You are here: Foswiki>Sandbox Web>WifiALPHANET (19 Dec 2011, MarcSCHAEFER)EditAttach

Description du WiFi ALPHANET

TODO
  • accès privilégié pour CIFOM
  • intégrer les infos du système de ticket RT

Cadre

Travaux décembre-juin 1ère réseaux CIFOM.

Principes de la solution actuelle

  • un serveur GNU/Linux, avec une carte réseau

  • 3 VLANs
    numéro rôle commentaires
    0 admin très mauvaise idée d'utiliser un numéro de VLAN < 10, en particulier 0. Fonctionne sous GNU/Linux et la plupart des switches non Cisco, sous-réseau 192.168.201.0/24
    3 captive WiFi captif non protégé (DNS captif, interception des URLs HTTP via proxy transparent, redirection sur un login https; déblocage par adresse MAC et renouvellement chaque 30 secondes en javascript, 192.168.200.0/24
    4 normal WiFi protégé par WPA2 Enterprise en TTLS/PAP (802.x), sur serveur radius 192.168.201.1. 192.168.202.0/24

  • l'access-point Buffalo offre deux interfaces wireless virtuelles; il a été remarqué du VLAN leak entre ces deux interfaces (si l'on crée des trames adressées à wl0 avec entêtes 802.1q VLAN 4), workaround via ebtables.
    interface ESS VLAN sécurisation
    wl0 ALPHANET 3 aucune
    wl0.1 ALPHANET-WPA 4 WPA2 Enterprise TTLS/PAP (via radius)

  • en projet: ALPHANET-IPv6, auth comme ALPHANET-WPA avec radvd, dhcpv6 et /64 IPv6

  • le switch 5 ports du Buffalo a ses ports assignés dans divers VLANs pour y connecter des équipements pas en sans-fil (le VLAN4 sert notamment aussi de réseau de test), pas de VLAN leak

A part l'authentification WPA2 Enterprise qui est faite par le client access-point Buffalo, le gros du travail est fait par le serveur GNU/Linux (serveur radius, création des comptes, proxy transparent, ...).

Les comptes sont créés par une interface téléphonique Asterisk (AGI en Perl).

Le bug découvert est que si l'on envoie depuis le wifi ESS ALPHANET une trame avec 802.1q avec le numéro du VLAN ALPHANET-WPA, elle y est acheminée (alors que le port est en access). Je n'ai jamais vraiment regardé pourquoi (sinon que cela ne se produit pas sur le switch interne), et j'ai trouvé un work-around avec le firewall MAC Linux (ebtables).

Buts du projet

principal
  • vérifier que le problème du WLAN leak ne se pose pas sur W54G?/GL, sinon tester le work-around ebtables

secondaires * débugger peut-être plus en avant le problème si c'est logiciel (kernel Linux)
  • refaire toute la config ci-dessus
  • régler le problème du certificat serveur du TTLS/PAP (actuellement man-in-the-middle possible)
  • ajouter l'IPv6
  • embarquer la solution

Matériel

  • quelques Buffalo WRT-HP-G54
  • évt. 1x W54GL

Administratif

-- MarcSCHAEFER - 01 Nov 2011
Edit | Attach | Print version | History: r2 < r1 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r2 - 19 Dec 2011, MarcSCHAEFER
 

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback