« Routeurs Wi-Fi/Tutoriel Cudy WR3000 » : différence entre les versions
Aucun résumé des modifications |
|||
(3 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 97 : | Ligne 97 : | ||
/bin/sleep 3 | /bin/sleep 3 | ||
/usr/sbin/wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf -B | /usr/sbin/wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf -B | ||
/bin/sleep | /bin/sleep 5 | ||
/sbin/ifdown wan | /sbin/ifdown wan | ||
/bin/sleep 1 | /bin/sleep 1 | ||
Ligne 125 : | Ligne 125 : | ||
Vous pouvez tester le débit de votre connection en Wi-Fi et en Ethernet en allant sur un site de speedtest comme [https://fast.com/ fast.com] ou [https://www.speedtest.net/fr speedtest.net]. | Vous pouvez tester le débit de votre connection en Wi-Fi et en Ethernet en allant sur un site de speedtest comme [https://fast.com/ fast.com] ou [https://www.speedtest.net/fr speedtest.net]. | ||
== Étape 5 – (Très optionnelle) Utiliser DNS over HTTPS (DoH) == | |||
Par défaut, les requêtes DNS ne sont pas chiffrées, cela signifie que toute personne peut savoir sur quels sites tu vas (mais pas ce que tu y fais). Une solution à cela est d'utiliser DNS over HTTPS. Alors, seul le serveur DNS pourra savoir sur quels sites tu as été. | |||
Ici, on te propose de setup cela pour toutes les requêtes faites sur ton réseau personnel. On va pour cela installer [https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Installation-on-OpenWrt DNSCrypt proxy] sur OpenWRT. | |||
Il est aussi possible de le faire individuellement sur chaque appareil que tu utilises en suivant ce tuto : [[Utiliser d'autres DNS et DNS over HTTPS (DoH) sur Eduroam]] | |||
=== Installation === | |||
Sur l'interface du routeur OpenWRT : | |||
* Aller dans <code>System > Software > Update lists</code> | |||
* Rechercher <code>dnscrypt-proxy2</code> dans <code>Filter</code> et installer | |||
* Aller dans <code>Network > Interfaces > wan > Edit > Advanced Settings</code> | |||
* Décocher <code>Use DNS servers advertised by peer</code>. Dans <code>Use custom DNS servers</code>, mettre <code>127.0.0.53</code> | |||
Ouvrez ensuite une fenêtre de terminal et connectez-vous en SSH au routeur (<code>ssh root@192.168.1.1</code>) : | |||
* Modifier le fichier <code>dnscrypt-proxy.toml</code> avec <code>vim /etc/dnscrypt-proxy2/dnscrypt-proxy.toml</code> | |||
* Ajouter au début du fichier la ligne <code>server_names = ['cloudflare']</code> (ou ton DNS favoris) | |||
* Si tu veux pouvoir accéder aux sites disponibles uniquement sur le platal, on va ajouter une exception pour <code>binets.fr</code>, de sorte que les DNS de l'X soient utilisé pour ce domaine (uniquement): | |||
** Toujours dans le fichier de configuration <code>dnscrypt-proxy.toml</code>, mettre <code>forwarding_rules = 'forwarding-rules.txt'</code> | |||
** Créer un fichier <code>forwarding-rules.txt</code> (en faisant <code>vim /etc/dnscrypt-proxy2/forwarding-rules.txt</code>) avec comme unique ligne <code>binets.fr 129.104.201.59</code> | |||
* Redémarrer DNSCrypt avec <code>/etc/init.d/dnscrypt-proxy restart</code>. Note : Parfois, le serveur DNS ne marche plus après cette commande, redémarrer le routeur aide. | |||
Note: Pour quitter et sauvegarder un fichier ouvert avec la commande <code>vim</code>, faire Échap puis <code>:wq</code> puis Entrer |
Version actuelle datée du 22 septembre 2024 à 17:52
L'objet de cet article est de configurer un routeur Cudy AX3000 modèle WR3000 pour le réseau eduroam des logements élèves. Depuis janvier 2024 ce routeur est le modèle recommandé par le BR pour les élèves souhaitant disposer d'un routeur dans leur casert. Il remplace le Archer C50 qui ne supporte pas nativement OpenWrt et dont les versions récentes posaient des difficultés importantes (peu d'espace disque, impossible à flasher).
Attention : Pour commencer, il est recommandé de lire l'article dans son intégralité avant de commencer à suivre les instructions ! |
Un routeur est généralement souhaitable lorsque vous souhaitez connecter des appareils (PlayStation, Shadow, etc.) ne supportant pas l'authentification 802.1X tout en profitant des débits très élevés disponibles sur le réseau câblé (1 Gbit/s en ethernet contre 100 Mbit/s max en Wi-Fi). Un routeur est également souhaitable si le Wi-Fi eduroam est très mauvais dans votre casert (veuillez contacter la DSI dans ce cas pour qu'ils règlent le problème).
Attention, si vous pouvez vous contenter du débit accordé par Byod, il est recommandé d'utiliser ce réseau.
