
Il existe depuis l'interface GUI de TP-Link un endroit où l'on peut téléverser une mise-à-jour du microgiciel (firmware), et donc potentiellement fournir celui d'OpenWRT. Le problème qui va occuper une bonne partie de ce tutoriel, est que l'on ne peut pas directement fournir l'image d'OpenWRT depuis cette interface car '''cela va très probablement briquer le routeur'''.

Il faut donc procéder autrement, et l'on va donc utiliser le protocole TFTP pour pouvoir fournir notre image au routeur.

Cependant, si le Wiki de votre modèle indique que vous pouvez le faire, cela vous permet a priori de passer directement à la partie [[#Hello, OpenWRT world]].

Dans tous les cas, les liens suivants pourront vous être utiles en complément :
* Page officielle pour le modèle Archer C50 [https://openwrt.org/toh/tp-link/archer-c50#v4_and_v5_instructions]
* Autre tutoriel qui a servi a l'élaboration de celui ci. Certains phases sont identiques et il y a d'autres compléments d'informations [[Routeurs Wi-Fi/Tutoriel]]

== Préparation ==

Pour pouvoir commencer, il va falloir créer votre propre image à flasher sur le système. Les instructions qui suivent sont calquées sur https://openwrt.org/toh/tp-link/archer-c50#v4_and_v5_instructions.
Récupérez l'image TP-link depuis le site officiel qui devra être nommée tpl.bin, et celle d'OpenWRT nommée tmp.bin et placez les dans un répertoire commun. Exécutez alors les instructions suivantes, depuis un terminal ouvert dans ce répertoire :

dd if=/dev/zero of=tp_recovery.bin bs=196608 count=1
dd if=tpl.bin of=tmp.bin bs=131584 count=1
dd if=tmp.bin of=boot.bin bs=512 skip=1
cat boot.bin >> tp_recovery.bin

Ce sera l'image tp_recovery.bin qui vient d'être créée qui nous intéressera par la suite.

== Procédure TFTP ==

Comme indiqué sur le site OpenWRT, il faut maintenant déterminer si le routeur est client ou serveur TFTP. Dans le cas du C50, en regardant sur la page wiki, on voit des informations concernant ''Bootloader tftp server IPv4 address'' ce qui nous indique (contrairement à ce qu'on aurait pu penser) que le routeur sera client et le PC sera serveur.

Pour la suite, le lien suivant peut être d'une certaine utilité : https://www.youtube.com/watch?v=bL8wKx8qaZ4

Sur Windows, installer ce logiciel (https://pjo2.github.io/tftpd64/) avec les options par défaut. Si faisable, prendre un switch et connecter votre PC au switch, et le routeur ('''éteint''') au switch via un de ses ports orange (le 1 par exemple). Depuis l'interface de configuration réseau de Windows, aller dans les paramètres de votre connexion Ethernet. Vérifier tout d'abord que vous avez désactivé 802.1x (et ne pas oublier de le remettre après pour se connecter à Eduroam !) et utilisez une adresse IP statique, qui sera celle indiquée sur le Wiki d'OpenWRT comme étant ''Bootloader tftp server IPv4 address'' (dans notre cas 192.168.0.66) avec un masque 255.255.255.0. Lancer TFTPD64 et changer ''Current Directory'' pour être le répertoire dans lequel <code>tp_recovery.bin</code> est situé. Cliquez sur ''Show dir'' pour vérifier qu'il fait bien partie de la liste des fichiers présents. Ouvrez l'onglet de Log. C'est assez contre-intuitif mais le serveur est bien mis en route à partir de ce moment, sans avoir besoin d'appuyer sur un bouton supplémentaire.

Maintenez maintenant le bouton reset avec le routeur éteint, et allumez le routeur. Attendez env. 10 secondes en maintenant le bouton reset, ou jusqu'à ce que la LED WPS soit allumée.

Le transfert devrait alors démarrer (et durer normalement quelques secondes, normalement attendez 15min, en vrai au bout de qq minutes il faut mieux se poser des questions). Utilisez l'onglet de log pour vérifier que le fichier a bien été transféré.

Remarque : si vous voulez tester votre serveur avant, connectez un autre ordi au switch, et lancez la commande suivante :

atftp 192.168.0.66
get tp_recovery.bin

Qui devrait retourner sans erreur.

== Hello, OpenWRT world ==

=== Préalables ===

==== Routeur connecté à Internet ====

Heureusement tout n'en pas encore terminé. Une fois le routeur réinitialisé et redemarré, connectez-y vous par cable Ethernet (ou par le Wifi ouvert OpenWRT qui apparait et est une bonne indication que le routeur est effectivement réinitialisé).

Le routeur va avoir besoin d'Internet pour installer des paquets. Activez votre partage de co, et connectez vous depuis votre PC sur la GUI web de OpenWRT (à l'adresse 192.168.1.1).
Connectez-vous alors à votre réseau dans allant dans Network, Scan et sélectionnant le bon Wifi. C'est essentiel d'avoir une bonne connexion, et cela peut être à l'origine de nombreuses erreurs par la suite (de paquets non trouvés par exemple). Vérifiez donc la connexion avec un ping, ou depuis l'onglet Diagnostics de la GUI.

==== Paquet wpa-supplicant installé ====

Connectez-vous par SSH au routeur avec :

ssh root@192.168.1.1

Mettez à jour les packets, avec opkg update ou depuis le web GUI (disponible sur 192.168.1.1 mdp root) System > Software et Run update. Puis on va vouloir installer wpa-supplicant (et pas applicant, faites pas l'erreur comme moi). Pour cela il va surement falloir désinstaller un autre paquet qui gêne, pour enfin instlaller le bon. Et installez nano au passage (sauf si vim vous suffit).

opkg uninstall wpad-basic-wolfssl
opkg install wpa-supplicant
opkg install nano

=== Configuration d'Ethernet ===

Ensuite configurez votre connexion en éditant :

nano /etc/config/wpa.conf

Et en insérant le texte suivant :

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=TTLS
identity="prénom.nom@polytechnique.fr"

anonymous_identity="anonymous@polytechnique.fr"
password="xxxxx"
phase1="auth=TTLS"
phase2="auth=PAP"
}

En changeant identity et password en conséquence.

On va maintenant tenter de se connecter.

wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf

Si cela échoue,
* Regardez avec ifconfig quel port il vaut mieux utiliser, c'est peut-être eth1 chez vous.
* Vérifiez vos identifiants de connexion en cas d'erreur de certificat

Si la commande précédente donne CTRL-EVENT-CONNECTED, c'est bon vous pouvez continuer.

On va maintenant changer un autre fichier pour configurer le démarrage auto :

opkg install nano
nano /etc/init.d/wpa

avec le contenu :

#!/bin/sh /etc/rc.common
# Copyright (C) 2007 OpenWrt.org
START=99
start() { echo start wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf & }

Changez la dernière ligne en fonction de la commande qui a fonctionné pour vous à l'étape précédente (en particulier le eth0.2)

Rendre si besoin le fichier executable avec chmod +x /etc/init.d/wpa

Activation du démarrage auto :

/etc/init.d/wpa start

Si retourne sans erreur : OK

Puis:

/etc/init.d/wpa enable

En faisant Ctrl+C si besoin.

=== Paquet Hostapd ===

Installer maintenant le paquet hostapd, qui sera indispensable pour pouvoir sécuriser votre réseau avec un mot de passe.

Depuis la GUI web :
* Aller dans System > Software
* Run Update
* Filter: rechercher hostapd
* Install
* Dismiss

Depuis un terminal en ssh, doit être :

opkg install hostapd

S'il ne connaît pas hostapd, mettez à jour la liste des paquets.

