Est-ce le EAP-TLS, le PEAP, ou le EAP-TTLS qui est géré ?
Moi ce qui m'intéresserait ça serait d'installer des certificats sur mes postes clients pour qu'ils aient accès au Wifi très simplement (tout en me permettant d'avoir un contrôle sur qui peut se connecter : en révoquant ou pas des certificats).
Pouvoir également coupler cela (je ne sais pas encore comment) avec un système de page web d'identification (façon HotSpot) si aucun certificat n'est fourni par le client (car non configuré ou parce que non supporté).
J'ai implémenté pour un réseau LAN une solution WDS en WPA2 qui fonctionne très bien.
J'aimerai installer un serveur radius dans mon réseau local. Et donc que les utilisateur connectés aux AP seront authentifié via le serveur Radius.
Au niveau de la configuration, faut-il mettre l'adresse du serveur ainsi que le port dans wireless-->sécurity ?
Faut-il également configurer Wireless-->Radius, sachant qu'il s'agit d'un serveur se trouvant dans le local.
En plus il s'agit d'une config valable avec freeradius 1.*.*, on en est a la 2.18(sauf erreur) et depuis la version 2 les fichier de conf ne sont plus les memes.
Donc c'est une piste dans tes recherche petit jedi....mais c'est pas la solution finale.
En fait, c'est pas ce qu'il me faut je me suis trompé je pense.
En effet, mon serveur Radius est distant, dans un autre réseau.
Radius: eth0(10.130.11.172)(wan)
Radius: eth1(10.140.11.23)(pour le lan, radius)
c'est 2 interfaces arrivent au même switch, mais il en faut 2 pour utilisé CoovaChilli sur une Debian.
Point d'accès 1 :int Wan: 10.150.11.210
Point d'accès 1 :int Lan: 192.168.1.1
Client:192.168.1.101 (DHCP du point d'accès)
Des routes sont réalisé grâce à un Switch Layer 3, et fonctionne très bien.
J'ai fait des tests d'abord filaire, pour que le client connecté donc par câble au point d'accès, puisse accéder manuellement à la page et s'authentifier. Après lgtps, j'ai désactivé le firewall du point d'accès. ça a été lol.
Maintenant, j'aimerai que mon client connecté à présent en WIFI, se connecte au point d'accès, et lorsqu'il lance le navigateur, qu'il arrive directement sur la page de CoovaChilli, la page d'authenfication.
Pour se faire je dois rien installé de plus sur mon point d'accès ? simplement aller dans :
Wireless-->Radius et dans Wireless Security ?
Mais ça n'a pas l'air de fonctionner, du moins chez
moi.
Je ne comprend pas les éléments suivant:
dans Wireless-->Radius:
-MAC Format
-password format (le mot de passe pour radius?)
Je comprend pas à quoi il servent réellement appart que ce sont les éléments que le point d'accès envoi au radius.
et dans wireless-wireless Security:
-Si on doit mettre, WPA(2) Entreprise, ou Radius
-quel est la meilleur sécurité dans mon cas ?
c'est pas spécialement obligatoire ici ? c'est juste une sécurité dont le mot de passe est celui de freeradius ? "secret"
Et est-ce que le roaming avec WDS fonctionnera toujours aussi bien ? je suppose que oui, ouu peut-être que l'échange sera un peu plus longue, mais pour être sur de ce que je pense :)
j'ai effectivement du m'absenté trop longtemps, tu me parle de Coovachilli, jusqu'a présent c'était chillispot sur dd-wrt...A moins qu'ils aient réussi a l'intégré dernièrement.
Pour ce qui est du format mac, je suis surpris(j'ai pas encore fouillé les authentification EAP) sur Chillispot, le format d'adresse Mac est généralement du type aa-bb-cc-dd-ee-ff Alors je suis un peu surpris que le serveur Radius accepte aa:bb:cc:dd:ee:ff comme format.
Quote:
-password format (le mot de passe pour radius?)
Nom c'est le mot de passe utilisateur le mot de passe radius, c'est "Radius Auth Shared Secret"
Quote:
-Si on doit mettre, WPA(2) Entreprise, ou Radius
-quel est la meilleur sécurité dans mon cas ?
Du point de vue technique il est indéniable que WPA2 c'est ce qu'il y a de mieux, seulemnt il semble que dd-wrt est un mal de chien a stabilisé la bande passant d'un réseau WDs de plus de trois noeuds en WPA2, donc il serait plus logique d'utiliser Radius sur un gros réseau afin de vraiment décharger les routeurs en temps proceseurs.
