bonjour à tous
j'ai une connexion adsl avec ip fixe sur un modem ethernet classique suivie d'un sme 6.0 accompagnée de moultes pc sur mon Lan en filaire
Je viens , pour les besoins des pc nomades de faire l'acquisition d'un routeur Dlink DI 624+ wifi que je souhaite intégrer dans le réseau existant.
Le pb est qu'auparavant se vendaient les simples points d'accès sans fil pour faire celà est que maintenant vu la chute des prix du wifi, il ne reste que les routeurs wifi.
Bon pour faire court, qulqu'un a-t-il déjà réalisé cette manip, car dans le manuel ou sur le cd vendu avec, on ne cause juste que de la simple utilisation lambda type " à la maison"
Mes questions sont , suffit il de le connecter à un de mes switch ?, faut il lui attribuer une ip fixe appairée par son adresse mac avec sme, faut il sinon le laisser en ip attribué par le dhcp de sme,
doit il etre considéré comme un sous réseau ?; bref je suis à l'ouest !!!!
de plus , j'ai le rpm restrict_ip sur sme, faut il recupere l'@mac du routeur el la rentrer ou toutes les @
des pc nomades ?
ouf , celà en fait des questions
merci encore une fois à toute la communauté .
sme et le wifi
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
sme et le wifi
par falempin » 10 Fév 2006 12:23
- falempin
- Enseigne de vaisseau
- Messages: 150
- Inscrit le: 04 Mars 2005 12:27
- Localisation: Lille
par sibsib » 10 Fév 2006 22:48
Salut,
Il y a pleins de soluces, toutes avec des résultats différents. Tu trouveras pas mal de posts à ce sujets dans le forum.
Il y a un truc essentiel : les deux réseaux ne doivent pas utiliser les mêmes tranches IP.
Par exemple, si le LAN de ton SME est 192.168.0 alors le 'LAN Wi-Fi' peut être en 192.168.1
Par défaut, si tu mets ton routeur Wi-Fi en conf d'usine sur ton LAN (en le signalant en DHCP quand même) çà va marchr pas trop mal (sauf au niveau sécu : be careful avec un point Wi-Fi sur ton LAN, c'est la fenêtre ouverte au loup).
Simplement, comme ton routeur doit être par défaut en NAT, tu verras une seule IP sur ton LAN pour l'ensemble des P.C. connectés en Wi-Fi.
Si tu désactives le mode NAT, alors ton routeur devient un routeur (!!!) et tu dois mentionner le réseau IP privé situé derière le routeur comme un réseau 'ami' dans SME (en précisant l@IP coté SME de ton routeur comme passerelle.
Sinon, suivant les équipements, il existe une formule qui, bien que non documente peut fonctionner : tu branche ton routeur à ton switch par un des ports Ethernet 'privés' (en ayant désacivé le DHCP sur le routeur).
Sur certains équipements, ceci ramène le routeur en un simple point d'accès.
A+,
Pascal
Il y a pleins de soluces, toutes avec des résultats différents. Tu trouveras pas mal de posts à ce sujets dans le forum.
Il y a un truc essentiel : les deux réseaux ne doivent pas utiliser les mêmes tranches IP.
Par exemple, si le LAN de ton SME est 192.168.0 alors le 'LAN Wi-Fi' peut être en 192.168.1
Par défaut, si tu mets ton routeur Wi-Fi en conf d'usine sur ton LAN (en le signalant en DHCP quand même) çà va marchr pas trop mal (sauf au niveau sécu : be careful avec un point Wi-Fi sur ton LAN, c'est la fenêtre ouverte au loup).
Simplement, comme ton routeur doit être par défaut en NAT, tu verras une seule IP sur ton LAN pour l'ensemble des P.C. connectés en Wi-Fi.
Si tu désactives le mode NAT, alors ton routeur devient un routeur (!!!) et tu dois mentionner le réseau IP privé situé derière le routeur comme un réseau 'ami' dans SME (en précisant l@IP coté SME de ton routeur comme passerelle.
