« Routeurs Wi-Fi/Tutoriel Cudy WR3000 » : différence entre les versions

De WikiBR
Aucun résumé des modifications
 
Ligne 150 : Ligne 150 :
** Toujours dans le fichier de configuration <code>dnscrypt-proxy.toml</code>, mettre <code>forwarding_rules = 'forwarding-rules.txt'</code>
** Toujours dans le fichier de configuration <code>dnscrypt-proxy.toml</code>, mettre <code>forwarding_rules = 'forwarding-rules.txt'</code>
** Créer un fichier <code>forwarding-rules.txt</code> (en faisant <code>vim /etc/dnscrypt-proxy2/forwarding-rules.txt</code>) avec comme unique ligne <code>binets.fr 129.104.201.59</code>
** Créer un fichier <code>forwarding-rules.txt</code> (en faisant <code>vim /etc/dnscrypt-proxy2/forwarding-rules.txt</code>) avec comme unique ligne <code>binets.fr 129.104.201.59</code>
* Redémarrer DNSCrypt avec <code>/etc/init.d/dnscrypt-proxy restart</code>
* Redémarrer DNSCrypt avec <code>/etc/init.d/dnscrypt-proxy restart</code>. Note : Parfois, le serveur DNS ne marche plus après cette commande, redémarrer le routeur aide.
Note: Pour quitter et sauvegarder un fichier ouvert avec la commande <code>vim</code>, faire Échap puis <code>:wq</code> puis Entrer
Note: Pour quitter et sauvegarder un fichier ouvert avec la commande <code>vim</code>, faire Échap puis <code>:wq</code> puis Entrer

Version actuelle datée du 22 septembre 2024 à 17:52

L'objet de cet article est de configurer un routeur Cudy AX3000 modèle WR3000 pour le réseau eduroam des logements élèves. Depuis janvier 2024 ce routeur est le modèle recommandé par le BR pour les élèves souhaitant disposer d'un routeur dans leur casert. Il remplace le Archer C50 qui ne supporte pas nativement OpenWrt et dont les versions récentes posaient des difficultés importantes (peu d'espace disque, impossible à flasher).

Warning.png Attention : Pour commencer, il est recommandé de lire l'article dans son intégralité avant de commencer à suivre les instructions !

Un routeur est généralement souhaitable lorsque vous souhaitez connecter des appareils (PlayStation, Shadow, etc.) ne supportant pas l'authentification 802.1X tout en profitant des débits très élevés disponibles sur le réseau câblé (1 Gbit/s en ethernet contre 100 Mbit/s max en Wi-Fi). Un routeur est également souhaitable si le Wi-Fi eduroam est très mauvais dans votre casert (veuillez contacter la DSI dans ce cas pour qu'ils règlent le problème).

Attention, si vous pouvez vous contenter du débit accordé par Byod, il est recommandé d'utiliser ce réseau.

Avertissements

Avertissement technique

Modèle de routeur. Le présent tutoriel n'a été testé *que* pour le modèle WR3000. Il est donc chaudement recommandé de ne pas essayer sur un autre modèle sans tests et vérifications préalables.

État d'esprit. La procédure est relativement simple mais elle demande néanmoins une certaine rigueur. Si c'est votre première installation, ne stressez pas. Si vous fruitez à un moment, il y a de grandes chances que ce soit récupérable. Lisez ce guide entièrement avant de commencer et ne vous précipitez pas.

Avertissement juridique

Si vous configurez ce routeur pour fonctionner avec 802.1X (dans les caserts de l'École polytechnique en général), cela signifie que votre routeur sera connecté au réseau avec vos identifiants.

En particulier, puisque vous avez parfaitement le droit de partager votre connexion Wi-Fi avec qui bon vous semble, souvenez-vous que toute personne connectée à votre Wi-Fi est sous votre responsabilité.

Principe

Les routeurs du commerce ne gèrent pas les systèmes de sécurité utilisés à l'École polytechnique pour votre connexion internet (authentification 802.1X). Pour pallier à ce problème, une solution est d'installer un système auxiliaire (OpenWRT) sur les routeurs, remplaçant le système d'origine. Grâce à ceci on peut obtenir un routeur qui s'authentifie lui-même sur le réseau de l'École, et fournit un réseau Wi-Fi sur lequel les réseaux interne et externe sont accessibles sans problèmes de réglages de vos téléphones et ordinateurs.

Étape 1 – Installation de OpenWrt

Ce paragraphe est fortement inspiré du guide idoine OpenWrt.

Le WR3000 vient avec une version customisée de OpenWrt développée par Cudy. Cette version est plus user-friendly mais elle ne supporte pas l'authentification 802.1X. Il faut donc installer une version officielle de OpenWrt.