Avertissements
Avertissement technique
Modèle de routeur. Le présent tutoriel n'a été testé *que* pour le modèle WR3000. Il est donc chaudement recommandé de ne pas essayer sur un autre modèle sans tests et vérifications préalables.
État d'esprit. La procédure est relativement simple mais elle demande néanmoins une certaine rigueur. Si c'est votre première installation, ne stressez pas. Si vous fruitez à un moment, il y a de grandes chances que ce soit récupérable. Lisez ce guide entièrement avant de commencer et ne vous précipitez pas.
Avertissement juridique
Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec vos identifiants.
En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.
Principe
Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet (authentification 802.1X). Pour pallier à ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau Wi-Fi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.
Étape 1 – Installation de OpenWrt
Ce paragraphe est fortement inspiré du guide idoine OpenWrt.
Le WR3000 vient avec une version customisée de OpenWrt développée par Cudy. Cette version est plus user-friendly mais elle ne supporte pas l'authentification 802.1X. Il faut donc installer une version officielle de OpenWrt.
En premier lieu, téléchargez le firmware Cudy-OpenWrt (dézipper le fichier téléchargé, le fichier qu'on veut s'appelle openwrt-mediatek-filogic-cudy_wr3000-v1-sysupgrade.bin
) et l'image d'upgrade OpenWrt (stable-release, le fichier s'appelle normalement openwrt-23.05.2-mediatek-filogic-cudy_wr3000-v1-squashfs-sysupgrade.bin
). Attention à ne pas mélanger ces deux fichiers !
Branchez le routeur au secteur (mais pas encore au port ethernet !) et connectez-le à votre ordinateur via un des ports "LAN" au dos du routeur. Attendez qu'il s'allume puis rendez-vous sur http://192.168.10.1/
, le paneau de configuration du routeur devrait s'afficher. Connectez-vous avec les identifiants par défaut (admin/admin) puis configurez le routeur avec toutes les options par défaut (ça n'a aucune importance).
Rendez-vous dans l'onglet "Advanced Settings" puis "Firmware", téléversez le firmware Cudy-OpenWrt puis installez-le. L'opération prend quelques minutes, ne débranchez en aucun cas le routeur pendant l'installation sinon vous risquez de briquer votre routeur.
Une fois l'installation terminée, le routeur redémarre sur une version d'OpenWrt préparée spécialement par Cudy. Cependant pour des raisons de vie privée et de confiance, nous allons installer l'image officielle libre de OpenWrt. Pour cela, connectez-vous à l'interface de configuration à l'adresse http://192.168.1.1/
(attention elle est différente de celle de Cudy). Rendez-vous ensuite dans "System" puis "Backup / Flash Firmware". Téléversez l'image d'upgrade OpenWrt ("Flash image") puis installez-la. L'opération prend quelques minutes, ne débranchez en aucun cas le routeur pendant l'installation où bien vous risquez de briquer votre routeur.
Après redémarrage, le routeur est maintenant sous OpenWrt. On peut maintenant passer à la configuration du routeur.
Étape 2 – Configuration 802.1X
Pour configurer le routeur, on doit télécharger certains paquets depuis Internet. Pour cela, vous pouvez faire connecter le routeur à votre 4G (via l'interface de configuration, "Network" puis "Wireless", "Scan", etc.) ou bien le connecter à un port Ethernet (attention, c'est le port "WAN" et pas "LAN") qui ne nécessite pas d'authentification (par exemple dans les nouveaux amphis). Cette dernière option est recommandée.
Ouvrez ensuite une fenêtre de terminal et connectez-vous en SSH au routeur :
ssh root@192.168.1.1
Vous pouvez ensuite tester la connection internet :
ping -c 3 1.1.1.1
Nous allons maintenant installer les paquets nécessaires à la configuration du routeur :
opkg update opkg remove wpad-basic-mbedtls opkg install wpa-supplicant-wolfssl opkg install hostapd
On doit maintenant définir la configuration 802.1X. Créer un fichier /etc/config/wpa.conf
avec vim
ou nano
(non installé par défaut) et copier-coller le contenu suivant en remplaçant PRENOM.NOM
et MOTDEPASSE
par vos identifiants Polytechnique Zimbra :
ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=2 ap_scan=0 network={ key_mgmt=IEEE8021X eap=TTLS identity="PRENOM.NOM@polytechnique.fr" anonymous_identity="anonymous@polytechnique.fr" password="MOTDEPASSE" phase1="auth=TTLS" phase2="auth=PAP password=MOTDEPASSE" eapol_flags=0 }
On peut maintenant tester la configuration. Retournez maintenant dans votre casert pour brancher le routeur au réseau authentifié ou bien déconnectez-vous de votre 4G et reconnectez le routeur au réseau câblé. Ensuite, lancez le programme suivant :
wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf
Si tout se passe bien, vous devriez voir un message contenant "CTRL-EVENT-CONNECTED". Vous pouvez alors quitter le programme avec Ctrl+C.
