[Pb réseau] - Intégration du Wifi

[OverCiv]

Bonjour !

Après avoir passer des heures sans fin et arpenter les forums de Ixus, je suis pas parvenu à faire fonctionner mon réseau wifi.

Je fais donc un petit appel à l'aide

Réseau:
Sagem fast 800 pour le net (eth1)
Lan branché sur eth0 --> 192.168.19.0/24
Catre Wifi (drivers par Ndiswrapper) --> wlan0 192.168.10.0/24

Problème:
Point de vue Hardware tout est parfait la carte marche bien
MAIS voilà, je configure ma carte en mode ad-hoc (ou même Managed) je lui specifie un ESSID
Je lui définit un ip Fixe via ifconfig
Dans le server-manager je rajoute la plage dans les réseaux locaux (192.168.10.0/24 avec comme routeur 192.168.19.1)

Je capte le réseau depuis un autre pc mais impossible d'obtenir une IP convenable en dhcp.
J'essaie donc de forcer une ip fixe depuis l'autre pc et là ca fonctionne mais impossible de pinger quoi que ce soit !

Dans mon dhcpd.conf j'ai rajouté le subnet qui va bien en me basant sur celui du Lan et modifiant bien sûr les IP.

Questions:
Y'a t'il un paramètre DNS, dhcp ou une règle iptable qu'ils faillent modifier ?!


Merci d'avance !

[guiguid]

J'ai jamais essayé, mais

ma carte en mode ad-hoc (ou même Managed)

elle ne devrais par etre configurer en mode "Point d'acces " ou "Bridge" ?

[OverCiv]

Oui j'ai vu ca quelque part, je vais regarder si ma carte accepte le mode et j'essaie, mais j'ai l'impression que je me fais jeter par iptable.

Merci

[sibsib]

Salut,

Je crois avoir capté qur tu as installé ta carte Wi-Fi dans le serveur SMEUH ?

Si c'est le cas, tu ne dois pas mettre une route supplémentaire : c'est la commande ifconfig qui doit
configurer ton bouzin.

En gros, sur ta machine, ifconfig est du genre :
eth0 192.168.19.1 255.255.255.0
Ta machine sait déjà qu'elle peut atteindre directement toutes les machine dont l'IP est 192.168.19.X en passant par eth0.

De même, si ta carte WiFi a un ifconfig du type
wlan0 192.168.10.1 255.255.255.0
ta machine sait également que tous les paquets à envoyer vers 192.168.10.Y sont a passer à wlan0.

--> question subsidiaire :
Que donne

Code: Tout sélectionner

ifconfig -a

?

Ensuite (et ceci n'engage que moi ) en effet, la première manip consiste à essayer le réseau Wi-Fi en IP fixe , et voir si tu peux initier un 'ping' depuis ton SME vers ton P.C. WiFi en IP Fixe.

Même si le ping ne fonctionne pas, tu peux tenter

Code: Tout sélectionner

tcpdump -i wlan0

(En supposant que wlan0 soit le nom du driver de ta carte Wi-Fi, bien sûr, voir ifconfig -a)

Là, même si tu n'as pas de réponse, tu verras au moins si tes petits ping partent vers la bonne interface.

A oui, j'oubliais :
que donne

Code: Tout sélectionner

netstat -nr

?

Autre problème : je pense que dans un premier temps, tu ne dois pas passer per le panel de SME pour ajouter ton réseau, car celui ci te demanderas immanquablement un routeur par défaut (pour lui, un réseau que tu ajoutes est accessible par un routeur, pas en direct sur la machine !)

A+,
Pascal (Qui a préféré un routeur Wi-Fi externe pour chez lui ( en fait, je n'ai pas de slot PCI libre sur ma carte VIA EDEN, déjà ) )

[OverCiv]

J'ai essayé tout ce que tu m'as dit, merci

Alors je ne vais pas te détailler tout parce qu'en fait j'ai supprimer mon réseau 192.168.10.0/24 de mon panel SME et j'arrive à pinger mes 2 machines.
Mode utilisé : ad-hoc


Le problème en fait est plutôt celui-ci :
- Que dois-je faire pour que mon serveur accepte ce réseau comme réseau "ami". parce que pour l'instant seul le ping passe, tout le reste est bloqué.
En gros, je souhaite utiliser le service DNS, le routage du net, ssh, etc....

Je vais regarder si j'arrive à bidouiller l'iptable de mon côté...

[sibsib]

Salut,

Ben tu avances !

Pour la suite :

pour samba :
le fichier smb.conf référence les réseaux amis et les interface autorisées à 'sambater'
Il faut donc lui faire connaitre ta nouvelle interface (bien sûr via templates)

pour le dhcp :
/etc/dhcpd.conf parait un bon début (mais ce n'est pas le plus simple à traiter !)

Le fichier /etc/hosts.allow parait interressant aussi...

Pour les imprimantes : /etc/lpd.perms

Pour le DNS, il y a aussi des autorisations à mettre en place.

En fait, il faudrait je pense étudier tous les cas ou un 'réseau ami' modifie la conf', et 'bloquer la modifiaction là ou c'est génant.
Ce ne serait pas suffisant, mais pourrait être un début.

Dans /etc/rc.d/init.d/masq : il existe deux variable de grand intérêt : LOCALIP et INTERNALIF.
(LOCALIP si tu as installé fetchmail )

Voir dans quel cas ces variables sont utilisées chez toi, et adapter en cas de besoin.