=== Config wifi ===

On va maintenant créer une nouvelle configuration Wifi :

# uci set wireless.@wifi-device[0].disabled=0
# uci set wireless.@wifi-iface[0].ssid='NOM_DU_WIFI'
# uci set wireless.@wifi-iface[0].encryption='psk2'
# uci set wireless.@wifi-iface[0].key='MOT-DE-PASSE'
# uci set wireless.@wifi-device[0].country='FR'
# uci commit wireless; wifi

En changeant ssid et key en conséquence.

Redémarrer, vous devriez maintenant avoir un réseau Wifi fonctionnel, émis par votre routeur, auquel vous pouvez vous connecter !

=== Si ne fonctionne pas et que wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf renvoie bien CTRL-EVENT-CONNECTED ===

Lancer <code>wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf -B</code>, et depuis l'interface graphique, restart eth0.

Routeurs Wi-Fi

2022-04-08T15:36:10Z

Jonathan.arnoult : Lien sur l'autre tuto

Cette page a pour vocation d'aider les propriétaires d'un routeur paramétré par le BR. Elle recense différents conseils et méthodes pour personnaliser son routeur et résoudre les éventuels problèmes rencontrés. Si vous désirez configurer votre routeur de A à Z, des tutoriels sont disponibles sur les pages suivantes :
* [[Routeurs Wi-Fi/Tutoriel]] qui explique en particulier le cas d'anciens modèles avec peu de mémoire
* [[Routeurs Wi-Fi/Tutoriel TP-Link Archer C50]] qui explique en particulier le cas de modèles plus récents mais qui risquent d'être briqués si on fournit directement l'image d'OpenWRT depuis l'interface GUI, d'où l'utilisation du protocole TFTP qui y est détaillée

== Depuis l'interface LuCi ==
Toutes les manipulations qui suivent sont relativement simples et accessibles à tous. Elles s'effectuent depuis l'interface web LuCi, disponible à l'adresse http://192.168.1.1 lorsque l'on est connecté au routeur. Elles ne nécessitent donc l'installation d'aucun outil externe (par exemple PuTTY sur Windows). Pour valider les changements effectués, appuyez sur le bouton "Save & Apply", en bas de chaque page.

=== Changer le mot de passe root ===
Avant toute chose, il est conseillé de changer le mot de passe root. Le mot de passe par défaut est « root ». Allez dans "System" -> "Administration" et changez le mot de passe.

=== Changer le nom/le mot de passe du réseau Wi-Fi ===
{{Attention|
*'''Tous''' les routeurs, y compris ceux des bars d'étage, '''doivent''' être protégés par un mot de passe sécurisé. '''Le BR interdit strictement toute utilisation de routeur dont le réseau Wi-Fi n'est pas protégé par un mot de passe'''.
*En mettant un mot de passe trop simple ou trop proche de votre mot de passe LDAP/ENEX/Zimbra, vous risqueriez de compromettre sa sécurité, et donc l'ensemble de vos comptes liés, qui pourraient alors être coupés par la DSI.}}
Le nom et le mot de passe du réseau peuvent être changé en allant dans "Network" -> "Wi-Fi". Désactivez temporairement le Wi-Fi en appuyant sur le bouton "Disable", puis cliquez sur "Edit". Le nom du réseau est personnalisable via le champ "ESSID", dans l'onglet "General Setup", en bas de la page. Le mot de passe est personnalisable via l'onglet "Wireless Security". '''Laissez bien l'option "WPA2-PSK" active'''.

== Problèmes connus ==
=== Le réseau coupe souvent ===
Au 16/10/2016, une des raisons connues est un problème dans l'infrastructure de la DSI, qui touche aussi les personnes ne possédant pas de routeur. Il faut alors débrancher et brancher la prise à chaque fois que le réseau se coupe. Le routeur peut néanmoins simuler cette manipulation de lui-même à intervalles réguliers. Pour cela, ajoutez la ligne suivante dans "System" -> "Scheduled Tasks" (ne supprimez pas les autres lignes !) :
:<code>0 */1 * * * kill $(pidof wpa_supplicant) $(pidof udhcpc) && rm -rf /tmp/run/wpa_supplicant/ && /etc/init.d/wpa start</code>

Si le problème est antérieur au 08/10/2016, voir aussi [[Routeurs_Wi-Fi/Tutoriel#Je_dois_souvent_red.C3.A9marrer_mon_routeur|cette section du tutoriel]] ou encore [[Routeurs_Wi-Fi/Tutoriel#Probl.C3.A8me_de_date|celle-ci]].

Routeurs Wi-Fi/Tutoriel

2022-04-08T15:33:07Z

Jonathan.arnoult : Typo avec /etc/config/wpa.conf

{{Travaux|Pour toute remarque ou demande, ouvrir une tâche Panix}}

== Avertissements ==

{{Attention|Pour commencer, il est recommandé de lire toutes les parties qui vous intéressent ''avant'' de faire quoi que ce soit. Cela vous évitera des erreurs stupides qui vous feront perdre du temps. Si vous souhaitez acheter un routeur, tournez vous faire des modèles avec plus de RAM que celui-ci (contacter le BR direcetement pour plus d'infos) !}}

=== Avertissement technique ===

'''Modèle de routeur.''' Le système que vous vous apprêtez à installer n'est pas compatible avec tous les routeurs, loin de là ! Le fichier fourni par ce tutoriel est uniquement compatible avec le routeur '''TP-Link 841N''' ou '''TP-Link 841ND''', versions 11 (La version est écrite sur une étiquette du routeur et sur la boîte près du code barre.) . ''D'autres versions peuvent être compatibles mais n'ont pas été testé.''

Si vous souhaitez tout de même utiliser un autre modèle, il faudra vous référer au site web d'openwrt {{c|http://openwrt.org/}} qui contient entre autres la liste des modèles compatibles. IL faut prendre des modèles avec suffisament de RAM pour que cela fonctionne et compatible avec des versions récentes d'openwrt (le plus récent le mieux pour des questions de sécurité, mais au minimum openwrt 20.0). Cependant ce guide sera très spécifique pour le TP-link 841N et Tp-link 841ND.

'''Méthode de connexion.''' Pour configurer le routeur vous allez devoir vous y connecter. Pour cela brancher un câble ethernet à votre PC et sur un port orange du routeur (pensez aussi à brancher préalablement le routeur).

=== Avertissement juridique ===

Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec ''vos identifiants''.

En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.

== Principe ==

Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet. Pour compenser ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau wifi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.

== Préparation ==

=== Linux ===

Dans le cas des systèmes UNIX, la préparation est assez rapide car les outils sont déjà installés.

==== Terminal ====

Pour faire la configuration il vous faudra être capable d'accéder à votre terminal. Pour la plupart des systèmes on peut le lancer avec {{c|ctrl+alt+T}} ou en cherchant « terminal » dans le menu principal.

==== SSH et SCP ====

Vous aurez besoin d'un client {{c|ssh}} (par défaut installé sous linux) :

$ sudo apt-get install openssh-client

La commande {{c|ssh}} permet ensuite de se connecter à distance et de façon sécurisée à un terminal.

La commande {{c|scp}}, fournie par le même paquet, permet de transférer des fichiers avec le même protocole.

==== Configuration réseau ====

Pour vous connecter au routeur il vous faudra créer un nouveau profil de configuration ethernet selon les paramètres suivants :

[[Image:routeurs-settings-eth-linux.jpg|500px]]

==== Récupération ====

Pour pouvoir récupérer une erreur commise avec votre routeur, il faut tout d'abord installer un serveur ssh :

$ sudo apt-get install openssh-server
$ sudo service ssh start

Vous aurez ensuite besoin d'un nouveau profil de connexion réseau qui vous permettra de réaliser la remise à zéro du routeur :

[[Image:routeurs-settings-eth0-linux.jpg|500px]]

=== MacOS ===

==== Terminal ====

La console de MacOS est accessible via une application appelée '''Terminal'''. Vous la trouverez dans le dossier « Utilitaires » du dossier « Applications ». Elle vous permettra de taper les commandes nécessaires.

