logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-05-2018 08:55:18

Henry33
Membre
Inscription : 23-12-2016

Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Bonjour à vous,


Je viens prendre ici quelques conseils avant de continuer mon projet qui est assés complexe pour mon niveau de connaissance actuel... J'ai déjà réalisé des hotspot wifi avec hostapd et je me suis (un peu) familiarisé avec iptables mais c'était toujours pour des projets simples (Internet par eth0 vers wlan0) et je me suis surtout contenté de suivre quelques uns des nombreux tutoriaux disponibles sur Internet. C'était de simple répéteur wifi dont la sécurité était assuré par la box Internet.

Là, la chose me parait plus complexe et plutôt que de passer des jours (donc des semaines) à expérimenter des configurations aux résultats douteux, je viens d'abord prendre quelques conseils auprès de vous.


Voici mon projet :

Informatiser un véhicule en utilisant un Raspberry Pi sous Jessie Lite (donc pas d'interface graphique), l'alimentation électrique est assuré par une batterie auxiliaire donc pas de soucis de ce coté là. Il sera utilisé comme passerelle et comme firewall pour connecter 2 réseaux privés (un ethernet et un wifi) à Internet, soit par 4G soit par un wifi publique. J'aimerai pouvoir protéger les réseaux privés en les laissant en dhcp pour faciliter leurs utilisations, pouvoir me connecter à Internet, soit par la 4G soit par le Wifi, soit non. Le deuxième réseau wifi, privé, est destiné à être utilisé aux abords du véhicule.


J'ai acheté progressivement le matériel compatible avec le Raspberry/Debian et j'en suis maintenant à la configuration logiciel, sauf pour la clé 4G car j'attends un Hub USB sensé avoir des ports isolés électriquement les uns des autres (sinon : retour de jus dans le Raspberry, backpower).


En un premier temps, avez-vous des conseils à me donner pour monter ce serveur de connexion ?

Il me semble que je vais devoir utiliser hostapd, iptables et Fail2Ban, mais il y a-t-il d'autres outils qui me seront utiles ?


Merci d'avance pour votre aide !


Complément d'information pour ceux que ça intéresse :

Le but de monter un serveur de connexion dans mon véhicule est à la fois de pouvoir profiter d'Internet en utilisant des antennes extérieures (limiter les expositions aux ondes électromagnétiques), de profiter des avantages de la mise en réseau poste à poste (partage de fichier, si besoin), et surtout, grâce au firewall, d'avoir une vraie gestion de l'activité réseau vers Internet. Le "parc informatique" est constitué d'un ordinateur portable sous Windows 7/Debian 8 et de deux tablettes Android (4.4 et 7.?). Tout ce petit monde se connecte par ethernet (adaptateurs ethernet pour les tablettes) quand il est utilisé à l'intérieur du véhicule et par le wifi privé, si besoin, quand il est utilisé "dans le jardin".

Hors ligne

#2 07-05-2018 09:47:40

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Il va falloir un serveur DHCP et un serveur DNS récursif. dnsmasq fait les deux.

Il vaut mieux montrer que raconter.

Hors ligne

#3 07-05-2018 20:17:15

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Merci !

Hors ligne

#4 08-05-2018 18:19:34

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Ca y est, chuis perdu...

J'ai installé hostapd, dnsmasq et bridge-utils (<- il a pas vraiment installé bridge-utils mais le apt-get install était dans un tuto que j'ai suivi). Mon problème vient du fait que je veux tout mettre en dhcp et comme je suis différents tutoriaux, donc je crois que je mélange un peu tout... Précision peut-être importante : j'utilise deux fois le même modèle de clé wifi (TP-Link TL-WN725N).

Pour l'instant j'essaie juste de faire le point d’accès pour le wifi privé en prenant Internet par le wifi d'une box (que je considère comme le wifi publique), donc de faire suivre Internet de wlan1 vers eth0 et wlan0. wlan0 étant le point d'accès privé.

Là, je dois configurer le bridge br0 et lui attribuer une adresse fixe mais vu que je mélange les tutos, je ne comprends pas dans quel sous-réseau le mettre... J'ai tenté de le mettre en dhcp mais visiblement, ça marche pas...

Première question : comment définir une interface matérielle dans wpa_supplicant (ça pourrait me poser problème plus-tard) ? En branchant les deux clé wifi (identiques), je me suis rendu compte que les deux se connectaient à la box. J'ai cherché, sans trouvé, à attribuer wpa_supplicant à une seule carte spécifique. J'ai "solutionné" la chose dans /etc/network/interfaces (# ) mais j'aimerai utiliser une clé WPA pour mon wifi privé aussi.

