Debian-facile

ulysse132

Membre

Inscription : 03-05-2019

Création d'un Access Point Wifi avec vlan

Bonjour,

J'aimerais créer un réseau wifi qui permette, avec un seul ssid, de relier les utilisateurs à l'un ou l'autre des vlans de la maison. L'idée est donc de compartimenter mon réseau, afin de limiter les risques en cas de compromission de la clé wifi (qui est partagée avec d'autres utilisateurs).

J'utilise un serveur RADIUS pour attribuer un vlan à un utilisateur (pour le moment, c'est juste un fichier géré par hostapd), et j'ai créé le point d'accès avec hostapd.

Le problème, car il y en a bien un, c'est que hostapd n'arrive pas à créer les interfaces vlan. Je ne comprends pas comment hostapd gère les vlan.

J'ai le message d'erreur suivant :

:~$ sudo hostapd /etc/hostapd/vlanhostapd.conf
Configuration file: /etc/hostapd/vlanhostapd.conf
Using interface wlx1cbfce34c473 with hwaddr 1c:bf:ce:34:c4:73 and ssid "MySSID"
Failed to create interface wlan0.10: -95 (Operation not supported)
VLAN: Could not add VLAN wlan0.10: Protocol not available
VLAN initialization failed.
Interface initialization failed
wlx1cbfce34c473: interface state UNINITIALIZED->DISABLED
wlx1cbfce34c473: AP-DISABLED
wlx1cbfce34c473: Unable to setup interface.
wlx1cbfce34c473: interface state DISABLED->DISABLED
wlx1cbfce34c473: AP-DISABLED
wlx1cbfce34c473: CTRL-EVENT-TERMINATING
hostapd_free_hapd_data: Interface wlx1cbfce34c473 wasn't started
nl80211: deinit ifname=wlx1cbfce34c473 disabled_11b_rates=0
 

Voici le contenu de /etc/hostapd.vlan

10       wlan0.10
*       wlan0.#
 

Voici le contenu de /etc/hostapd/vlanhostapd.conf

# Customize these for your local configuration...
bridge=br0
interface=wlx1cbfce34c473
hw_mode=g
channel=9
ssid=MySSID

# VLAN Configuration #
#
# Dynamic VLAN mode; allow RADIUS authentication server to decide which VLAN
# is used for the stations. This information is parsed from following RADIUS
# attributes based on RFC 3580 and RFC 2868: Tunnel-Type (value 13 = VLAN),
# Tunnel-Medium-Type (value 6 = IEEE 802), Tunnel-Private-Group-ID (value
# VLANID as a string). Optionally, the local MAC ACL list (accept_mac_file) can
# be used to set static client MAC address to VLAN ID mapping.
# 0 = disabled (default)
# 1 = option; use default interface if RADIUS server does not include VLAN ID
# 2 = required; reject authentication if RADIUS server does not include VLAN ID
dynamic_vlan=1

# Station MAC address -based authentication
# 0 = accept unless in deny list
# 1 = deny unless in accept list
# 2 = use external RADIUS server (accept/deny lists are searched first)
macaddr_acl=1
accept_mac_file=/etc/hostapd.accept

# Bridge (prefix) to add the wifi and the tagged interface to. This gets the
# VLAN ID appended. It defaults to brvlan%d if no tagged interface is given
# and br%s.%d if a tagged interface is given, provided %s = tagged interface
# and %d = VLAN ID.
vlan_bridge=br

# VLAN interface list for dynamic VLAN mode is read from a separate text file.
# This list is used to map VLAN ID from the RADIUS server to a network
# interface. Each station is bound to one interface in the same way as with
# multiple BSSIDs or SSIDs. Each line in this text file is defining a new
# interface and the line must include VLAN ID and interface name separated by
# white space (space or tab).
# If no entries are provided by this file, the station is statically mapped
# to . interfaces.
# Each line can optionally also contain the name of a bridge to add the VLAN to
vlan_file=/etc/hostapd.vlan
 

Et enfin, car vous en aurez surement besoin, mon fichier /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
auto ens18
iface ens18 inet manual

auto ens18.10
iface ens18.10 inet manual
#       vlan-raw-device ens18

auto br0
iface br0 inet dhcp
        bridge_ports ens18
        bridge_maxwait 0

auto br10
iface br10 inet dhcp
        bridge_ports ens18.10
        bridge_maxwait 0

#auto brvlan1000
#iface brvlan1000 inet manual
 

Comme vous pouvez le voir, les vlan sont sur l'interface réseau ens18, et un router fournit les adresses ip en dhcp. Il y a 4 vlans, même si un seul est configuré pour le moment. Quand j'aurai réussi à associer un utilisateur à un vlan, je renouvellerai l'opération avec les autres vlans.

Si vous avez une idée pour m'aider, je suis preneur ! Je ne tiens pas particulièrement à utiliser hostapd, mais c'est le seul dont j'ai entendu parler. Le besoin est vraiment, lorsqu'un utilisateur se connecte avec une clé partagé, de l'attribuer à un vlan particulier, dépendant de son adresse mac.