==== SSH et SCP ====

Le programme {{c|ssh}} est en général installé sur MacOS X, et permet de se connecter à distance à d'autres ordinateurs (en l'occurrence au routeur).

Il en est de même pour {{c|scp}} qui est destiné au transfert de fichiers.

==== Configuration réseau ====

Pour pouvoir se connecter facilement au routeur le plus simple est de créer un nouveau profil de configuration :

[[Image:routeurs-settings-eth-1-mac.jpg|500px]]

[[Image:routeurs-settings-eth-2-mac.jpg|500px]]

=== Windows ===

==== Terminal ====

Sous Windows il existe plusieurs options.

Soit vous utilisez le powershell (windows terminal sous windows 11), soit vous utilisez Ubuntu via WSL. Si vous utilisez WSL veuillez vous référer à la partie Linux précédente pour installer les paquets nécessaires à la réalisation du tutoriel.

==== Configuration réseau ====

Il vous faudra aussi configurer votre connexion réseau en '''DHCP''', sans la sécurité '''802.1X''', et de préférence avec les bons serveurs '''DNS'''. Si vous ne l'avez jamais fait, renseignez-vous sur le wikibr ou tout autre site décrivant la configuration réseau sous Windows.

=== Terminal ===

Dans le terminal de votre ordinateur nous n'utiliserons que '''ssh''' et '''scp''' . En revanche nous utiliserons beaucoup le terminal du routeur, qui ressemblera à ceci :

neze@neze ~$ ssh root@192.168.1.1
The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.
RSA key fingerprint is **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.1' (RSA) to the list of known hosts.
root@192.168.1.1's password: # ici le password n'apparaîtra pas

BusyBox v1.23.2 (2015-11-17 16:24:55 CET) built-in shell (ash)

_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (Chaos Calmer, r47466)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~#

== Installation ==

Cette section est destinée à décrire l'installation du système '''OpenWRT''' sur un des deux routeurs traités. Plusieurs fichiers vous sont proposés. En général avant de l'installer il faut renommer un fichier.

=== Installer OpenWRT sur le routeur ===

Pour installer '''OpenWRT''' il faut d'abord préparer le fichier que vous allez mettre dans le routeur, qui est une version d'OpenWRT prévue pour le v10 et v11 et modifiée pour l'École polytechnique. Les informations sur ce fichier incluent aussi des sommes de contrôle si vous voulez vérifier que le fichier est le bon. Pensez à le décompresser avant toute chose.

'''Nom:''' openwrt-19.07.2-ath79-tiny-tplink_tl-wr841-v11-squashfs-factory.bin
(md5) c7ac93636caf4935665c54fa09ba1421
(sha1) 83a9763418ce2bda4e29f0ae46d827e3ef506e48
(sha256) 9099e9054b370676b6467b6fb29c8f5a248839d2e3960686d0b6297c5c42763a

[[Fichier:routeurv11openwrt.zip]]

Il faut commencer par renommer votre fichier pour qu'il corresponde à votre routeur, suivant le schéma suivant :

wr841nv11_wr841ndv11_en_3_16_9_up(150616).bin # tl841n v11

Ouvrez ensuite, avec votre navigateur web, la page de configuration du routeur. Son adresse est
<tt>http://192.168.1.1/</tt> ou <tt>http://192.168.0.1/</tt>
et il vous faut parfois désactiver le proxy pour y accéder.

[[Image:routeurs-tp-link-page.jpg|500px]]

Il faut ensuite se connecter à l'interface (nom d'utilisateur {{c|admin}}, même mot de passe), puis accéder à l'onglet '''System > Firmware Upgrade'''. Dans cette fenêtre vous pouvez sélectionner votre fichier ''bien renommé'', puis cliquer sur Upgrade et confirmer.

OpenWRT va être installé sur le routeur qui va ensuite redémarrer.

== Configuration ==

=== Accès SSH ===

Actuellement le routeur n'a pas de mot de passe administrateur, ce qui empêche d'utiliser {{c|ssh}} pour s'y connecter.

Pour des raisons techniques, le routeur n'a pas d'interface web. On peut dans ce cas utiliser {{c|telnet}} et la commande {{c|passwd}} lorsque l'on dispose d'un terminal. L'on peut si on le souhaite mettre un mot de passe (très fortement conseillé) :

neze@neze ~ $ ssh root@192.168.1.1

BusyBox v1.23.2 (2016-01-02 18:01:44 CET) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05.1, r48532)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:/# passwd
Changing password for root
New password:
Retype password:
Password for root changed by root
root@OpenWrt:/#

=== Donner l'accès internet au routeur ===

Pour que le routeur fonctionne à l'École, il faut qu'il soit branché à la prise de votre casert via la prise bleue du routeur. Il faut ensuite le configurer pour qu'il ait accès à internet.

==== 802.1X ====

Dans la plupart des caserts de l'X, la sécurité est 802.1X (celle qui demande une authentification). Pour la configurer il faut mettre vos identifiants enex dans le routeur.

* Connectez-vous au routeur via ssh.

ssh root@192.168.1.1

* Éditez le fichier de configuration de '''wpa''' en complétant les champs identity et password puis en copiant collant dans le terminal (faire CTRL+C et CTRL+V).

nano /etc/config/wpa.conf

''Une fois l'édition terminée, faire CTRL+X puis y pour valider''

*Fichier wpa.conf :

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=TTLS
identity="prénom.nom@polytechnique.fr"

anonymous_identity="anonymous@polytechnique.fr"
password="xxxxx"
phase1="auth=TTLS"
phase2="auth=PAP"
}

* Rendez le fichier éxécutable :

chmod +x /etc/config/wpa.conf

* Testez la configuration. Votre routeur doit être branché à internet.

wpa_supplicant -D wired -i eth1
-c /etc/config/wpa.conf

''Si vous voyez le texte '''CTRL-EVENT-CONNECTED''' c'est bon, vous pouvez interrompre avec '''Ctrl+C''' et continuer la configuration.''
''Si vous obtenez un message d'erreur à propos du certificat (comme par exemple ci-dessous), essayez de mettre votre routeur à l'heure puis reprenez cette étape.''

X509: Certificate not valid (now=XXXXXX not_before=XXXXXX not_after=XXXXXX)

* Configurer le démarage automatique en copiant collant le fichier si dessous:

nano /etc/init.d/wpa

''Une fois l'édition terminée, faire CTRL+X puis y pour valider''

* Fichier wpa :

#!/bin/sh /etc/rc.common
# Copyright (C) 2007 OpenWrt.org
START=99
start() {
echo start
wpa_supplicant -D wired -i eth1 -c /etc/config/wpa.conf &
}

* Activez le démarrage automatique.

/etc/init.d/wpa start
/etc/init.d/wpa enable

''Si vous obtenez un message d'erreur du type '''Permission denied''', tentez d'abord de rendre le fichier exécutable avec {{c|chmod +x /etc/init.d/wpa}}.''