Deuxième question : est-ce que, globalement, mon projet est difficile d'un point de vue technique ou c'est juste une histoire de configuration complexe et d'apprentissage ??

Troisième question : est-ce que vous pouvez m'aider à faire fonctionner ce f**tu premier point d'accès, s'il vous plait ? Ca fait des heures que je suis dessus, j'apprends plein de truc, mais de travers... Par avance, merci !

Une précision : une fois que ce sera fini, j'aimerai en faire un tuto relativement simple et accessible pour pouvoir le partager avec d'autres. J'ai parlé de mon projet de routeur à 4 branches sur un forum d'aménagement de fourgon (où je ne suis plus...) et il y avait des gens que ça intéressait. Pour l'instant, le seul moyen d'avoir Internet dans un véhicule est de partager la connexion de son portable ou d'utiliser une clé 4G, donc un petit réseau ethernet avec 4G ou Wifi avec les antennes à l'extérieur, ça fait envie.

Ma configuration actuelle :

/etc/network/interfaces


auto lo
iface lo inet loopback

# Ethernet privé
iface eth0 inet dhcp

# Wifi privé
allow-hotplug wlan0
iface wlan0 inet dhcp
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

#Wifi publique
allow-hotplug wlan1
iface wlan1 inet manual
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

# Bridge
# auto lo br0 <- Quand je l'active celui-là, je n'ai plus d'accès par le résau...
iface br0 inet dhcp
    bridge_ports wlan1 wlan0
#    address 192.168.1.11
#    netmask 255.255.255.0
#    network 192.168.1.0
#    gateway 192.168.1.2
#    dns-nameservers 192.168.1.2
 




/etc/wpa_supplicant/wpa_supplicant.conf


country=FR
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
network={
        ssid="Livebox-XXXX"
#       scan_ssid=1
#       key_mgmt=WPA-PSK
        psk="...XXX..."
}
 




/etc/hostapd/hostapd.conf


# Wireless network name
interface=wlan0

# Set your bridge name
bridge=br0

# Driver name
driver=nl80211

#Country name code in ISO/IEC 3166-1 format
country_code=FR

# SSID
ssid=test

# Operation mode (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g)
hw_mode=G

# Channel number
channel=6

# WPA mode
wpa=2

# WIFI passphrase
wpa_passphrase=testtest

# Key management algorithms
wpa_key_mgmt=WPA-PSK

# Set cipher suites (encryption algorithms)
# TKIP = Temporal Key Integrity Protocol
# CCMP = AES in Counter mode with CBC-MAC
wpa_pairwise=TKIP
rsn_pairwise=CCMP

# Shared Key Authentication
auth_algs=1

# Accept all MAC address
macaddr_acl=0
 




/etc/dsnmasq.conf


...
interface=wlan0
interface=eth0
...
dhcp-range=eth0,192.168.100.50,192.168.100.150,12h
dhcp-range=wlan0,192.168.200.50,192.168.200.150,
...
 




C'est grave docteurs ?

Hors ligne

#5 09-05-2018 09:47:45

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Y a du boulot...

D'abord, définir l'architecture générale.
- wlan1 : interface wifi "publique", client DHCP, configurée avec wpa_supplicant en mode infrastructure (client)
- wlan0 : interface wifi "privée" configurée en mode master (point d'accès) utilisant hostapd
- eth0 : interface ethernet "privée"
- br0 : pont reliant wlan0 et eth0 (optionnel)

* Pont ou pas pont ?
Tu as le choix de créer un pont entre wlan0 et eth0 ou pas.
- avec pont : pas de configuration IP+serveur DNS/DHCP sur wlan0 et eth0, configuration IP statique+serveur DNS/DHCP sur le pont br0 ; un seul réseau IP privé pour les postes connectés en Ethernet et en wifi ; la communication entre les segments Ethernet et wifi se fait par pontage des trames Ethernet/wifi.
- sans pont : configuration IP statique+serveur DNS/DHCP sur eth0 et wlan0 ; deux réseaux IP privés distincts pour les postes connectés en Ethernet et wifi ; la communication entre les segments Ethernet et wifi se fait par routage IP.

Il vaut mieux montrer que raconter.

Hors ligne

#6 09-05-2018 13:39:17

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Salut,

Merci pour tes conseils et tes explications, je vais laisser tomber avec les bridges, il va m'en falloir plusieurs et ça ne correspond pas à ce que je veux faire.

