ipcop sur reseau particulier

[fzoulchembryl]

bonjour

je viens vers vous, car j'ai un problème concernant mon réseau domestique.

j'explique:

je suis dans une colocation, et j'aimerais mettre un quota de bande passante a chaque utilisateur qui se connecte au réseau.
le software, n'est pour l'instant pas abordé!

image du réseau:






mon problème est le suivant:

il y a un point d’accès au premier étage, qui est sur le réseau "wi-fi", celui la, pas de problèmes a gérer, puisqu'il est derrière le proxy
mais la majorité des utilisateurs serons connectes sur le point d’accès du modem/routeur (dans le reseau a risque), donc, en aval du proxy, et donc pas géré!

ma question est la suivante:

comment faire pour que les utilisateurs se connectant au wi-fi du modem-routeur passent en aval du proxy afin que je puisse leur mettre des quotas?

d'avance, merci.

[Franck78]

Acheter un autre point d'accès à 30 euros, désactiver le wifi de la box.

Il est illusoire de vouloir faire passer 'à travers IPCop' des machines situées sur le 'RED' pour finalement ressortir sur 'RED'.


bye

[ccnet]

C'est aussi mon avis. Fondamentalement un problème d'architecture. Toutes les machines à protéger doivent se trouver derrière le firewall. Jamais devant.
En tout cas présentation claire et complète du problème. Ce n'est pas si souvent.

[HP77]

Bonjour,

Je dirais tout pareil que Franck78.

On désactive le Wi-Fi sur la Box et on paramètre le Point d'Accès n° 2 (= le tout neuf à acheter) pour qu'il offre les mêmes SSID, etc... que ce que la "Box" fournissait.

Maintenant, la question que je me pose, juste par curiosité, suffit-il d'ajouter (également à acheter) un switch Ethernet sur l'interface bleue d'IPcop pour pouvoir y coller deux points d'accès ou plus encore ?

Je sais, je devrais lire la doc, etc... mais c'est juste pour avoir une idée sur la chose, pour ma culture perso car je n'utilise plus IPcop depuis des années, pas nécessaire avec SME et je n'aime pas vraiment le Wi-Fi, je préfère le câble blindé de qualité...


Merci d'avance (pour ne pas parasiter d'avantage... ) à Franck78 pour sa réponse d'expert IPcop.

Cordiallement,
HP

[ccnet]

Maintenant, la question que je me pose, juste par curiosité, suffit-il d'ajouter (également à acheter) un switch Ethernet sur l'interface bleue d'IPcop pour pouvoir y coller deux points d'accès ou plus encore ?

Houla ! Un seul point d'accès mais capable de gérer plusieurs SSID chacun dans son vlan oui, avec un switch adapté derrière bien sûr. Mais c'est ipcop qui ne suit plus avec la gestion de Vlan multiples.

[fzoulchembryl]

autre question:

et si je mets un switch entre la box et l'interface red de IPCOP

et que je relie un des port du switch sur l'interface bleu d'IPCOP, est ce que ça fonctionnerai?

je pense que niveau sécurité c'est pas top, mais en théorie ça doit fonctionner!

[ccnet]

Là on sombre dans le n'importe quoi. Pas la peine d'installer ipcop pour en venir là !!

[Franck78]

Maintenant, la question que je me pose, juste par curiosité, suffit-il d'ajouter (également à acheter) un switch Ethernet sur l'interface bleue d'IPcop pour pouvoir y coller deux points d'accès ou plus encore ?

Houla ! Un seul point d'accès mais capable de gérer plusieurs SSID chacun dans son vlan oui, avec un switch adapté derrière bien sûr. Mais c'est ipcop qui ne suit plus avec la gestion de Vlan multiples.

Il n'y a pas de raison pour que plusieurs point d'accès ne fonctionnent pas ensemble. Le wifi agissant seulement au niveau liaison, IPCop voit tout ça comme un seul réseau sur sa patte bleue. Aucun besoin de vlan.

[ccnet]

Je n'ai pas dit que cela ne pouvait pas fonctionner.
Je pense que si l'on utilise des points d'accès multiples c'est pour des réseaux "différents" (si c'est une question de couverture, on est dans un autre type de problème) donc des zones, d'un point de vue sécurité, différentes et qui doivent être isolées.
Le cas le plus fréquent en entreprise est celui où l'on dispose d'un wifi interne pour les collaborateurs et d'un wifi invité. Un seul point d'accès, deux SSID, 2 numéros de réseau et deux vlans. On peut faire plus simple, mais moins sûr.

[HP77]

Bonsoir,

...
et si je mets un switch entre la box et l'interface red de IPCOP

et que je relie un des port du switch sur l'interface bleu d'IPCOP, est ce que ça fonctionnerai?