Configuration de {{c|wpa-supplicant}} :

neze@neze ~ $ ssh root@192.168.1.1
root@192.168.1.1's password:
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
root@OpenWrt:~# vim /etc/config/wpa.conf
root@OpenWrt:~# wpa_supplicant
-c /etc/config/wpa.conf
-D wired -i eth1
Successfully initialized wpa_supplicant
eth1: Associated with 01:80:c2:00:00:03
WMM AC: Missing IEs
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 21 (TTLS) selected
TLSv1: you should reject under 768-bit DH prime (insecure; only 512 bits)
eth1: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
eth1: CTRL-EVENT-CONNECTED - Connection to **:**:**:**:**:** completed [id=0 id_str=]
^Ceth1: CTRL-EVENT-DISCONNECTED bssid=**:**:**:**:**:** reason=3 locally_generated=1
eth1: CTRL-EVENT-TERMINATING
root@OpenWrt:~# vim /etc/init.d/wpa
root@OpenWrt:~# /etc/init.d/wpa enable
root@OpenWrt:~#

==== IP fixe ====

Si votre configuration est en IP fixe, ouvrez l'interface web d'OpenWRT. Dans l'onglet '''Network > Interfaces''', cliquez sur le bouton '''Edit''' de l'interface '''WAN''', changez le protocole en « statique », confirmez en cliquant sur '''Switch protocol''' puis remplissez les trois champs « IPv4 address, IPv4 netmask, IPv4 gateway ». Enfin, rajoutez les serveurs dns {{c|129.104.201.53}} et {{c|129.104.201.51}}.

[[Image:routeurs-openwrt-ipf-gui.jpg|500px]]

Si vous n'avez pas accès à l'interface web, connectez vous en ssh au routeur puis tapez les commandes suivantes, en adaptant évidemment les valeurs de l'adresse IP, du masque de sous-réseau et de la passerelle par défaut.

root@OpenWrt:~# uci set network.wan.proto='static'
root@OpenWrt:~# uci set network.wan.ipaddr='129.104.222.109'
root@OpenWrt:~# uci set network.wan.netmask='255.255.255.0'
root@OpenWrt:~# uci set network.wan.gateway='129.104.222.254'
root@OpenWrt:~# uci set network.wan.dns='129.104.201.59 129.104.201.51'
root@OpenWrt:~# uci commit network
root@OpenWrt:~#

=== Réglages Wi-Fi ===

Cette section vous permettra de mettre en place un réseau wifi avec une sécurité correcte et aux normes françaises.

Connectez-vous au routeur en '''SSH''' et suivez la procédure ci-dessous en adaptant à votre choix de nom de réseau et mot de passe wifi.

'''Attention :''' votre mot de passe doit faire plus de 8 caractères, sans quoi le réseau wifi ne démarrera jamais.

root@OpenWrt:~# uci set wireless.@wifi-device[0].disabled=0
root@OpenWrt:~# uci set wireless.@wifi-iface[0].ssid='MON-RESEAU-WIFI'
root@OpenWrt:~# uci set wireless.@wifi-iface[0].encryption='psk2'
root@OpenWrt:~# uci set wireless.@wifi-iface[0].key='MOT-DE-PASSE'
root@OpenWrt:~# uci set wireless.@wifi-device[0].country='FR'
root@OpenWrt:~# uci commit wireless; wifi
root@OpenWrt:~#

== Fonctionnalités supplémentaires ==

=== Changer l'heure du routeur ===

L'heure du routeur est assez simple à changer. ''Normalement, elle se met à l'heure automatiquement, mais vous pouvez avoir besoin de la changer '''avant''' d'avoir accès à Internet.''

C'est assez simple à faire en ligne de commande :

root@OpenWrt:~# date --set '2016-07-24 09:58'
Sun Jul 24 09:58:00 CEST 2016

Vous pouvez aussi passer, si vous le souhaitez, par l'interface graphique :

[[Image:routeurs-openwrt-date-gui.jpg|500px]]

== Récupération, problèmes ==

=== Routeur briqué ===

Il se peut, après certaines mauvaises manipulations, que le routeur ne soit plus accessible, que l'interface web disparaisse, que vous ayez des messages d'erreurs intempestifs vous empêchant de le configurer, etc.

root@OpenWrt:~# touch test
touch: test: Read-only file system
root@OpenWrt:~#

Il faut dans ce cas effectuer une opération de récupération du routeur, dont la description est faite avec Linux dans ce document (Il est assez simple de l'adapter pour un Mac, beaucoup plus compliqué pour Windows.) . Vous aurez besoin d'un profil de configuration réseau « IP fixe », décrit en début de tutoriel.

* Récupérez le fichier d'openwrt correspondant à votre routeur, et copiez-le dans le répertoire de votre choix (dans notre cas il sera dans {{c|~/firmware.bin}}).
* Redémarrez votre routeur.

Au moment où le voyant « cadenas » commence à clignoter, enfoncez le bouton '''reset''' (derrière le routeur) jusqu'à ce que le voyant clignote beaucoup plus rapidement.
* Branchez votre routeur à l'ordinateur et passez dans le profil de configuration IP fixe, puis ouvrez un terminal et exécutez la procédure ci-dessous.

neze@neze ~ $ md5sum firmware.bin
06179235c8986228ea0c545d6d69df8b firmware.bin
neze@neze ~ $ telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
...
================= FAILSAFE MODE active ================
...
=======================================================

root@(none):/# mount_root
root@(none):/# cd /tmp
root@(none):/tmp# scp neze@192.168.1.22:firmware.bin ./
Do you want to continue connecting? (y/n) y
neze@192.168.1.22's password:
firmware.bin 100
root@(none):/tmp# mtd -r write firmware.bin firmware
Unlocking firmware ...

Writing from firmware.bin to firmware ... [w]
Rebooting ...

=== Routeur sans OS ===

Si vous avez installé un OpenWRT corrompu ou tenté de réinstaller le système d'origine sans réfléchir, vous avez peut-être un routeur qui ne démarre pas jusqu'au bout.

Cette section est valable si le {{c|bootloader}} est présent. Un bon moyen de le savoir est d'enfoncer le bouton reset (routeur éteint) puis d'allumer le routeur (reset enfoncé). Si au bout d'un certain temps le voyant du cadenas reste allumé, c'est probablement le cas. Éteignez alors le routeur.

''Procédure testée sur un routeur TP-Link 841N v10.''

'''Préparez votre ordinateur.''' Installez sur un ordinateur '''Linux''' (Ces remarques s'appliquent à Debian et doivent être adaptées.) un serveur {{c|tftp}} :

sudo apt-get install tftp xinetd tftpd

Normalement, {{c|xinetd}} sera alors le process chargé de gérer les serveurs. Vous pouvez vérifier que c'est lui qui tourne avec la commande {{c|ps -alxww | grep inet}}.

Vérifiez ensuite (dans {{c|/etc/services}}) que la ligne concernant {{c|tftp}} n'est pas commentée :

tftp 69/udp

Faites les réglages d'un serveur {{c|tftp}} en créant/éditant le fichier {{c|/etc/xinetd.d/tftp}} :

service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /tftpboot
disable = no
}

Redémarrez le service avec la commande {{c|service xinetd restart}}. Désormais tous les fichiers présents dans {{c|/tftpboot}} seront accessibles dans votre serveur tftp.

Vous pouvez par exemple tester votre serveur tftp de la sorte :

neze tmp.9B8qi7nCqn # echo "Hello World" > /tftpboot/hello.txt
neze tmp.9B8qi7nCqn # tftp localhost
tftp> get hello.txt
Received 13 bytes in 0.0 seconds
tftp> quit
neze tmp.9B8qi7nCqn # cat hello.txt
Hello World
neze tmp.9B8qi7nCqn #

Prenez une image valable d'OpenWRT, déposez-la dans {{c|/tftpboot}} renommée suivant le schéma suivant :

wr841nv10_tp_recovery.bin # tl841n v10
wr841nv11_tp_recovery.bin # tl841n v11

Configurez votre connexion ethernet en '''IP fixe''' {{c|192.168.0.66}}.

Branchez le routeur à votre ordinateur, enfoncez le bouton reset, démarrez le routeur et attendez que le routeur redémarre après réinstallation du firmware.