Sinon, suivant les équipements, il existe une formule qui, bien que non documente peut fonctionner : tu branche ton routeur à ton switch par un des ports Ethernet 'privés' (en ayant désacivé le DHCP sur le routeur).
Sur certains équipements, ceci ramène le routeur en un simple point d'accès.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par jdh » 11 Fév 2006 00:10
Le problème du Wifi est la sécurité. Le fait que du 802.11g soit moins performant qu'une liaison filaire (RJ) (54 Mb contre 100 Mb) n'est qu'un problème très secondaire.
Donc le problème est d'éviter que des intrus invitent sur le réseau Wifi.
Il y a plusieurs éléments à regarder :
- non diffusion du SSID (pas de broadcast),
- filtrage d'adresses MAC,
- cryptage (WPA et non WEP facilement crackable).
Il est NECESSAIRE de mettre tout cela en oeuvre puis de choisir l'adressage (routé ou pas routé). NE PAS oublier de choisir un SSID et la clé WPA long et bien aléatoire (au moins 20 car avec lettres maj et min, chiffres, plus quelques caractères de type -._!$.
Concernant l'adressage, il y a plusieurs possibilités :
- ne pas router (routeur en mode access-point) et de disposer d'une carte réseau dédiée dans le firewall,
- ne pas router (routeur en mode access-point) et n'utiliser qu'une carte réseau pour le réseau filaire et le réseau wifi (même range d'adressage ip),
- router et disposer d'une carte dédiée,
- router et connecter le port "Wan" du routeur sur le réseau filaire.
Le choix entre ses 4 solutions est un "choix" : on peut faire l'un ou l'autre en connaissant les risques et en étant pret à assumer ces risques.
Il faut noter qu'en cas de routage, le routeur fonctionne le plus souvent en faisant du NAT ce qui complique toujours. Ce routage avec du NAT n'apporte pas fondamentalement une sécurité plus importante.
En ce qui me concerne, compte tenu des choix que j'ai fait dans la mise en oeuvre du côté Wifi (filtrage + clé), j'ai choisi la solution 2 et non la 4 conseillé par sibsib. L'intéret est de me passer de switch filaire car mon routeur (WRT54G) dispose de 4 prises RJ ce qui est suffisant pour moi. Je n'ai pas dupliqué les règles de mon firewall puisque je ne lui ai pas ajouté de cartes ethernet. De plus pas de route à éventuellement à ajouter comme mentionné par sibsib.
Fais ton choix ...
Donc le problème est d'éviter que des intrus invitent sur le réseau Wifi.
Il y a plusieurs éléments à regarder :
- non diffusion du SSID (pas de broadcast),
- filtrage d'adresses MAC,
- cryptage (WPA et non WEP facilement crackable).
Il est NECESSAIRE de mettre tout cela en oeuvre puis de choisir l'adressage (routé ou pas routé). NE PAS oublier de choisir un SSID et la clé WPA long et bien aléatoire (au moins 20 car avec lettres maj et min, chiffres, plus quelques caractères de type -._!$.
Concernant l'adressage, il y a plusieurs possibilités :
- ne pas router (routeur en mode access-point) et de disposer d'une carte réseau dédiée dans le firewall,
- ne pas router (routeur en mode access-point) et n'utiliser qu'une carte réseau pour le réseau filaire et le réseau wifi (même range d'adressage ip),
- router et disposer d'une carte dédiée,
- router et connecter le port "Wan" du routeur sur le réseau filaire.
Le choix entre ses 4 solutions est un "choix" : on peut faire l'un ou l'autre en connaissant les risques et en étant pret à assumer ces risques.
Il faut noter qu'en cas de routage, le routeur fonctionne le plus souvent en faisant du NAT ce qui complique toujours. Ce routage avec du NAT n'apporte pas fondamentalement une sécurité plus importante.
En ce qui me concerne, compte tenu des choix que j'ai fait dans la mise en oeuvre du côté Wifi (filtrage + clé), j'ai choisi la solution 2 et non la 4 conseillé par sibsib. L'intéret est de me passer de switch filaire car mon routeur (WRT54G) dispose de 4 prises RJ ce qui est suffisant pour moi. Je n'ai pas dupliqué les règles de mon firewall puisque je ne lui ai pas ajouté de cartes ethernet. De plus pas de route à éventuellement à ajouter comme mentionné par sibsib.