Profitant d'un plantage de la carte sd (youhou !) je suis repartis presque à zéro (je fais des sauvegardes régulières) et je suis tombé sur un tutoriel simple. http://hardware-libre.fr/2014/02/raspbe … cces-wifi/ (/!\ pour les novices comme moi qui choisiraient de le suivre, il faut vraiment penser à changer l'adresse IP dans /etc/network/interfaces)

Malheureusement, même si il y a du mieux, le point d'accès sur wlan0 ne fonctionne pas, il n'est pas visible... wlan1 se connecte à la box et permet de se connecter au Pi par SSH. Je ne configure pas tout de suite eth0, chaque chose en son temps.

Il me semble que le driver configuré dans hostapd est le bon (rtl8188eu correspondant à la clé TL-WN725N version 2) mais il y a 0 sur sa ligne dans lsmod (j'ai essayé avec r8188eu, ça marche pas non plus et ne change rien à lsmod)... (?)

Voici la configuration actuelle :


lsmod

Module                  Size  Used by
xt_conntrack            3400  1
iptable_filter          2220  1
ipt_MASQUERADE          1324  3
nf_nat_masquerade_ipv4     2954  1 ipt_MASQUERADE
iptable_nat             2425  1
nf_conntrack_ipv4       8616  2
nf_defrag_ipv4          1753  1 nf_conntrack_ipv4
nf_nat_ipv4             6114  1 iptable_nat
nf_nat                 18838  2 nf_nat_masquerade_ipv4,nf_nat_ipv4
nf_conntrack           97277  5 nf_conntrack_ipv4,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat
ip_tables              12512  2 iptable_filter,iptable_nat
x_tables               20921  4 ip_tables,iptable_filter,ipt_MASQUERADE,xt_conntrack
joydev                  9354  0
evdev                  11746  2
snd_bcm2835            23131  0
snd_pcm                97825  1 snd_bcm2835
snd_timer              22706  1 snd_pcm
snd                    68784  3 snd_timer,snd_bcm2835,snd_pcm
bcm2835_gpiomem         3791  0
r8188eu               425512  0
cfg80211              525742  1 r8188eu
rfkill                 21373  2 cfg80211
uio_pdrv_genirq         3718  0
uio                    10166  1 uio_pdrv_genirq
fixed                   3029  0
ipv6                  384468  34
 




ifconfig

eth0      Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet6 addr: fe80::462f:5c37:2ac6:7d91/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:2478 (2.4 KiB)  TX bytes:2478 (2.4 KiB)

wlan0     Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.200.101  Bcast:192.168.200.255  Mask:255.255.255.0
          inet6 addr: fe80::dc89:835f:636c:12a9/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan1     Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.1.18  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: 2a01:cb06:24e:dd00:46d3:56e3:6df7:f104/64 Scope:Global
          inet6 addr: fe80::62e3:27ff:fe19:9d7c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5959 errors:0 dropped:118 overruns:0 frame:0
          TX packets:999 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1007568 (983.9 KiB)  TX bytes:135041 (131.8 KiB)
 




/etc/hostapd/hostapd.conf

ctrl_interface=/var/run/hostapd
driver=rtl8188eu
ieee80211n=1
ctrl_interface_group=0
beacon_int=100
interface=wlan0
ssid=testtest
hw_mode=g
channel=6
auth_algs=1
wmm_enabled=1
eap_reauth_period=360000000
macaddr_acl=0
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=testtest
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP#
 




/etc/dnsmasq.conf


...
interface=wlan0
...
dhcp-range=192.168.200.100,192.168.200.200,255.255.255.0,12h
...




iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 



/etc/network/interfaces

auto lo
iface lo inet loopback

iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet static
address 192.168.200.101
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255

allow-hotplug wlan1
auto wlan1
iface wlan1 inet dhcp
pre-up wpa_supplicant -B w -D wext -i wlan1 -c /etc/wpa_supplicant/wpa_supplicant.conf
post-down killall -q wpa_supplicant

up iptables-restore < /etc/iptables.ipv4.nat
 




Bon, là je fais une pause. Je reprends dans une heure ou deux quand mes yeux auront refroidit.

Dernière modification par Henry33 (13-05-2018 06:34:12)

Hors ligne

#7 09-05-2018 14:06:06

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

je vais laisser tomber avec les bridges, il va m'en falloir plusieurs


Comment ça, plusieurs ponts ?