=== Routeur n'accepte plus le certificat ===
Une des causes possibles est que la date de votre routeur est incorrecte.
Voir la section [[#Problème_de_date|sur ce sujet-là]].

=== Problème de date ===
Pour connaître la date enregistrée par votre routeur :
:<code>date</code>

Si la date est incorrecte, vous pouvez la changer avec la commande suivante (à adapter avec la date actuelle) :
:<code>date --set '2016-07-31 19:20:00'</code>

Si le problème persiste, vous pouvez procéder ajouter les étapes suivantes :
# <code>date --set '2016-07-31 19:20:00'</code>
# <code>echo "timesave" > /etc/timesave</code> (1er fix)
# Modifier le fichier /etc/init.d/sysfixtime, en remplaçant
#:<code>[ $curtime -lt $maxtime ] && date -s @$maxtime</code>
#:par
#:<code>if [ $curtime -lt $maxtime ]; then</code>
#:<code>date -s @$maxtime</code>
#:<code>/etc/init.d/sysntpd restart</code>
#:<code>fi</code>

=== Je dois souvent redémarrer mon routeur ===
Un problème connu implique redsocks. Un workaround consiste à activer cron et à vérifier régulièrement que le service est lancé. On peut par exemple procéder ainsi :
<pre>/etc/init.d/redsocks enable

crontab -e

0 */1 * * * /etc/init.d/redsocks stop && /etc/init.d/redsocks start
*/3 * * * * /etc/init.d/redsocks start

/etc/init.d/cron enable
</pre>

Routeurs Wi-Fi/Tutoriel TP-Link Archer C50

2022-04-08T15:31:29Z

Jonathan.arnoult : Tuto initial

== Avertissements ==

{{Attention|Pour commencer, il est recommandé de lire toutes les parties qui vous intéressent ''avant'' de faire quoi que ce soit. Cela vous évitera des erreurs stupides qui vous feront perdre du temps. !}}

=== Avertissement technique ===

'''Modèle de routeur.''' Le système que vous vous apprêtez à installer n'est pas compatible avec tous les routeurs, loin de là ! Le fichier fourni par ce tutoriel est uniquement compatible avec le routeur '''TP-Link C50''' ou '''TP-Link AC1200''', versions 4 (La version est écrite sur une étiquette du routeur et sur la boîte près du code barre.) . ''D'autres versions peuvent être compatibles mais n'ont pas été testées.''

Si vous souhaitez tout de même utiliser un autre modèle, il faudra vous référer au site web d'openwrt {{c|http://openwrt.org/}} qui contient entre autres la liste des modèles compatibles. IL faut prendre des modèles avec suffisament de RAM pour que cela fonctionne et compatible avec des versions récentes d'openwrt (le plus récent le mieux pour des questions de sécurité, mais au minimum openwrt 20.0).

'''Méthode de connexion.''' Pour configurer le routeur vous allez devoir vous y connecter. Pour cela brancher un câble ethernet à votre PC et sur un port orange du routeur (pensez aussi à brancher préalablement le routeur).

=== Avertissement juridique ===

Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec ''vos identifiants''.

En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.

== Principe ==

Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet. Pour compenser ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau wifi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.

== Préparation ==

Pour pouvoir commencer, il va falloir créer votre propre image à flasher sur le système. Les instructions qui suivent sont calquées sur https://openwrt.org/toh/tp-link/archer-c50#v4_and_v5_instructions.
Récupérez l'image TP-link depuis le site officiel qui devra être nommée tpl.bin, et celle d'OpenWRT nommée tmp.bin et placez les dans un répertoire commun. Exécutez alors les instructions suivantes, depuis un terminal ouvert dans ce répertoire :

dd if=/dev/zero of=tp_recovery.bin bs=196608 count=1
dd if=tpl.bin of=tmp.bin bs=131584 count=1
dd if=tmp.bin of=boot.bin bs=512 skip=1
cat boot.bin >> tp_recovery.bin

Ce sera l'image tp_recovery.bin qui vient d'être créée qui nous intéressera par la suite.

== Procédure TFTP ==

Comme indiqué sur le site OpenWRT, il faut maintenant déterminer si le routeur est client ou serveur TFTP. Dans le cas du C50, en regardant sur la page wiki, on voit des informations concernant ''Bootloader tftp server IPv4 address'' ce qui nous indique (contrairement à ce qu'on aurait pu penser) que le routeur sera client et le PC sera serveur.

Pour la suite, le lien suivant peut être d'une certaine utilité : https://www.youtube.com/watch?v=bL8wKx8qaZ4

Sur Windows, installer ce logiciel (https://pjo2.github.io/tftpd64/) avec les options par défaut. Si faisable, prendre un switch et connecter votre PC au switch, et le routeur ('''éteint''') au switch via un de ses ports orange (le 1 par exemple). Depuis l'interface de configuration réseau de Windows, aller dans les paramètres de votre connexion Ethernet. Vérifier tout d'abord que vous avez désactivé 802.1x (et ne pas oublier de le remettre après pour se connecter à Eduroam !) et utilisez une adresse IP statique, qui sera celle indiquée sur le Wiki d'OpenWRT comme étant ''Bootloader tftp server IPv4 address'' (dans notre cas 192.168.0.66) avec un masque 255.255.255.0. Lancer TFTPD64 et changer ''Current Directory'' pour être le répertoire dans lequel <code>tp_recovery.bin</code> est situé. Cliquez sur ''Show dir'' pour vérifier qu'il fait bien partie de la liste des fichiers présents. Ouvrez l'onglet de Log. C'est assez contre-intuitif mais le serveur est bien mis en route à partir de ce moment, sans avoir besoin d'appuyer sur un bouton supplémentaire.

Maintenez maintenant le bouton reset avec le routeur éteint, et allumez le routeur. Attendez env. 10 secondes en maintenant le bouton reset, ou jusqu'à ce que la LED WPS soit allumée.

Le transfert devrait alors démarrer (et durer normalement quelques secondes, normalement attendez 15min, en vrai au bout de qq minutes il faut mieux se poser des questions). Utilisez l'onglet de log pour vérifier que le fichier a bien été transféré.

Remarque : si vous voulez tester votre serveur avant, connectez un autre ordi au switch, et lancez la commande suivante :

atftp 192.168.0.66
get tp_recovery.bin

Qui devrait retourner sans erreur.

== Hello, OpenWRT world ==

=== Préalables ===

==== Routeur connecté à Internet ====

Heureusement tout n'en pas encore terminé. Une fois le routeur réinitialisé et redemarré, connectez-y vous par cable Ethernet (ou par le Wifi ouvert OpenWRT qui apparait et est une bonne indication que le routeur est effectivement réinitialisé).

Le routeur va avoir besoin d'Internet pour installer des paquets. Activez votre partage de co, et connectez vous depuis votre PC sur la GUI web de OpenWRT (à l'adresse 192.168.1.1).
Connectez-vous alors à votre réseau dans allant dans Network, Scan et sélectionnant le bon Wifi. C'est essentiel d'avoir une bonne connexion, et cela peut être à l'origine de nombreuses erreurs par la suite (de paquets non trouvés par exemple). Vérifiez donc la connexion avec un ping, ou depuis l'onglet Diagnostics de la GUI.

==== Paquet wpa-supplicant installé ====

Connectez-vous par SSH au routeur avec :

ssh root@192.168.1.1

Mettez à jour les packets, avec opkg update ou depuis le web GUI (disponible sur 192.168.1.1 mdp root) System > Software et Run update. Puis on va vouloir installer wpa-supplicant (et pas applicant, faites pas l'erreur comme moi). Pour cela il va surement falloir désinstaller un autre paquet qui gêne, pour enfin instlaller le bon. Et installez nano au passage (sauf si vim vous suffit).

opkg uninstall wpad-basic-wolfssl
opkg install wpa-supplicant
opkg install nano

=== Configuration d'Ethernet ===

Ensuite configurez votre connexion en éditant :

nano /etc/config/wpa.conf

Et en insérant le texte suivant :

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=TTLS
identity="prénom.nom@polytechnique.fr"

anonymous_identity="anonymous@polytechnique.fr"
password="xxxxx"
phase1="auth=TTLS"
phase2="auth=PAP"
}

En changeant identity et password en conséquence.