Fais ton choix ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
sme et le wifi
par falempin » 14 Fév 2006 08:07
bonjour
merci pour vos réponses
j'ai néanmoins un petit soucis qui persiste
J'ai derrière le Dlink wifi un port wan et 4 ports lan
je branche donc le wan sur un de mes switchs sous sme donc les postes sont en 192.168.76.x
le routeur wifi possède comme @ lan 192.168.0.x , en serveur dhcp tranche de 100 à 199 (par défaut)
Dans la config sur un navigateur, je vois bien que le routeur a obtenu du sme son ip (192.168.76.65)
et qu'un pc portable branché sur un des 4 ports lan du wifi reçoit bien 192.168.0.100
le pb est que le réseau wifi n'est pas détecté
j'ai bien utilisé le tuto windows avec cryptage wap+clé ....
de plus au niveau restrict_ip sur sme quelle @ mac dois je autoriser à sortir car le routeur m'en donne3
la mac wan, la mac lan et la mac wifi ?
je vais essayer avec un autre portable wifi pour voir mais je suis perplexe !!
merci de vos idées.
bonne journée
merci pour vos réponses
j'ai néanmoins un petit soucis qui persiste
J'ai derrière le Dlink wifi un port wan et 4 ports lan
je branche donc le wan sur un de mes switchs sous sme donc les postes sont en 192.168.76.x
le routeur wifi possède comme @ lan 192.168.0.x , en serveur dhcp tranche de 100 à 199 (par défaut)
Dans la config sur un navigateur, je vois bien que le routeur a obtenu du sme son ip (192.168.76.65)
et qu'un pc portable branché sur un des 4 ports lan du wifi reçoit bien 192.168.0.100
le pb est que le réseau wifi n'est pas détecté
j'ai bien utilisé le tuto windows avec cryptage wap+clé ....
de plus au niveau restrict_ip sur sme quelle @ mac dois je autoriser à sortir car le routeur m'en donne3
la mac wan, la mac lan et la mac wifi ?
je vais essayer avec un autre portable wifi pour voir mais je suis perplexe !!
merci de vos idées.
bonne journée
- falempin
- Enseigne de vaisseau
- Messages: 150
- Inscrit le: 04 Mars 2005 12:27
- Localisation: Lille
par jdh » 14 Fév 2006 08:55
Visiblement tu a choisi la méthode 4 (routage + port wan sur réseau filaire). C'est à dire la méthode recommandé par sibsib.
Le port Wan du routeur est donc relié au Green de SME. Ensuite les PC reliés au port Lan du routeur doivent être dans le même réseau au sens IP que les PC Wifi, lequel réseau est différent du Green de SME.
Quand on entreprend d'utiliser un routeur Wifi, la démarche est d'abord de le faire fonctionner sans la partie Wan :
- un PC sur un port Lan reçoit-il une adresse ip du serveur DHCP du routeur ?
- un PC sur un port Lan peut-il pinguer le routeur ?
- un PC sur un port Lan peut-il accéder à l'interface web du routeur ?
Une fois atteint l'interface web du routeur, on règle les éléments Wifi de façon progressive : d'abord tout ouvert et sans sécurité jusqu'aux réglages les plus surs (WPA+TKIP/PSK). Le test consiste à pinguer le routeur (dont l'adresse à été déterminée au préalable grace au PC connecté sur un port Lan) et d'accéder à l'interface web.
Un fonctionnement le plus sur du routeur repose sur les points que j'ai déjà indiqué, mais aussi il est important de supprimer ensuite le dhcp du routeur : il ne faudrait pas garder cette facilité alors que l'on a tout fait pour mettre des difficultés au "visiteurs" !