Je pense que tu n'as pas fini de t'amuser !

Au fait, de manière très basique :

Si, sur ton client Wi-Fi, tu mentionnes bien SMEUH comme routeur par défaut, est ce que tu peux 'pinguer' un P.C. de ton LAN ?
- Je ne crois pas que les règles iptables t'en empèchent, et ce serait intéressant pour savoir si le routage est actif.

A+,
Pascal

[OverCiv]

Alors j'ai encore progresser !!

Je me suis interressé à iptables et pour les tests j'ai carrément mis de côté le script de SMEUH qu'il ya par défaut.

J'ai utilisé un script très simpliste (pris dans le forum ixus tjr )pour vérifier que ca marche, le voici :

Code: Tout sélectionner

#REMISE à ZERO des regles de filtrage
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

#Autorisation boucle locale
#et reseau local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i wlan0 -j ACCEPT
iptables -A OUTPUT -o wlan0 -j ACCEPT

# Translation d'adresses pour tout ce qui traverse la passerelle
# en sortant par ppp0
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i wlan0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth1 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Accès SSH depuis le Net
#iptables -A INPUT -p tcp --dport ssh -i ppp0 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport ssh -o ppp0 -j ACCEPT

# Acces server web
iptables -A INPUT -p tcp --dport http -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport http -o eth1 -j ACCEPT

# Acces FTP
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -o eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -o eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 1024:65535 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 -o eth1 -j ACCEPT

# Acces pop3
iptables -A INPUT -p tcp --dport 25 -i eth1 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 25 -o ppp0 -j ACCEPT

# Bloquer Ping
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i wlan0 -o eth1 -j ACCEPT
iptables -A FORWARD -o wlan0 -i eth1 -j ACCEPT

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

Et là wow je peux pinger free, et tous les services fonctionnenet (samba, ftp, mail etc)

Mais je ne peux pas garder ce script comme ca il me semble un peu juste alors j'ai voulu essayer celui de arpahaho ici : http://forums.ixus.net/viewtopic.php?t=9546&highlight=iptable+ajouter+interface

Et là la sécurité est béton mais je ne peux plus utiliser que mon LAN, mon réseau wifi est de nouveau bloqué intégralement (même plus de ping)
(j'ai bien spécifier mon wlan0 dans la variable du script iptable)

Donc le top serait de trouvé une manière de faire passer deux interfaces dans le script d'origine de SMEUH !

As tu une idée ?[/code]

[Muzo]

Salut,

SME n'est pas trop prévu pour tourner avec 3 interfaces, bien qu'il existe un HowTo pour le faire (un p"tit google).

Plûtot que de modifier cela, pourquoi ne pas utiliser IpCop? Qui lui est prévu pour cela.

[OverCiv]

Salut,

SME n'est pas trop prévu pour tourner avec 3 interfaces, bien qu'il existe un HowTo pour le faire (un p"tit google).

Plûtot que de modifier cela, pourquoi ne pas utiliser IpCop? Qui lui est prévu pour cela.

Parce que rien n'est impossible surtout avec un pingouin, il faut juste mettre les mains dans le camboui !
Et puis justement si SME n'est pas prévu pour autant d'interface je serais encore plus motivé pour proposer bientôt un joli howto pour des gens comme moi qui n'ont qu'un serveur, pas les moyens encore de s'offrir un routeur wifi et qui ne peuvent pas se passer de SME !

SibSib :

J'ai encore pas mal avancé j'ai trouvé un script iptable interressant sur un site amerlok. Du coup depuis hier je le transforme pour qu'il gère les spécificités de SME.
Pour l'instant :
- Wifi ok, accès proxy, etc....
- Lan ok
- Accès depuis internet : Seulement via protocole https, autre service bloqué (mais j'ai pas encore tout testé)
Rajout :
- Module ipt_string
- Régle supplémentaire de sécu (ipspoofing, Syncookie, etc)

Objectif :
- Résoudre les problèmes d'accès extérieurs !
- Créer un script d'installation pour créer les templates custom et désactiver Masq de SME
- Script de configuration du script

Merci pour ton aide

[Muzo]

Pourquoi réinventer la roue?

[Muzo]

Si tu causes anglais, va un peu farfouiller dans le site contribs.org:

http://www.e-smith.org/docs/howto/contrib/net_card.html

Un autre qui veut faire comme toi et qui à eu la même réponse

http://contribs.org/modules/pbboard/viewtopic.php?t=24438&sid=2225b499519f929740ff5830eb46e08d

[OverCiv]

Je ne sais pas si cela a déjà été fait, en tout cas je n'ai pas trouvé un équivalent.

Merci pour les liens mais j'ai déjà essayé comme ça et ca ne marche a 100% (en effet ce n'est pas prévu pour plus d'une interface)

Sinon j'ai reussi à faire fonctionner mon script. J'ai donc ma nouvelle interface qui marche parfaitement avec cependant un iptable perso donc au revoir la contrib sme-masq-manager ! :/

Enfin ca marche c'est ce qui compte

Merci Sibsib et Muzo

[Muzo]

Bouhouhouhou il a du jeter macontrib Bouhouhohou!

Sérieusement, fais gaffe à la séurité.

[OverCiv]

Sorry ! Mais le jour ou yaua des sioux il est vrai que investir dans un jolie point d'accès Wifi sera beaucoup plus mieux...

..... et masq-manager revivra !

++