« WiFi » : différence entre les versions

De WikiBR
Aucun résumé des modifications
 
(29 versions intermédiaires par 6 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
== Architecture réseau ==
==== Wifi de la DSI ====


=== Schéma historique ===
Deux réseaux cohabitent sur le wifi, le SSID guest et le SSID eduroam (projet d'itinérance wifi dans les universités et grandes écoles, [https://www.eduroam.fr/membres_francais liste des partenaires])


[[Image:Wifi_Schema.png]]
La documentation de la DSI est très complète (voir [http://portail.polytechnique.fr/dsi/wifi ici]).


* VLAN 230 :
== Notes ==
** clients authentifiés (SSID masqué)
Trois des anciennes bornes wifi installées en 2006 sont au local et le binet robot utilise la 4e.
** bornes WiFi
** lunedenn (eth1.230) : radius et dhcp
** passerelle (route vers le réseau école)


== Historique ==
Un projet WiFI a été initié par le [[BR2002]]. Les 3 bornes (Kès, BôB, couloir des langues) ont été retirées fin novembre 2009 et remplacée par des bornes de la DSI, branchées exactement au mêmes endroits proposant le SSID Polytechnique.


* VLAN blah :
Durant le premier semestre 2005, le projet a été fortement modifié, notamment pour respecter les contraintes de sécurité imposées par la DSI. Les premiers tests avec le serveur Radius ont été effectués en Juin 2005.
** clients sur le SSID public (non authentifiés)
** lunedenn (eth1.blah) : dhcp
** la passerelle est présente mais ne route pas vers le reste du réseau


Les premières bornes (au nombre de 4) ont été installées et sont fonctionnelles depuis le 6 janvier 2006. Les bornes proposaient deux ''réseaux'' WiFi (deux SSID), appelés ''kastell'' et ''keriadenn''. L'un était un portail captif accessible librement, permettant de récupérer les informations nécessaires pour se connecter aux deuxième réseau. Ce réseau était un réseau sécurisé (cryptage, authentification sur un radius via EAP-TTLS), et donnait accès à la majeure partie du réseau élève de l'École.


=== Situaton actuelle ===
Pour se connecter au réseau WiFi, il était nécessaire de posséder un identifiant et un mot de passe sur Frankiz le site.


[[Image:WiFi_Schema1.png]]
Depuis l'automne 2009, la DSI a mis en place un wifi sur l'École, incluant le Grand Hall, les couloirs de PC, le couloir des nouveaux amphis, le couloir des langues, le bâtiment de la DSI et le bataclan.
Ce wifi est accessible par tout élève possédant un identifiant moned (salle info, ENEX), aussi appelé identifiant LDAP. Il est actuellement composé d'un login en prénom.nom et d'un mot de passe.


AAA correspondrait au VLAN 'normal' de la prise sur laquelle on branche la borne. Pour les tests réalisés au bataclan, AAA=201 et donc le flux radius ne repasse pas par la matrice.
[[Catégorie:Wifi]]
 
Le projet initial prévoyait AAA=230, mais on n'a pas encore réussi a transmettre les paquets d'admin de la borne sur le VLAN 230, déjà utilisé pour le wireless.
 
 
=== Nouvelle proposition ===
 
[[Image:WiFi_Schema2.png]]
 
AAA est un VLAN quelconque, qu'il n'est plus nécessaire de router. S'il est routé cela évite néammoins d'activer le routage sur lunedenn (source de failles) et de devoir reconfigurer les routes des clients qui veulent accéder à une borne pour l'administrer.
 
Pour nos besoins, regrouper les VLANS AAA et 230 suffirait, mais encore faut-il que la borne permette de le faire...
 