Quand on a atteint la bonne config entre PC Wifi et routeur Wifi, ce qui ne semble pas encore ton cas, on s'attaque à la liaison routeur Wifi et SME. Là il faut savoir si le NAT est activé ou non. Si le NAT est activé, il n'y a pas de besoin de route à ajouter dans le SME puisque le routeur Wifi masquera les PC derrière lui. A ce sujet, l'ensemble du traffic "sortant" (c'est à dire passant au travers) du routeur Wifi disposera de l'adresse Mac du port Wan de celui-ci et, selon l'activation du NAT, l'adresse IP du port Wan. Je ne connais pas l'option "restrict_ip" de SME, mais en tout cas, si c'est le port Wan du routeur qui est relié au SME, la Mac adresse utilisée sera la Mac du port Wan. Mais, personnellement, je ne vois pas bien la relation entre "restrict_ip" et Mac adresse !!
Je pense que c'est à toi de regarder ta config routeur Wifi et de régler ce qu'il faut pour que les PC wifi voient le routeur. Et qu'ensuite tu regarderas le lien au SME.
Le port Wan du routeur est donc relié au Green de SME. Ensuite les PC reliés au port Lan du routeur doivent être dans le même réseau au sens IP que les PC Wifi, lequel réseau est différent du Green de SME.
Quand on entreprend d'utiliser un routeur Wifi, la démarche est d'abord de le faire fonctionner sans la partie Wan :
- un PC sur un port Lan reçoit-il une adresse ip du serveur DHCP du routeur ?
- un PC sur un port Lan peut-il pinguer le routeur ?
- un PC sur un port Lan peut-il accéder à l'interface web du routeur ?
Une fois atteint l'interface web du routeur, on règle les éléments Wifi de façon progressive : d'abord tout ouvert et sans sécurité jusqu'aux réglages les plus surs (WPA+TKIP/PSK). Le test consiste à pinguer le routeur (dont l'adresse à été déterminée au préalable grace au PC connecté sur un port Lan) et d'accéder à l'interface web.
Un fonctionnement le plus sur du routeur repose sur les points que j'ai déjà indiqué, mais aussi il est important de supprimer ensuite le dhcp du routeur : il ne faudrait pas garder cette facilité alors que l'on a tout fait pour mettre des difficultés au "visiteurs" !
Quand on a atteint la bonne config entre PC Wifi et routeur Wifi, ce qui ne semble pas encore ton cas, on s'attaque à la liaison routeur Wifi et SME. Là il faut savoir si le NAT est activé ou non. Si le NAT est activé, il n'y a pas de besoin de route à ajouter dans le SME puisque le routeur Wifi masquera les PC derrière lui. A ce sujet, l'ensemble du traffic "sortant" (c'est à dire passant au travers) du routeur Wifi disposera de l'adresse Mac du port Wan de celui-ci et, selon l'activation du NAT, l'adresse IP du port Wan. Je ne connais pas l'option "restrict_ip" de SME, mais en tout cas, si c'est le port Wan du routeur qui est relié au SME, la Mac adresse utilisée sera la Mac du port Wan. Mais, personnellement, je ne vois pas bien la relation entre "restrict_ip" et Mac adresse !!
Je pense que c'est à toi de regarder ta config routeur Wifi et de régler ce qu'il faut pour que les PC wifi voient le routeur. Et qu'ensuite tu regarderas le lien au SME.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
sme et le wifi
par falempin » 16 Fév 2006 16:23
bonjour à tous
Grâce à vos aides précieuses, mon wifi fonctionne correctement
Je voulais au départ un access point sur mon filaire géré par ma sme et j'ai acheté un routeur-wifi
je voulais le ramener et puis après mûre reflexion, celà me permet de séparer mon lan filaire des nomades qui n'ont juste besoin que de sortir vers le net .