Henry33 a écrit :

Il me semble que le driver configuré dans hostapd est le bon (rtl8188eu


Le driver à spécifier dans la configuration de hostapd est le pilote interne de hostapd à utiliser pour communiquer avec l'interface wifi, pas le pilote de l'interface wifi elle-même. Dans la plupart des cas il faut spécifier "nl80211", sauf avec certains types d'interface wifi. Voir la documentation ou les commentaires du fichier exemple fourni.

ifconfig n'indique pas le mode de fonctionnement (master, infrastructure) des interfaces wifi. Tu peux utiliser iwconfig ou son remplaçant iw (dont je ne connais pas l'utilisation, inutile de me demander).

iptables -L affiche des informations incomplètes. Il vaut mieux utiliser iptables-save.

/etc/network/interfaces :
- L'adresse IP statique configurée sur wlan0 devrait être en dehors de la plage d'adresses servies par le serveur DHCP (mais dans la plage du préfixe défini).
- Il me semble qu'il y a des options wpa-* qui évitent d'utiliser des commandes pre-up/post-down.

Il y a longtemps que j'ai configuré hostapd, mais il me semble qu'il y a deux façons de le lancer : soit en tant que service avec un script d'init ou systemd, soit avec une option dans la configuration de wlan0 dans le fichier /etc/network/interfaces. Voir la documentation dans /usr/share/doc/hostapd.

Dernière modification par raleur (09-05-2018 14:06:55)


Il vaut mieux montrer que raconter.

Hors ligne

#8 09-05-2018 15:16:19

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

raleur a écrit :


Comment ça, plusieurs ponts ?



Après avoir configurer l'accès Internet part wlan, j'en aurai un autre par la clé 4G (eth1), ça me fera donc deux ponts (pas plusieurs, c'est moi qui pensais devoir en faire un pour chaque interface)

Mais d'une manière générale, je préfère dissocier le wifi privé du réseau l'ethernet privé, donc pas de bridge. A moins que ça soit mieux, dans ce cas, je peux changer facilement d'avis.

**

Je viens d'essayer hostapd avec nl80211, ça marche pas plus, donc je vais creuser ça. La commande iwconfig me dit qu'il n'est pas en mode master, je vais donc aussi creuser ça.

/etc/network/interfaces modifié

allow-hotplug wlan0
iface wlan0 inet static
address 192.168.200.1  <- c'est bon comme ça ?
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
 



iwconfig

wlan0     unassociated  Nickname:"<WIFI@REALTEK>"
          Mode:Auto  Frequency=2.412 GHz  Access Point: Not-Associated
          Sensitivity:0/0
          Retry:off   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality:0  Signal level:0  Noise level:0
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

lo        no wireless extensions.

wlan1     IEEE 802.11bgn  ESSID:"Livebox-XXXX"  Nickname:"<WIFI@REALTEK>"
          Mode:Managed  Frequency:2.472 GHz  Access Point: B8:26:6C:42:5C:3A
          Bit Rate:72.2 Mb/s   Sensitivity:0/0
          Retry:off   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=91/100  Signal level=63/100  Noise level=0/100
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

eth0      no wireless extensions.
 



sudo service hostapd -l

● hostapd.service - LSB: Advanced IEEE 802.11 management daemon
   Loaded: loaded (/etc/init.d/hostapd)
   Active: active (exited) since Wed 2018-05-09 14:09:23 UTC; 4min 4s ago
  Process: 667 ExecStart=/etc/init.d/hostapd start (code=exited, status=0/SUCCESS)

May 09 14:09:23 raspberrypi hostapd[667]: Starting advanced IEEE 802.11 management: hostapd failed!
May 09 14:09:23 raspberrypi systemd[1]: Started LSB: Advanced IEEE 802.11 management daemon.
 



sudo iptables -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
 



Merci pour tes conseils, je me plonge dans la doc de hostapd.

Dernière modification par Henry33 (09-05-2018 15:17:56)

Hors ligne

#9 09-05-2018 15:45:37

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

Après avoir configurer l'accès Internet part wlan, j'en aurai un autre par la clé 4G (eth1), ça me fera donc deux ponts (pas plusieurs


Deux, c'est plusieurs.
Où commence le pluriel n'est pas clairement défini (est-ce que 1,5 est pluriel ?), mais 2 est sans conteste pluriel.
Pourquoi ferais-tu un pont pour la clé 4G ? Avec quelle autre interface ? Pas avec wlan1 en tout cas.

Henry33 a écrit :

Mais d'une manière générale, je préfère dissocier le wifi privé du réseau l'ethernet privé, donc pas de bridge. A moins que ça soit mieux, dans ce cas, je peux changer facilement d'avis.


