serveur radius sans cryptage

[metas]

je cherche a centralyser mes filtrage d'adresse mac, j'ai bien vu qu'un thread traite deja ce sujet ( viewtopic.php?t=7892&highlight=mac+radius ) mais la solution proposées (snmp) n'est pas pris en charge par mes AP (dlink 2000 ap et ap+ ), j'ai bien telecharger des tonnes de doc sur radius, qui en théorie permet un simple filtrage mac (en mettant le no mac come "pseudo" du fichier clients.conf), mais je me heurte a un probleme: mes ap n'envoient pas de requete d'autentification au serveur !!
j'ai bien tout testé, le serveur en local et en reseau avec ntradping, désactivé le firwall de mon serveur, activé ou non le cryptage wep sur les ap, essayé un peu toutes les options de XP pour l'autentification, rien a faire, mon serveur ne recoit pas de requete (en le lancant en radiusd -xy)

le but de ce réseau est le partage d'une connection adsl, pour un internat, et n'ayant simplement pas envie d'installer les certificats sur tous les ordis du réseau (je m'occupe deja des soucis d'ordi de tous mes co-internes, de plus il y a qq mac et je n'y connait pas grand chose.!), et pas vraiment besoin d'une confidentialité formidable, je veux seulement eviter que n'importe qui puisse se connecter en passant dans la rue sans avoir a indiquer toutes les mac sur tous les AP (environ 50 personnes et 4 ap...)
si qq1 a des idées pour un autre moyen que radius ou une solution a mon pb... ca serait le bienvenu!!

une deuxieme question subsidiaire, j'aimerais loguer toutes les connection qui passent par ipcop (qui est sur un autre pc), pour pouvoir voir qui a fait quoi sur internet en cas de soucis; il faut modifier ipchain je pense, mais quoi et ou?

[Chikouille]

Si tu as un ipcop, pouquoi ne pas faire le filtrage directement sur celui-ci puisque tu est sur que tout le traffic y passe : interface Blue = filtrage MAC

C'est très facile de tout logger dans iptables...un p'tit how-to et c'est parti!

http://christian.caleca.free.fr/netfilter.html

a++

[metas]

le but de la maneuvre et qd meme d'empecher n'importe qui de se connecter en passant devant l'internat et donc au moins d'activer le filtrage mac, pas uniquement sur la paserelle, mais aussi pour l'acces au reseau.....
et merci bcp pr le howto!!

[Methos_Hi]

Tu dis çà parceque tes AP sont directement reliés au LAN, or si tous tes AP étaient reliés à une autre interface de l'ipcop tu pourrais faire ce que tu Chikouille car pour aller sur le LAN ou Internet, les machines mobiles devraient traverser IPCOP.

Problème, il te faut une interface supplémentaire (sur IPCOP) et un switch pour brancher à la fois cette interface et tous les AP dessus.

[metas]

mais je n'ai pas de lan (uniquement le pc sur lequel g mis apache et compagnie), tous le reseau est WLAN et c'est lui que j'aimerais un peu proteger... (eviter quen'importe qui puisse aller sur les ordi presents sur le réseau, et par la meme eviter qu'ils aillent sur le net)...

un p'tit shema pour vous expliquer mon rezo:

Code: Tout sélectionner

client_ou_____ou_____ou___
|         |      |       |
AP       AP     AP       AP
|_________|______|_______|
               |
  ipcop __switch______ serveur (radius, apache, samba...)
     |        |
     |       un PC en pret
  internet       


les but sont donc: partager l'acces internet, échange de fichier entre tous les utilisateurs, acces aux services proposés par le serveur
si je fait tout passer par ipcop, un eventuel pirate avoir acces a toutes les machines "client"

[Methos_Hi]

Utilise la balise "code" pour faire le schéma...

[metas]

un petit up... personne n'as d'idée..?

[tontonrico]

un petit up... personne n'as d'idée..?

Moi j'ai une petite idée : tu installes un serveur Nocat ou Chillispot (on appelle ça un portail captif) qui se chargera de faire l'authentification des utilisateurs.

Tu trouveras meme des docs en francais pour faire ce genre d'install.

(http://nocat.net) (http://www.chillispot.org) (http//www.publicip.net) et google....

Voila voila.
Bon courage.

[metas]

merci pour ta reponse, mais la aussi il s'agit uniquement de filtrer les passages a travers la passerelle (ou le serveur qui heberge nocat), n'importe qui peut se connecter au reseau sans autentification, non? Peut etre si je change l'architecture du reso, mais je vois pas comment... mettre 4 carte reseau sur le serveur pour obliger tout le monde a passer par lui pour se connecter au reseau semble un peu lourd, non?

j'en revient a radius, personne n'as d'idée pq mes ap n'envoient pas de requete au serveur radius faut il absolument activer le cryptage et des certificats sur les clients ? pb de config? (3 d-link 2000ap+ et 1 2000ap), tout se ping, et j'ai desactivé tous les firwall....

bouuuu !!! j'y arrive pô ! et il commence a y avoire du monde sur mon reseau, pres de 30 adresse mac sur chaque ap

merci

metas

[tontonrico]

merci pour ta reponse, mais la aussi il s'agit uniquement de filtrer les passages a travers la passerelle (ou le serveur qui heberge nocat), n'importe qui peut se connecter au reseau sans autentification, non? Peut etre si je change l'architecture du reso, mais je vois pas comment... mettre 4 carte reseau sur le serveur pour obliger tout le monde a passer par lui pour se connecter au reseau semble un peu lourd, non?

j'en revient a radius, personne n'as d'idée pq mes ap n'envoient pas de requete au serveur radius faut il absolument activer le cryptage et des certificats sur les clients ? pb de config? (3 d-link 2000ap+ et 1 2000ap), tout se ping, et j'ai desactivé tous les firwall....

bouuuu !!! j'y arrive pô ! et il commence a y avoire du monde sur mon reseau, pres de 30 adresse mac sur chaque ap

merci

metas

Je ne vois pas trop pourquoi tu aurais besoin de 4 interfaces reseau... ou alors je comprends pas bien ton schéma.

Avec Nocat, en gros, tu mets tes AP sur un switch, une interface de Nocat sur le meme switch et la 2eme interface de Nocat vers ton internet.
Pour Radius, tu peux jeter un coup d'oeil ici : http://tldp.org/HOWTO/8021X-HOWTO/index.html

Bye

[metas]

c'est bien cela, mes 4 ap sont sur un switch, mais je ne peut rien mettre dessus il n'est pas configurable... ma proposition des 4 cartes reseau etais de fabriquer un switch avec un ordi sur lequel je metterais nocat, mais la solution n'est pas tres satrisfaisante non plus....
de plus si g bien compris, nocat ne gere que le filtrage de l'acces internet, pas l'acces au reseau...

je vais voire avec ce nouveau howto si ca marche mieux qu'avec ceux que g j'ai regardé... merci bcp!!

Metas

[tontonrico]

.../...
de plus si g bien compris, nocat ne gere que le filtrage de l'acces internet, pas l'acces au reseau...
.../...
Metas

Avec Nocat, tu peux aussi personnaliser les règles iptables de Nocat concernant les accès aux machines de ton LAN, cependant, cela risque en effet de ne pas être trivial !

Bye