Autrement tu peux utiliser la technique des Wisp pour authentifier les clients. A savoir:
- Portail captif sans authentification possible+ Server VPN en UamAllowed
- Un serveur VPN entete de pont (PPTP en 128 bit pour commencer + Radius).
Mon chillispot est pas sur dd-wrt mais bien sur un serveur distant sur une Debian(FreeRadius+CoovaChilli), donc pour que au moins l'utilisateur soit redirigé sur sa page, il faut que je référence le serveur dans Wireless-->Radius et c'est tout ? ou il faut vraiment mettre une sécurité wifi ?
Quote:
-password format (le mot de passe pour radius?)
Nom c'est le mot de passe utilisateur le mot de passe radius, c'est "Radius Auth Shared Secret"
Oui, donc si je met Mac Adress, il faut référencer les utilisateurs dans Radius avec leur Mac ?
mais le champ : RADIUS Shared Secret:
Dans freeradius, je référence des utilisateurs dans /etc/freeradius/users et dans clients.conf je met secret=radius123
c'est donc radius123 que je référence ?
Quote:
-Si on doit mettre, WPA(2) Entreprise, ou Radius
-quel est la meilleur sécurité dans mon cas ?
il serait plus logique d'utiliser Radius sur un gros réseau afin de vraiment décharger les routeurs en temps proceseurs.
J'ai un peu dur à capter, donc pour que les clients se connecte en wifi, il devront mettre le MDP de radius donc : radius123 ?
je me goure peut-être complètement :s
Quote:
Autrement tu peux utiliser la technique des Wisp pour authentifier les clients. A savoir:
- Portail captif sans authentification possible+ Server VPN en UamAllowed
- Un serveur VPN entete de pont (PPTP en 128 bit pour commencer + Radius).
Ainsi tu encryptes bien les liaison entre client Wifi et passerelle mais sans surcharger les routeurs du réseau.
Ben Chillispot est un portail captif non ? c'est ce que j'utilise sur le serveur, j'ai une page d'authentification.
Et Server VPN en UamAllowed? j'ai déjà vu VPN à l'école quoi maisp as UamAllowed lol
j'ai des paramètres dans mon Radius/CoovaChilli sur mon serveur où il y à uamallowed mais bon...
C'est quoi la meilleur solution niveau performance et facilité?
Je comprend mieux pour coovachilli. Donc tu est en version standalone. Cela veux dire que ton serveur est sur place (Là ou tu vas mettre en place ton réseau WDS). Attention se type de serveur ne marche pas si le serveur est extérieur au réseau.
Quote:
Oui, donc si je met Mac Adress, il faut référencer les utilisateurs dans Radius avec leur Mac ?
mais le champ : RADIUS Shared Secret:
Dans freeradius, je référence des utilisateurs dans /etc/freeradius/users et dans clients.conf je met secret=radius123
c'est donc radius123 que je référence ?
Oui et oui
Quote:
J'ai un peu dur à capter, donc pour que les clients se connecte en wifi, il devront mettre le MDP de radius donc : radius123 ?
je me goure peut-être complètement :s
Tout a fait, tu te goures, le mot de passe requis est celui associe a l'utilisateur
Quote:
Ben Chillispot est un portail captif non ? c'est ce que j'utilise sur le serveur, j'ai une page d'authentification.
Et Server VPN en UamAllowed? j'ai déjà vu VPN à l'école quoi maisp as UamAllowed lol
j'ai des paramètres dans mon Radius/CoovaChilli sur mon serveur où il y à uamallowed mais bon...
C'est quoi la meilleur solution niveau performance et facilité?
Oui chillispot est un systeme a portail captif, mais ce n'est pas compatible avec Coova, mais dans ton cas, tu t'en fout puisque tu n'utiliseras pas cette fonction sur les routeurs puisque tu as le serveur debian Coova en tete de réseau.
UamAllowed c'est la liste des sites qu'il est possible de consulté sans etre authentifié par le portail captif dans coova ou Chillispot et c'est une fonction coova et chillispot.
Je dis on mets l'adresse du(des) serveur(s) VPN en Uamallowed, puisqu'ils ont eu meme un systeme d'authentification et n'accepterons pas de clients non authentifié (comme le fait un portail captif).
La chose intéressante est que l'encryptage du tunnel n'est plus supporté par les routeurs (qui on peu de mémoire) comme dans WP2, mais par le serveur VPN et le client vpn. C'est le principe qu'utilises les Wisp. Ca permet d'avoir les meilleurs performance Wifi tout en sécurisant les laisons et en authentifiant les utilisateurs.
Ca permet aussi la cohéxistence de plusieurs opérateurs sur le meme réseau WIFI.