Chacune des deux approches a ses avantages et ses inconvénients. Certains aspects de configuration sont plus simples dans l'une ou dans l'autre. Par exemple la configuration IP, DNS, DHCP est plus simple avec le pont car il n'y a qu'une interface à gérer (le pont). Par contre il faut créer et gérer ce pont dans le fichier interfaces et hostapd.

Pour debugger la configuration d'hostapd, tu peux tuer tous les processus hostapd qui tournent puis le lancer manuellement avec son fichier de configuration pour voir les éventuels messages d'erreur.

Henry33 a écrit :

sudo iptables -S


J'ai demandé iptables-save. iptables -S n'affiche que le contenu d'une seule table (filter par défaut), or pour que l'accès internet fonctionne il faut du MASQUERADE dans la table nat.
Concernant les règles de la table filter, elle sont inutiles puisque la politique par défaut de la chaîne FORWARD est déjà ACCEPT. Elles sont aussi en triple exemplaire.

Dernière modification par raleur (09-05-2018 16:29:10)


Il vaut mieux montrer que raconter.

Hors ligne

#10 09-05-2018 16:13:10

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Ok, je comprends. En fait, je ne fait qu'un seul bridge entre eth0 et wlan0. Ensuite, je le gère comme une seule interface avec le partage de connexion de wlan1 et de eth1. Ca pourrait être plus simple, mais du coup, mon réseau lan sera mélangé (donc facilement accessible, je suis bien) avec le wifi extérieur. C'est ce que je ne veux pas, je souhaite vraiment avoir un réseau filaire isolé (autant que possible) de l'extérieur.

J'ai conscience que c'est plus compliqué mais une fois que j'aurai fait le partage entre wlan1 et wlan0, je pourrai recopier le principe pour eth0 et donc plus plus tard, refaire l'ensemble avec eth1. C'est plus compliqué, c'est sûr, mais c'est plus sûr.

Pour iptables-save, vu qu'il ne me donnait rien, j'ai fait -S mais avec un sudo devant, ça marche mieux... Au temps pour moi...

sudo iptables-save

# Generated by iptables-save v1.4.21 on Wed May  9 14:59:14 2018
*filter
:INPUT ACCEPT [495:51490]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [241:24255]
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
COMMIT
# Completed on Wed May  9 14:59:14 2018
# Generated by iptables-save v1.4.21 on Wed May  9 14:59:14 2018
*nat
:PREROUTING ACCEPT [418:100100]
:INPUT ACCEPT [41:6723]
:OUTPUT ACCEPT [25:2084]
:POSTROUTING ACCEPT [6:394]
-A POSTROUTING -o wlan0 -j MASQUERADE
-A POSTROUTING -o wlan1 -j MASQUERADE
-A POSTROUTING -o wlan1 -j MASQUERADE
-A POSTROUTING -o wlan1 -j MASQUERADE
-A POSTROUTING -o wlan1 -j MASQUERADE
COMMIT
# Completed on Wed May  9 14:59:14 2018
 



Pour l'instant, tout est ouvert, je verrai à complexifier les tables de routages au fur et à mesure que j'avancerai.

** J'ai passé wlan0 en mode master

sudo iwconfig wlan0 mode master

Dernière modification par Henry33 (09-05-2018 16:16:13)

Hors ligne

#11 09-05-2018 16:32:00

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Suite :

la commande :

sudo hostapd -dd /etc/hostapd/hostapd.conf



me revoit :

random: Trying to read entropy from /dev/random
Configuration file: /etc/hostapd/hostapd.conf
Line 2: invalid/unknown driver 'n80211'
ctrl_interface_group=0
Line 19: invalid cipher 'CCMP#'.
2 errors found in configuration file '/etc/hostapd/hostapd.conf'
Failed to set up interface with /etc/hostapd/hostapd.conf
hostapd_init: free iface 0x807f59f0
Failed to initialize interface
 



Il semble donc que le problème vienne du driver configurer dans hostapd. Je continue à lire des forums pour trouver quel driver lui mettre.

Je corrige le # en trop à la ligne 19.

Hors ligne

#12 09-05-2018 16:35:06

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

mon réseau lan sera mélangé (donc facilement accessible, je suis bien) avec le wifi extérieur.


Qu'appelles-tu le wifi extérieur ? wlan1 ? En aucune façon. wlan0 ? Seulement si tu fais un pont entre eth0 et wlan0.

iptables-save :
- encore des répétitions de règles
- pas besoin de MASQUERADE sur wlan0.

Henry33 a écrit :

J'ai passé wlan0 en mode master


Dans mon souvenir hostapd le fait implicitement (lorsqu'il fonctionne).