donc chacun chez soi et ça roule
J'ai donc opté pour un cryptage wap/tsk avec un nom pour le ssid
pour ce qui est de restrict ip, il n'a effectivement pas besoin de l' @ mac mais d'une ip
comme j'ai mis le routeur wifi en ip attribuée par mon sme, j'ai donc fait la relation dans le nom d'hote
du manager de tjs attribuer l'ip X.X.X.X à l'@ mac du wan du routeur et il est ainsi autoriser à sortir
vers le net
Pour info à la communauté, je n'arrivai plus après quelques bidouilles à me reconnecter et à revenir en config usine du routeur malgré le reset à l'arrière de l'appareil
IL faut donc couper l'alim, appuyer sur le reset 10 à 20 s , et remettre l'alim
en se reconnectant, il m'a demandé d'upgrader le firmware qui était dans les choux ?
heureusement, j'ai fait cette manip en ligne avec le service technique de chez dlink et le technicien hotline me la mailer dans la foulée, si celà vous arrive ..........
Voilà
à bientôt et merci encore
Grâce à vos aides précieuses, mon wifi fonctionne correctement
Je voulais au départ un access point sur mon filaire géré par ma sme et j'ai acheté un routeur-wifi
je voulais le ramener et puis après mûre reflexion, celà me permet de séparer mon lan filaire des nomades qui n'ont juste besoin que de sortir vers le net .
donc chacun chez soi et ça roule
J'ai donc opté pour un cryptage wap/tsk avec un nom pour le ssid
pour ce qui est de restrict ip, il n'a effectivement pas besoin de l' @ mac mais d'une ip
comme j'ai mis le routeur wifi en ip attribuée par mon sme, j'ai donc fait la relation dans le nom d'hote
du manager de tjs attribuer l'ip X.X.X.X à l'@ mac du wan du routeur et il est ainsi autoriser à sortir
vers le net
Pour info à la communauté, je n'arrivai plus après quelques bidouilles à me reconnecter et à revenir en config usine du routeur malgré le reset à l'arrière de l'appareil
IL faut donc couper l'alim, appuyer sur le reset 10 à 20 s , et remettre l'alim
en se reconnectant, il m'a demandé d'upgrader le firmware qui était dans les choux ?
heureusement, j'ai fait cette manip en ligne avec le service technique de chez dlink et le technicien hotline me la mailer dans la foulée, si celà vous arrive ..........
Voilà
à bientôt et merci encore
- falempin
- Enseigne de vaisseau
- Messages: 150
- Inscrit le: 04 Mars 2005 12:27
- Localisation: Lille
par sebb02 » 19 Fév 2006 06:05
Bonjour,
Cette discussion m'interesse vivement car je viens de franchir la même étape.
Ca fait 5 ans que j'ai un routeur SME et j'ai toujours lu qu'il valait mieux le laisser
en routeur.
Donc voici ce que j'ai fait, apres l'acquisition de mon routeur wifi Lynksys rt54g.
Internet--->ip fixe free :SME: 192.168.1.1 --> 192.168.1.2: routeur Wifi: 192.168.2.1 ---> LAN 192.168.2.xx
Le routeur wifi parametré avec un acces internet IP fixe : passerelle&dns :192.168.1.2 ip :192.168.1.1
Le probleme, c'est qu'il n'est plus possible comme cela d'acceder au SME depuis le LAN. Au debut,
je passais par une connection VPN. Puis quelques semaines après, j'ai vu qu'on pouvait paramétrer
dans le serveur manager du SME , une adresse réseau local :
Onglet :Sécurité>Réseaux Locaux >
mettre : 192.168.2.0 / masque :255.255.255.0 / routeur : 192.168.2.1
Je pense qu'il est possible de sécuriser l'acces au serveur et ibays pour les gens se connectant au wifi.
En effet, dans le routeur wifi, on définit le DHCP pour 192.168.2.65 jusqu à 192.168.2.254.
Si on maitrise les calculs de masques pour IP, je pense qu'on peut définir dans SME un réseau local
tel que 192.168.2.1 --> 192.168.2.64.
Mais je ne maitrise pas cela.Qu'en pensez vous ?
Sebb
Cette discussion m'interesse vivement car je viens de franchir la même étape.
Ca fait 5 ans que j'ai un routeur SME et j'ai toujours lu qu'il valait mieux le laisser
en routeur.
Donc voici ce que j'ai fait, apres l'acquisition de mon routeur wifi Lynksys rt54g.
