Mise en place d'une passerelle derrière 1 modem/routeur/Wifi

[braouazou]

Bonjour à tous !

Je dois dépanner quelqu'un qui souhaite partager par WiFi son accès ADSL avec les clients de son bar.
Il a acheté tout dernièrement un Inventel DW B200 (vendu avec son abonnement Internet chez Cegetel je crois).

Je voudrais essayer de lui mettre en place une passerelle filtrante (je pensais à IPCop + SquidGard et Copfilter), mais là, je me heurte à un problème de taille : où mettre en place cette passerelle sachant que le modem/routeur intègre le point d'accès WiFi ??

J'ai vu sur la fiche produit qu'il y avait un port ethernet sur le routeur. Mais est-il possible de brancher la passerelle sur ce port, et de faire en sorte que ce soit elle qui gère la connexion (optionnel, dans le cas inverse, j'installerai une Debian avec ce qu'il faut), et que tout le traffic passe par cette passerelle (pour le Web, en spécifiant les paramètres du proxy, ok, mais pour tout le reste ?) ?

J'ai vu sur des forums que le firewall du routeur était désactivable. Déjà un bon point je pense...

Avant de me lancer, j'aurais voulu vos avis, car je ne possède pas la doc. du modem, et je connais mal ce type de produit...

Pour info :
http://www.inventel.fr/fr/product/datas ... s_fil_WiFi

Merci par avance pour vos idées et/ou commentaires.

[braouazou]

Est-ce que le simple fait de spécifier la passerelle permettrait de faire cela ? Le fait de faire un aller-retour entre le routeur et la passerelle ne poserait-il pas de problème ?
Dans ce cas, il faut juste jouer sur les routes c'est bien ça ?

Pour être plus clair, j'ai fait un petit schéma du projet :



Qu'en dites-vous ?

@++

[Methos_Hi]

oui cela semble possible.

A noter que plutôt que ipcop, il existe des distributions spéciales pour hotspot comme
http://www.publicip.net/

Il me semble que j'en avais vu un plus joli et en français (pour l'interface d'accueil des clients c'est important) mais je le retrouve pas.

[EDIT]Finalement dans celui-ci la page de login est multilangue[/EDIT]

[braouazou]

Merci pour l'info, je ne connaissais pas

Par contre, le problème c'est que, comme je le pensais, avec ce genre de distribution, l'AP est branché sur la passerelle en aval, le modem/firewall en amont. Dans mon cas, c'est un appareil tout en un.
Je ferai tout de même une petite tentative pour voir comment il réagit, puisque je ne sais pas du tout à quoi je peux m'attendre...

Sinon, une petite Debian devrait très bien faire l'affaire je pense.

@++

[braouazou]

Bon, je viens de regarder de plus près, mais je ne pourrai pas utiliser ce genre de distributions:

http://www.publicip.net/zonecd/how.php
Your wireless router or access point should be connected by a LAN port not the WAN port

Mais ça m'a permis de découvrir NoCatAuth que je ne connaissais pas. Je le mets de coté pour le moment, pusique je préfère dans un premier temps mettre en place quelque chose de simple (utilisation privée pendant quelques temps donc...).

Donc Methos_Hi, tu me confirmes qu'une passerelle à ce niveau pourrait très bien être mise en place ?
Dans ce cas, que me faudrait-il configurer ?
DHCP avec l'adresse de la passerelle ? Ce serait si simple que ça ?

J'insiste lourdement car je n'ai pas les moyens de tester cette config chez moi, et je ne souhaite pas passer mes nuits à essayer de configurer un truc sans savoir exactement vers où je vais...

Merci encore pour votre aide !

[Methos_Hi]

Le seul problème c'est que c'est un peu artificiel comme protection.

En effet, déjà les clients peuvent courcircuiter (?) la passerelle en indiquant comme passerelle le modem-routeur. Peut-être sera-t-il possible sur le modem-routeur de n'auriser la sortie vers Internet que depuis la passerelle.

D'autre part, normalement, le trafic Internet traverse le firewall d'une interface vers une autre pour un filtrage sûr. Là cela ne sera pas le cas. Tu dois t'assurer que la distribution que tu mettras t'autorise à avoir lan et wan sur la même interface au niveau du firewall en particulier.


Enfin, je ne comprends pas vraiement ton problem avec :
Your wireless router or access point should be connected by a LAN port not the WAN port
Car le port Wan de ton "router wireless" et normalement connecté à la fiche de téléphone.


Donc, serveur DHCP au niveau du modem-routeur qui donne entre autre comme gateway ta passerelle mais il faut que la zone wifi et la zone eth du modem-routeur soient considérées comme une seule et même zone dans le même réseau IP autrement le modem-routeur devra être la passerelle et là c mort.
Sauf s'il peut faire un redirect vers TA passerelle mais là j'y crois pas trop.

[braouazou]

C'est bien ce que je pensais ... pas si évident que ça !

Pour ce qui est du port WAN, j'avais interprété ça comme le fait que l'AP devait être connecté sur le port LAN de la passerelle :

Code: Tout sélectionner

modem --- passerelle --- AP ---- clients

et non pas :

Code: Tout sélectionner

modem --- AP --- passerelle --- clients

Comme c'est plus ou moins moins cas...


Pour ce qui est de modifier la passerelle sur les clients pour la contourner, ce n'est pas grave dans un premier temps car il veut tout d'abord mettre à disposition un pc portable sous Linux. Mais pour la suite, il voudrait que les gens puissent se connecter avec leurs propres ordinateurs, et là ça posera en effet problème...

La seule 'vraie' solution serait donc qu'il achète un AP supplémentaire pour le brancher après la passerelle, à condition de pouvoir désactiver celui du routeur.
Le gros problème c'est que je ne connais rien du tout à cet appareil...

Je vais essayer au plus simple pour des tests (cf shéma plus haut) et déjà voir si ça fonctionne. Je verrai l'aspect sécuritaire dans un second temps.

Merci pour ton aide et tes conseils