Il vaut mieux montrer que raconter.

Hors ligne

#13 09-05-2018 16:37:02

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

Line 2: invalid/unknown driver 'n80211'


Faute de frappe, il manque un "l" : driver=nl80211


Il vaut mieux montrer que raconter.

Hors ligne

#14 09-05-2018 16:56:28

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

raleur a écrit :

Seulement si tu fais un pont entre eth0 et wlan0.



Voilà, c'est pour ça que je ne vais pas le faire.

J'avais pas vu la faute de frappe, mais j'ai fait un essai avec rtl1871xdrv puis suis revenu à nl80211 et ça change rien. Erreur en ligne deux avec chacune de ces configurations.

Il semble qu'il faille un version spéciale de hostapd pour activer l'AP avec les TL-WN725-N. Les sujets datent un peu (2013/2015) donc je continue à chercher pour confirmer que c'est ce qu'il faut faire ou non...


Merci pour ta patience.

Hors ligne

#15 09-05-2018 17:15:12

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

OK !

J'ai recopié/fait une faute de frappe (il fait dire que 1871 est une année importante).

La bonne réponse est : rtl871xdrv.

Page suivie :

https://github.com/bithollow/bithollow. … 25N-on-RPI

iwconfig

wlan0     IEEE 802.11bgn  ESSID:"testtest"  Nickname:"<WIFI@REALTEK>"
          Mode:Master  Frequency:2.437 GHz  Access Point: 50:3E:AA:5F:85:B9
          Sensitivity:0/0
          Retry:off   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality:0  Signal level:0  Noise level:0
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

lo        no wireless extensions.

wlan1     IEEE 802.11bgn  ESSID:"Livebox-5C3A"  Nickname:"<WIFI@REALTEK>"
          Mode:Managed  Frequency:2.472 GHz  Access Point: B8:26:6C:42:5C:3A
          Bit Rate:72.2 Mb/s   Sensitivity:0/0
          Retry:off   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=100/100  Signal level=62/100  Noise level=0/100
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

eth0      no wireless extensions.
 



**

Je confirme que la version d'origine de hostapd ne fonctionne pas avec la TL-WN725N, il faut utiliser une autre version. Celle de Adafruit citer dans la page ci-dessus fonctionne.

Je passe à eth0.

Dernière modification par Henry33 (09-05-2018 17:25:56)

Hors ligne

#16 10-05-2018 10:01:56

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Salut,

J'ai réussi à configurer dnsmasq et à accéder à Internet depuis une tablette avec un adaptateur ethernet. Mais...

J'ai tout de suite remarqué une grosse activité réseau, les voyants ethernet sur le Raspberry, le switch et l'adaptateur ethernet de la tablette clignotent comme des fous... Je me dis qu'il y a un truc pas normal... Du coup, je ne suis pas sûr de ma configuration... [EDIT : cette activité s'est calmée. Je crois que c'est la complétion automatique de Duckduckgo qui m'a fait peur...<- confirmé, ça clignote avec la complétion, c'est calme une fois ces options désactivées...]

Le point d'accès wlan0 fonctionne toujours, l'activité dessus (clignotement led...) semble relativement normal.

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.201.101  Bcast:192.168.201.255  Mask:255.255.255.0
          inet6 addr: fe80::ba27:ebff:fe8c:d57c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:71 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:332 (332.0 B)  TX bytes:11517 (11.2 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:142 (142.0 B)  TX bytes:142 (142.0 B)

wlan0     Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.200.1  Bcast:192.168.200.255  Mask:255.255.255.0
          inet6 addr: fe80::dc89:835f:636c:12a9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:34 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:2557 (2.4 KiB)

wlan1     Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.1.18  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: 2a01:cb06:24e:dd00:46d3:56e3:6df7:f104/64 Scope:Global
          inet6 addr: 2a01:cb06:24e:dd00:62e3:27ff:fe19:9d7c/64 Scope:Global
          inet6 addr: fe80::62e3:27ff:fe19:9d7c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:271 errors:0 dropped:118 overruns:0 frame:0
          TX packets:174 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:43031 (42.0 KiB)  TX bytes:27963 (27.3 KiB)
 



/etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.201.101
netmask 255.255.255.0
network 192.168.201.0
broadcast 192.168.201.255


allow-hotplug wlan0
iface wlan0 inet static
address 192.168.200.1
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255

allow-hotplug wlan1
auto wlan1
iface wlan1 inet dhcp
pre-up wpa_supplicant -B w -D wext -i wlan1 -c /etc/wpa_supplicant/wpa_supplica$
post-down killall -q wpa_supplicant

up iptables-restore < /etc/iptables.ipv4.nat
 



/etc/dnsmasq.conf

domain-needed
bogus-priv

interface=wlan0
interface=eth0

dhcp-range=eth0,192.168.201.100,192.168.201.200,12h
dhcp-range=wlan0,192.168.200.100,192.168.200.200,12h
 



sudo iptables-save

# Generated by iptables-save v1.4.21 on Thu May 10 08:48:52 2018
*filter
:INPUT ACCEPT [1135:112370]
:FORWARD ACCEPT [5686:3003184]
:OUTPUT ACCEPT [1855:212574]
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
COMMIT
# Completed on Thu May 10 08:48:52 2018
# Generated by iptables-save v1.4.21 on Thu May 10 08:48:52 2018
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o wlan1 -j MASQUERADE
COMMIT
# Completed on Thu May 10 08:48:52 2018
 



J'ai lu pas mal de doc concernant dnsmasq et j'ai du mal à comprendre comment (et si ?) configurer les commandes "dns-nameservers=", "domain=", "local=" et "listen-address="... Il y a bien l'adresse 127.0.0.1 qui ressorts souvent mais je m'embrouille pas mal dans tout ça...

En passant, quels sont les outils pour pouvoir surveiller l'activité réseau sur le serveur ? Je découvre netstat mais je n'arrive pas à en sortir une liste des machines connectées à dnsmasq ou ce qui s'y passe...

En dehors de la configuration de iptables (sur laquelle je suis en train de me pencher), est-ce que cette configuration est correcte ?

Au fait, merci pour l'aide que tu m'as déjà apporté.

Dernière modification par Henry33 (13-05-2018 06:35:36)

Hors ligne

#17 10-05-2018 10:38:33

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Les compteurs de paquets émis et reçus par eth0 affichés par ifconfig ne montre qu'un très faible nombre de paquets. Insuffisant pour un négociation DHCP, sans parler de la moindre connexion HTTP. Le routeur a été redémarré depuis ?

Tu peux essayer de débrancher chaque port du switch tour à tour pour déterminer la source du trafic. Si c'est bien du trafic, car il arrive qu'un clignotement forcené des voyants des ports soit juste un signe de dysfonctionnement d'une liaison au niveau ethernet.

Tu as commis la même erreur avec l'adresse de eth0 que précédemment avec wlan0 : elle est dans la plage DHCP.

Toujours des doublons dans les règles iptables, sans incidence mais pas très propre.

PS : Les options network et broadcast dans le fichier interface sont facultatives. Tu peux les supprimer, ça allègera.

netstat ne sert qu'à afficher les sockets locales, pas les flux traversants.
Tu peux essayer iptraf ou iftop, mais si les compteurs des interfaces ne reflètent pas l'activité des voyants, ça ne montrera rien.

Je n'utilise pas dnsmasq et ne pourrai pas beaucoup t'aider sur ce point. L'adresse 127.0.0.1 est une adresse de loopback qui n'est utilisable que sur la machine elle-même, donc pas approprié pour un serveur DNS qui doit être accessible pour d'autres machines. Si le but est de restreindre l'accès au serveur DNS aux réseaux privés, si ce n'est pas configurable avec dnsmasq (ce que j'ignore), tu peux le faire avec des règles iptables dans INPUT.

Dernière modification par raleur (10-05-2018 10:48:53)


Il vaut mieux montrer que raconter.

Hors ligne

#18 10-05-2018 10:55:44

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

raleur a écrit :

Le routeur a été redémarré depuis ?



Non, en fait, j'ai trouvé d'où venait cette "sur-"activité sur eth0, c'était la complétion automatique de recherche sur Duckduckgo. Je l'ai utilisé pour tester la connexion et du coup, ça a clignoté dans tous les sens. Maintenant, c'est calme et j'ai désactivé cette fonction (comme je fais d'habitude sur mes autres appareils...)

Je suis en train d'apprendre à utiliser iptables, j'ai fait du propre mais sans enregistrer mes modifs, du coup c'est revenu comme avant... je recommence...

Au niveau de dnsmasq, est-ce qu'il y a quelque chose à peaufiner ou ça suffit comme ça ?

Hors ligne

#19 10-05-2018 11:00:45

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

Non, en fait, j'ai trouvé d'où venait cette "sur-"activité sur eth0


Je veux bien, mais ça ne remet pas à zéro les compteurs de paquets. Là, ça dit qu'il n'y a eu qu'un seul paquet reçu (RX) sur eth0 depuis le démarrage. Ne serait-ce que pour fournir une adresse IP par DHCP à un client, il en faut plus que ça.

