ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


Point d'accès sans fil avec plusieurs SSID et VLAN

Le but de ce document est de décrire la mise en œuvre d'un point d'accès WiFi en utilisant Zeroshell sur un système avec une carte réseau WiFi contenant un chipset Atheros. Le document est divisé en deux sections suivantes:

Pourquoi mettre en œuvre un Wireless Access Point avec des modules du noyau Linux à partir du projet MadWifi?

Merci à l'utilisation des modules MadWifi par le noyau Linux, il est possible de mettre en œuvre un Wireless Access Point avec un ordinateur personnel ou un appareil embarqué qui a une carte réseau Wi-Fi (PCI ou MiniPCI) avec un chipset Atheros. Cette fonctionnalité est disponible à partir de la version 1.0.beta8 de Zeroshell, qui introduit le support WiFi en mode AP (Access Point) ou STA (dans lequel un routeur Zeroshell / pont peut être associé en tant que client dans un réseau local sans fil).
L'option d'utiliser les pilotes madwifi, combinée avec l'utilisation de wpa_supplicant et forfaits hostapd, est due à leur capacité à exercer les fonctions d'un AccessPoint avec des fonctionnalités avancées, par exemple:
  • accès authentification et le chiffrement du trafic sans fil à travers WPA/WPA2 (RSN). Il est pris en charge soit en mode WPA-PSK, dans lequel le client, afin d'être associé à un SSID, doit connaître la clé pré-partagée, ou le mode WPA-EAP, également connu sous le nom WPA Enterprise, dans lequel un utilisateur peut devenir authentifié avec nom d'utilisateur et mot de passe ou un certificat numérique X.509 validée par un serveur Radius. Les deux l'algorithme de chiffrement TKIP et CCMP le plus sûr, basé sur AES, sont pris en charge;
  • Gestion du mode Multiple SSID (aussi appelé Virtual SSID), grâce à laquelle il est possible de créer jusqu'à 4 points d'accès virtuels autonomes pour chaque carte réseau WiFi dans le système. Il est clair que SSID virtuels appartenant à la même part carte réseau WiFi le canal radio utilisé, et donc la bande passante disponible. En outre, pour chaque SSID virtuel, il est possible d'établir une authentification autonome et schéma de cryptage (en clair, WPA-PSK, WPA Enterprise ou WEP à 128 bits).
    Parmi les quatre SSID possible, on peut également travailler en mode managé et de s'associer à un réseau WLAN en tant que client. Par exemple, ce qui est utile pour étendre la portée du réseau sans fil lui-même la mise en œuvre par des répéteurs qui travaillent dans WDS (Wireless Distribution System), mais n'ont pas besoin d'être interconnectés au moyen d'un réseau filaire.
  • Compatibilité avec les chaînes réseau dans les 5 GHz (802.11a) et la bande 2,4 GHz (802.11b et 802.11g) de la bande. En particulier, dans le cas où le mode 802.11g est sélectionné, la compatibilité est garantie pour les anciens clients qui n'ont que la norme 802.11b.
Zeroshell identifie chaque SSID virtuel comme s'il s'agissait d'une interface Ethernet (ETHnn). Il permet d'exploitation sur les réseaux Wi-Fi, en utilisant une interface WiFi, ainsi que des interfaces filaires. En d'autres termes, sur le SSID, il est possible:
  • Pour ajouter des adresses IP, routage statique et ne permettre à la RIP v2 protocole d'acquérir et de propager les routes dynamiques;
  • Appliquer classes de QoS de faire le lissage du trafic en attribuant différents niveaux de priorité, et la bande passante maximale garantie pour différents types de trafic (VoIP, P2P, SSH, HTTP, ...);
  • Ne combler avec des interfaces Ethernet, VLAN 802.1q, VPN LAN-to-LAN ou SSID autres. En particulier, la possibilité de faire un pont ou liaison de couche 2 avec un SSID virtuel qui fonctionne comme un client avec une qualité d'un point d'accès, permettant la soi-disant WiFi Repeater (ou WDS) qui étend la zone de couverture du WLAN;
  • Activer services, y compris DHCP et portail captif et filtre le trafic au moyen d'appliquer le pare-feu.
  • Appliquer collage, qui consiste à ajouter deux ou plusieurs interfaces de manière à augmenter la bande passante (load balancing) et de la fiabilité (tolérance aux pannes). Naturellement, afin d'avoir de liaison sans fil, il est nécessaire que le SSID virtuel qui la composent appartiennent à différentes interfaces Wi-Fi afin d'équilibrer le trafic sur les chaînes de radio différentes.

Gérer les interfaces sans fil et multi-SSID avec le wifi-manager

Bien en utilisant l'interface web Zeroshell (voir figure), il est possible de gérer les interfaces réseau qui représente les SSID, les opérations pour la création et la gestion de ce dernier concernant les paramètres sans fil comme le canal à utiliser la puissance de transmission en dBm et le chiffrement, sont tous géré par un script qui est appelé par la commande shell wifi-manager d'une série RS232 ou VGA console ou par une session SSH distant. Ci-dessous vous pouvez voir le menu principal du wifi-manager:
root@gw-adsl root> wifi-manager

[wifi0]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02  AP     WLAN with Captive Portal          no     Plaintext
   ETH03  AP     WLAN with Pre-Shared Key          no     WPA-PSK  
   ETH04  AP     WLAN with 802.1x Radius Auth.     no     WPA-EAP  
   ETH05  AP     WLAN with WEP                     no     WEP128

[wifi1]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
   ETH06 STA     wrap-psk                          no     WPA-PSK  

COMMANDS
  <N> New SSID               <M> Modify SSID
  <D> Delete SSID            <I> Show Information
  <C> Std/Channel/Tx-Power
  <L> List Stations          <S> Channel Scanning
  <R> Restarting Devices     <Q> Quit

>>


Comme vous pouvez le voir, ce système d'illustration est faite avec un ALIX 2C2 PC embarqués avec 2 interfaces WiFi avec le chipset Atheros AR5413 802.11abg, capables de fonctionner soit en 802.11b/g ou 802.11a. Sur l'interface wifi0 sans fil 4 points d'accès virtuels partageant la même fréquence radio sont définis, chacun avec son propre système d'authentification et de schéma de chiffrement.
  • L'interface ETH02 correspond au WLAN lorsque le SSID est "WLAN avec Captive Portal". Pas de cryptage (texte brut) est défini ci-dessus, mais l'authentification est successivement délégué au portail captif;
  • L'interface ETH03 correspond à un "réseau local sans fil avec Pre-Shared Key" SSID avec la protection WPA-PSK, qui peut être consulté en connaissant la clé partagée défini lors de la création du SSID. Ce mode de protection, qui remplace WEP, d'ici là très vulnérables à la capture d'un certain nombre de paquets, est considérée comme suffisamment sûre si elle utilise une clé pré-partagée avec la taille adéquate et de la complexité. Naturellement, comme avec le WEP, l'administrateur doit communiquer cette clé à tous les utilisateurs qui pourront accéder au réseau sans fil, et doit le changer périodiquement. Cela est faisable en petites installations, comme une configuration interne ou SOHO, mais il devient encombrant quand le nombre d'utilisateurs et de points d'accès se développe;
  • L'interface ETH04 se réfère à le point d'accès avec "WLAN avec 802.1x RADIUS Auth." SSID où un système de cryptage WPA-EAP a été configuré. Ce genre de méthode de protection est la plus sûre et flexible, et est donc utilisé dans des configurations importantes et donc WPA-EAP est également connu sous le nom WPA Enterprise. Sa flexibilité est due au fait que les clés de chiffrement ne sont pas générés par l'administrateur, mais automatiquement par un service RADIUS 802.1x travers, qui authentifie l'utilisateur au moyen d'un nom d'utilisateur et un mot de passe (en utilisant PEAP avec MSCHAPv2 ou EAP-TTLS) ou au moyen d'un certificat numérique X.509 (en utilisant EAP-TLS). Lors de la configuration SSID avec WPA-EAP, on peut choisir d'utiliser les locaux Zeroshell serveur RADIUS ou faire référence à un serveur RADIUS externe. Dans le premier cas, il n'est pas nécessaire de configurer un secret partagé, alors que dans le second cas, l'aide d'un RADIUS externe, il est nécessaire de le spécifier.
  • WEP 128-bit de cryptage est défini sur la dernière interface. Si ce n'est pas strictement nécessaire en raison de l'existence d'anciens clients qui ne sont pas compatibles avec WPA/WPA2, WEP doit être évitée, compte tenu du faible niveau de protection qu'elle garantit.