Merci de votre aide !

raleur

Membre

Inscription : 03-10-2014

Re : Création d'un Access Point Wifi avec vlan

Using interface wlx1cbfce34c473 with hwaddr 1c:bf:ce:34:c4:73 and ssid "MySSID"
Failed to create interface wlan0.10: -95 (Operation not supported)

Le nom de l'interface VLAN ne devrait-il pas correspondre à celui de l'interface physique ?
As-tu essayé de créer manuellement une interface VLAN sur cette interface wifi avec la command vconfig pour vérifier qu'elle supporte les VLAN ?

---

Il vaut mieux montrer que raconter.

ulysse132

Membre

Inscription : 03-05-2019

Re : Création d'un Access Point Wifi avec vlan

Le nom de l'interface VLAN ne devrait-il pas correspondre à celui de l'interface physique ?
As-tu essayé de créer manuellement une interface VLAN sur cette interface wifi avec la command vconfig pour vérifier qu'elle supporte les VLAN ?

Si je mets dans mon fichier /etc/hoostapd.vlan les lignes suivantes :

10      wlx1cbfce34c473.10
*       wlx1cbfce34c473.#
 

J'ai le message d'erreur suivant :

~$ sudo hostapd /etc/hostapd/vlanhostapd.conf
Configuration file: /etc/hostapd/vlanhostapd.conf
Invalid VLAN ifname at line 1 in '/etc/hostapd.vlan'
Line 43: failed to read VLAN file '/etc/hostapd.vlan'
1 errors found in configuration file '/etc/hostapd/vlanhostapd.conf'
Failed to set up interface with /etc/hostapd/vlanhostapd.conf
Failed to initialize interface
 

Il semble ne pas aimer que je lui donne un tel nom...

Je suis à peu près sûr que le matériel supporte le vlan, car la commande donne :

~$ sudo iw list
 Supported RX frame types:
                 * IBSS: 0xd0
                 * managed: 0x40 0xd0
                 * AP: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
                 * AP/VLAN: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
                 * P2P-client: 0x40 0xd0
                 * P2P-GO: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0

 

Mais je n'ai pas testé la commande vconfig (je ne la connais même pas ^^)

ulysse132

Membre

Inscription : 03-05-2019

Re : Création d'un Access Point Wifi avec vlan

J'ai pu tester avec la commande vconfig, et il est bien possible de créer l'interface sur la carte wifi.
Par contre, j'ai essayé de lui attribuer un nom à cette nouvelle interface, et hostapd me remet le message d'erreur :

Failed to create interface vlan10: -95 (Operation not supported)

vlan10 étant le nom attribué à l'interface sur wlx1cbfce34c473.

Des suggestions ? Je rappelle que je suis d'accord pour changer de logiciel, voir même de distribution.

Beta-Pictoris

Membre

Lieu : Angers

Distrib. : Buster

Inscription : 11-08-2015

Re : Création d'un Access Point Wifi avec vlan

Essaye de créer un vlan avec Network-Manager.

Si tu utilises Network-Manager, tu devras supprimer la configuration de tes interfaces dans ton fichier "interfaces".

Network-Manager, te fournit la commande "nmcli" qui permet de configurer des interfaces réseaux facilement: https://debian-facile.org/doc:reseau:ne … e-commande

Par exemple, pour créer un hotspot avec "nmcli" :

nmcli device wifi hotspot ifname "mon_interface_wifi" con-name "mon_hotspot" password "mot_de_passe"

Cette commande va créer un profil Network-Manager nommé "mon_hotspot".

Tu peux, ensuite, essayer d'associer un vlan à ton interface wifi   : https://debian-facile.org/doc:reseau:ne … -a-un-vlan

Cela va créer un nouveau profil Network-Manager. Tu devras alors lui attribuer une adresse ip et un masque.

Dernière modification par Beta-Pictoris (04-05-2019 20:04:59)

ulysse132

Membre

Inscription : 03-05-2019

Re : Création d'un Access Point Wifi avec vlan

Je te remercie de ta réponse mais je crois que tu n'as pas compris mon besoin.
Je ne cherche pas à associer mon point d'accès wifi à un seul vlan, ça, c'est facilement réalisable avec hostapd en spécifiant correctement l'option bridge.
Je cherche à relier un point d'accès Wi-Fi à plusieurs vlan en même temps. Le lien entre le vlan et le point d'accès dépend du client connecté.
Je ne souhaite qu'un seul ssid et un seul mot de passe.
Lorsque je me connecterai à ce point d' accès avec mon ordinateur, je veux pouvoir avoir accès à mon NAS qui sera sur le vlan 10. Quand je me connecterai à ce point d'accès avec mon téléphone, je voudrais être sur un autre vlan (100 dans ma configuration).
Mais les identifiants seront les mêmes, et le ssid aussi, c'est le point d'accès wifi qui fera le lien entre le client et le vlan adéquat.
J'aurai bien aimé pouvoir mettre en place 4 ssid et relier chaque ssid à un seul vlan, mais ce n'est malheureusement pas possible avec ma carte wifi, qui n'accepte pas ça.

Beta-Pictoris

Membre

Lieu : Angers

Distrib. : Buster

Inscription : 11-08-2015

Re : Création d'un Access Point Wifi avec vlan

Avec Network-Manager, on peux associer plusieurs vlans à la même interface.
Par contre , je ne pense pas qu'il gère une quelconque attribution dynamique des vlans aux clients.

Dernière modification par Beta-Pictoris (04-05-2019 22:17:29)