On va maintenant tenter de se connecter.

wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf

Si cela échoue,
* Regardez avec ifconfig quel port il vaut mieux utiliser, c'est peut-être eth1 chez vous.
* Vérifiez vos identifiants de connexion en cas d'erreur de certificat

Si la commande précédente donne CTRL-EVENT-CONNECTED, c'est bon vous pouvez continuer.

On va maintenant changer un autre fichier pour configurer le démarrage auto :

opkg install nano
nano /etc/init.d/wpa

avec le contenu :

#!/bin/sh /etc/rc.common
# Copyright (C) 2007 OpenWrt.org
START=99
start() { echo start wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf & }

Changez la dernière ligne en fonction de la commande qui a fonctionné pour vous à l'étape précédente (en particulier le eth0.2)

Rendre si besoin le fichier executable avec chmod +x /etc/init.d/wpa

Activation du démarrage auto :

/etc/init.d/wpa start

Si retourne sans erreur : OK

Puis:

/etc/init.d/wpa enable

En faisant Ctrl+C si besoin.

=== Paquet Hostapd ===

Installer maintenant le paquet hostapd, qui sera indispensable pour pouvoir sécuriser votre réseau avec un mot de passe.

Depuis la GUI web :
* Aller dans System > Software
* Run Update
* Filter: rechercher hostapd
* Install
* Dismiss

Depuis un terminal en ssh, doit être :

opkg install hostapd

S'il ne connaît pas hostapd, mettez à jour la liste des paquets.

=== Config wifi ===

On va maintenant créer une nouvelle configuration Wifi :

# uci set wireless.@wifi-device[0].disabled=0
# uci set wireless.@wifi-iface[0].ssid='NOM_DU_WIFI'
# uci set wireless.@wifi-iface[0].encryption='psk2'
# uci set wireless.@wifi-iface[0].key='MOT-DE-PASSE'
# uci set wireless.@wifi-device[0].country='FR'
# uci commit wireless; wifi

En changeant ssid et key en conséquence.

Redémarrer, vous devriez maintenant avoir un réseau Wifi fonctionnel, émis par votre routeur, auquel vous pouvez vous connecter !

=== Si ne fonctionne pas et que wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf renvoie bien CTRL-EVENT-CONNECTED ===

Lancer <code>wpa_supplicant -D wired -i eth0.2 -c /etc/config/wpa.conf -B</code>, et depuis l'interface graphique, restart eth0.

Routeurs Wi-Fi/Tutoriel

2022-04-08T15:31:06Z

Jonathan.arnoult : Problème de formatage

{{Travaux|Pour toute remarque ou demande, ouvrir une tâche Panix}}

== Avertissements ==

{{Attention|Pour commencer, il est recommandé de lire toutes les parties qui vous intéressent ''avant'' de faire quoi que ce soit. Cela vous évitera des erreurs stupides qui vous feront perdre du temps. Si vous souhaitez acheter un routeur, tournez vous faire des modèles avec plus de RAM que celui-ci (contacter le BR direcetement pour plus d'infos) !}}

=== Avertissement technique ===

'''Modèle de routeur.''' Le système que vous vous apprêtez à installer n'est pas compatible avec tous les routeurs, loin de là ! Le fichier fourni par ce tutoriel est uniquement compatible avec le routeur '''TP-Link 841N''' ou '''TP-Link 841ND''', versions 11 (La version est écrite sur une étiquette du routeur et sur la boîte près du code barre.) . ''D'autres versions peuvent être compatibles mais n'ont pas été testé.''

Si vous souhaitez tout de même utiliser un autre modèle, il faudra vous référer au site web d'openwrt {{c|http://openwrt.org/}} qui contient entre autres la liste des modèles compatibles. IL faut prendre des modèles avec suffisament de RAM pour que cela fonctionne et compatible avec des versions récentes d'openwrt (le plus récent le mieux pour des questions de sécurité, mais au minimum openwrt 20.0). Cependant ce guide sera très spécifique pour le TP-link 841N et Tp-link 841ND.

'''Méthode de connexion.''' Pour configurer le routeur vous allez devoir vous y connecter. Pour cela brancher un câble ethernet à votre PC et sur un port orange du routeur (pensez aussi à brancher préalablement le routeur).

=== Avertissement juridique ===

Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec ''vos identifiants''.

En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.

== Principe ==

Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet. Pour compenser ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau wifi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.

== Préparation ==

=== Linux ===

Dans le cas des systèmes UNIX, la préparation est assez rapide car les outils sont déjà installés.

==== Terminal ====

Pour faire la configuration il vous faudra être capable d'accéder à votre terminal. Pour la plupart des systèmes on peut le lancer avec {{c|ctrl+alt+T}} ou en cherchant « terminal » dans le menu principal.

==== SSH et SCP ====

Vous aurez besoin d'un client {{c|ssh}} (par défaut installé sous linux) :

$ sudo apt-get install openssh-client

La commande {{c|ssh}} permet ensuite de se connecter à distance et de façon sécurisée à un terminal.

La commande {{c|scp}}, fournie par le même paquet, permet de transférer des fichiers avec le même protocole.

==== Configuration réseau ====

Pour vous connecter au routeur il vous faudra créer un nouveau profil de configuration ethernet selon les paramètres suivants :

[[Image:routeurs-settings-eth-linux.jpg|500px]]

==== Récupération ====

Pour pouvoir récupérer une erreur commise avec votre routeur, il faut tout d'abord installer un serveur ssh :

$ sudo apt-get install openssh-server
$ sudo service ssh start

Vous aurez ensuite besoin d'un nouveau profil de connexion réseau qui vous permettra de réaliser la remise à zéro du routeur :

[[Image:routeurs-settings-eth0-linux.jpg|500px]]

=== MacOS ===

==== Terminal ====

La console de MacOS est accessible via une application appelée '''Terminal'''. Vous la trouverez dans le dossier « Utilitaires » du dossier « Applications ». Elle vous permettra de taper les commandes nécessaires.

==== SSH et SCP ====

Le programme {{c|ssh}} est en général installé sur MacOS X, et permet de se connecter à distance à d'autres ordinateurs (en l'occurrence au routeur).

Il en est de même pour {{c|scp}} qui est destiné au transfert de fichiers.

==== Configuration réseau ====

Pour pouvoir se connecter facilement au routeur le plus simple est de créer un nouveau profil de configuration :

[[Image:routeurs-settings-eth-1-mac.jpg|500px]]

[[Image:routeurs-settings-eth-2-mac.jpg|500px]]

=== Windows ===

==== Terminal ====

Sous Windows il existe plusieurs options.

Soit vous utilisez le powershell (windows terminal sous windows 11), soit vous utilisez Ubuntu via WSL. Si vous utilisez WSL veuillez vous référer à la partie Linux précédente pour installer les paquets nécessaires à la réalisation du tutoriel.

==== Configuration réseau ====

Il vous faudra aussi configurer votre connexion réseau en '''DHCP''', sans la sécurité '''802.1X''', et de préférence avec les bons serveurs '''DNS'''. Si vous ne l'avez jamais fait, renseignez-vous sur le wikibr ou tout autre site décrivant la configuration réseau sous Windows.