Les protocoles VPN le plus souvent utilisé sont
PPTP
OPENVPN
PPPOE
Nota: L'encryption Wifi meme si elle est trés éfficace, Infue énormément sur la bande passante. Si ce n'est pas génant sur des réseau type résidentiel, c'est trés flagrant sur des réseaux pro ou il n'est pas rare de voir plusieurs centaines d'utilisateurs connectés.
Je comprend mieux pour coovachilli. Donc tu est en version standalone. Cela veux dire que ton serveur est sur place (Là ou tu vas mettre en place ton réseau WDS). Attention se type de serveur ne marche pas si le serveur est extérieur au réseau.
Quand tu dis même réseaux, tu veux dire qu'il ne faut pas sortir d'internet ? mais comme dans mon cas si j'ai des IP différentes ça peut aller ? pcq pour l'instant parfois ça va et parfois pas. quand je met chilli en mode debug, il met :
Received packet with spoofed source!
Quote:
J'ai un peu dur à capter, donc pour que les clients se connecte en wifi, il devront mettre le MDP de radius donc : radius123 ?
je me goure peut-être complètement :s
Tout a fait, tu te goures, le mot de passe requis est celui associe a l'utilisateur
Ben pour l'authentification oui (sur la page de hotspot). Mais pour se connecté au wifi sans authentification, on met que le mot de passe pour se connecté au réseau, donc comment identifier l'utilisateur pour vérifier son mot de passe ?
Quote:
Oui chillispot est un systeme a portail captif, mais ce n'est pas compatible avec Coova, mais dans ton cas, tu t'en fout puisque tu n'utiliseras pas cette fonction sur les routeurs puisque tu as le serveur debian Coova en tete de réseau.
Ben le hotspot c'est pour la page d'authentification, et Coovachilli c'est pour l'authentification en elle-même non ? enfin j'ai pas encore établi la théorie j'aurai du... Enfin j'utilise les 2 quoi j'suis obligé ?
Quote:
UamAllowed c'est la liste des sites qu'il est possible de consulté sans etre authentifié par le portail captif dans coova ou Chillispot et c'est une fonction coova et chillispot.
oui dans un fichier de config, il y a uamallowed:
Donc je met par exemple les sites autorisé, et les utilisateur n'auront accès qu'a ces pages là si ils ne sont pas authentifié ?
Quote:
Je dis on mets l'adresse du(des) serveur(s) VPN en Uamallowed, puisqu'ils ont eu meme un systeme d'authentification et n'accepterons pas de clients non authentifié (comme le fait un portail captif).
donc pas vraiment besoin de serveur VPN si je référence les sites dans le fichier de config de chilli ? c'est une autre solution quoi ?
Quote:
La chose intéressante est que l'encryptage du tunnel n'est plus supporté par les routeurs (qui on peu de mémoire) comme dans WP2, mais par le serveur VPN et le client vpn. C'est le principe qu'utilises les Wisp. Ca permet d'avoir les meilleurs performance Wifi tout en sécurisant les laisons et en authentifiant les utilisateurs.
....
L'encryption Wifi meme si elle est trés éfficace, Infue énormément sur la bande passante. Si ce n'est pas génant sur des réseau type résidentiel, c'est trés flagrant sur des réseaux pro ou il n'est pas rare de voir plusieurs centaines d'utilisateurs connectés.
ça ralenti beaucoup le wifi alors ? Si c'est une grosse infrastructure, vaut mieux travaillé sans sécurité wifi alors ? juste avec l'authentification pour les utilisateurs qui auront plus d'accès?
update : je crois que je viens de capter, en faite le serveur VPN que tu dit, il faut pas le créer, c'est simplement un serveur externe qu'il faut référencer pour les users non authentifier, et ils aurant on un accès restreint ?
c'est gratuit ? et il y a pas moyen de mettre qd mm d'abord notre page d'authentification ?
Quand tu dis même réseaux, tu veux dire qu'il ne faut pas sortir d'internet ?
oui
Quote:
Received packet with spoofed source!
Je crois que justement tu utilises un serveur STANDALONE, devant etre présent sur le réseau comme serveur externalisé (en dehors du réseau). CELA NE MARCHERA JAMAIS, si tu n'a pas a la tete de réseau un routeur Coova reconnu par ton serveur correctement comme client radius.