Internet--->ip fixe free :SME: 192.168.1.1 --> 192.168.1.2: routeur Wifi: 192.168.2.1 ---> LAN 192.168.2.xx
Le routeur wifi parametré avec un acces internet IP fixe : passerelle&dns :192.168.1.2 ip :192.168.1.1
Le probleme, c'est qu'il n'est plus possible comme cela d'acceder au SME depuis le LAN. Au debut,
je passais par une connection VPN. Puis quelques semaines après, j'ai vu qu'on pouvait paramétrer
dans le serveur manager du SME , une adresse réseau local :
Onglet :Sécurité>Réseaux Locaux >
mettre : 192.168.2.0 / masque :255.255.255.0 / routeur : 192.168.2.1
Je pense qu'il est possible de sécuriser l'acces au serveur et ibays pour les gens se connectant au wifi.
En effet, dans le routeur wifi, on définit le DHCP pour 192.168.2.65 jusqu à 192.168.2.254.
Si on maitrise les calculs de masques pour IP, je pense qu'on peut définir dans SME un réseau local
tel que 192.168.2.1 --> 192.168.2.64.
Mais je ne maitrise pas cela.Qu'en pensez vous ?
Sebb
- sebb02
- Matelot
- Messages: 2
- Inscrit le: 19 Fév 2006 05:50
par jibe » 19 Fév 2006 23:57
Salut,
@sebb02 : Effectivement, je pense que la sécurité est bien meilleure avec ton schéma qu'en mettant le routeur en frontal. Et aussi que c'est plus simple à paramétrer. Ceci dit, bien sûr, en supposant que le réseau wifi est "sécure", ce dont je doute toujours... Mais de toutes façons, où que tu mettes le routeur, même si les risques sont différents, ils seront aussi grands.
Pour ton problème d'accès à ta SME, je verrais deux choses :
Par contre, il y a une chose que je m'explique mal (je fatigue ou quoi ?) : en quoi le routeur est-il gênant ? Si je ne m'abuse, un routeur est censé servir de passerelle entre deux réseaux, et par le biais du NATing, transmet les requêtes de façon transparente : il est membre du LAN de la SME, à laquelle il peut transmettre les demandes de son propre LAN, le NATing faisant que la SME répond à la demande comme si le routeur était un poste client, puis la réponse est redirigée sur le LAN du routeur à l'IP demanderesse... Je me trompe ?
@sebb02 : Effectivement, je pense que la sécurité est bien meilleure avec ton schéma qu'en mettant le routeur en frontal. Et aussi que c'est plus simple à paramétrer. Ceci dit, bien sûr, en supposant que le réseau wifi est "sécure", ce dont je doute toujours... Mais de toutes façons, où que tu mettes le routeur, même si les risques sont différents, ils seront aussi grands.
Pour ton problème d'accès à ta SME, je verrais deux choses :
- Ne peux-tu pas mettre ton routeur wifi en simple point d'accès ? Il y a peut-être moyen de le paramétrer pour lui enlever sa fonction routeur... (j'ai très peu d'expérience en wifi, je dis peut-être une énorme bêtise...). Si c'est possible, les postes clients pourraient garder une IP dans le LAN de la SME.
- Pour ton problème de masque de sous-réseau, je tenterais 255.255.255.192... à vérifier...
Par contre, il y a une chose que je m'explique mal (je fatigue ou quoi ?) : en quoi le routeur est-il gênant ? Si je ne m'abuse, un routeur est censé servir de passerelle entre deux réseaux, et par le biais du NATing, transmet les requêtes de façon transparente : il est membre du LAN de la SME, à laquelle il peut transmettre les demandes de son propre LAN, le NATing faisant que la SME répond à la demande comme si le routeur était un poste client, puis la réponse est redirigée sur le LAN du routeur à l'IP demanderesse... Je me trompe ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
par jdh » 20 Fév 2006 00:33
Il est difficile de trouver de simples "access-point" Wifi. Il est assez facile de trouver des "routeurs" Wifi. Le prix étant quasi identique, le plus peut le moins et l'emporte en terme de marché.