En premier lieu, téléchargez le firmware Cudy-OpenWrt (dézipper le fichier téléchargé, le fichier qu'on veut s'appelle openwrt-mediatek-filogic-cudy_wr3000-v1-sysupgrade.bin) et l'image d'upgrade OpenWrt (stable-release, le fichier s'appelle normalement openwrt-23.05.2-mediatek-filogic-cudy_wr3000-v1-squashfs-sysupgrade.bin). Attention à ne pas mélanger ces deux fichiers !

Branchez le routeur au secteur (mais pas encore au port ethernet !) et connectez-le à votre ordinateur via un des ports "LAN" au dos du routeur. Attendez qu'il s'allume puis rendez-vous sur http://192.168.10.1/, le paneau de configuration du routeur devrait s'afficher. Connectez-vous avec les identifiants par défaut (admin/admin) puis configurez le routeur avec toutes les options par défaut (ça n'a aucune importance).

Rendez-vous dans l'onglet "Advanced Settings" puis "Firmware", téléversez le firmware Cudy-OpenWrt puis installez-le. L'opération prend quelques minutes, ne débranchez en aucun cas le routeur pendant l'installation sinon vous risquez de briquer votre routeur.

Une fois l'installation terminée, le routeur redémarre sur une version d'OpenWrt préparée spécialement par Cudy. Cependant pour des raisons de vie privée et de confiance, nous allons installer l'image officielle libre de OpenWrt. Pour cela, connectez-vous à l'interface de configuration à l'adresse http://192.168.1.1/ (attention elle est différente de celle de Cudy). Rendez-vous ensuite dans "System" puis "Backup / Flash Firmware". Téléversez l'image d'upgrade OpenWrt ("Flash image") puis installez-la. L'opération prend quelques minutes, ne débranchez en aucun cas le routeur pendant l'installation où bien vous risquez de briquer votre routeur.

Après redémarrage, le routeur est maintenant sous OpenWrt. On peut maintenant passer à la configuration du routeur.

Étape 2 – Configuration 802.1X

Pour configurer le routeur, on doit télécharger certains paquets depuis Internet. Pour cela, vous pouvez faire connecter le routeur à votre 4G (via l'interface de configuration, "Network" puis "Wireless", "Scan", etc.) ou bien le connecter à un port Ethernet (attention, c'est le port "WAN" et pas "LAN") qui ne nécessite pas d'authentification (par exemple dans les nouveaux amphis). Cette dernière option est recommandée.

Ouvrez ensuite une fenêtre de terminal et connectez-vous en SSH au routeur :

ssh root@192.168.1.1

Vous pouvez ensuite tester la connection internet :

ping -c 3 1.1.1.1

Nous allons maintenant installer les paquets nécessaires à la configuration du routeur :

opkg update
opkg remove wpad-basic-mbedtls
opkg install wpa-supplicant-wolfssl
opkg install hostapd

On doit maintenant définir la configuration 802.1X. Créer un fichier /etc/config/wpa.conf avec vim ou nano (non installé par défaut) et copier-coller le contenu suivant en remplaçant PRENOM.NOM et MOTDEPASSE par vos identifiants Polytechnique Zimbra :

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=2
ap_scan=0
network={
  key_mgmt=IEEE8021X
  eap=TTLS
  identity="PRENOM.NOM@polytechnique.fr"
  anonymous_identity="anonymous@polytechnique.fr"
  password="MOTDEPASSE"
  phase1="auth=TTLS"
  phase2="auth=PAP password=MOTDEPASSE"
  eapol_flags=0
}

On peut maintenant tester la configuration. Retournez maintenant dans votre casert pour brancher le routeur au réseau authentifié ou bien déconnectez-vous de votre 4G et reconnectez le routeur au réseau câblé. Ensuite, lancez le programme suivant :

wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf

Si tout se passe bien, vous devriez voir un message contenant "CTRL-EVENT-CONNECTED". Vous pouvez alors quitter le programme avec Ctrl+C.

Si le programme tourne en boucle sans succès ni erreur, redémarrez les interfaces réseau depuis le panel de configuration (onglet "Network", "Interfaces", et cliquez sur tous les boutons "Restart"). La connection devrait se faire d'elle-même. En cas de succès, quittez le programme avec Ctrl+C.

Étape 3 – Configuration au démarrage

Pour que le routeur se connecte automatiquement au réseau 802.1X au démarrage, on va mettre en place un script qui se lance au démarrage du routeur. Pour cela, ouvrez avec vim ou nano le fichier /etc/rc.local et remplacez son contenu par le script suivant :

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.

