[Ran] questions sur m0n0wall

Didier Lebrun dl at vaour.net
Jeu 16 Fév 17:41:45 CET 2006


At 10:24 16/02/2006 +0100, you wrote:
>je me lance, j'ai enfin l'ADSL, un début de backbone (wl rate 9
>rules !!!)
>je me tate pour installer m0n0wall sur un vieux pc :
>
>je ne connais RIEN en cryptage, radius, etc,
>j'imaginais 2 scénarios possibles (sans trop connaitre les détails
>techniques...)
>
>- soit je mets du cryptage WEP ou WPA avec authentification via un
>serveur Radius qui sera sur le réseau local --> ce qui fait que les
>communications entre les différents WRT du réseau sont cryptées, et
>les WRT qui n'ont pas la config cryptage requise ne rentre pas sur le
>réseau, donc n'arrive pas jusqu'au m0n0wall. Ce que je ne sais pas du
>tout : si mes WRT client-bridge sont authentifiés, est-ce que les
>ordis des clients derrière les WRT le seront aussi ?

En WEP ou WPA, ce sont uniquement les appareils wifi qui s'authentifient 
entre eux. Les clients filaires derrière n'ont rien à déclarer pour passer 
dès lors que le tuyau est établi.

Il faut par contre que tu te méfies des risques de pollution entre usagers 
dûment authentifiés si tu utilises le mode bridgé sur les clients wifi. 
Tous les ordis des clients se retrouvent ouverts les uns aux autres. Les 
répertoires partagés sous LAN manager sont notamment visibles de tout le 
monde et les éventuels virus peuvent librement circuler à travers tout le 
réseau. Tu risques également des problèmes si quelqu'un active un serveur 
DHCP quelque part sur le réseau, sans forcément en être conscient. Il est 
cependant possible d'y remédier en distribuant des netmask de 
255.255.255.255 aux clients en couche 2, mais c'est un peu sioux à gérer au 
niveau du serveur DHCP et ça ne fonctionne que pour les clients Windows, 
qui tolèrent que la passerelle par défaut ne soit pas dans leur subnet.


>- soit je mets pas de cryptage (on pourra sniffer, tant pis) et je
>mets juste en place une authentification Radius+MAC sur le m0n0wall
>en utilisant les fonctions du portail captif, à ce moment-là je
>suppose que c'est les clients finaux (PC et Mac) qui devront
>s'identifier via une page web.

Si les clients finaux sont derrière un client wifi bridgé, c'est chaque 
client qui doit être authentifié, puisque chacun a une adresse IP (et MAC) 
distincte sur le réseau. S'ils sont derrière un client d'AP (passerelle 
locale), c'est l'appareil wifi qui doit être authentifié, et tout les 
postes qui sont derrière bénéficient de cette authentification.

NB: Radius est éventuellement superflu si l'authentification est réalisée 
sur une passerelle unique. Un simple fichier de mots de passe peut suffire. 
L'intérêt principal de Radius est de centraliser l'authentification 
lorsqu'il y a plusieurs machines susceptibles d'authentifier les clients.


>Mon but c'est de faire un peu mieux que du filtrage d'adresses MAC
>sur le routeur, pour empêcher des non-abonnés sur le réseau, mais je
>veux pas que ça soit trop complexe au niveau installation client (si
>on doit mettre un client 802.1x sur les machines clients je le sens
>mal vu l'hétérogénéité des configs clients)

Une autre alternative est d'utiliser PPTP et/ou PPPoE pour authentifier les 
clients. Ca permet de crypter les communications de ceux qui sont tracassés 
par la confidentialité tout en permettant aux autres de ne pas s'en 
soucier, en authentifiant cependant tout le monde, y compris d'éventuels 
clients filaires. C'est la méthode que j'ai implémentée pour VaourNet. Il 
existe des clients PPTP et PPPoE pour tous les OS. M0n0wall dispose d'un 
serveur PPTP sur le port LAN et d'un client PPPoE sur le port WAN, mais je 
ne suis pas certain qu'il ait aussi un serveur PPPoE pour le LAN ? 
J'utilise personnellement une passerelle sous FreeBSD avec une config 
maison qui ressemble à celle de m0n0wall, tout en étant différente à 
certains égards.

a+

--
Didier Lebrun
Le bourg - 81140 - Vaour (France)
tél: 05.63.53.73.41 (AM et soirée)
mailto:dl at vaour.net (MIME, ISO latin 1)
http://didier.quartier-rural.org/





More information about the Ran mailing list