Ces "routeurs" Wifi sont généralement équipés d'une prise "Wan" (ethernet), de 3 ou 4 prises "Lan" (ethernet) et bien sur d'une antenne (voire plusieurs pour la techno mimo). Il est à noter que les prises "Lan" (ethernet) sont dans le "même" réseau que les PC se connectant en Wifi.
La configuration se fait généralement à d'une d'un simple PC sur un des ports "Lan".
Pour transformer un "routeur" en "access-point", il suffit de ne pas s'intéresser à la prise "Wan" (en lui donnant une adresse fixe sans intéret et en prenant comme "passerelle" par défaut celle du réseau filaire).
On peut garder le fonctionnement "routeur" en prenant en compte le port "Wan". Il appartient soit d'ajouter une route au firewall "supérieur" s'il n'y a pas de NAT, soit de ne pas en ajouter si le NAT est activé.
Il est tout à fait clair que le fonctionnement en "access-point" est le plus simple : le câble reliant le firewall va sur une prise "Lan" et il n'y a rien à faire de plus (hors partie Wifi à configurer sérieusement pour éviter/limiter les intrus). Là où le bas blesse, c'est quand il y a des PC connectés aux ports "Lan" disponibles : rien ne les protège des PC Wifi puisqu'ils sont dans le même réseau.
Par contre, il suffit de ne pas mettre de PC "Lan", de mettre une carte réseau spécifique dans le firewall et on obtient une zone contrôlable simplement.
Le mode routeur (avec ou sans NAT) complique un peu les choses : une route est nécessaire pour le mode "sans NAT", ou en mode NAT les PC sont "cachés" et il n'est pas possible d'en atteindre plus d'un pour un service particulier.
Je note que SME n'est pas aussi multi-zones qu'une MNF ou d'un distrib avec script firewall spécifique. Donc il n'est pas forcément simple de permettre ou d'interdire certains accès selon la topologie du lien (Wifi ou Ethernet).
Ces "routeurs" Wifi sont généralement équipés d'une prise "Wan" (ethernet), de 3 ou 4 prises "Lan" (ethernet) et bien sur d'une antenne (voire plusieurs pour la techno mimo). Il est à noter que les prises "Lan" (ethernet) sont dans le "même" réseau que les PC se connectant en Wifi.
La configuration se fait généralement à d'une d'un simple PC sur un des ports "Lan".
Pour transformer un "routeur" en "access-point", il suffit de ne pas s'intéresser à la prise "Wan" (en lui donnant une adresse fixe sans intéret et en prenant comme "passerelle" par défaut celle du réseau filaire).
On peut garder le fonctionnement "routeur" en prenant en compte le port "Wan". Il appartient soit d'ajouter une route au firewall "supérieur" s'il n'y a pas de NAT, soit de ne pas en ajouter si le NAT est activé.
Il est tout à fait clair que le fonctionnement en "access-point" est le plus simple : le câble reliant le firewall va sur une prise "Lan" et il n'y a rien à faire de plus (hors partie Wifi à configurer sérieusement pour éviter/limiter les intrus). Là où le bas blesse, c'est quand il y a des PC connectés aux ports "Lan" disponibles : rien ne les protège des PC Wifi puisqu'ils sont dans le même réseau.
Par contre, il suffit de ne pas mettre de PC "Lan", de mettre une carte réseau spécifique dans le firewall et on obtient une zone contrôlable simplement.
Le mode routeur (avec ou sans NAT) complique un peu les choses : une route est nécessaire pour le mode "sans NAT", ou en mode NAT les PC sont "cachés" et il n'est pas possible d'en atteindre plus d'un pour un service particulier.