Si le programme tourne en boucle sans succès ni erreur, redémarrez les interfaces réseau depuis le panel de configuration (onglet "Network", "Interfaces", et cliquez sur tous les boutons "Restart"). La connection devrait se faire d'elle-même. En cas de succès, quittez le programme avec Ctrl+C.
Étape 3 – Configuration au démarrage
Pour que le routeur se connecte automatiquement au réseau 802.1X au démarrage, on va mettre en place un script qui se lance au démarrage du routeur. Pour cela, ouvrez avec vim ou nano le fichier /etc/rc.local
et remplacez son contenu par le script suivant :
# Put your custom commands here that should be executed once # the system init finished. By default this file does nothing. # /!\ Cette configuration a été faite par le Binet Réseau. Pour plus d'information, # consultez https://wikibr.binets.fr/Routeurs_Wi-Fi/Tutoriel_Cudy_WR3000 /bin/sleep 3 /usr/sbin/wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf -B /bin/sleep 5 /sbin/ifdown wan /bin/sleep 1 /sbin/ifup wan exit 0
Ce script lance wpa_supplicant au démarrage du routeur, puis redémarre l'interface WAN. Il est nécessaire de redémarrer l'interface WAN car le routeur ne se connecte pas automatiquement au réseau 802.1X au démarrage.
Pour tester que fonctionne, redémarrez le routeur (depuis l'interface graphique ou avec la commande reboot
en SSH). Après le redémarrage, reconnectez-vous en SSH, attendez une dizaine de secondes puis lancez la commande suivante :
ping -c 3 1.1.1.1
Si le résultat est concluant, c'est que tout est bon. On peut maintenant passer à la configuration du Wi-Fi.
Étape 4 – Configuration du Wi-Fi
Depuis l'interface LuCy, allez dans "Network" puis "Wireless" et configurez les deux réseaux Wi-Fi "OpenWrt" pré-existants (2.4 GHz et 5 GHz) avec les informations suivantes :
- dans "Advanced Settings", choisissez "FR - France" dans le menu déroulant "Country Code" ;
- dans "Wireless Security", choisissez "WPA2-PSK" dans le menu déroulant "Encryption" et mettez un mot de passe aléatoire de plus de 16 caractères dans le champ "Key". Vous pouvez en générer un ici ;
- dans "General Setup", assurez-vous que "lan" est bien sélectionné dans le menu "Network".
Vous pouvez maintenant tester la connexion Wi-Fi avec un téléphone ou un autre ordinateur. Si tout se passe bien, vous devriez pouvoir vous connecter au réseau Wi-Fi avec le mot de passe que vous avez défini.
Vous pouvez tester le débit de votre connection en Wi-Fi et en Ethernet en allant sur un site de speedtest comme fast.com ou speedtest.net.
Étape 5 – (Très optionnelle) Utiliser DNS over HTTPS (DoH)
Par défaut, les requêtes DNS ne sont pas chiffrées, cela signifie que toute personne peut savoir sur quels sites tu vas (mais pas ce que tu y fais). Une solution à cela est d'utiliser DNS over HTTPS. Alors, seul le serveur DNS pourra savoir sur quels sites tu as été.
Ici, on te propose de setup cela pour toutes les requêtes faites sur ton réseau personnel. On va pour cela installer DNSCrypt proxy sur OpenWRT.
Il est aussi possible de le faire individuellement sur chaque appareil que tu utilises en suivant ce tuto : Utiliser d'autres DNS et DNS over HTTPS (DoH) sur Eduroam
Installation
Sur l'interface du routeur OpenWRT :
- Aller dans
System > Software > Update lists
- Rechercher
dnscrypt-proxy2
dansFilter
et installer - Aller dans
Network > Interfaces > wan > Edit > Advanced Settings
- Décocher
Use DNS servers advertised by peer
. DansUse custom DNS servers
, mettre127.0.0.53
Ouvrez ensuite une fenêtre de terminal et connectez-vous en SSH au routeur (ssh root@192.168.1.1
) :
- Modifier le fichier
dnscrypt-proxy.toml
avecvim /etc/dnscrypt-proxy2/dnscrypt-proxy.toml
- Ajouter au début du fichier la ligne
server_names = ['cloudflare']
(ou ton DNS favoris) - Si tu veux pouvoir accéder aux sites disponibles uniquement sur le platal, on va ajouter une exception pour
binets.fr
, de sorte que les DNS de l'X soient utilisé pour ce domaine (uniquement):- Toujours dans le fichier de configuration
dnscrypt-proxy.toml
, mettreforwarding_rules = 'forwarding-rules.txt'
- Créer un fichier
forwarding-rules.txt
(en faisantvim /etc/dnscrypt-proxy2/forwarding-rules.txt
) avec comme unique lignebinets.fr 129.104.201.59
- Toujours dans le fichier de configuration
- Redémarrer DNSCrypt avec
/etc/init.d/dnscrypt-proxy restart
. Note : Parfois, le serveur DNS ne marche plus après cette commande, redémarrer le routeur aide.
Note: Pour quitter et sauvegarder un fichier ouvert avec la commande vim
, faire Échap puis :wq
puis Entrer