# /!\ Cette configuration a été faite par le Binet Réseau. Pour plus d'information,
# consultez https://wikibr.binets.fr/Routeurs_Wi-Fi/Tutoriel_Cudy_WR3000

/bin/sleep 3
/usr/sbin/wpa_supplicant -D wired -i wan -c /etc/config/wpa.conf -B
/bin/sleep 5
/sbin/ifdown wan
/bin/sleep 1
/sbin/ifup wan

exit 0

Ce script lance wpa_supplicant au démarrage du routeur, puis redémarre l'interface WAN. Il est nécessaire de redémarrer l'interface WAN car le routeur ne se connecte pas automatiquement au réseau 802.1X au démarrage.

Pour tester que fonctionne, redémarrez le routeur (depuis l'interface graphique ou avec la commande reboot en SSH). Après le redémarrage, reconnectez-vous en SSH, attendez une dizaine de secondes puis lancez la commande suivante :

ping -c 3 1.1.1.1

Si le résultat est concluant, c'est que tout est bon. On peut maintenant passer à la configuration du Wi-Fi.

Étape 4 – Configuration du Wi-Fi

Depuis l'interface LuCy, allez dans "Network" puis "Wireless" et configurez les deux réseaux Wi-Fi "OpenWrt" pré-existants (2.4 GHz et 5 GHz) avec les informations suivantes :

  • dans "Advanced Settings", choisissez "FR - France" dans le menu déroulant "Country Code" ;
  • dans "Wireless Security", choisissez "WPA2-PSK" dans le menu déroulant "Encryption" et mettez un mot de passe aléatoire de plus de 16 caractères dans le champ "Key". Vous pouvez en générer un ici ;
Warning.png Attention : L'utilisation d'un mot de passe aléatoire de plus de 16 caractères est obligatoire. La DSI pourrait bannir ton compte si cette règle n'est pas respectée. (Tu ne pourrais alors plus accéder à moodle, synapses, eduroam, tes mails .edu...)
  • dans "General Setup", assurez-vous que "lan" est bien sélectionné dans le menu "Network".

Vous pouvez maintenant tester la connexion Wi-Fi avec un téléphone ou un autre ordinateur. Si tout se passe bien, vous devriez pouvoir vous connecter au réseau Wi-Fi avec le mot de passe que vous avez défini.

Vous pouvez tester le débit de votre connection en Wi-Fi et en Ethernet en allant sur un site de speedtest comme fast.com ou speedtest.net.

Étape 5 – (Très optionnelle) Utiliser DNS over HTTPS (DoH)

Par défaut, les requêtes DNS ne sont pas chiffrées, cela signifie que toute personne peut savoir sur quels sites tu vas (mais pas ce que tu y fais). Une solution à cela est d'utiliser DNS over HTTPS. Alors, seul le serveur DNS pourra savoir sur quels sites tu as été.

Ici, on te propose de setup cela pour toutes les requêtes faites sur ton réseau personnel. On va pour cela installer DNSCrypt proxy sur OpenWRT.

Il est aussi possible de le faire individuellement sur chaque appareil que tu utilises en suivant ce tuto : Utiliser d'autres DNS et DNS over HTTPS (DoH) sur Eduroam

Installation

Sur l'interface du routeur OpenWRT :

  • Aller dans System > Software > Update lists
  • Rechercher dnscrypt-proxy2 dans Filter et installer
  • Aller dans Network > Interfaces > wan > Edit > Advanced Settings
  • Décocher Use DNS servers advertised by peer. Dans Use custom DNS servers, mettre 127.0.0.53

Ouvrez ensuite une fenêtre de terminal et connectez-vous en SSH au routeur (ssh root@192.168.1.1) :

  • Modifier le fichier dnscrypt-proxy.toml avec vim /etc/dnscrypt-proxy2/dnscrypt-proxy.toml
  • Ajouter au début du fichier la ligne server_names = ['cloudflare'] (ou ton DNS favoris)
  • Si tu veux pouvoir accéder aux sites disponibles uniquement sur le platal, on va ajouter une exception pour binets.fr, de sorte que les DNS de l'X soient utilisé pour ce domaine (uniquement):
    • Toujours dans le fichier de configuration dnscrypt-proxy.toml, mettre forwarding_rules = 'forwarding-rules.txt'
    • Créer un fichier forwarding-rules.txt (en faisant vim /etc/dnscrypt-proxy2/forwarding-rules.txt) avec comme unique ligne binets.fr 129.104.201.59
  • Redémarrer DNSCrypt avec /etc/init.d/dnscrypt-proxy restart. Note : Parfois, le serveur DNS ne marche plus après cette commande, redémarrer le routeur aide.

Note: Pour quitter et sauvegarder un fichier ouvert avec la commande vim, faire Échap puis :wq puis Entrer