Je note que SME n'est pas aussi multi-zones qu'une MNF ou d'un distrib avec script firewall spécifique. Donc il n'est pas forcément simple de permettre ou d'interdire certains accès selon la topologie du lien (Wifi ou Ethernet).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par sibsib » 20 Fév 2006 22:47
Bonjour,
Outre l'excellente explication de jdh sur l'usage d'un routeur en access-point (que je vais tester rapidement sur mon WRT54G), je me permets une petite reprise sur ta proposition de configuration :
Là, il y a petite gourance (ou inversion lors de ta saisie, je ne sais pas). Sur le serveur SME, il faut que tu mentionnes le réseau se trouvant derrière le routeur Wi-Fi, mais en présisant comme chemin l'adresse 'externe' du routeur Wi-Fi (celle dans le réseau SME, qui doit être 192.168.1.2, je pense).
Après, il faut en outre que ton routeur Wi-Fi soit configuré en mode 'Non NAT' (et toutes fonctions firewall désactivées : dans ce cas, le firewall protège le Wi-Fi de SME, pas l'inverse
)
A partir de là, il devrait être possible depuis un P.C. 'Wi-Fi' de pinguer l'interface LAN de SME.
A+,
Pascal
Outre l'excellente explication de jdh sur l'usage d'un routeur en access-point (que je vais tester rapidement sur mon WRT54G), je me permets une petite reprise sur ta proposition de configuration :
sebb02 a écrit:Internet--->ip fixe free :SME: 192.168.1.1 --> 192.168.1.2: routeur Wifi: 192.168.2.1 ---> LAN 192.168.2.xx
Le routeur wifi parametré avec un acces internet IP fixe : passerelle&dns :192.168.1.2 ip :192.168.1.1
Onglet :Sécurité>Réseaux Locaux >
mettre : 192.168.2.0 / masque :255.255.255.0 / routeur : 192.168.2.1
Là, il y a petite gourance (ou inversion lors de ta saisie, je ne sais pas). Sur le serveur SME, il faut que tu mentionnes le réseau se trouvant derrière le routeur Wi-Fi, mais en présisant comme chemin l'adresse 'externe' du routeur Wi-Fi (celle dans le réseau SME, qui doit être 192.168.1.2, je pense).
Après, il faut en outre que ton routeur Wi-Fi soit configuré en mode 'Non NAT' (et toutes fonctions firewall désactivées : dans ce cas, le firewall protège le Wi-Fi de SME, pas l'inverse
)
A partir de là, il devrait être possible depuis un P.C. 'Wi-Fi' de pinguer l'interface LAN de SME.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par sibsib » 04 Mars 2006 21:31
Bonjour,
Je fais un peu de 'déterrage de post'.
Ce matin je me suis lancé :
J'ai un routeur Linksys WRT54G (mais avec un des firmware open source, qui me permet d'avoir un accès SNMP et un transfert du log syslog).
J'ai dans la conf carrément désactivé le port Ethernet qui va généralement ver l'accès Interne, et j'ai connecté un des 4 ports du switch interne sur mon LAN.
Résultat : maintenant, les postes Wi-Fi sont dans le même réseau que les postes 'filaires' et que SME, SME sert en DHCP tout le monde ... et c'est beaucoup plus simple comme çà.
Evidemment, au niveau sécu, un quidam qui arrive à se connecter à mon WRT54G est sur mon lan direct, mais finalement çà ne change pas grand chose.
Donc, pour mon expérience perso : un routeur Wi-Fi peut tout à fait faire l'access-point.
A+,
Pascal
Je fais un peu de 'déterrage de post'.
Ce matin je me suis lancé :
J'ai un routeur Linksys WRT54G (mais avec un des firmware open source, qui me permet d'avoir un accès SNMP et un transfert du log syslog).
J'ai dans la conf carrément désactivé le port Ethernet qui va généralement ver l'accès Interne, et j'ai connecté un des 4 ports du switch interne sur mon LAN.
Résultat : maintenant, les postes Wi-Fi sont dans le même réseau que les postes 'filaires' et que SME, SME sert en DHCP tout le monde ... et c'est beaucoup plus simple comme çà.
Evidemment, au niveau sécu, un quidam qui arrive à se connecter à mon WRT54G est sur mon lan direct, mais finalement çà ne change pas grand chose.
Donc, pour mon expérience perso : un routeur Wi-Fi peut tout à fait faire l'access-point.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
11 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité