réseau d'une résidence d'étudiants

[henri 3M]

Bonjour,


Je dois organiser le réseau d'une résidence d'étudiants : en fonction de la prise sur laquelle se connecte un étudiant, il aura accès ou non à certains services (web ; peer to peer ; messageries etc.). Il n'y a pas de wifi. Tout étudiant peut brancher un portable sur une prise RJ45 pour travailler, on ne connaît donc pas les adresses mac des machines.
Il y aura, au plus, 30 utilisateurs présents simultanément. Habituellement une 15°.

70 cables arrivent dans une armoire de brassage.
Il y aura 3 'groupes de prises' RJ45 (les 'groupes' correspondent à différentes salles).

- groupe 1 (30 prises) : seulement quelques services ouverts (messsageries, impression ...)
- groupe 2 (25 prises) : accès à tout.
- groupe 3 (15 prises) : serveurs internes (impression ; ldap). Toutes les machines doivent y avoir accès.

J'utilise déjà ipcop et BOT et je pensais à une solution du style suivant :

192.168.10.0/24 -- switch --- routeur1 (serveur DHCP1) --|
192.168.20.0/24 -- switch --- routeur2 (serveur DHCP2) --|--192.168.1.0/24 ---ipcop(BOT) ---freebox
192.168.30.0/24 -- switch --- routeur3 (serveur DHCP3) --|

BOT ouvre de services souhaités pour chaque réseau en fonction de l'adresse MAC des 3 routeurs.


Quel modèle de routeur économique ferait l'affaire ? (router vers ipcop et vers le réseau3)

Mais surtout : y aurait-il des solutions plus 'propres' ?

Par exemple un switch admnistrable qui ferait aussi le routage entre les 3 VLAN ?
- mais alors comment distinguer les réseaux au niveau du BOT ?
- auriez-vous des orientations sur le matériel à choisir ?


Si vous avez eu le courage de lire ce post jusqu'au bout, je suis déjà reconnaissant. Si en plus vous avez quelques idées ...
Un grand merci.

Henri.

[jdh]

Bien bel effort de présentation ! (si tout le monde pouvait en prendre de la graine ..)

1er point :
J'espère que les stratégies ne sont pas gravés dans le marbre : P2P = non !

2me point :
IPCOP est à l'aise avec un seul réseau Green. Et il serait assez stupide de mettre en place un routeur NAT.

Bien sur les utilisateurs doivent IMPERATIVEMENT utiliser du DHCP.

Je pense qu'à l'inscription, il FAUT prendre l'adresse MAC du matériel qui sera connecté. Je ne vois pas le temps que cela va prendre quand il faudra en plus brasser la prise !

Je mettrais un DHCP avec UNIQUEMENT les adresses MAC connues : à l'inscription la MAC + 1 adresse ip (non communiquée) dans le DHCP. Ensuite le filtrage est basé sur cette adresse.

Je regarderais du côté d'Arpwatch qui pourrait avertir d'un changement d'adresse MAC pour une adresse ip : pour prévenir du spoofing sauvage : "ah bon, ton ip a le droit de faire ceci, je vais me mettre en adresse statique et piquer ton adresse ip".


Bref cela exige d'être hyper rigoureux ...

[ccnet]

Mais surtout : y aurait-il des solutions plus 'propres' ?

En préalable, il n'est pas si difficile d'exposer correctement le besoin, ce post en est la preuve. Ce n'est pas si fréquent pour que l'on en remercie l'auteur.

Il y a une solution "plus propre" en effet mais plus complexe à mettre en oeuvre (encore que ...). Il s'agirait d'utiliser des Vlans, Pfsense et du NAC. Avant d'aller plus loin, si je comprend bien l'idée, je ne comprend pas son aspect fonctionnelle :

en fonction de la prise sur laquelle se connecte un étudiant, il aura accès ou non à certains services

Dans ce cas tout le monde va se connecter aux prises donnant accès à tout. Non ? Je comprendrai bien qu'en fonction d'une identité (donc du résultat d'une authentification) différents utilisateurs accèdent à certaines ressources spécifiquement. Quelque chose m'échappe à ce niveau.

[henri 3M]

Merci pour votre réponse.

Pour le premier point, je me suis mal exprimé : le P2P sera bloqué partout.

Pour le deuxième point :
On pourra prendre les adresses MAC même si ce n'est pas pratique pour les 'invités' occasionnels.


La difficulté c'est que nous ne filtrons pas en fonction des personnes (adresse MAC) mais en fonction de la salle où on se branche.
(C'est entre autres pour maintenir le calme dans les salles d'études et la bibliothèque ... )

C'est pour ça que j'ai imaginé des sous-réseaux avec chacun un routeur : Ipcop a un seul GREEN, et je peux utiliser BOT en distinguant les réseaux grâce au MAC de ces routeurs.
Mais je trouve que cette solution fait un peu bidouille ...

Voilà le point que je n'arrive pas à résoudre correctement.

Henri.

[henri 3M]

Merci à ccnet :

Effectivement on peut avoir plus de 'droits' en se branchant sur certaines prises.

Nous n'auront qu'une freebox. (Ipcpop avec une RED et une GREEN). J'ai regardé rapidement Pfsense, j'ai l'impression que c'est pour gérer plusieurs accès internet simultanément.


Merci.

Henri.

[ccnet]

Effectivement on peut avoir plus de 'droits' en se branchant sur certaines prises

Ils vont tous se brancher dessus ?!

Vous n''authentifiez pas les utilisateurs ?

J'ai regardé rapidement Pfsense, j'ai l'impression que c'est pour gérer plusieurs accès internet simultanément.

Pas spécifiquement même si Pfsense gère le multiwan, la redondance.

Dans votre cas Pfsense gérant les vlans sur ses interfaces, et en utilisant des switchs administrable le problème serait facile à résoudre en utilisant la prise comme "critère de filtrage". Un Vlan, un sous réseau, un jeu de règles par sous réseau.

[henri 3M]

Pfsense semble convenir parfaitement !

Mais je ne suis pas sûr d'avoir bien compris le principe des VLANs :

1.
Je pense qu'on les définit au niveau du switch administrable, puis on connecte chaque VLAN à une carte réseau sur Pfsense :

Il faudrait alors 5 cartes sur la machine Pfsense :
- WAN
- VLAN1
- VLAN2
- VLAN3
- une DMZ (dont je n'ai pas parlé dans les poste précédents)

Est-ce bien cela ?


2.
Dans les screenshots de l'installation de Pfsense je vois : (assign), WAN, LAN, OPT1 et OPT2
Est-ce à ce niveau de l'installation qu'apparaîtra la liste des 5 cartes ?
(j'imagine que LAN OPT1 OPT2 ... OPTn sont équivalentes pour Pfsense).



3.
Pour le choix du switch : auriez-vous une orientation de matériel ?
Il suffirait d'un switch administrable de niveau1 ('par port'). Le matériel que je trouve est toujours beaucoup plus sophistiqué.


Merci de m'avoir orienté sur Pfsense.

H.

[ccnet]

Point 1:
Non pas du tout. Vlan : Virtual lan. Une seule carte physique est capable de "porter" tous les vlans.
Sur le switch on défini pour chaque port un Vlan, mais on peut aussi pour un port, passer tous les vlans (port Trunk chez Cisco). On commecte donc la carte portant l'ensemble des Vlans au port tuink.

Faite une recherche pour bien comprendre ce qu'est un vlan et comment cela fonctionne.

Point 2 : Quand vous aurez compris les Vlan ça deviendra clair. On créé des interfaces logiques (Vlan) sur une interface physique. Elles apparaissent alors dans le menu Interfaces.

Point 3 : pour vous faire la main, voire plus, vous pouvez trouver des Cisco Catalyst 2900 ou 3500 pour pas cher (100-200 euros selon nombre de ports).

[henri 3M]

Grand merci à ccnet et jdh : le projet est lancé

Henri.

[Franck78]

On peut rester simple.

Puisque le switch représente à lui seul un LAN (ou une zone), il suffit de ramener chaque switch sur une carte réseau distincte.
Pas de VLAN, pas de switches cher car administrable.

Juste un pfsense ou autre debian+shorewall pour faire le tri entre les switches et la quatrième carte (la freebox ou IPCop).
En choissisant correctement le plan d'adressage et le masque de réseau, il n'y a aucun problème. Deux cartes DUAL ports ainsi que le port intégré à la mobo et voila!

[henri 3M]

Merci pour votre réponse.
Effectivement, pour des switch neufs Netgear c'est 50% moins cher.

H.