 
== DNS ==
 
* 129.104.230.1 chombier.wifi
* 129.104.230.2      gw.wifi
* 129.104.230.5  borne0.wifi
* 129.104.230.6  borne1.wifi
 
* 129.104.231.1    blah.wifi
 
 
== Configuration du client sous Linux ==
 
Il faut installer les packages:
 
* opensc        (http://www.opensc.org/)
* wpasupplicant (http://hostap.epitest.fi/wpa_supplicant/)
 
=== Configuration de wpasupplicant: /etc/wpasupplicant.conf ===
 
#############################
#  Config de wpa_supplicant #
#############################
# Fichier d'interface pour contrôle du démon
ctrl_interface=/var/run/wpa_supplicant
# Contrôle d'accès à l'interface (ici root)
ctrl_interface_group=0
# IEEE 802.1X/EAPOL version
eapol_version=1
# Type de scan pour trouver le reseau (par le prog/par la carte/les 2)
ap_scan=2
# EAP fast re-authentication
fast_reauth=1
# OpenSSL Engine support
# make the opensc engine available
opensc_engine_path=/usr/lib/opensc/engine_opensc.so
# make the pkcs11 engine available
pkcs11_engine_path=/usr/lib/opensc/engine_pkcs11.so
# configure the path to the pkcs11 module required by the pkcs11 engine
pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so
###############################
# Config spécifique au réseau # 
###############################
# EAP-TTLS/PAP configuration reseau de l'X
network={
    scan_ssid=1                # Scan des essid non broadcastés
    ssid="chombier"            # essid privé
    key_mgmt=IEEE8021X          # connection avec clés générées automatiquement
    eap=TTLS                    # Auth EAP-TTLS
    identity="blah"            # Identifiant
    password="bitebite"        # mot de passe
    ca_cert="/home/ca-cert.pem" # certificat serveur (si on veut vérifier que c'est le bon)
    phase2="auth=PAP"          # authentification 2eme phase PAP
}
 
 
=== Connection au réseau wifi ===
 
On considère que l'interface eth0 est l'interface wifi
 
Sélectionner l'essid du réseau privé à "chombier"
 
iwconfig eth0 essid chombier
 
Lancer wpa_supplicant en démon (-B) (-D driver pour spécifier un driver de carte wifi, -d pour le débug)
 
wpa_supplicant -i eth0 -B
 
Une fois la connection établie, lancer une requete dhcp
 
dhclient eth0
 
Et voilà, ça devrait marcher.
 
----
Retour : [[Accueil]]

Version actuelle datée du 18 mars 2023 à 17:12

Wifi de la DSI

Deux réseaux cohabitent sur le wifi, le SSID guest et le SSID eduroam (projet d'itinérance wifi dans les universités et grandes écoles, liste des partenaires)

La documentation de la DSI est très complète (voir ici).

Notes

Trois des anciennes bornes wifi installées en 2006 sont au local et le binet robot utilise la 4e.

Historique

Un projet WiFI a été initié par le BR2002. Les 3 bornes (Kès, BôB, couloir des langues) ont été retirées fin novembre 2009 et remplacée par des bornes de la DSI, branchées exactement au mêmes endroits proposant le SSID Polytechnique.

Durant le premier semestre 2005, le projet a été fortement modifié, notamment pour respecter les contraintes de sécurité imposées par la DSI. Les premiers tests avec le serveur Radius ont été effectués en Juin 2005.

Les premières bornes (au nombre de 4) ont été installées et sont fonctionnelles depuis le 6 janvier 2006. Les bornes proposaient deux réseaux WiFi (deux SSID), appelés kastell et keriadenn. L'un était un portail captif accessible librement, permettant de récupérer les informations nécessaires pour se connecter aux deuxième réseau. Ce réseau était un réseau sécurisé (cryptage, authentification sur un radius via EAP-TTLS), et donnait accès à la majeure partie du réseau élève de l'École.

Pour se connecter au réseau WiFi, il était nécessaire de posséder un identifiant et un mot de passe sur Frankiz le site.

Depuis l'automne 2009, la DSI a mis en place un wifi sur l'École, incluant le Grand Hall, les couloirs de PC, le couloir des nouveaux amphis, le couloir des langues, le bâtiment de la DSI et le bataclan. Ce wifi est accessible par tout élève possédant un identifiant moned (salle info, ENEX), aussi appelé identifiant LDAP. Il est actuellement composé d'un login en prénom.nom et d'un mot de passe.