Là c'est comme si tu disais à un électricien de relier le fil rouge de la phase 230Vac au fil bleu du neutre (0V)...

S'il on s'est embêté à créer des interfaces différentes (avec des couleurs pour bien faire ressortir la différence), c'est bien pour éviter ce genre de configuration.

Pour interconnecter deux réseaux différents, il faut faire appel à un routeur, pas un switch car ils ne font pas le même travail sur les paquets, pas la même fonction.

Une autre erreur que l'on peut commettre, c'est un "court-circuit logiciel" des interfaces via les plages d'adresses IP.
(i.e. 192.168.zzz.xxx avec la même valeur pour zzz pour plusieurs interfaces (erreur classique des débutants)...)
Pas le cas ici, d'après le schéma fourni.


Changement de sujet :

Bon, pour revenir à l'interface bleue avec laquelle je n'ai jamais joué avec, j'ai de plus en plus envie d'en savoir plus, donc de lire la doc Car, hormis le fait que la couleur "bleue" soit réservée au Wi-Fi et qu'il doit bien y avoir certaines régles particulières à ce type de réseau, cela me fait maintenant penser davantage à une sorte de réseau "vert bis" et indépendant du réseau "vert" habituel d'IPcop.

Est-ce que je me trompe sur cet aspect de la chose ?


Autrement, pour l'exemple du Wi-Fi interne(employés itinérants) + Wi-Fi externe(visiteurs) d'une entreprise, c'est sûr qu'un SSID différent n'est pas suffisant car le routage des paquets transmis n'ont pas les mêmes libertés de voyager :
Wi-Fi interne peut être routé vers un serveur de fichiers sur le LAN (= zone "verte") voire la DMZ (=zone "orange") pour le serveur Web, Mail, etc... de l'entreprise ;
Alors que les visiteurs peuvent accéder à Internet (=routage sur interface "rouge" et/ou le serveur Web, Mail, etc... en DMZ (=zone "orange" IPcop).

Dans ce dernier cas, est-ce que PFsense serait une solution permettant ce genre de configuration ?
(toujours pas curiosité )


Sur ce, je vous souhaite une bonne soirée, 00h30 chez moi...

Cordialement,
HP

[ccnet]

Dans ce dernier cas, est-ce que PFsense serait une solution permettant ce genre de configuration ?
(toujours pas curiosité )

C'est ce que je fais avec Pfsense chez mes clients qui ont ce type de besoin.

[HP77]

C'est ce que je fais avec Pfsense chez mes clients qui ont ce type de besoin.

Ok, ça, c'est bon à savoir !
Je te remercie bien.

Pour mon histoire de "réseau bleu" = "réseau vert bis", suis-je un peu dans le vrai (= bonne intuition ?) ou bien j'aurais mieux fait d'aller me coucher plus tôt ?

[ccnet]

Oui et non. Pour moi la conception d'ipcop qui associe à chaque interface un rôle assez fortement prédéfini peut devenir une gêne. Cette conception offre des avantages pour la facilité de mise en ouvre dans des cas assez standards avec des utilisateurs modérément expérimentés. Elle devient une gêne lorsque l'on est sur des réseaux qui ne tiennent pas dans l'épure Ipcop ce qui est assez souvent le cas finalement. D'où ma préférence pour Pfsense même sur de petite configuration. Ma liberté en cas d'évolution en beaucoup plus grande. je ne me retrouve pas obligé à des contorsions avec Ipcop comme ajouter des lignes à la main dans les fichiers de conf. Ce que j'ai parfois fait mais qui n'est pas une bonne pratique sur le plan du management de la sécurité sur le moyen et long terme.

[HP77]

Bonjour,

Oui et non.

Bon, après relectures de la suite de votre réponse, j'en comprends ceci :

- "Interface BLEUE" est synonyme à prendre avec des pincettes de "interface VERTE bis", tant que les machines échangent entre-elles sur cette interface "BLEUE", accèdent à la DMZ ("interface "ORANGE") ou bien à Internet ("interface ROUGE").

- Dès lors que l'on souhaite accéder à "l'interface VERTE", on en ressent la limitation : pas possible pour des raisons évidentes de sécurité liées au fait que le Wi-Fi peut sortir des murs d'un bâtiment, pas aussi anodin pour les câble du "réseau VERT".

En espérant avoir bien tout compris et avoir été clair dans la rédaction de la représentation du concept que j'ai maintenant en tête.