=== Terminal ===

Dans le terminal de votre ordinateur nous n'utiliserons que '''ssh''' et '''scp''' . En revanche nous utiliserons beaucoup le terminal du routeur, qui ressemblera à ceci :

neze@neze ~$ ssh root@192.168.1.1
The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.
RSA key fingerprint is **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.1' (RSA) to the list of known hosts.
root@192.168.1.1's password: # ici le password n'apparaîtra pas

BusyBox v1.23.2 (2015-11-17 16:24:55 CET) built-in shell (ash)

_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (Chaos Calmer, r47466)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~#

== Installation ==

Cette section est destinée à décrire l'installation du système '''OpenWRT''' sur un des deux routeurs traités. Plusieurs fichiers vous sont proposés. En général avant de l'installer il faut renommer un fichier.

=== Installer OpenWRT sur le routeur ===

Pour installer '''OpenWRT''' il faut d'abord préparer le fichier que vous allez mettre dans le routeur, qui est une version d'OpenWRT prévue pour le v10 et v11 et modifiée pour l'École polytechnique. Les informations sur ce fichier incluent aussi des sommes de contrôle si vous voulez vérifier que le fichier est le bon. Pensez à le décompresser avant toute chose.

'''Nom:''' openwrt-19.07.2-ath79-tiny-tplink_tl-wr841-v11-squashfs-factory.bin
(md5) c7ac93636caf4935665c54fa09ba1421
(sha1) 83a9763418ce2bda4e29f0ae46d827e3ef506e48
(sha256) 9099e9054b370676b6467b6fb29c8f5a248839d2e3960686d0b6297c5c42763a

[[Fichier:routeurv11openwrt.zip]]

Il faut commencer par renommer votre fichier pour qu'il corresponde à votre routeur, suivant le schéma suivant :

wr841nv11_wr841ndv11_en_3_16_9_up(150616).bin # tl841n v11

Ouvrez ensuite, avec votre navigateur web, la page de configuration du routeur. Son adresse est
<tt>http://192.168.1.1/</tt> ou <tt>http://192.168.0.1/</tt>
et il vous faut parfois désactiver le proxy pour y accéder.

[[Image:routeurs-tp-link-page.jpg|500px]]

Il faut ensuite se connecter à l'interface (nom d'utilisateur {{c|admin}}, même mot de passe), puis accéder à l'onglet '''System > Firmware Upgrade'''. Dans cette fenêtre vous pouvez sélectionner votre fichier ''bien renommé'', puis cliquer sur Upgrade et confirmer.

OpenWRT va être installé sur le routeur qui va ensuite redémarrer.

== Configuration ==

=== Accès SSH ===

Actuellement le routeur n'a pas de mot de passe administrateur, ce qui empêche d'utiliser {{c|ssh}} pour s'y connecter.

Pour des raisons techniques, le routeur n'a pas d'interface web. On peut dans ce cas utiliser {{c|telnet}} et la commande {{c|passwd}} lorsque l'on dispose d'un terminal. L'on peut si on le souhaite mettre un mot de passe (très fortement conseillé) :

neze@neze ~ $ ssh root@192.168.1.1

BusyBox v1.23.2 (2016-01-02 18:01:44 CET) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05.1, r48532)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:/# passwd
Changing password for root
New password:
Retype password:
Password for root changed by root
root@OpenWrt:/#

=== Donner l'accès internet au routeur ===

Pour que le routeur fonctionne à l'École, il faut qu'il soit branché à la prise de votre casert via la prise bleue du routeur. Il faut ensuite le configurer pour qu'il ait accès à internet.

==== 802.1X ====

Dans la plupart des caserts de l'X, la sécurité est 802.1X (celle qui demande une authentification). Pour la configurer il faut mettre vos identifiants enex dans le routeur.

* Connectez-vous au routeur via ssh.

ssh root@192.168.1.1

* Éditez le fichier de configuration de '''wpa''' en complétant les champs identity et password puis en copiant collant dans le terminal (faire CTRL+C et CTRL+V).

nano /etc/config/wpa.conf

''Une fois l'édition terminée, faire CTRL+X puis y pour valider''

*Fichier wpa.conf :

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=TTLS
identity="prénom.nom@polytechnique.fr"

anonymous_identity="anonymous@polytechnique.fr"
password="xxxxx"
phase1="auth=TTLS"
phase2="auth=PAP"
}

* Rendez le fichier éxécutable :

chmod +x /etc/config/wpa.conf

* Testez la configuration. Votre routeur doit être branché à internet.

wpa_supplicant -D wired -i eth1
-c /etc/wpa_supplicant/polytechnique.conf

''Si vous voyez le texte '''CTRL-EVENT-CONNECTED''' c'est bon, vous pouvez interrompre avec '''Ctrl+C''' et continuer la configuration.''
''Si vous obtenez un message d'erreur à propos du certificat (comme par exemple ci-dessous), essayez de mettre votre routeur à l'heure puis reprenez cette étape.''

X509: Certificate not valid (now=XXXXXX not_before=XXXXXX not_after=XXXXXX)

* Configurer le démarage automatique en copiant collant le fichier si dessous:

nano /etc/init.d/wpa

''Une fois l'édition terminée, faire CTRL+X puis y pour valider''

* Fichier wpa :

#!/bin/sh /etc/rc.common
# Copyright (C) 2007 OpenWrt.org
START=99
start() {
echo start
wpa_supplicant -D wired -i eth1 -c /etc/config/wpa.conf &
}

* Activez le démarrage automatique.

/etc/init.d/wpa start
/etc/init.d/wpa enable

''Si vous obtenez un message d'erreur du type '''Permission denied''', tentez d'abord de rendre le fichier exécutable avec {{c|chmod +x /etc/init.d/wpa}}.''

Configuration de {{c|wpa-supplicant}} :

neze@neze ~ $ ssh root@192.168.1.1
root@192.168.1.1's password:
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
root@OpenWrt:~# vim /etc/wpa_supplicant/polytechnique.conf
root@OpenWrt:~# wpa_supplicant
-c /etc/wpa_supplicant/polytechnique.conf
-D wired -i eth1
Successfully initialized wpa_supplicant
eth1: Associated with 01:80:c2:00:00:03
WMM AC: Missing IEs
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 21 (TTLS) selected
TLSv1: you should reject under 768-bit DH prime (insecure; only 512 bits)
eth1: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
eth1: CTRL-EVENT-CONNECTED - Connection to **:**:**:**:**:** completed [id=0 id_str=]
^Ceth1: CTRL-EVENT-DISCONNECTED bssid=**:**:**:**:**:** reason=3 locally_generated=1
eth1: CTRL-EVENT-TERMINATING
root@OpenWrt:~# vim /etc/init.d/wpa
root@OpenWrt:~# /etc/init.d/wpa enable
root@OpenWrt:~#

==== IP fixe ====

Si votre configuration est en IP fixe, ouvrez l'interface web d'OpenWRT. Dans l'onglet '''Network > Interfaces''', cliquez sur le bouton '''Edit''' de l'interface '''WAN''', changez le protocole en « statique », confirmez en cliquant sur '''Switch protocol''' puis remplissez les trois champs « IPv4 address, IPv4 netmask, IPv4 gateway ». Enfin, rajoutez les serveurs dns {{c|129.104.201.53}} et {{c|129.104.201.51}}.

[[Image:routeurs-openwrt-ipf-gui.jpg|500px]]

Si vous n'avez pas accès à l'interface web, connectez vous en ssh au routeur puis tapez les commandes suivantes, en adaptant évidemment les valeurs de l'adresse IP, du masque de sous-réseau et de la passerelle par défaut.

root@OpenWrt:~# uci set network.wan.proto='static'
root@OpenWrt:~# uci set network.wan.ipaddr='129.104.222.109'
root@OpenWrt:~# uci set network.wan.netmask='255.255.255.0'
root@OpenWrt:~# uci set network.wan.gateway='129.104.222.254'
root@OpenWrt:~# uci set network.wan.dns='129.104.201.59 129.104.201.51'
root@OpenWrt:~# uci commit network
root@OpenWrt:~#

=== Réglages Wi-Fi ===

Cette section vous permettra de mettre en place un réseau wifi avec une sécurité correcte et aux normes françaises.