Sur l'interface wifi1 un seul SSID est défini en mode client. Cette interface se connecte au réseau sans fil appelé "WRAP-PSK", protégé par une clé pré-partagée. S'il vous plaît noter que d'une carte WiFi peut avoir un maximum d'un SSID agit comme un client. Le SSID doit correspondre à d'autres les points d'accès virtuels. En outre, étant donné que tous les SSID appartiennent à la même carte WiFi et de partager la chaîne, celle-ci coïncidera avec le canal radio du WLAN externes. Cela signifie inévitablement le partage de la bande passante.
Compte tenu de la simplicité du wifi-manager, il est inutile de décrire maintenant chaque commande unique, car son utilisation devrait être très intuitif. Le seul avis est par rapport à la "Std/Canal/Tx-Power" voix qui est activé avec la touche C à partir du menu. Avec cela, il est possible de mettre en œuvre la norme (802.11a, 802.11b et 802.11g et plus tard, avec les nouvelles versions du pilote madwifi, également pour la norme 802.11n, toujours en état d'ébauche), la station de radio disponibles à haute fréquence pour la norme choisie et une puissance d'émission exprimé dBm ou i mW. En particulier, il est nécessaire de fixer ce dernier paramètre soigneusement pour éviter de dépasser la limite de puissance permise par la loi où ils sont situés.
Comme il a déjà laissé entendre, une fois que le SSID sont créés et configurés avec le wifi-manager , si elles correspondent à des points d'accès virtuels ou les connexions des clients, ils apparaissent dans toutes et à tous que l'Ethernet (ETHnn) interfaces qui peuvent être manipulées via l'interface web Zeroshell. Dans l'exemple illustré dans la figure ci-dessous, les quatre sans fil Multi SSID et l'interface filaire ETH00 sont briged dans un BRIDGE00 unique (ETH00, ETH02, ETH03, ETH04, ETH05) interface.


Wifi Setup
Configuration de l'interface. Cliquez sur l'image pour l'agrandir.



Faire les choses, les 4 réseaux locaux sans fil, quelle que soit leur mode d'accès (WPA-PSK, WPA-EAP, portail captif ou WEP), la part de la même couche 2 du réseau local qui est accessible via l'interface Ethernet ETH00. Le fait de partager le niveau de liaison de données pour les composants SSID plusieurs, il est possible d'utiliser le serveur DHCP LAN (si existant) ou ne doit activer un seul sous-réseau DHCP accroché à l'interface du pont. Évidemment, puisque le classement de pare-feu et QoS agissent également sur les interfaces pontées, il est possible d'appliquer un accès indépendant et les règles de trafic pour chaque SSID. Par exemple, il était possible de bénéficier les utilisateurs que l'accès à travers le WPA Enterprise à l'égard de ceux qui utilisent le portail captif, puisque nous avons vu que dans le trafic de celui-ci n'est pas chiffré.

Carte réseau local sans fil sur le VLAN 802.1q

Si les réseaux locaux virtuels sont définis sur les commutateurs LAN dans le sens de leurs ports sont logiquement regroupés pour qu'elles apparaissent comme appartenant à différents (virtuelle) des commutateurs, la communication entre ces commutateurs est possible via les ports du tronc ou dans une goulotte. Ces ports sont caractérisés par l'appartenance simultanée à plusieurs VLAN; les paquets passant par eux doivent être identifiés par des balises (ou vidéos) qui permettent d'identifier la source / VLAN cible. L'un des protocoles les plus largement utilisés à ressources partagées est celui défini dans la norme IEEE 802.1q, qui a une étiquette 12-bit avec une plage de valeurs valides de 1 à 4094. Qui plus est, il définit la notion de VLAN natif, qui est le VLAN dont les paquets passent par le tronc comme d'habitude, les trames Ethernet non balisés. VLAN autochtones sont également affectés à des tâches de gestion. La diffusion de cette norme a permis à l'interopérabilité entre les différentes marques de périphériques réseau et des modèles, même les réseaux locaux virtuels sont présents. En particulier, la fonction de la cartographie du VLAN dans lequel le réseau local est divisé sur les différents SSID sans fil est de plus en plus répandue. Cela permet une homogénéité dans la répartition des sous-réseau IP entre les réseaux locaux virtuels comprenant le LAN et le SSID constituant le WLAN. Merci de soutenir Zeroshell de VLAN 802.1q, la gestion des SSID multiples par un point d'accès unique et la possibilité de combler les interfaces qui représentent les VLAN avec ceux qui représentent le SSID, c'est désormais possible et économique, sans avoir à utiliser un (physique) . Point d'accès pour chaque réseau local virtuel qui doit être atteint via le réseau sans fil.
Par exemple, supposons que l'organisation a son LAN subdivisée en 2 VLAN:
  • Un VLAN pour permettre l'accès à des hôtes de service et les bureaux du personnel permanent de l'organisation. Ce VLAN, sur lequel aucune restriction sont définis par le pare-feu concernant les ressources réseau internes, a VID (VLAN ID) 1220 et doit être accessible via sans fil par un SSID appelé "réseau de confiance". L'accès à ce réseau local sans fil doit être autorisé que pour ceux qui possèdent une carte à puce eToken ou avec un certificat X.509 personnels, ce grâce à WPA-EAP avec RADIUS permis de répondre à EAP-TLS;
  • Un VLAN pour permettre aux invités leur ordinateurs portables d'accéder à Internet, mais avec quelques règles de pare-feu qui limitent l'accès aux ressources réseau internes. Ces VLAN, dont le VID est établi en 2350, est également via sans fil avec un SSID non crypté appelé "Client réseau". Bien que le trafic passe en clair sur ce WLAN, l'authentification d'accès est demandé depuis le portail captif dont l'accès est accordé par un nom d'utilisateur et mot de passe temporaire accordée aux clients. Le choix d'utiliser le Captive Portal pour ce VLAN est motivé par la simplicité d'accès, qui ne contraint pas les clients à configurer leur supplicant WiFi pour demander l'accès à l'Entreprise WPA. Cette dernière opération n'est pas toujours immédiat et / ou facilement pris en charge par tous les systèmes d'exploitation, tandis que le portail captif permet d'accéder quel que soit le type de système pour autant qu'il dispose d'un navigateur web.