Je répète que je n'ai pas de commentaires sjur dnsmasq car je ne l'utilise pas.


Il vaut mieux montrer que raconter.

Hors ligne

#20 10-05-2018 11:01:45

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

C'est mieux comme ça ?

# Generated by iptables-save v1.4.21 on Thu May 10 10:00:52 2018
*filter
:INPUT ACCEPT [31:2448]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20:2144]
-A FORWARD -i wlan1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o wlan1 -j ACCEPT
-A FORWARD -i wlan1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o wlan1 -j ACCEPT
COMMIT
# Completed on Thu May 10 10:00:52 2018
# Generated by iptables-save v1.4.21 on Thu May 10 10:00:52 2018
*nat
:PREROUTING ACCEPT [1864:384890]
:INPUT ACCEPT [385:34612]
:OUTPUT ACCEPT [231:18000]
:POSTROUTING ACCEPT [26:4345]
-A POSTROUTING -o wlan1 -j MASQUERADE
COMMIT
# Completed on Thu May 10 10:00:52 2018
 



Le ifconfig de eth0 actuel

eth0      Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.201.101  Bcast:192.168.201.255  Mask:255.255.255.0
          inet6 addr: fe80::ba27:ebff:fe8c:d57c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12543 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13336 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2869573 (2.7 MiB)  TX bytes:10472863 (9.9 MiB)
 



J'ai peut-être redémarré le raspi avant d'avoir posté le premier message. Je t'avoue que j'ai les neurones qui sont pas mal solicités dans tout ça et que je n'ai peut-être pas fait très attention. C'est fort possible que je l'ai redémarré.

Dernière modification par Henry33 (13-05-2018 06:35:58)

Hors ligne

#21 10-05-2018 11:09:10

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Il n'y a plus de doublon, mais les règles de la table filter sont toujours inutiles puisque les politiques par défaut sont à ACCEPT.
uptime te dira depuis combien de temps le système tourne.
last te dira quand le système a été démarré.

Dernière modification par raleur (10-05-2018 11:10:17)


Il vaut mieux montrer que raconter.

Hors ligne

#22 10-05-2018 11:19:11

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Heu... ba ça marche plus par eth0... J'ai fait un reboot juste après mon dernier message et la connexion par eth0 ne fonctionne plus. Je viens aussi de m'apercevoir que les doublons dans iptables se créent au redémarrage... J'ai suivi un tuto avec un script à un moment et l'erreur doit venir de là. Par contre, c'est toujours accessible par wlan0.

Je crois que j'ai deux problèmes en même temps, j'essaie de trouver d'où ça vient et je reviens.

Dernière modification par Henry33 (10-05-2018 11:20:49)

Hors ligne

#23 10-05-2018 11:25:48

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

1er problème résolu : le changement d'adresse IP pour eth0 en dehors de la plage DHCP faisait planter la chose. J'avais mis xx.1 comme adresse, j'ai remis xx.101 et ça marche.

je me penche sur mon deuxième problème de doublon dans iptables.

Dernière modification par Henry33 (10-05-2018 11:26:09)

Hors ligne

#24 10-05-2018 11:30:10

raleur
Membre
Inscription : 03-10-2014

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

Henry33 a écrit :

le changement d'adresse IP pour eth0 en dehors de la plage DHCP faisait planter la chose.


Pas normal, à moins que le fonctionnement de dnsmasq soit très particulier. D'ailleurs, ça semble très bien fonctionner pour wlan0.


Il vaut mieux montrer que raconter.

Hors ligne

#25 10-05-2018 11:37:57

Henry33
Membre
Inscription : 23-12-2016

Re : Routeur sécurisé à 4 réseaux (2 publiques - 2 privés)

De ce que je comprends : c'est hostapd qui fait le DHCP pour wlan0, c'est pour ça qu'il marche toujours, c'est dsnmasq fait le DHCP pour eth0. dnsmasq à l'air d'être asses balaise à configurer, y a plein d'options, de configurations possibles. Là, ça marche, mais je crois que ma configuration est bancale. Je reviendrai dessus que j'aurai résolu mon problème de doublon/script.

Y a un moyen de connaitre les scripts qui sont lancés au démarrage ? J'ai du mal à retrouver le tutoriel que j'ai suivi (normalement, je les enregistre au fur et à mesure mais celui-là à l'air d'être passé à travers...) et je ne me souviens plus de l'endroit où il est enregistré...

Hors ligne

Pied de page des forums