Quote:
Ben le hotspot c'est pour la page d'authentification, et Coovachilli c'est pour l'authentification en elle-même non ? enfin j'ai pas encore établi la théorie j'aurai du... Enfin j'utilise les 2 quoi j'suis obligé ?
on va faire simple...Coova=Hotspot AAA. c'est tous le system qui est rEquis pour le hotspot.
oui dans un fichier de config, il y a uamallowed:
Quote:
Donc je met par exemple les sites autorisé, et les utilisateur n'auront accès qu'a ces pages là si ils ne sont pas authentifié ?
Evite les question "Attire troll" dans le forum. Tu donne la réponse dans ta question.
Quote:
update : je crois que je viens de capter, en faite le serveur VPN que tu dit, il faut pas le créer, c'est simplement un serveur externe qu'il faut référencer pour les users non authentifier, et ils aurant on un accès restreint ?
Exactement ils n'auront pas accès a autre chose que ce que tu a mis dans l'uam allowed. du coup tu peux carément avoir une page d'accueil sans formulaire de connexion, puisque là, ce n'est pas Coova (ou chillispot) qui authentifie tes utilisateur, mais le serveur VPN que tu leur aura indiqué sur cette page d'accueil. Du coup, l'encryption de la liaison du client vers internet, n'est plus faite ppar les routeurs (WPA), mais par le serveur VPn et le pc de l'utilisateur. Ainsi tu permet a tes routeur de délivré plus de bande passante et de ne s'occuper que du routage des paquets.
Quote:
c'est gratuit ?
un pc c'est rarement gratuit!
bon tu peut installer une distribution PFsense sur un PC disponible pour en faire un serveur VPN qui pourra fonctionner avec une authentification via freeradius (comme le font coova et chillispot).
Ou alors si tu n'as que quelques utilisateurs entreprise, tu peut utiliser un routeur dd-wrt en amont de ton serveur coova et y inscrire les utilisateurs et mot de passes en dur.
Quote:
et il y a pas moyen de mettre qd mm d'abord notre page d'authentification ?
Je crois que justement tu utilises un serveur STANDALONE, devant etre présent sur le réseau comme serveur externalisé (en dehors du réseau). CELA NE MARCHERA JAMAIS, si tu n'a pas a la tete de réseau un routeur Coova reconnu par ton serveur correctement comme client radius.
Pfff
on sait pas changer le STANDALONE je suppose ?
Ou simplement le mettre dans le même réseau ?
Comment y faut faire ? :(
J'ai mis un petit shéma du réseau que j'utilise. Le routage au niveau du SwL3 se font correctement (J'arrive à accéder à la page si je met connecte par câble à l'AP). Mais en Wi-Fi qd je lance le navigateur je tombe pas sur la page. Et j'ai configurer comme le liens que je t'ai envoyé:
on va faire simple...Coova=Hotspot AAA. c'est tous le system qui est rEquis pour le hotspot.
Oki J'ai fait des recherches ce matin par rapport à chillispot en fait c'est une suite de chillispot en gros. Je commence à comprendre la théorie.. :)
Tu avais raison l'autre jours, avec mes question attire troll lol, la preuve encore
Pour le serveur VPN je pense pas que je vais utilisé cette solution, mais plutôt utilisé celle de Coova avec uamallowed.
Quote:
Ou alors si tu n'as que quelques utilisateurs entreprise, tu peut utiliser un routeur dd-wrt en amont de ton serveur coova et y inscrire les utilisateurs et mot de passes en dur.
Ben pour les utilisateurs, je vais les enregistrer dans FreeRADIUS, ou avec un LDAP je sais pas encore lol c'est le boss qui me le dira plus tard..
Pfff Sad
on sait pas changer le STANDALONE je suppose ?
Ou simplement le mettre dans le même réseau ?
En lisant ca, j'ai vraiment la sensation que tu ne comprend pas ce que signifie satndalone, et externe....?
C'est pourtant pas compliqué. le controlleur hotspot (coova ou chilli) doit etre présent sur le réseau local.
1-Dans un serveur AAA standalone, tu as, tu as le controleur, le systeme d'authentification (radius) sur un seul appareil, et il faut évidement qu'il soit dans le réseau qu'il doit controller.
1-Dans un serveur AAA externe, tu as le systeme d'authentification (Radius), mais pas le controlleur (qui lui est dans le réseau a controller). Le controleur est associé au serveur AAA.
L'interret du 1 c'est que cela fonctionne meme si tu n'a pas de connection Internet.
L'interret du 2 c'est qu'il est possible de controller plusieurs réseau. Le controleur étant embarqué sur le routeur en tet du réseau. Inconvénient, si il y a une coupure internet, tous le monde est déconnecté.
Donc la grosse erreur consite a mélanger les deux, et oublier de mettre un controleur en tete de réseau....Capito? :D