Connectez-vous au routeur en '''SSH''' et suivez la procédure ci-dessous en adaptant à votre choix de nom de réseau et mot de passe wifi.

'''Attention :''' votre mot de passe doit faire plus de 8 caractères, sans quoi le réseau wifi ne démarrera jamais.

root@OpenWrt:~# uci set wireless.@wifi-device[0].disabled=0
root@OpenWrt:~# uci set wireless.@wifi-iface[0].ssid='MON-RESEAU-WIFI'
root@OpenWrt:~# uci set wireless.@wifi-iface[0].encryption='psk2'
root@OpenWrt:~# uci set wireless.@wifi-iface[0].key='MOT-DE-PASSE'
root@OpenWrt:~# uci set wireless.@wifi-device[0].country='FR'
root@OpenWrt:~# uci commit wireless; wifi
root@OpenWrt:~#

== Fonctionnalités supplémentaires ==

=== Changer l'heure du routeur ===

L'heure du routeur est assez simple à changer. ''Normalement, elle se met à l'heure automatiquement, mais vous pouvez avoir besoin de la changer '''avant''' d'avoir accès à Internet.''

C'est assez simple à faire en ligne de commande :

root@OpenWrt:~# date --set '2016-07-24 09:58'
Sun Jul 24 09:58:00 CEST 2016

Vous pouvez aussi passer, si vous le souhaitez, par l'interface graphique :

[[Image:routeurs-openwrt-date-gui.jpg|500px]]

== Récupération, problèmes ==

=== Routeur briqué ===

Il se peut, après certaines mauvaises manipulations, que le routeur ne soit plus accessible, que l'interface web disparaisse, que vous ayez des messages d'erreurs intempestifs vous empêchant de le configurer, etc.

root@OpenWrt:~# touch test
touch: test: Read-only file system
root@OpenWrt:~#

Il faut dans ce cas effectuer une opération de récupération du routeur, dont la description est faite avec Linux dans ce document (Il est assez simple de l'adapter pour un Mac, beaucoup plus compliqué pour Windows.) . Vous aurez besoin d'un profil de configuration réseau « IP fixe », décrit en début de tutoriel.

* Récupérez le fichier d'openwrt correspondant à votre routeur, et copiez-le dans le répertoire de votre choix (dans notre cas il sera dans {{c|~/firmware.bin}}).
* Redémarrez votre routeur.

Au moment où le voyant « cadenas » commence à clignoter, enfoncez le bouton '''reset''' (derrière le routeur) jusqu'à ce que le voyant clignote beaucoup plus rapidement.
* Branchez votre routeur à l'ordinateur et passez dans le profil de configuration IP fixe, puis ouvrez un terminal et exécutez la procédure ci-dessous.

neze@neze ~ $ md5sum firmware.bin
06179235c8986228ea0c545d6d69df8b firmware.bin
neze@neze ~ $ telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
...
================= FAILSAFE MODE active ================
...
=======================================================

root@(none):/# mount_root
root@(none):/# cd /tmp
root@(none):/tmp# scp neze@192.168.1.22:firmware.bin ./
Do you want to continue connecting? (y/n) y
neze@192.168.1.22's password:
firmware.bin 100
root@(none):/tmp# mtd -r write firmware.bin firmware
Unlocking firmware ...

Writing from firmware.bin to firmware ... [w]
Rebooting ...

=== Routeur sans OS ===

Si vous avez installé un OpenWRT corrompu ou tenté de réinstaller le système d'origine sans réfléchir, vous avez peut-être un routeur qui ne démarre pas jusqu'au bout.

Cette section est valable si le {{c|bootloader}} est présent. Un bon moyen de le savoir est d'enfoncer le bouton reset (routeur éteint) puis d'allumer le routeur (reset enfoncé). Si au bout d'un certain temps le voyant du cadenas reste allumé, c'est probablement le cas. Éteignez alors le routeur.

''Procédure testée sur un routeur TP-Link 841N v10.''

'''Préparez votre ordinateur.''' Installez sur un ordinateur '''Linux''' (Ces remarques s'appliquent à Debian et doivent être adaptées.) un serveur {{c|tftp}} :

sudo apt-get install tftp xinetd tftpd

Normalement, {{c|xinetd}} sera alors le process chargé de gérer les serveurs. Vous pouvez vérifier que c'est lui qui tourne avec la commande {{c|ps -alxww | grep inet}}.

Vérifiez ensuite (dans {{c|/etc/services}}) que la ligne concernant {{c|tftp}} n'est pas commentée :

tftp 69/udp

Faites les réglages d'un serveur {{c|tftp}} en créant/éditant le fichier {{c|/etc/xinetd.d/tftp}} :

service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /tftpboot
disable = no
}

Redémarrez le service avec la commande {{c|service xinetd restart}}. Désormais tous les fichiers présents dans {{c|/tftpboot}} seront accessibles dans votre serveur tftp.

Vous pouvez par exemple tester votre serveur tftp de la sorte :

neze tmp.9B8qi7nCqn # echo "Hello World" > /tftpboot/hello.txt
neze tmp.9B8qi7nCqn # tftp localhost
tftp> get hello.txt
Received 13 bytes in 0.0 seconds
tftp> quit
neze tmp.9B8qi7nCqn # cat hello.txt
Hello World
neze tmp.9B8qi7nCqn #

Prenez une image valable d'OpenWRT, déposez-la dans {{c|/tftpboot}} renommée suivant le schéma suivant :

wr841nv10_tp_recovery.bin # tl841n v10
wr841nv11_tp_recovery.bin # tl841n v11

Configurez votre connexion ethernet en '''IP fixe''' {{c|192.168.0.66}}.

Branchez le routeur à votre ordinateur, enfoncez le bouton reset, démarrez le routeur et attendez que le routeur redémarre après réinstallation du firmware.

=== Routeur n'accepte plus le certificat ===
Une des causes possibles est que la date de votre routeur est incorrecte.
Voir la section [[#Problème_de_date|sur ce sujet-là]].

=== Problème de date ===
Pour connaître la date enregistrée par votre routeur :
:<code>date</code>

Si la date est incorrecte, vous pouvez la changer avec la commande suivante (à adapter avec la date actuelle) :
:<code>date --set '2016-07-31 19:20:00'</code>

Si le problème persiste, vous pouvez procéder ajouter les étapes suivantes :
# <code>date --set '2016-07-31 19:20:00'</code>
# <code>echo "timesave" > /etc/timesave</code> (1er fix)
# Modifier le fichier /etc/init.d/sysfixtime, en remplaçant
#:<code>[ $curtime -lt $maxtime ] && date -s @$maxtime</code>
#:par
#:<code>if [ $curtime -lt $maxtime ]; then</code>
#:<code>date -s @$maxtime</code>
#:<code>/etc/init.d/sysntpd restart</code>
#:<code>fi</code>

=== Je dois souvent redémarrer mon routeur ===
Un problème connu implique redsocks. Un workaround consiste à activer cron et à vérifier régulièrement que le service est lancé. On peut par exemple procéder ainsi :
<pre>/etc/init.d/redsocks enable

crontab -e

0 */1 * * * /etc/init.d/redsocks stop && /etc/init.d/redsocks start
*/3 * * * * /etc/init.d/redsocks start

/etc/init.d/cron enable
</pre>