Comme illustré ci-dessous, deux SSID virtuels sont créés à travers le wifi-manager: "Trusted Network" correspond à l'interface Ethernet ETH02, et a WPA Enterprise active; "Guest Network" correspond à ETH03 lieu. Même si le matériel que nous utilisons possède 2 cartes réseau WiFi (wifi0 et wifi1), il a été décidé de créer deux SSID sur wifi0. Cela permettrait d'économiser un canal radio, qui est une ressource précieuse quand 802.11b utilisant / g, puisqu'il n'y a que trois canaux sans chevauchement de fréquences (1,6 et 11).
root@multi-AP root> wifi-manager

[wifi0]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02  AP     Trusted Network                   no     WPA-EAP  
   ETH03  AP     Guest Network                     no     Plaintext                   

[wifi1]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -

COMMANDS
  <N> New SSID               <M> Modify SSID
  <D> Delete SSID            <I> Show Information
  <C> Std/Channel/Tx-Power
  <L> List Stations          <S> Channel Scanning
  <R> Restarting Devices     <Q> Quit

>>


Maintenant, supposons que l'interface ETH00 Ethernet est connecté à un commutateur sur un port trunking par lequel les deux réseaux locaux virtuels sont réalisés avec des tags 1220 et 2350 en plus des VLAN natif: l'aide du bouton [Create VLAN] nous ajoutons ce qui précède Virtual LAN . Une fois cela fait, nous créons deux ponts en appuyant sur [Create BRIDGE]: BRIDGE00 doit communiquer ETH00.1220 (VLAN 1220) avec ETH02 (SSID "Trusted Network") dans la couche 2, tandis que BRIDGE01 doit communiquer ETH00.2350 (VLAN 2350 ) avec ETH03 (SSID "Guest Network"). Tout est illustré dans la figure ci-dessous:

SSID-VLAN
SSID et le VLAN 802.1q. Cliquez sur l'image pour l'agrandir.


Vous remarquerez peut-être que ce n'est pas strictement nécessaire d'attribuer une adresse IP à deux ponts, tandis que l'interface ETH00, ce qui correspond au VLAN natif, est attribué d'adresse IP 192.168.0.75, la connexion à lui faire exécuter des options de gestion de Zeroshell.
Voici, pour terminer cette tâche, il suffit d'activer le portail captif de la session [Captive Portal]->[Gateway] sur ETH03 interface (SSID "Guest Network") en mode Bridge.

Elargir le Wireless géographiquement par le biais OpenVPN

Zeroshell utilise OpenVPN avec Tap (Ethernet virtuel) des dispositifs comme une solution de site à site VPN. Ceci offre des avantages par rapport aux protocoles comme IPSec dans le sens qu'il permet de connecter des sites organisation qui sont géographiquement éloignés en utilisant la couche 2. En fait, depuis l'interface Tap (Zeroshell il appelle VPNnn) est très similaire à l'interface Ethernet (ETHnn), le VPN peut être comblé avec ce dernier et également avec SSID sans fil. Ainsi, puisqu'il n'y a pas de routage des processus entre le LAN et le WLAN, qu'ils soient locaux ou distants connectés via un VPN, le même sous-réseau IP peut être utilisé partout. Par conséquent, non seulement un seul serveur DHCP peut être utilisé pour distribuer la même adresse IP à chaque client, quel que soit le site et le type de connexion (filaire ou sans fil), mais des protocoles tels que NetBIOS, utilisé pour partager des ressources comme les imprimantes Windows et les dossiers, peut fonctionner sans avoir à utiliser un serveur WINS afin de découvrir les ressources du réseau, puisque le trafic de diffusion est uniformément diffusées sur le LAN et WLAN (locale et distante).
Grâce toujours à la similitude entre le VPN et OpenVPN fait avec des connexions Ethernet réelle , il est possible de généraliser l'exemple précédent par le transport de VLAN 802.1q dans des sites distants, ainsi, de les étendre sans fil via les interfaces en comblant qui représentent les VLAN transportés par le VPN (dans l'exemple précédent, ils sont VPN00.1220 et VPN00.2350 ) avec "Trusted Network" et "Guest Network" SSID.



    Copyright (C) 2005-2012 by Fulvio Ricciardi