Pour moi la conception d'ipcop qui associe à chaque interface un rôle assez fortement prédéfini peut devenir une gêne. Cette conception offre des avantages pour la facilité de mise en ouvre dans des cas assez standards avec des utilisateurs modérément expérimentés. Elle devient une gêne lorsque l'on est sur des réseaux qui ne tiennent pas dans l'épure Ipcop ce qui est assez souvent le cas finalement. D'où ma préférence pour Pfsense même sur de petite configuration. Ma liberté en cas d'évolution en beaucoup plus grande. je ne me retrouve pas obligé à des contorsions avec Ipcop comme ajouter des lignes à la main dans les fichiers de conf. Ce que j'ai parfois fait mais qui n'est pas une bonne pratique sur le plan du management de la sécurité sur le moyen et long terme.

Tout à fait d'accord !

Juste une précision dont j'ai besoin :

...D'où ma préférence pour Pfsense même sur de petite configuration. Ma liberté en cas d'évolution en beaucoup plus grande.

Cela signifie quoi exactement ?
Conserver tout le paramétrage, (j'espère bien que oui, cela me semble être un minimum), voire le disque dur complet, intact et passer sur une machine plus puissante pour héberger PFSense ??
(ce ne serait plus un rêve mais j'en doute très fortement. Donc, je demande précisions...)

Bien merci pour ces réponses.

Cordialement,
HP



P.S.
Pour en revenir au problème posé par l'initiateur de ce fil* (*que j'ai l'impression de monopilser... ),

Ce qu'il semble "bon" de faire (ce n'est pas le meilleur, j'en conviens) :
Physiquement, c'est de coller un switch sur "l'interface BLEUE" de l'IPcop et, de là, connecter deux points d'accès Wi-Fi avec chacun leur SSID, configuration, etc...
Après, tout ce qui touche à l'aspect sécurité, autre que le Proxy, semble être dépendant uniquement des fonctionalités offertes par les dits Point d'Accés.
Après, pour l'aspect limitation de bande passante, si je ne m'abuse, cela se passera principalement par les fonctions de QOS offertes par ces mêmes Points d'Accés.
(En espérant n'avoir pas dit trop de çonneries... )

J'ai donc une question qui risque de faire dresser les cheveux sur mla tête...
(mais cela évitera à quelqu'un d'autre de tenter la chose si c'est vraiment absurde et donc de polluer le forum sur un "dépannage de n'importe quoi" que l'on ne verra apparaître qu'après 20 messages de devinettes, etc...) :

Bref, Dans le but de n'avoir qu'un seul appareil électrique supplémentaire et donc de réduire un petit peu la consommation électrique, pourraît-il s'en sortir avec un petit routeur Wi-Fi (genre "D-Link DIR-600") configuré en "Point d'Accés" pour pouvoir, éventuellement, bénéficier de son switch 4 ports intégré pour éviter justement d'en acheter un ?.

J'avoue que cela relève plus d'une expérimentation de possiblités matérielles d'un produit bien défini et en possession qu'autre chose... )
Je tâcherais, pour le fun, de faire un essai de ce genre dans la semaine, j'ai ce petit routeur au bureau...


Bon weekend !

Cordialement,
HP

[ccnet]

Juste une précision dont j'ai besoin :

ccnet a écrit:...D'où ma préférence pour Pfsense même sur de petite configuration. Ma liberté en cas d'évolution en beaucoup plus grande.


Cela signifie quoi exactement ?
Conserver tout le paramétrage, (j'espère bien que oui, cela me semble être un minimum), voire le disque dur complet, intact et passer sur une machine plus puissante pour héberger PFSense ??
(ce ne serait plus un rêve mais j'en doute très fortement. Donc, je demande précisions...)

En fait deux choses. On peut backuper la configuration entière ou partiellement (juste les alias par exemple ou juste le conf vpn, les règles, etc ...).
Puis faire un restore sur un nouvelle machine plus puissante. Le backup du disque est sans intérêt à mon sens puisque qu'il faut 15 mn pour installer Pfsense sur un disque.

La seconde c'est la capacité d'évolution. Un client peut démarrer avec un Pfsense Wan + Lan. Du jour au lendemain je peux passer à un firewall avec 6 ports en ajoutant une carte quadri port par exemple. De même avec un firewall à 3 interfaces, opt1 (ma troisième interface) peut être employée pour un réseau Wifi, une dmz interne ou externe, une patte connectée chez un client, un fournisseur, une seconde connexion internet, un partenaire au travers d'un routeur dont je n'ai pas la maitrise. Bref ce dont j'ai besoin avec cette interface. C'est encore plus vrai avec Pfsense V2 qui arrive ou seul l'interface Wan est obligatoire à l'installation. Toutes les autres interfaces sont configurables sans rôle prédéfini.